1、信息安全等级保护基本介绍信息安全等级保护基本介绍河南天祺信息安全技术有限公司河南天祺信息安全技术有限公司 信息安全系统等级保护信息安全等级保护发展历程1等级保护的基本概念和含义2等级保护和测评的作用3等级保护主要工作内容4等级保护主要工作流程5等级保护定级工作流程62ppt课件信息安全系统等级保护信息安全系统等级保护等级保护测评工作流程7等级保护安全建设内容8等级保护监督检查内容9测评具体工作过程10建设整改工作指南113ppt课件 1 1 等级保护发展历程等级保护发展历程v 1994年,国务院年,国务院147号令号令中华人民共和国计算机中华人民共和国计算机信息系统安全保护条例信息系统安全保护
2、条例v 2003年,中央办公厅、国务院(中办发年,中央办公厅、国务院(中办发200327号号)国家信息化领导小组关于加强信息安全保障工作的国家信息化领导小组关于加强信息安全保障工作的意见意见v 2004年,公安部、国家保密局、国家密码管理局、国务年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室(公通字院信息化工作办公室(公通字200466号号)关于关于信息安全等级保护工作的实施意见信息安全等级保护工作的实施意见v 2006年,公安部开展信息安全等级保护试点工作,制定年,公安部开展信息安全等级保护试点工作,制定计算机信息安全等级划分准则计算机信息安全等级划分准则(GB17859-1
3、999)4ppt课件 1 1 等级保护发展历程等级保护发展历程v 2007年,公安部、国家保密局、国家密码管理局、国务年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室(公通字院信息化工作办公室(公通字200743号号)信息信息安全等级保护管理办法安全等级保护管理办法,(公信,(公信2007861号号)关于开展全国重要信息系统安全等级保护定级工作的关于开展全国重要信息系统安全等级保护定级工作的通知通知,开始在全国范围内开展信息安全等级保护工作。,开始在全国范围内开展信息安全等级保护工作。v 2010年年10月月15日,第十七届中央委员会第五次全体会议日,第十七届中央委员会第五次全体
4、会议中提出的十二五规划中要求中提出的十二五规划中要求“健全网络与信息安全法律健全网络与信息安全法律法规,完善信息安全标准体系和认证认可体系,法规,完善信息安全标准体系和认证认可体系,实施信实施信息安全等级保护、风险评估等制度息安全等级保护、风险评估等制度”。v 2012年年7月月17日,国务院办公厅(国发日,国务院办公厅(国发201223号号)国务院关于大力推进信息化发展和切实保障信息安全国务院关于大力推进信息化发展和切实保障信息安全的若干意见的若干意见,要求,要求“落实落实信息安全等级保护制度,信息安全等级保护制度,开开展展相应等级的安全建设和管理,相应等级的安全建设和管理,做好做好信息系统
5、定级备案、信息系统定级备案、整改和监督检查整改和监督检查”。5ppt课件 2 2 基本概念和含义基本概念和含义v 信息安全等级保护是指对国家秘密信息、法人和其他组信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统这些信息的信息系统分等级实行安全保护分等级实行安全保护(五级),详(五级),详细分级依据请见细分级依据请见GBT 22240-2008 GBT 22240-2008 信息安全技术信息安全技术 信息信息系统安全等级保护定级指南系统安全等级保护定级指南中描述;中描述;v 对信息系
6、统中使用的信息安全产品实行对信息系统中使用的信息安全产品实行按等级管理按等级管理;v 对信息系统中发生的信息安全事件对信息系统中发生的信息安全事件分等级响应、处置分等级响应、处置.6ppt课件 2 2 基本概念和含义基本概念和含义等级保护遵循的原则:等级保护遵循的原则:v 自主保护原则自主保护原则v 重点保护原则重点保护原则v 同步建设原则同步建设原则v 动态调整原则动态调整原则7ppt课件 2 2 基本概念和含义基本概念和含义工作实施过程中涉及到的角色和职责:工作实施过程中涉及到的角色和职责:v 国家管理部门国家管理部门v 信息系统主管部门信息系统主管部门v 信息系统运营、使用单位信息系统运
