1、信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮20142014年年1111月月信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮一、基本情况二、政策要求三、标准体系四、实施指南解读五、基本要求解读提提 纲纲信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮1、什么是信息安全等级保护2、信息安全等级保护的作用3、安全保护等级的划分4、等级保护工作的职责分工5、等级保护工作的进展6、标准起草背景一、基本情况信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮一、一、基本情况基本情况-什么是信息安全等级保护什么是信息安全等级保护 信息
2、安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息信息和存储、传输、处理这些信息的信息系统信息系统分等级实行安全保分等级实行安全保护护,对信息系统中使用的信息安全产品信息安全产品实行按等级按等级管理管理,对信息系统中发生的信息安全事件信息安全事件分等级响分等级响应、处置应、处置。信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮 信息安全等级保护是国家信息安全保障的基本基本制度、基本策略、基本方法制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志国家意志的体现。一、基本情况一、基本
3、情况-什么是信息安全等级保护什么是信息安全等级保护信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 国家层面 国家制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对信息安全产品的使用分等级实行管理,对等级保护工作的实施进行监督、指导。一、基本情况一、基本情况-什么是信息安全等级保护什么是信息安全等级保护信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 用户层面 公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作,服从国家对信息安全等级保护工作的监督、指导,保障信息系统安全。
4、一、基本情况一、基本情况-什么是信息安全等级保护什么是信息安全等级保护信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 社会层面 信息安全产品的研制、生产单位,信息系统的集成、等级测评、风险评估等安全服务机构,依据国家有关管理规定和技术标准,开展相应工作,并接受国家信息安全职能部门的监督管理。一、基本情况一、基本情况-什么是信息安全等级保护什么是信息安全等级保护信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮等级保护工作的主要流程 定级定级备案备案建设整改建设整改监督检查监督检查 等级测评等级测评l 流程一、基本情况一、基本情况-什么是信息安全等级保护什么
5、是信息安全等级保护信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮1、什么是信息安全等级保护2、信息安全等级保护的作用3、安全保护等级的划分4、等级保护工作的职责分工5、等级保护工作的进展6、标准起草背景一、基本情况信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l提出信息安全工作的思路思路l划定信息系统保护的基线基线l发现信息系统的问题和差距问题和差距l明确信息系统安全保护的方向方向l提升信息系统的安全保护能力安全保护能力一、基本情况一、基本情况-信息安全等级保护的作用信息安全等级保护的作用信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮
6、实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;一、基本情况一、基本情况-信息安全等级保护的作用信息安全等级保护的作用信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动
7、信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。一、基本情况一、基本情况-信息安全等级保护的作用信息安全等级保护的作用信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮1、什么是信息安全等级保护2、信息安全等级保护的作用3、安全保护等级的划分4、等级保护工作的职责分工5、等级保护工作的进展6、标准起草背景一、基本情况信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮等级等级 对象对象 侵害客体侵害客体 侵害程度侵害程度 监管强度监管强度 第一级 合法权益 损害 自主保护 合法权益 严重损害 第二级 一般系统 社会秩序和公共利益损害 指导
