信息安全等級保護培訓(xùn)

1、信息安全等級信息安全等級保護培訓(xùn)保護培訓(xùn)2012014 4年年1111月月2121日日等級保護等級等級保護基本概念介紹保護基本概念介紹等級保護實施流程等級保護實施流程等級保護等級等級保護基本概念介紹保護基本概念介紹等級保護實施流程等級保護實施流程什么是等級保護 信息安全等級保護管理辦法指出 信息安全等級保護是以信息為核心。根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達到的基本的安全保護水平等因素，對最核心的信息和信息系統(tǒng)劃分為五個安全保護和

2、監(jiān)管等級，實行分等級保護。為什么實施等級保護實施信息安全等級保護，可以有效地提高我國信息安全建設(shè)的整體水平。 有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息 化建設(shè)相協(xié)調(diào)； 有利于加強對涉及國家安全、經(jīng)濟秩序、社會穩(wěn)定和公共利益的信息系統(tǒng)的安全保護和管理監(jiān)督； 有利于明確國家、法人和其他組織、公民的安全責(zé)任，強化政府監(jiān)管職能，共同落實各項安全建設(shè)和安全管理措施； 有利于提高安全保護的科學(xué)性、整體性、針對性，推動信息安全產(chǎn)業(yè)水平，逐步探索一條適應(yīng)社會主義市場經(jīng)濟發(fā)展的信息安全發(fā)展模式。 有利于明確國家、法人和其他組織、公民的安全責(zé)任，強化政府監(jiān)管職能，共同落實各項安全建設(shè)和安全

3、管理措施； 有利于提高安全保護的科學(xué)性、整體性、針對性，推動信息安全產(chǎn)業(yè)水平，逐步探索一條適應(yīng)社會主義市場經(jīng)濟發(fā)展的信息安全發(fā)展模式。 “一個提高，六個有利于”國家對等級保護測評的要求 信息安全等級保護管理辦法“等級保護的實施與管理”第十四條指出： 建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定信息系統(tǒng)條件的測評單位，依據(jù)信息系統(tǒng)安全等級保護基本要求等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評。 第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進行等級測評。 廣東省安全保護對測評要求第十二條 第二

4、級以上計算機信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合國家規(guī)定的安全等級測評機構(gòu)，依據(jù)國家規(guī)定的技術(shù)標(biāo)準(zhǔn)，對計算機信息系統(tǒng)安全等級狀況開展等級測評，測評合格后方可投入使用。 第十三條 計算機信息系統(tǒng)的運營、使用單位及其主管部門應(yīng)當(dāng)按照國家規(guī)定定期對計算機信息系統(tǒng)開展安全等級測評，并對計算機信息系統(tǒng)安全狀況、安全管理制度及措施的落實情況進行自查。 計算機信息系統(tǒng)安全狀況經(jīng)測評或者自查，未達到安全等級保護要求的，運營、使用單位應(yīng)當(dāng)進行整改。 信息安全等級保護的標(biāo)準(zhǔn)體系基礎(chǔ)類 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則GB 17859-1999 GB 17859-1999 信息系統(tǒng)安全等級

5、保護實施指南GB/T 25058-2010 GB/T 25058-2010 應(yīng)用類 定級：信息系統(tǒng)安全保護等級定級指南GB/T 22240-2008 建設(shè)：信息系統(tǒng)安全等級保護基本要求GB/T 22239-2008 信息系統(tǒng)通用安全技術(shù)要求GB/T 20271-2006 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求GB/T 25070- 2010 測評：信息系統(tǒng)安全等級保護測評要求 信息系統(tǒng)安全等級保護測評過程指南 管理：信息系統(tǒng)安全管理要求GB/T 20269-2006 信息系統(tǒng)安全工程管理要求GB/T 20282-2006 信息安全等級保護的標(biāo)準(zhǔn)體系 技術(shù)類 GB/T 21052-2007 信息安全技