7、营、使用单位v 信息安全服务机构信息安全服务机构v 信息安全等级测评机构信息安全等级测评机构v 信息安全产品供应商信息安全产品供应商8ppt课件 3 3 等保测评作用等保测评作用工作实施过程中涉及到的角色和职责:工作实施过程中涉及到的角色和职责:v 在信息系统建设、整改时,信息系统运营使用单位通过在信息系统建设、整改时,信息系统运营使用单位通过等级测评进行安全需求分析,确定系统的特殊安全需求等级测评进行安全需求分析,确定系统的特殊安全需求。信息系统等级保护基本安全要求与确定的特殊安全需。信息系统等级保护基本安全要求与确定的特殊安全需求共同确定了该系统的安全需求。求共同确定了该系统的安全需求。v
8、 在系统运维过程中,定期委托测评机构开展等级测评,在系统运维过程中,定期委托测评机构开展等级测评,对信息系统安全等级保护状况、安全保障性能进行安全对信息系统安全等级保护状况、安全保障性能进行安全测试,对信息安全管控能力进行考察和评价,从而判定测试,对信息安全管控能力进行考察和评价,从而判定是否具备是否具备信息系统安全等级保护基本要求信息系统安全等级保护基本要求中相应等中相应等级安全保护能力。级安全保护能力。v 等级测评报告是信息系统后期开展整改加固的重要指导等级测评报告是信息系统后期开展整改加固的重要指导性文件,也是信息系统备案的重要附件材料。等级测评性文件,也是信息系统备案的重要附件材料。等
9、级测评结论是信息系统满足要求程度的证明文件。结论是信息系统满足要求程度的证明文件。9ppt课件 4 4 主要工作内容主要工作内容工作实施过程中涉及到的角色和职责:工作实施过程中涉及到的角色和职责:v 系统定级系统定级v 系统备案系统备案v 安全建设安全建设v 等级测评等级测评v 监督检查监督检查10ppt课件 5 5 等级保护主要工作流程等级保护主要工作流程v业务流程业务流程备备案案测评申请测评申请测评测评测评准备测评准备不合格项整改整改后测评信息系统11ppt课件 6 6 等级保护定级工作流程等级保护定级工作流程v定级流程定级流程4 定定级备级备案案报公安部门定级备案报公安部门定级备案3 评
10、审评审 公安或信息化行政部门组织评审定级公安或信息化行政部门组织评审定级2 申申报报 报当地公安或信息化行政部门进行审定报当地公安或信息化行政部门进行审定1 自自评评 客户自行选定系统相应的保护等级客户自行选定系统相应的保护等级 注:各地公安根据实际情况的不同有不同的备案形式要求,请根据当地公安要求递交所需文件12ppt课件 6 6 等级保护定级工作流程等级保护定级工作流程v 定级原则定级原则 信息系统定级是整个信息系统安全等级保护工作的第信息系统定级是整个信息系统安全等级保护工作的第一个重要环节,是开展信息系统建设、整改、测评、备一个重要环节,是开展信息系统建设、整改、测评、备案、监督检查等
11、后续工作的重要基础。案、监督检查等后续工作的重要基础。信息系统定级工作的主体是信息系统运营和使用单位,信息系统定级工作的主体是信息系统运营和使用单位,坚持坚持“自主定级、自主保护自主定级、自主保护”原则,因此原则,因此定级工作应当定级工作应当由信息系统的运营和使用单位来完成由信息系统的运营和使用单位来完成。13ppt课件 6 6 等级保护定级工作流程等级保护定级工作流程v 定级受理备案审核材料定级受理备案审核材料 管理办法规定第二级以上信息系统应当在安全保护等级管理办法规定第二级以上信息系统应当在安全保护等级确定后确定后30日内,日内,由其运营、使用单位由其运营、使用单位到所在地区的市级到所在