8、 社会秩序和公共利益 严重损害 第三级 国家安全 损害 监督检查社会秩序和公共利益 特别严重损害 第四级 重要系统 国家安全 严重损害 强制监督检查 第五级 极端重要系统 国家安全 特别严重损害 专门监督检查 一、基本情况一、基本情况-安全保护等级划分安全保护等级划分信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮1、什么是信息安全等级保护2、信息安全等级保护的作用3、安全保护等级的划分4、等级保护工作的职责分工5、等级保护工作的进展6、标准起草背景一、基本情况信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 职能部门职能部门制定管理规范和技术标准,组织实
9、施,开展监督、检查、指导。l 行业主管部门行业主管部门督促、检查、指导本行业、本部门开展等级保护工作。l 运营使用单位运营使用单位开展信息系统定级、备案、建设整改、等级测评、自查等工作,落实等级保护制度的各项要求。l 安全服务机构安全服务机构开展技术支持、服务等工作,并接受监管部门的监督管理。一、基本情况一、基本情况-职责分工职责分工信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 公安机关公安机关负责信息安全等级保护工作的监督、检查、指导;l 国家保密工作部门国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导;l 国家密码管理部门国家密码管理部门负责等级保护
10、工作中有关密码工作的监督、检查、指导;l 涉及其他职能部门其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;l 工业和信息化部工业和信息化部负责等级保护工作的部门间协调。一、基本情况一、基本情况-职责分工职责分工信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮1、什么是信息安全等级保护2、信息安全等级保护的作用3、安全保护等级的划分4、等级保护工作的职责分工5、等级保护工作的进展6、标准起草背景一、基本情况信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮等级保等级保护发展护发展组织架构组织架构标准体系标准体系技术体系技术体系14714
11、7号令号令等保新阶段等保新阶段1994年第一次提出职责单位(公安部)2007年43号文实施等级保护大会召开等保监督检查工作规范 发布十几年的发展一、基本情况一、基本情况-进展进展信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 组织机构 国家信息安全等级保护工作协调小组 2006年5月18日第一次会议 国家信息安全保护等级专家评审委员会 国家信息安全等级保护安全建设指导专家委员会政策指导组 行业指导组 技术指导组l 政策标准 政策要求 国家标准一、基本情况一、基本情况-进展进展信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 测评体系 2009年等级测评
12、体系建设试点工作 六个省市公安机关和十多家测评机构 2010年开展对测评机构的能力审验和安全审查 开展二期对测评人员的安全审查和培训 向社会公布通过评估的测评机构,供相关单位选择一、基本情况一、基本情况-进展进展信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮1、什么是信息安全等级保护2、信息安全等级保护的作用3、安全保护等级的划分4、等级保护工作的职责分工5、等级保护工作的进展6、标准起草背景一、基本情况信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 安全形势严峻西强我弱的局面长期存在,信息安全战略威胁更加突出各类网络安全威胁不断增多,网络安全防范难度
13、加大信息安全建设缺乏规范,安全防护能力亟待提高一、基本情况一、基本情况-标准起草背景标准起草背景信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 法律基础中国人民共和国计算机信息系统安全保护条例(国务院令147号)第九条-“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”一、基本情况一、基本情况-标准起草背景标准起草背景信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 政策基础国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)-“要加强信息安全标准化工作,抓紧制定急需的信息安全
14、管理和技术标准,形成与国际标准相衔接的中国特色的信息安全标准体系。”一、基本情况一、基本情况-标准起草背景标准起草背景信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 政策基础国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)-“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。一、基本情况一、基本情况-标准起草背景标准起草背景信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 技术基础计算机信息系统安全保护等级划分准则(GB1785
