信息安全等級保護知識培訓(xùn)

1、信息安全信息安全等級等級保護知識培訓(xùn)保護知識培訓(xùn) 張張 青青CISP-CISP-注冊信息安全專家注冊信息安全專家信息安全等級測評師（中級）信息安全等級測評師（中級）軟件評測工程師軟件評測工程師華為認證網(wǎng)絡(luò)工程師華為認證網(wǎng)絡(luò)工程師太原清眾鑫科技有限公司太原清眾鑫科技有限公司信息安全等級保護工作流程信息安全等級保護基本要求信息安全等級保護體系概述信息安全等級保護法律法規(guī)1.1 等級保護基本概念等級保護基本概念1.2 實行等級保護的原因?qū)嵭械燃壉Ｗo的原因1 信息安全等級保護體系概述1.4 等級保護制度作用等級保護制度作用1.5 等級保護相關(guān)的政策等級保護相關(guān)的政策1.6等級等級保護相關(guān)的標準保護相關(guān)

2、的標準1.3 等級保護制度目的等級保護制度目的1.7等級保護推進過程等級保護推進過程p信息系統(tǒng)安全等級保護是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。1.1 等級保護基本概念整體信息安整體信息安全防范意識全防范意識和能力薄弱和能力薄弱網(wǎng)絡(luò)及信息網(wǎng)絡(luò)及信息安全問題關(guān)安全問題關(guān)系國家安全系國家安全信息系統(tǒng)安信息系統(tǒng)安全建設(shè)和管全建設(shè)和管理缺乏體系理缺乏體系化思想化思想信息安全法信息安全法律法規(guī)不完律法規(guī)不完善，標準體善，標準體系尚待完善

3、系尚待完善 1.2 實行等級保護制度原因體現(xiàn)國家體現(xiàn)國家管理意志管理意志構(gòu)建國家構(gòu)建國家信息安全信息安全保障體系保障體系保障信息保障信息化發(fā)展和化發(fā)展和維護國家維護國家安全安全1.3 等級保護制度目的提出信息安全工作的思路提出信息安全工作的思路劃定信息系統(tǒng)保護的基線劃定信息系統(tǒng)保護的基線發(fā)現(xiàn)信息系統(tǒng)的問題和差距發(fā)現(xiàn)信息系統(tǒng)的問題和差距明確信息系統(tǒng)安全保護的方向明確信息系統(tǒng)安全保護的方向提升信息系統(tǒng)的安全保護能力提升信息系統(tǒng)的安全保護能力1.4 等級保護制度作用1.5 等級保護相關(guān)政策u 基礎(chǔ)類基礎(chǔ)類 計算機信息系統(tǒng)安全保護等級劃分準則GB 17859-1999 信息系統(tǒng)安全等級保護實施指南GB

4、/T 25058-2010 u 應(yīng)用類應(yīng)用類 定級：信息系統(tǒng)安全保護等級定級指南GB/T 22240-2008 建設(shè)：信息系統(tǒng)安全等級保護基本要求GB/T 22239-2008 信息系統(tǒng)通用安全技術(shù)要求GB/T 20271-2006 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求GB/T 25070-2010 測評：信息系統(tǒng)安全等級保護測評要求 GB/T 28448-2012 信息系統(tǒng)安全等級保護測評過程指南 GB/T 28449-2012 管理：信息系統(tǒng)安全管理要求GB/T 20269-2006 信息系統(tǒng)安全工程管理要求GB/T 20282-2006 1.6 等級保護相關(guān)標準20032003年年9 9月月

5、中辦國辦頒發(fā)中辦國辦頒發(fā)關(guān)于加強信息安全保障關(guān)于加強信息安全保障工作的意見工作的意見中辦發(fā)中辦發(fā)200327200327號號20042004年年1111月月四部委會簽四部委會簽關(guān)于信息安全等級保護關(guān)于信息安全等級保護工作的實施意見工作的實施意見公通字公通字200466200466號號20062006年年1 1月月四部委會簽四部委會簽信息安全等級保護管理信息安全等級保護管理辦法（試行）辦法（試行）（公通字（公通字2006720067號）號）20072007年年6 6月月四部委會簽四部委會簽信息安全等級保護管理信息安全等級保護管理辦法辦法公通字公通字200743200743號號19941994年年