12、地区的市级以上公安机关办理系统备案手续。以上公安机关办理系统备案手续。办理备案手续时,应填写办理备案手续时,应填写信息系统安全等级保护备案信息系统安全等级保护备案表表,信息系统安全等级保护定级报告信息系统安全等级保护定级报告、系统定系统定级评审意见级评审意见(或上级主管部门定级审核意见)、相关(或上级主管部门定级审核意见)、相关电子数据等。电子数据等。14ppt课件 7 7 等级保护测评工作流程等级保护测评工作流程v 测评流程测评流程 等级测评的工作流程,依据等级测评的工作流程,依据信息系统安全等级保护测信息系统安全等级保护测评过程指南评过程指南,具体内容参见:,具体内容参见:等保测评工作流程
13、图等保测评工作流程图15ppt课件 7 7 等级保护测评工作流程等级保护测评工作流程v测评内容测评内容 物理安全物理安全网络安全网络安全主机系统安全主机系统安全应用安全应用安全数据安全数据安全安全管理机构安全管理机构安全管理制度安全管理制度人员安全管理人员安全管理系统建设管理系统建设管理系统运维管理系统运维管理信息信息系统系统综合测评综合测评16ppt课件 7 7 等级保护测评工作流程等级保护测评工作流程v测评依据的相关标准体系测评依据的相关标准体系 可以从多个角度来分析可以从多个角度来分析A A、从基本分类角度来看,分为:基础类标准、技术类、从基本分类角度来看,分为:基础类标准、技术类标准、
14、管理类标准;标准、管理类标准;B B、从等级保护生命周期看,分为:系统定级用标准、从等级保护生命周期看,分为:系统定级用标准、安全建设用标准、等级测评用标准、运行维护用标准、安全建设用标准、等级测评用标准、运行维护用标准、通用标准;通用标准;C C、从对象角度看,分为:基础标准、系统标准、产品、从对象角度看,分为:基础标准、系统标准、产品标准、安全服务标准、安全事件标准等。标准、安全服务标准、安全事件标准等。17ppt课件 7 7 等级保护测评工作流程等级保护测评工作流程v测评依据的主要标准测评依据的主要标准 实施指南信息安全技术 信息系统安全等级保护实施指南(报批稿)定级指南GBT 2224
15、0-2008 信息安全技术 信息系统安全等级保护定级指南 划分准则GB 17859-1999 计算机信息系统安全保护等级划分准则18ppt课件 7 7 等级保护测评工作流程等级保护测评工作流程n 测评依据的基本要求测评依据的基本要求GB/T 22239-2008 GB/T 22239-2008 信息安全技术信息安全技术 信息系统安全等级保护基本要求信息系统安全等级保护基本要求参照:参照:GB/T 20271-2006 GB/T 20271-2006 信息安全技术信息安全技术 信息系统通用安全技术要求信息系统通用安全技术要求GB/T 20270-2006 GB/T 20270-2006 信息安全
16、技术信息安全技术 网络基础安全技术要求网络基础安全技术要求GB/T 20272-2006 GB/T 20272-2006 信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求GB/T 20273-2006 GB/T 20273-2006 信息安全技术信息安全技术 数据库管理系统安全技术要求数据库管理系统安全技术要求GB/T 21028-2007 GB/T 21028-2007 信息安全技术信息安全技术 服务器安全技术要求服务器安全技术要求GA/T 671-2006 GA/T 671-2006 信息安全技术信息安全技术 终端计算机系统安全等级技术要求终端计算机系统安全等级技术要求n
17、 测评依据的测评要求测评依据的测评要求信息安全技术信息安全技术 信息系统安全等级保护测评要求信息系统安全等级保护测评要求 19ppt课件 7 7 等级保护测评工作流程等级保护测评工作流程v测评方法测评方法 访谈 文档审查 配置检查 工具测试20ppt课件 7 7 等级保护测评工作流程等级保护测评工作流程v测评后续要求测评后续要求信息系统建设完成后,运营、使用单位选择符合规定条信息系统建设完成后,运营、使用单位选择符合规定条件的测评单位,依据件的测评单位,依据信息系统安全等级保护测评要求信息系统安全等级保护测评要求等技术标准,定期开展等级测评服务;等技术标准,定期开展等级测评服务;第三级系统每年