15、9-1999)将计算机信息系统的安全保护能力划分为五个等级:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。一、基本情况一、基本情况-标准起草背景标准起草背景信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮等级保护工作是多方参与,涉及技术与管理两个领域的复杂系统工程,迫切需要制定一个科学、合理和完整的等级保护标准体系,利用它来规范、指导和协调不同参与方在不同工作环节的安全活动。为保障我国信息安全等级保护工作顺利推进,通过对目前国内外信息安全标准体系的研究和分析,基于信息安全等级保护工作的基本工作内容,需要制
16、定、梳理和完善目前等级保护工作需要的标准体系。一、基本情况一、基本情况-标准起草背景标准起草背景信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮一、基本情况二、政策要求三、标准体系四、实施指南解读五、基本要求解读提提 纲纲信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮近几年,为组织开展信息安全等级保护工作,公安部根据中华人民共和国计算机信息系统安全保护条例(国务院147号令)的授权,会同国家保密局、国家密码管理局和原国务院信息办出台了一些文件,国家发改委会同公安部、国家保密局出台了相关文件,公安部对有些具体工作出台了一些指导意见和规范,这些文件初步构成了信
17、息安全等级保护政策体系,为指导各地区、各部门开展等级保护工作提供了政策保障。一、等级保护政策要求一、等级保护政策要求信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮关于开展全国重要信息系统安全等级保护定级工作的通知(公通字2007861号)中华人民共和国计算机信息系统安全保护条例(国务院147号令)国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)信息安全等级保护工作关于信息安全等级保护工作的实施意见(公通字200466号)信息安全等级保护备案实施细则(公信安20071360号)关于开展信息系统等级保护安全建设整改工作的指导意见(公信安20091429号
18、)关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)关于印发信息系统安全等级测评报告模版(试行)的通知(公信安20091487号)公安机关信息安全等级保护检查工作规范(试行)(公信安2008736号)信息安全等级保护管理办法(公通字200743号)定级备案建设整改等级测评监督检查关于开展信息安全等级保护专项监督检查的通知(公信安20101175号)关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安2010303号)信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的
19、实施意见(公通字(公通字200466号)号)该文件是为贯彻落实国务院第147号令和中办27号文件、由四部委共同会签印发、指导相关部门实施信息安全等级保护工作的纲领性文件,主要内容包括贯彻落实信息安全等级保护制度的基本原则,等级保护工作的基本内容、工作要求和实施计划,以及各部门工作职责分工等。二、等级保护政策要求二、等级保护政策要求-总体政策总体政策信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见(公通字(公通字200466号)号)“信息安全等级保护工作要突出重点、分级负责、分类指导、分步实施,按照谁主管谁负责
20、、谁运营谁负责谁主管谁负责、谁运营谁负责的要求,明确主管部门以及信息系统建设、运行、维护、使用单位和个人的安全责任,分别落实等级保护措施”。二、等级保护政策要求二、等级保护政策要求-总体政策总体政策信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮信息安全等级保护管理办法信息安全等级保护管理办法(公通字(公通字200743号)号)该文件是在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上,由四部委共同会签印发的重要管理规范,主要内容包括信息安全等级保护制度的基本内容、流程及工作要求,信息系统定级、备案、安全建设整改、等级测评的实施与管理,信息安全产品和测评机
21、构选择等,为开展信息安全等级保护工作提供了规范保障。二、等级保护政策要求二、等级保护政策要求-总体政策总体政策信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮1、定级政策关于开展全国重要信息系统安全等级保护定级工作的关于开展全国重要信息系统安全等级保护定级工作的通知通知(公通字(公通字2007861号)号)2007年7月20日四部委在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”,会议根据该通知精神部署在全国范围内开展重要信息系统安全等级保护定级工作,标志着全国信息安全等级保护工作全面开展。该文件由四部委共同会签印发。二、等级保护政策要求二、等级保护政策要