6、 國務(wù)院頒布國務(wù)院頒布中華人民共和國計算機中華人民共和國計算機信息系統(tǒng)安全保護條例信息系統(tǒng)安全保護條例國務(wù)院國務(wù)院19941471994147號號20172017年年6 6月月1 1日日中華人民共和國網(wǎng)絡(luò)安全中華人民共和國網(wǎng)絡(luò)安全法法1.7 等級保護推進過程信息安全等級保護工作流程信息安全等級保護基本要求信息安全等級保護體系概述信息安全等級保護法律法規(guī) 2.3刑法修正案（九）刑法修正案（九）2.2中華人民共和國國家安全法中華人民共和國國家安全法2.1山西省計算機信息系統(tǒng)安全保護條例山西省計算機信息系統(tǒng)安全保護條例2 信息安全等級保護法律法規(guī) 2.4中華人民共和國網(wǎng)絡(luò)安全法中華人民共和國網(wǎng)絡(luò)安全

7、法2.12.1山西省山西省計算機信息系統(tǒng)安全保護計算機信息系統(tǒng)安全保護條例條例山西省計算機信息系統(tǒng)安全保護條例于2008年9月25日經(jīng)省十一屆人大常委會第六次會議表決通過，2009年1月1日起實施。第二十條第三級以上計算機信息系統(tǒng)第三級以上計算機信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當按照國家規(guī)定，選擇符合國家規(guī)符合國家規(guī)定條件的安全保護等級測評機構(gòu)定期對其計算機信息系統(tǒng)安定條件的安全保護等級測評機構(gòu)定期對其計算機信息系統(tǒng)安全狀況進行等級測評全狀況進行等級測評。2.22.2中華人民共和國中華人民共和國國家安全國家安全法法2015年7月1日第十二屆全國人民代表大會常務(wù)委員會第十五次會

8、議通過中華人民共和國國家安全法，其中第二十五條指出，要加強網(wǎng)絡(luò)管理，防范、制止和依法懲治網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入要加強網(wǎng)絡(luò)管理，防范、制止和依法懲治網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密、散布違法有害信息等網(wǎng)絡(luò)違法犯罪行為侵、網(wǎng)絡(luò)竊密、散布違法有害信息等網(wǎng)絡(luò)違法犯罪行為，維護國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益。2.32.3刑法刑法修正案（九修正案（九）第十二屆全國人大常委會第十六次會議表決通過了刑法修正案（九），修訂后的刑法自2015年11月1日開始施行。刑法修正案（九）明確了網(wǎng)絡(luò)服務(wù)提供者履行信息網(wǎng)絡(luò)安網(wǎng)絡(luò)服務(wù)提供者履行信息網(wǎng)絡(luò)安全管理的義務(wù)全管理的義務(wù)。第二十八條指出：網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的

9、信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責令采取改正措施而拒不改正，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金。2.42.4中華人民共和國網(wǎng)絡(luò)安全法中華人民共和國網(wǎng)絡(luò)安全法中華人民共和國第十二屆全國人民代表大會常務(wù)委員會第二十四次會議于2016年11月7日通過中華人民共和國網(wǎng)絡(luò)安全法，自2017年6月1日起施行。第二十一第二十一條條 國家國家實行網(wǎng)絡(luò)安全等級保護制度。實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。第三十一第三十一條條 國家對公共通信和信息服務(wù)、能源、交通、水利

10、、金融、公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。2.42.4中華人民共和國網(wǎng)絡(luò)安全法中華人民共和國網(wǎng)絡(luò)安全法網(wǎng)絡(luò)運營者不網(wǎng)絡(luò)運營者不履行網(wǎng)絡(luò)履行網(wǎng)絡(luò)安全保護義務(wù)安全保護義務(wù)的，由有關(guān)主管部門責令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。 關(guān)

11、鍵關(guān)鍵信息基礎(chǔ)設(shè)施的運營者不信息基礎(chǔ)設(shè)施的運營者不履行網(wǎng)絡(luò)履行網(wǎng)絡(luò)安全保護義務(wù)安全保護義務(wù)的，由有關(guān)主管部門責令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。信息安全等級保護工作流程信息安全等級保護基本要求信息安全等級保護體系概述信息安全等級保護法律法規(guī) 3 信息安全等級保護工作流程 3.1.3 等級的確定等級的確定3.1.2 定級對象確定定級對象確定3.1.1 定級依據(jù)和原則定級依據(jù)和原則3.1 定級指南 3.1.4 定級方法定級方法3.1.1 定級依據(jù)和原則定級依據(jù)定級依據(jù)信息安全等級保護管理辦法信息系統(tǒng)