18、至少进行一次等级测评,第四级系统每第三级系统每年至少进行一次等级测评,第四级系统每半年至少进行一次等级测评;半年至少进行一次等级测评;21ppt课件 8 8 等级保护安全建设内容等级保护安全建设内容v安全建设安全建设在信息系统安全保护等级确定以后,系统运营单位和使在信息系统安全保护等级确定以后,系统运营单位和使用单位开展系统安全建设和改建工作,通常包括安全需用单位开展系统安全建设和改建工作,通常包括安全需求分析、总体安全设计、详细安全设计、安全设施实现求分析、总体安全设计、详细安全设计、安全设施实现和安全运行与维护等工作。和安全运行与维护等工作。22ppt课件 9 9 等级保护监督检查内容等级
19、保护监督检查内容v监督检查监督检查公安机关负责信息安全等级保护工作的督促、检查、指公安机关负责信息安全等级保护工作的督促、检查、指导;导;受理备案的公安机关对第三级信息系统的运营、使用单受理备案的公安机关对第三级信息系统的运营、使用单位每年至少检查一次,对第四级每半年检查一次;位每年至少检查一次,对第四级每半年检查一次;公安机关检查发现不符合有关管理规范和技术标准的,公安机关检查发现不符合有关管理规范和技术标准的,发出整改通知并进行整改。发出整改通知并进行整改。23ppt课件 10 10 测评具体工作过程测评具体工作过程v准备过程准备过程p等级测评项目启动等级测评项目启动 :组建等级测评项目组
20、,从资料:组建等级测评项目组,从资料、人员、计划安排等方面为整个等级测评项目的实、人员、计划安排等方面为整个等级测评项目的实施做好准备。施做好准备。p信息收集和分析信息收集和分析 :查阅被测系统已有资料或使用调:查阅被测系统已有资料或使用调查表单的方式,了解整个系统的构成和保护情况,查表单的方式,了解整个系统的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础。为编写测评方案和开展现场测评工作奠定基础。p工具和文档准备工具和文档准备 :确认测评工具,打印的各类文档:确认测评工具,打印的各类文档:现场测评授权书、测评结果记录表格(含测评人:现场测评授权书、测评结果记录表格(含测评人员入场和
21、离场确认)、文档交接单。员入场和离场确认)、文档交接单。24ppt课件 1010 测评具体工作过程测评具体工作过程v方案编制过程方案编制过程p测评对象确定测评对象确定 :根据已经了解到的被测系统信息,分析:根据已经了解到的被测系统信息,分析整个被测系统和各测评业务系统,确定出本次测评的测整个被测系统和各测评业务系统,确定出本次测评的测评对象。评对象。p测评指标确定测评指标确定 :根据已经了解到的被测系统定级结果,:根据已经了解到的被测系统定级结果,确定出本次测评的测评指标。确定出本次测评的测评指标。p测评内容确定测评内容确定 :确定现场测评的具体实施内容,包括单:确定现场测评的具体实施内容,包
22、括单元测评和系统测评。元测评和系统测评。p测评实施手册开发:测评实施手册制定,包括指导测评测评实施手册开发:测评实施手册制定,包括指导测评人员如何进行测评活动,及现场测评的工具、方法和操人员如何进行测评活动,及现场测评的工具、方法和操作步骤等的详细描述。作步骤等的详细描述。p测评方案编制测评方案编制 :完成测评方案编制,方案包括:项目概:完成测评方案编制,方案包括:项目概述、测评对象、测评指标、测评工具的接入点、单元测述、测评对象、测评指标、测评工具的接入点、单元测评实施、系统测评实施以及配套的测评实施手册。评实施、系统测评实施以及配套的测评实施手册。25ppt课件 1010 测评具体工作过程