22、求-具体政策具体政策信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮2、备案政策信息安全等级保护备案实施细则信息安全等级保护备案实施细则(公信安(公信安20071360号)号)该文件规定了公安机关受理信息系统运营使用单位信息系统备案工作的内容、流程、审核等,并附带有关法律文书,指导各级公安机关受理信息系统备案工作,为运营使用单位开展备案工作提供参考。该文件由公安部网络安全保卫局印发。二、等级保护政策要求二、等级保护政策要求-具体政策具体政策信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮3安全建设整改政策关于开展信息系统等级保护安全建设整改工作的指导关于开展
23、信息系统等级保护安全建设整改工作的指导意见意见(公信安(公信安20091429号)号)该文件明确了非涉及国家秘密信息系统开展安全建设整改工作的目标、内容、流程和要求等,文件附件包括信息安全等级保护安全建设整改工作指南和信息安全等级保护主要标准简要说明。该文件由公安部印发。二、等级保护政策要求二、等级保护政策要求-具体政策具体政策信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮3安全建设整改政策关于开展信息系统等级保护安全建设整改工作的指导关于开展信息系统等级保护安全建设整改工作的指导意见意见(公信安(公信安2009142920091429号)号)“依据信息安全等级保护有关政策
24、和标准,通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益,力争在力争在20122012年底前完成已定级信息系年底前完成已定级信息系统安全建设整改工作统安全建设整改工作”二、等级保护政策要求二、等级保护政策要求-具体政策具体政策信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮3安全建设整改政策关于加强国家电子政务工程建设项目信息安全风险评估关于加强国家电子政务工程建设项目信息安全风险评估工作的
25、通知工作的通知(发改高技(发改高技20082071号)号)该文件要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照信息安全等级保护管理办法进行,明确了项目验收条件:公安机关颁发的信息系统安全等级保护备案证明、等级测评报告和风险评估报告。该文件由发改委、公安部、国家保密局共同会签印发。二、等级保护政策要求二、等级保护政策要求-具体政策具体政策信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮4等级测评政策关于印发关于印发信息系统安全等级测评报告模版(试信息系统安全等级测评报告模版(试行)行)的通知的通知(公信安(公信安20091487号)号)该文件明确了等级测评的内容
26、、方法和测评报告格式等内容,用以规范等级测评活动。该文件由公安部网络安全保卫局印发。二、等级保护政策要求二、等级保护政策要求-具体政策具体政策信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮4等级测评政策关于推动信息安全等级保护测评体系建设和开展等关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知级测评工作的通知(公信安(公信安2010303号)号)该文件明确了等级测评体系建设的目标、内容和要求,通知中下发了信息安全等级保护测评工作管理规范(试行),解读了信息安全等级保护测评体系的相关概念,确定了等级测评机构的管理流程。该文件由公安部网络安全保卫局印发。二、等级保护
27、政策要求二、等级保护政策要求-具体政策具体政策信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮5检查监督政策公安机关信息安全等级保护检查工作规范(试行)公安机关信息安全等级保护检查工作规范(试行)(公信安(公信安2008736号)号)该文件规定了公安机关开展信息安全等级保护检查工作的内容、程序、方式以及相关法律文书等,使检查工作规范化、制度化。该文件由公安部网络安全保卫局印发。二、等级保护政策要求二、等级保护政策要求-具体政策具体政策信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮5检查监督政策关于开展信息安全等级保护专项监督检查工作的通关于开展信息安全等级
28、保护专项监督检查工作的通知知(公信安(公信安20101175号)号)该文件决定自2010年9月15日起至12月15日,在全国范围内开展为期三个月的信息安全等级保护专项监督检查工作。该文件由公安部网络安全保卫局印发。二、等级保护政策要求二、等级保护政策要求-具体政策具体政策信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮一、基本情况二、政策要求三、标准体系四、实施指南解读五、基本要求解读提提 纲纲信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮为推动我国信息安全等级保护工作的开展,十多年来,在国家主管部门领导和支持下,在国内有关专家、企业的共同努力下,全国信息
29、安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系,为开展信息安全等级保护工作提供了标准保障。三、等级保护标准体系三、等级保护标准体系信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l编制原则l标准分类l标准介绍l说明三、等级保护标准体系三、等级保护标准体系信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 全面性 等级保护标准体系的编制应充分考虑等级保护工作中不同参与方在不同阶段、不同工作环节的不同要求,将工作过程中使用的各项标准分类纳入体系之中,构成一个完整全面