12、安全等級保護定級指南定級原則定級原則誰擁有誰負責、誰運行誰負責。自主定級。因為系統(tǒng)的重要程度以及在遭受破壞后造成多大影響自己最清楚。3.1.2 定級對象確定 定級工作是信息系統(tǒng)等級保護工作的起點，定級結(jié)果直接決定了后續(xù)安全保障工作的開展。在定級之前，首先必須明確定級的對象，即：對哪個信息系統(tǒng)進行定級。定級指南中指出，作為定級對象的信息系統(tǒng)應(yīng)當具備以下三個條件：具有唯一確定的安全責任單位具有信息系統(tǒng)的基本要素承載單一或相對獨立的業(yè)務(wù)應(yīng)用3.1.3 等級的確定等級的確定是不依賴于安全保護措施的，具有一等級的確定是不依賴于安全保護措施的，具有一定的定的“客觀性客觀性”，即該系統(tǒng)在存在之初便由其自身所

13、，即該系統(tǒng)在存在之初便由其自身所實現(xiàn)的使命決定了它的安全保護等級，而非由實現(xiàn)的使命決定了它的安全保護等級，而非由“后天后天”的安全保護措施決定。的安全保護措施決定。3.1.4 定級方法n 查表法n 其他：專家評審、行業(yè)部門建議3.2.4 備案流程備案流程 3.2.3 備案資料備案資料3.2.1 備案作用備案作用3.2 備案3.2.2 備案時間備案時間3.2.1 備案的作用 信息系統(tǒng)備案是國家有關(guān)信息安全職能部門了解和掌握重要信息系統(tǒng)的安全保護基本狀況、分析總體安全形勢的基礎(chǔ)資料來源，也是下一步接受備案機關(guān)開展各項監(jiān)督檢查工作所必需的基本依據(jù)。 l新建系統(tǒng)l已有系統(tǒng)3.2.2 備案的時間根據(jù)信息

14、安全等級保護管理辦法，信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)運營使用單位或主管部門，應(yīng)當在安全保護等級確定后30日內(nèi)，到當?shù)毓矙C關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)。新建第二級以上信息系統(tǒng)，應(yīng)當在投入運行后30日內(nèi)，由其運營、使用單位到當?shù)毓矙C關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)。2.2.3 備案資料信息系統(tǒng)運營、使用單位應(yīng)當在其系統(tǒng)安全保護等級確定后，向當?shù)赝壒矙C關(guān)提前備案（縣級單位應(yīng)當向市級公安機關(guān)備案），備案時應(yīng)當?shù)絺浒笝C關(guān)填寫備案登記表并按要求提交相關(guān)資料，包括紙質(zhì)版和電子版。書面填寫信息系統(tǒng)安全等級保護備案表 一式兩份?？商頦ORD文檔，再打印輸出，附上附件。備案登記表/系統(tǒng)體系/功能結(jié)構(gòu)圖/系統(tǒng)安

15、全保護方案或措施/系統(tǒng)安全管理制度等。3.2.4 備案流程3.3 3.3 建設(shè)整改建設(shè)整改 3.3.1實施概述實施概述3.3.2實施過程實施過程信息系統(tǒng)定級信息系統(tǒng)定級總體安全規(guī)劃總體安全規(guī)劃安全設(shè)計與實施安全設(shè)計與實施 安全運行與維護安全運行與維護等級變更等級變更局部調(diào)整局部調(diào)整信息系統(tǒng)終止信息系統(tǒng)終止3.3.1 實施概述信息系統(tǒng)安全管理建設(shè)信息系統(tǒng)安全管理建設(shè)信息系統(tǒng)安全技術(shù)建設(shè)信息系統(tǒng)安全技術(shù)建設(shè)開展信息系統(tǒng)安全自查和等級測評開展信息系統(tǒng)安全自查和等級測評信息系統(tǒng)安全需求分析信息系統(tǒng)安全需求分析/ /相應(yīng)級別的要求相應(yīng)級別的要求確定安全策略，制定安全建設(shè)方案確定安全策略，制定安全建設(shè)方案

16、物物 理理 安安 全全網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全主主 機機 安安 全全應(yīng)應(yīng) 用用 安安 全全數(shù)數(shù) 據(jù)據(jù) 安安 全全安全管理機構(gòu)安全管理機構(gòu)安全管理制度安全管理制度人員安全管理人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理系統(tǒng)運行管理系統(tǒng)運行管理3.3.2 實施過程等級測評依據(jù)等級測評依據(jù)3.4 信息安全等級保護測評信息安全等級保護測評3.4.3 等級測評流程等級測評流程3.4.4 等級測評結(jié)果等級測評結(jié)果3.4.5 等級測評目的等級測評目的3.4.1 等級測評依據(jù)依據(jù)依據(jù)信息安全等級保護管理辦法信息安全等級保護管理辦法第十四條中規(guī)定第十四條中規(guī)定: : 信息系統(tǒng)建設(shè)完成后， 運營、使用單位或者其主管部門應(yīng)當