23、测评具体工作过程v测评实施过程测评实施过程p测评实施准备测评实施准备 :实施现场测评的启动过程,确认更:实施现场测评的启动过程,确认更新后的测评计划和测评程序,确认授权委托书。新后的测评计划和测评程序,确认授权委托书。p现场测评和结果记录:通过访谈、文档审查、配置现场测评和结果记录:通过访谈、文档审查、配置检查、工具测试和实地察看,对技术安全和管理安检查、工具测试和实地察看,对技术安全和管理安全测评的测评结果记录。全测评的测评结果记录。p结果确认和资料归还结果确认和资料归还 :测评结果记录。:测评结果记录。26ppt课件 1010 测评具体工作过程测评具体工作过程v分析与报告编制过程分析与报告
24、编制过程p系统整体测评分析系统整体测评分析 :从安全控制间、层面间和区域:从安全控制间、层面间和区域间出发考虑,给出系统整体测评的具体结果和结论间出发考虑,给出系统整体测评的具体结果和结论,并对系统结构进行整体安全测评。,并对系统结构进行整体安全测评。p测评报告编制测评报告编制 :经过评审和确认的被测系统等级测:经过评审和确认的被测系统等级测评报告。评报告。27ppt课件 1010 测评具体工作过程测评具体工作过程v整改后测评和残余风险评估整改后测评和残余风险评估p首次测评完成后,需将发现问题及整改意见回馈给首次测评完成后,需将发现问题及整改意见回馈给被测评方。得到确认后,需给被测评方预留一段
25、整被测评方。得到确认后,需给被测评方预留一段整改时间,进行整改。改时间,进行整改。p被测评方整改完成后,本公司测评人员对被测系统被测评方整改完成后,本公司测评人员对被测系统进行整改后测评,主要针对首次测评中发现问题的进行整改后测评,主要针对首次测评中发现问题的整改情况测评。整改情况测评。p如果有些问题不能进行整改或整改后会造成较大的如果有些问题不能进行整改或整改后会造成较大的损失,针对此问题被测评方可不进行整改,本公司损失,针对此问题被测评方可不进行整改,本公司测评人员为被测评方提供此类问题的残余风险评估测评人员为被测评方提供此类问题的残余风险评估,将在测评报告中体现最终整改后的测评结果和残,
26、将在测评报告中体现最终整改后的测评结果和残余风险评估等信息。余风险评估等信息。28ppt课件 1010 测评具体工作过程测评具体工作过程v测评报告备案测评报告备案p将最终的测评报告和首次测评后的整改问题汇总的将最终的测评报告和首次测评后的整改问题汇总的纸版文档一并提交给之前定级备案的公安机关(省纸版文档一并提交给之前定级备案的公安机关(省公安厅或各市公安局)进行最终备案。公安厅或各市公安局)进行最终备案。29ppt课件 1010 测评具体工作过程测评具体工作过程v配合工作内容配合工作内容 测评小组指导下填写信息系统基本情况调查表;测评小组指导下填写信息系统基本情况调查表;确定项目协调人员、项目
27、配合人员;确定项目协调人员、项目配合人员;根据需要安排会议场地,组织项目会议所需参加的根据需要安排会议场地,组织项目会议所需参加的会议人员;会议人员;提供测评小组临时办公场地;提供测评小组临时办公场地;明确项目授权签字、测评记录结果确认签字资格和明确项目授权签字、测评记录结果确认签字资格和工具扫描与渗透测试授权签字权利资格;工具扫描与渗透测试授权签字权利资格;在测评期间如果需要查看相关制度记录,请确认授在测评期间如果需要查看相关制度记录,请确认授予相关资料查询权限;予相关资料查询权限;提供测评小组进出相关检测场地的出入权限;提供测评小组进出相关检测场地的出入权限;如果因测评项目具体需要,请准予
28、提供相关服务,如果因测评项目具体需要,请准予提供相关服务,例如在工具扫描时需要分配网线接口,临时分配合例如在工具扫描时需要分配网线接口,临时分配合法法IPIP等;等;其他相关事宜。其他相关事宜。30ppt课件 1111 建设整改工作指南建设整改工作指南v总则v安全管理制度建设v安全技术措施建设 31ppt课件总则总则v工作目标工作目标 通过落实安全责任制,开展管理制度建设、技术措通过落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使信息系施建设,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全保护能力明显增强统安全管理水平明显提高,安全保护能力明显增