30、的体系结构l 系统性 构成等级保护标准体系的标准在内容、层次上要充分体现系统性和关联性,标准和标准之间应保持协调一致,相互衔接。三、等级保护标准体系三、等级保护标准体系-制定原则制定原则信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 先进性在编制标准体系中的项目时,既要充分考虑目前的技术和管理的水平,也要对信息安全领域未来的发展有所预见,使等级保护标准体系具有一定的前瞻性。l 适用性等级保护标准体系框架并非一成不变,它将随着信息技术的发展和国际标准的不断完善而进行更新和充实,保证标准的适用性。应根据信息安全等级保护工作的轻重缓急开展标准的制定工作。三、等级保护标准体系三、
31、等级保护标准体系-制定原则制定原则信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 从基本分类角度看 基础类标准 技术类标准 管理类标准l 从对象角度看 基础标准 系统标准 产品标准 安全服务标准 安全事件标准等三、等级保护标准体系三、等级保护标准体系-标准分类标准分类信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 从等级保护生命周期看 通用/基础标准 系统定级用标准 安全建设用标准 等级测评用标准 运行维护用标准等三、等级保护标准体系三、等级保护标准体系-标准分类标准分类信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 从使用角度
32、看基础类安全要求类定级类方法指导类状态分析类三、等级保护标准体系三、等级保护标准体系-标准分类标准分类信息系统安全等级保护基本要求信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则(GB17859)信息系统通用安全技术要求信息系统物理安全技术要求技术类技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类管理类产品类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作
33、系统安全技术要求信息系统安全等级保信息系统安全等级保护建设整改护建设整改网络基础安全技术要求网络和终端设备隔离部件技术要求安全定级基线要求状态分析方法指导信息系统安全等级保护实施指南信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 基础类1、计算机信息系统安全保护等级划分准则 GB17859-19992、信息系统安全等级保护实施指南(国标报批稿)l 定级环节3、信息系统安全保护等级定级指南GB/T22240-2008l 安全建设整改技术环节4、信息系统安全等级保护基本要求GB/T22239-2008三、等级保护标准体系三、等级保护标准体系常用标准常用标准信息安全等级保护浪潮
34、信息安全事业部InspurInspur浪潮浪潮5、信息系统通用安全技术要求GB/T20271-20066、信息系统等级保护安全设计技术要求 GB/T25070-2006l 安全建设整改管理环节7、信息系统安全管理要求GB/T20269-20068、信息系统安全工程管理要求GB/T20282-2006l 等级测评环节9、信息系统安全等级保护测评要求(国标报批稿)10、信息系统安全等级保护测评过程指南(国标报批稿)三、等级保护标准体系三、等级保护标准体系常用标准常用标准信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 计算机信息系统安全保护等级划分准则 强制性国家标准,是等级保
35、护重要的基础性标准。l 信息系统通用安全技术要求等技术类技术类标准l 信息系统安全管理要求、信息系统安全工程管理要求等管理类管理类标准l 操作系统安全技术要求等产品类产品类标准共同构成了等级保护基础性标准,为相关标准的制定起到了基础性作用。三、等级保护标准体系三、等级保护标准体系-基础类基础类信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮信息系统安全等级保护基本要求信息系统安全等级保护基本要求以及行业行业标准规范或细则标准规范或细则构成了信息系统安全建设整改的安全需求。信息系统安全等级保护基本要求(GB/T22239-2008)是在计算机信息系统安全保护等级划分准则、技术类
36、标准和管理类标准基础上,总结几年的实践,结合当前信息技术发展的实际情况研究制定的,该标准提出了各级信息系统应当具备的安全保护能力,并从技术和管理两方面提出了相应的措施。三、等级保护标准体系三、等级保护标准体系-安全要求类安全要求类信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮信息系统安全等级保护基本要求的行业细则重点行业可以按照基本要求等国家标准,结合行业特点,确定基本要求的具体指标,在不低于基本要求的情况下,结合系统安全保护的特殊需求,制定信息系统安全建设整改的行业标准规范或细则,并据此开展安全建设整改工作。三、等级保护标准体系三、等级保护标准体系-安全要求类安全要求类信