17、選擇符合本辦法規(guī)定條件的測評機構(gòu)，依據(jù)信息系統(tǒng)安全等級保護測評要求 等技術(shù)標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當每年至少進行一次等級測評，第四級信息系統(tǒng)應(yīng)當每半年至少進行一次等級測評，第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行等級測評。3.4.2 等級測評流程符合性判別依據(jù)符合性判別依據(jù)是是:1、信息系統(tǒng)中是否存在高風險，如果有，一票否決。、信息系統(tǒng)中是否存在高風險，如果有，一票否決。2、信息系統(tǒng)中沒有高風險，且測評項綜合得分為、信息系統(tǒng)中沒有高風險，且測評項綜合得分為60分以上分以上100分以下為基本符合。分以下為基本符合。注：注：100分為符合。分為符合。3.4.3

18、等級測評結(jié)果測評結(jié)論符合性判別依據(jù)綜合得分符合信息系統(tǒng)中未發(fā)現(xiàn)安全問題，等級測評結(jié)果中所有測評項得分均為5分。100分基本符合信息系統(tǒng)中存在安全問題，但不會導(dǎo)致信息系統(tǒng)面臨高等級安全風險。介于60到100分之間不符合信息系統(tǒng)中存在安全問題，而且會導(dǎo)致信息系統(tǒng)面臨高等級安全風險。低于60分3.4.4 等級測評目的p對于企業(yè)來說，實施信息安全等級保護測評能夠有效地提高單位信息和信息系統(tǒng)安全建設(shè)的整體水平，有效控制企業(yè)信息安全建設(shè)成本；有利于明確國家、法人和其他組織、公民的信息安全責任，加強企業(yè)信息安全管理。p對于信息系統(tǒng)來說，通過等級保護測評可及時發(fā)現(xiàn)信息系統(tǒng)安全狀況并制定方案進行整改，當信息系統(tǒng)

19、完全達到安全保護能力要求時，信息系統(tǒng)就基本可做到“進不來、拿不走、改不了、看不懂、賴不掉”。3.5 監(jiān)督檢查依據(jù)依據(jù)公安機關(guān)信息安全等級保護檢查工作規(guī)范公安機關(guān)信息安全等級保護檢查工作規(guī)范第第二二條條中規(guī)定中規(guī)定:公安機關(guān)信息安全等級保護檢查工作是指公安機關(guān)依據(jù)有關(guān)規(guī)定，會同主管部門對非涉密重要信息系統(tǒng)運營使用單位等級保護工作開展和落實情況進行檢查，督促、檢查其建設(shè)安全設(shè)施、落實安全措施、建立并落實安全管理制度、落實安全責任、落實責任部門和人員。信息安全等級保護工作流程信息安全等級保護基本要求信息安全等級保護體系概述信息安全等級保護法律法規(guī)4.2 不同級別系統(tǒng)的差異不同級別系統(tǒng)的差異4.1 基

20、本要求結(jié)構(gòu)基本要求結(jié)構(gòu)4 信息安全等級保護基本要求4.3 等級等級測評技術(shù)要求測評技術(shù)要求4.4 等級測評等級測評管理管理要求要求4.5 等級保護新標準等級保護新標準某級系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)安全管理機構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理4.1基本要求結(jié)構(gòu)4.2不同級別系統(tǒng)的差異(控制點)安全要求類層面一級二級三級四級技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運維管理

21、9121313合計/48667377級差/18744.2不同級別系統(tǒng)的差異(要求項)安全要求類層面一級二級三級四級技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運維管理18416270合計/85175290318級差/90115284.3等級測評技術(shù)要求(三級為黑色字體)物理安全網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)位置選擇訪問控制防盜防破壞結(jié)構(gòu)安全邊界完整性入侵防范惡意代碼防范惡意代碼防范訪問控制身份鑒別訪問控制安全審計身份鑒別訪問控制安全審計通信完整性通信保密性抗抵賴抗抵賴軟件容錯數(shù)據(jù)完整性數(shù)據(jù)保密性備份和恢復(fù)防雷擊安全審計防火防水防潮防靜電溫濕度控制電力供應(yīng)電磁防護網(wǎng)絡(luò)設(shè)備防護入侵防范惡意代碼防范剩余信息剩余信息保護保護系統(tǒng)資源控制資源控制剩余信息保護剩余信息保護4.4等級測評管理要求(三級為黑色字