29、强,安全隐患和安全事故明显减少,有效保障信息化,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益。健康发展,维护国家安全、社会秩序和公共利益。32ppt课件总则总则v工作内容工作内容 落实信息安全责任制,建立并落实各类安全管理制落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施、应用安全和数据安全等安全保护技术措施 需要说明的是:不同级别信息系统安全建设
30、整改的需要说明的是:不同级别信息系统安全建设整改的具体内容应根据信息系统定级时的业务信息安全等具体内容应根据信息系统定级时的业务信息安全等级和系统服务安全等级,以及信息系统安全保护现级和系统服务安全等级,以及信息系统安全保护现状确定。信息系统安全建设整改工作具体实施可以状确定。信息系统安全建设整改工作具体实施可以根据实际情况,将安全管理和安全技术整改内容一根据实际情况,将安全管理和安全技术整改内容一并实施,或分步实施并实施,或分步实施33ppt课件总则总则v工作流程工作流程 第一步:制定信息系统安全建设整改工作规划,对第一步:制定信息系统安全建设整改工作规划,对信息系统安全建设整改工作进行总体
31、部署;信息系统安全建设整改工作进行总体部署;第二步:开展信息系统安全保护现状分析,从管理第二步:开展信息系统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求;和技术两个方面确定信息系统安全建设整改需求;第三步:确定安全保护策略,制定信息系统安全建第三步:确定安全保护策略,制定信息系统安全建设整改方案;设整改方案;第四步:开展信息系统安全建设整改工作,建立并第四步:开展信息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安全设落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施;施,落实安全措施;第五步:开展安全自查和等级测评,及时发现信息第五步:开展
32、安全自查和等级测评,及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设系统中存在安全隐患和威胁,进一步开展安全建设整改工作。整改工作。34ppt课件总则总则v标准应用标准应用 信息系统安全建设整改工作应依据信息系统安全建设整改工作应依据基本要求基本要求,并在不同阶段、针对不同技术活动参照相应的标准并在不同阶段、针对不同技术活动参照相应的标准规范进行。规范进行。需要说明的是:需要说明的是:计算机信息系统安全保护等级划计算机信息系统安全保护等级划分准则分准则及配套标准是及配套标准是基本要求基本要求的基础;的基础;基基本要求本要求是信息系统安全建设整改的依据;是信息系统安全建设整改的依据;定级
33、定级指南指南为定级工作提供指导;为定级工作提供指导;测评要求测评要求等标准等标准规范等级测评活动;规范等级测评活动;实施指南实施指南等标准指导等级等标准指导等级保护建设;保护建设;35ppt课件总则总则v安全保护能力目标安全保护能力目标 第二级信息系统:经过安全建设整改,信息系统具第二级信息系统:经过安全建设整改,信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并意代码危害的能力;具有检测常见的攻击行为,并对安全事件
34、进行记录的能力;系统遭到损害后,具对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。有恢复系统正常运行状态的能力。36ppt课件安全管理制度建设安全管理制度建设v按照国家有关规定,依据按照国家有关规定,依据基本要求基本要求,参照,参照信息系统安全管理要求信息系统安全管理要求等标准规范要求,等标准规范要求,开展信息系统等级保护安全管理制度建设工作开展信息系统等级保护安全管理制度建设工作。37ppt课件安全技术措施建设安全技术措施建设v按照国家有关规定,依据按照国家有关规定,依据基本要求基本要求,参照,参照信息系统通用安全技术要求信息系统通用安全技术要求、信息系统信息系统等