37、息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮信息系统安全等级保护定级指南信息系统安全等级保护定级指南和信息系统安全等级保护行业定级细则行业定级细则为确定信息系统安全保护等级提供支持。信息系统安全等级保护定级指南(GB/T22240-2008)。该标准规定了定级的依据、对象、流程和方法以及等级变更等内容,用于指导信息系统运营使用单位开展信息系统定级工作。三、等级保护标准体系三、等级保护标准体系-定级类定级类信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮信息系统安全等级保护行业定级细则。重点行业可以根据信息系统安全等级保护定级指南,结合行业特点,制定出台行业
38、信息系统定级标准规范或细则,保证行业内信息系统在不同地区等级的一致性,以指导本行业信息系统定级工作的开展。三、等级保护标准体系三、等级保护标准体系-定级类定级类信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮信息系统安全等级保护实施指南信息系统安全等级保护实施指南和信息信息系统等级保护安全设计技术要求系统等级保护安全设计技术要求构成了指导信息系统安全建设整改的方法指导类标准。信息系统安全等级保护实施指南是信息系统安全等级保护建设实施的过程控制标准,阐述了等级保护实施的基本原则、参与角色和信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等几个主要工作阶段
39、中如何按照信息安全等级保护政策、标准要求实施等级保护工作。三、等级保护标准体系三、等级保护标准体系-方法指导类方法指导类信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮信息系统等级保护安全设计技术要求信息系统等级保护安全设计技术要求(GB/T25070-2008)提出了信息系统等级保护安全设计的技术要求,包括第一级至第五级信息系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求,以及定级系统互联的设计技术要求,明确了体现定级系统安全保护能力的整体控制机制,用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构等开展信息系统等级保护
40、安全技术设计,是实现基本要求中技术要求的方法之一。三、等级保护标准体系三、等级保护标准体系-方法指导类方法指导类信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮信息系统安全等级保护测评要求测评要求和信息系统安全等级保护测评过程指南测评过程指南构成了指导开展等级测评的标准规范。信息系统安全等级保护测评要求阐述了等级测评的原则、测评内容、测评强度、单元测评要求、整体测评要求、等级测评结论的产生方法等内容,用于规范和指导测评人员如何开展等级测评工作,为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。三、等级保护标准体系三、等级保护标准体系-现状分析类现状分析类信息安全等级
41、保护浪潮信息安全事业部InspurInspur浪潮浪潮信息系统安全等级保护测评过程指南信息系统安全等级保护测评过程指南阐述了信息系统等级测评的测评过程,明确了等级测评的工作任务、分析方法以及工作结果等,包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动,用于规范测评机构的等级测评过程,以保证测评结论的准确性和可靠性。三、等级保护标准体系三、等级保护标准体系-现状分析类现状分析类信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮基本要求是信息系统安全建设整改的基本目标,信息系统等级保护安全设计技术要求是实现该目标的方法和途径之一。基本要求中不包含安全设计和工程实施等
42、内容,因此,在系统安全建设整改中,可以参照信息系统安全等级保护实施指南、信息系统等级保护安全设计技术要求和信息系统安全工程管理要求进行。三、等级保护标准体系三、等级保护标准体系-说明说明信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮由于信息系统定级时是根据业务信息安全等级和系统服务安全等级确定的系统安全等级,因此,在进行信息系统安全建设整改时,应根据业务信息业务信息安全等级安全等级和系统服务安全等级系统服务安全等级确定基本要求中相应的安全保护要求。各单位、各部门在进行信息系统安全建设整改方案设计时,要按照整体安全的原则,综合考虑安全保护措施,建立系统综合防护体系,提高系统的
43、整体保护能力。三、等级保护标准体系三、等级保护标准体系-说明说明信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮信息系统等级保护安全设计技术要求依据计算机信息系统安全保护等级划分准则从“计算环境安全、区域边界安全、通信网络安全和安全管理中心”(一个中心三维防护)四方面给出了五个级别信息系统安全保护设计的技术要求,用于指导信息系统等级保护安全技术设计。该标准不包括信息系统物理安全、安全管理、安全运维等方面的安全要求,所以应与基本要求等标准配合使用。三、等级保护标准体系三、等级保护标准体系-说明说明信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮一、基本情况二、
44、政策要求三、标准体系四、实施指南解读五、基本要求解读提提 纲纲信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮信息系统安全等级保护实施指南于2007年6月27日由全国信息安全标准化技术委员会以信安字200710号文件的形式下发,介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动,通过对过程和活动的介绍,使大家了解对信息系统实施等级保护的流程方法,以及不同的角色在不同阶段的作用等。四、实施指南解读四、实施指南解读信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮四、实施指南解读四、实施指南解读信息安全等级保护浪潮信息安全事业部InspurIn
45、spur浪潮浪潮l 以信息系统安全等级保护建设为主要线索l 定义信息系统等级保护实施的主要阶段和过程l 对每个阶段介绍和描述主要的过程和实施活动l 对每个活动说明实施主体、主要活动内容和输入输出等四、实施指南解读四、实施指南解读-主要思路主要思路信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮 正文由9个章节1个附录构成1.范围 2.规范性引用文件 3术语定义 4.等级保护实施概述 5.信息系统定级 6.总体安全规划 7.安全设计/实施 8.安全运行维护 9.信息系统终止 附录A 主要过程及其输出四、实施指南解读四、实施指南解读-结构结构信息安全等级保护浪潮信息安全事业部In
46、spurInspur浪潮浪潮l 阶段l 过程l 主要活动l 子活动l 活动输入l 活动输出四、实施指南解读四、实施指南解读-主要概念主要概念信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l 阶段p 过程u 活动 子活动l 信息系统定级p 信息系统分析u 系统识别和描绘 识别信息系统的基本信息 识别信息系统的管理框架 p 信息系统划分四、实施指南解读四、实施指南解读描述特点描述特点信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮一、基本情况二、政策要求三、标准体系四、实施指南解读五、基本要求解读提提 纲纲信息安全等级保护浪潮信息安全事业部InspurInsp
47、ur浪潮浪潮基本要求是针对每个等级的信息系统提出相应安全保护要求,“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的,也就是说,这些要求的实现能够保证系统达到相应等级的基本保护能力。五、基本要求解读五、基本要求解读信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l作用l框架结构l特点五、基本要求解读五、基本要求解读信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮为信息系统建设单位和运营、使用单位的信息系统建设和整改工作提供依据;为测评机构提供信息系统的等级测评依据;为职能监管部门提供监督检查依据。五、基本要求解读五、基本要求解读-作用作用信
48、息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮基本要求在整体框架结构上以三种分类为支撑点,自上而下分别为:类、控制点和项。类表示基本要求在整体上大的分类,其中技术部分分为:物理安全、网络安全、主机系统安全、应用安全和数据安全等5大类,管理部分分为:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等5大类,一共分为10大类。控制点表示每个大类下的关键控制点,如物理安全大类中的“物理访问控制”作为一个控制点。而项则是控制点下的具体要求项,如“机房出入应有专人负责,进入的人员登记在案。”五、基本要求解读五、基本要求解读-框架结构框架结构信息安全等级保护浪潮信息安
49、全事业部InspurInspur浪潮浪潮第三级基本第三级基本要求要求物物理理安安全全网网络络安安全全主主机机系系统统安安全全应应用用安安全全第一级基本第一级基本要求要求第二级基本第二级基本要求要求第四级基本第四级基本要求要求第五级基本第五级基本要求要求数据安全及备份恢复数据安全及备份恢复技术要求技术要求管理要求管理要求安安全全管管理理机机构构安安全全管管理理制制度度人人员员安安全全管管理理系系统统建建设设管管理理系系统统运运维维管管理理五、基本要求解读五、基本要求解读-框架结构框架结构信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮五、基本要求解读五、基本要求解读-框架结构框
50、架结构信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l增强原则不同级别的信息系统,其应该具备的安全保护能力不同,意味着能够应对的威胁不同,较高级别的系统应该能够应对更多的威胁;应对威胁将通过技术措施和管理措施来实现,应对同一个威胁可以有不同强度和数量的措施,较高级别的系统应考虑更为周密的应对措施。五、基本要求解读五、基本要求解读-逐级增强特点逐级增强特点信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮五、基本要求解读五、基本要求解读-逐级增强特点逐级增强特点信息安全等级保护浪潮信息安全事业部InspurInspur浪潮浪潮l不同等级的信息系统安全保护能力不