35、级保护安全设计技术要求等级保护安全设计技术要求等标准规范要求等标准规范要求,开展信息系统安全技术建设整改工作,开展信息系统安全技术建设整改工作38ppt课件等保过程中的常见问题等保过程中的常见问题问:公安部门要求什么时间完成等保测评?我们问:公安部门要求什么时间完成等保测评?我们还没有定级,预算经费也没有报,如何开展工还没有定级,预算经费也没有报,如何开展工作?作?答:根据公安文件要求的时间开展测评工作。如答:根据公安文件要求的时间开展测评工作。如果还没有定级,则根据定级要求和流程,先向果还没有定级,则根据定级要求和流程,先向公安递交定级备案文件,预算纳入下一年度工公安递交定级备案文件,预算纳
36、入下一年度工作计划,在经费未落实前,可以先行进行系统作计划,在经费未落实前,可以先行进行系统了解、系统加固配合工作。了解、系统加固配合工作。定级专家评审时间:每季度或每半年(或不定定级专家评审时间:每季度或每半年(或不定期),由公安组织专家评审。期),由公安组织专家评审。39ppt课件等保过程中的常见问题等保过程中的常见问题 问:定级对象范围是什么?一般是以什么界限来划问:定级对象范围是什么?一般是以什么界限来划分?是不是所有的系统都要申报?分?是不是所有的系统都要申报?答:定级对象范围:答:定级对象范围:1 1、起支撑、传输作用的信息网络(包括专网、内、起支撑、传输作用的信息网络(包括专网、
37、内网、外网、网管系统),网络要合理划分区域;网、外网、网管系统),网络要合理划分区域;2 2、用于生产、调度、管理、作业、指挥、办公等、用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,跨省或者全国联网运行信目的的各类业务系统,跨省或者全国联网运行信息系统的分支系统也要单独定级;息系统的分支系统也要单独定级;3 3、各单位网站。、各单位网站。40ppt课件等保过程中的常见问题等保过程中的常见问题问:实际操作中如何定级?区别?问:实际操作中如何定级?区别?答:第二级信息系统:适用于县级某些单位中的重要信息答:第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业
38、单位内部一般的系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。息的办公系统和管理系统等。第三级信息系统:一般适用于地市级以上国家机关、第三级信息系统:一般适用于地市级以上国家机关、企事业单位内部重要的信息系统,例如涉及工作秘密企事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统
39、以及这类系统在省、业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省联接的网络系统等。站和重要网站;跨省联接的网络系统等。在实际操作中,可参考在实际操作中,可参考备案单位自主定级分类指南备案单位自主定级分类指南。41ppt课件等保过程中的常见问题等保过程中的常见问题问:递交的备案资料都包括哪些内容?问:递交的备案资料都包括哪些内容?答:答:1 1、信息系统安全等级保护备案表信息系统安全等级保护备案表(一式(一式两份)两份)2 2、信息系统安全等级保护定级报告信息系统安全等级保护定级报告(一
40、(一个系统一份)个系统一份)3 3、系统定级评审意见系统定级评审意见(或上级主管部门(或上级主管部门定级审核意见)定级审核意见)4 4、相关电子数据等、相关电子数据等42ppt课件等保过程中的常见问题等保过程中的常见问题问:问:定级报告定级报告一般都包括哪些部分?一般都包括哪些部分?答:答:1 1、定级依据、定级依据 包括与本次信息系统定级相关的法规、标准、规范和文件等包括与本次信息系统定级相关的法规、标准、规范和文件等,例如,例如管理办法管理办法、定级指南定级指南、本行业的安全管理规定等、本行业的安全管理规定等确定信息系统安全保护等级所需依据的文件。确定信息系统安全保护等级所需依据的文件。2
41、 2、信息系统划分、信息系统划分 详细描述信息系统的管理机构和管理职责、网络结构和对外详细描述信息系统的管理机构和管理职责、网络结构和对外边界、承载业务种类、处理的主要信息等。如果定级范围内划分边界、承载业务种类、处理的主要信息等。如果定级范围内划分出多个作为定级对象的信息系统,应描述划分结果、划分方法和出多个作为定级对象的信息系统,应描述划分结果、划分方法和理由。理由。3 3、信息系统描述、信息系统描述 描述定级信息系统的边界,包括外部边界和与其他系统相连描述定级信息系统的边界,包括外部边界和与其他系统相连的内部边界,定级系统的边界设备,系统内的主要设备,系统承的内部边界,定级系统的边界设备
42、,系统内的主要设备,系统承载的业务应用。载的业务应用。43ppt课件等保过程中的常见问题等保过程中的常见问题问:有哪些情况是无需问:有哪些情况是无需专家评审的专家评审的?答:信息系统运营使用单位有上级主管部门,且对信息系答:信息系统运营使用单位有上级主管部门,且对信息系统的安全保护等级有定级指导意见或审核批准的,可统的安全保护等级有定级指导意见或审核批准的,可无需再进行等级专家评审。无需再进行等级专家评审。主管部门一般指行业的上级主管部门或监管部门。如主管部门一般指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由上级果是跨地域联网运营使用的信息系统,则必须由上级主管部
43、门审批,确保同类系统或分支系统在各地域分主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。别定级的一致性。44ppt课件等保过程中的常见问题等保过程中的常见问题问:整个周期是多长?其中现场测评时间?问:整个周期是多长?其中现场测评时间?答:整个测评周期包括前期调研、现场测评、后期报告编答:整个测评周期包括前期调研、现场测评、后期报告编写等,一般情况下一个二级系统会占用写等,一般情况下一个二级系统会占用3434周,一个周,一个三级系统会占用三级系统会占用4545周(指初次测评,不包括整改和周(指初次测评,不包括整改和加固时间);加固时间);其中现场测评(指在被测系统单位现场的测评)的
44、时其中现场测评(指在被测系统单位现场的测评)的时间根据系统的数量而定:一般一个二级系统会占用间根据系统的数量而定:一般一个二级系统会占用3434个工作日,一个三级系统会占用个工作日,一个三级系统会占用5656个工作日(两个工作日(两组同时进行,每组两人)组同时进行,每组两人)。45ppt课件等保过程中的常见问题等保过程中的常见问题问:整改会不会涉及到要购置设备?如果有问:整改会不会涉及到要购置设备?如果有些不符合项目不能马上关闭能不能通过些不符合项目不能马上关闭能不能通过备案?备案?答:根据答:根据GB T22239-2008 GB T22239-2008 信息安全技术信息安全技术 信息系统安
45、全等信息系统安全等级保护基本要求级保护基本要求,三级系统有如下要求:,三级系统有如下要求:A A、应提供主要网络设备、通信线路和数据处理系统、应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性;的硬件冗余,保证系统的高可用性;B B、应建立备用供电系统;、应建立备用供电系统;以上检查项需要购置设备,对二级系统没有此要求,以上检查项需要购置设备,对二级系统没有此要求,但在二级系统中,构成系统网络安全的必备硬件则必但在二级系统中,构成系统网络安全的必备硬件则必须有;须有;根据现场实际检查情况进行备案,包括整改措施、整根据现场实际检查情况进行备案,包括整改措施、整改计划、残余风险评估等。改计划、残余风险评估等。46ppt课件