6、術(shù) 信息系統(tǒng)物理安全技術(shù)要求 GB/T 20270-2006 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求 GB/T 20272-2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求 GB/T 20273-2006 信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 其他信息產(chǎn)品、信息安全產(chǎn)品等 其它類 GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范 GB/T 20285-2007 信息安全技術(shù) 信息安全事件管理指南 GB/Z 20986-2007 信息安全技術(shù) 信息安全事件分類分級指南 GB/T 20988-2007 信息安全技

7、術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范 等級保護標(biāo)準(zhǔn)與工作環(huán)節(jié)的關(guān)系信息系統(tǒng)安全等級保護定級指南信息系統(tǒng)安全等級保護行業(yè)定級細則信息系統(tǒng)安全等級保護測評過程指南信息系統(tǒng)安全等級保護測評要求信息系統(tǒng)安全等級保護基本要求的行業(yè)細則信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)安全等級保護實施指南信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求信息安全等級保護安全建設(shè)整改工作安全等級方法指導(dǎo)現(xiàn)狀分析安全要求技術(shù)類信息系統(tǒng)通用安全技術(shù)要求其他技術(shù)類標(biāo)準(zhǔn)管理類信息系統(tǒng)安全管理要求其他管理類標(biāo)準(zhǔn)計算機信息系統(tǒng)安全等級保護劃分準(zhǔn)則（GB17859）產(chǎn)品類操作系統(tǒng)安全技術(shù)要求其他產(chǎn)品類標(biāo)準(zhǔn)等級保護等級等級保護基本概念介紹保護基本概念介紹等級保護實施

8、流程等級保護實施流程等級保護實施基本流程公安網(wǎng)監(jiān)審核等保驗收測評系統(tǒng)備案系統(tǒng)定級頒發(fā)證書安全需求分析規(guī)劃等保整改方案檢查報告及整改方案提交網(wǎng)監(jiān)備案等保整改實施測評報告提交網(wǎng)監(jiān)備案運營單位系統(tǒng)自運維材料不齊不合格不合格合格定級不準(zhǔn)定級準(zhǔn)材料齊合格定級階段定級階段備案階段備案階段差距測評階段差距測評階段整改整改階段階段驗收階段驗收階段自查階段自查階段等級保護系統(tǒng)定級流程用戶1.信息系統(tǒng)總體描述文件2.信息系統(tǒng)詳細描述文件3.信息系統(tǒng)等級保護定級指南4.其他信息系統(tǒng)建設(shè)相關(guān)標(biāo)準(zhǔn)及文件信息系統(tǒng)安全等級保護定級報告信息系統(tǒng)安全等級保護定級報告等級保護系統(tǒng)定級方法等級保護定級方法（定級指南）一般流程定級對

9、象客體、社會關(guān)系信息系統(tǒng)安全等級對客體的侵害程度受侵害的客體系統(tǒng)服務(wù)安全等級業(yè)務(wù)信息安全等級等級確定系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重損害特別嚴(yán)重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級等級保護備案材料用戶網(wǎng)上備案所需材料用戶網(wǎng)上備案所需材料二級系統(tǒng)所需三級系統(tǒng)所需信息系統(tǒng)運營單位信息備案授權(quán)人身份證（掃描件）信息系統(tǒng)定級報告信息系統(tǒng)運營單位信息信息系統(tǒng)備案信息表系統(tǒng)拓撲結(jié)構(gòu)及說明系統(tǒng)安全組織機構(gòu)和管理制度系統(tǒng)安全保護設(shè)計實施方案或改建實施方案系統(tǒng)是使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證

10、明測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告信息系統(tǒng)安全保護等級專家評審意見主管部門審核批準(zhǔn)信息系統(tǒng)安全保護等級的意見等保整改或測評之后提交網(wǎng)監(jiān)等級保護備案流程網(wǎng)上備案申請公安網(wǎng)監(jiān)審核提交申請材料頒發(fā)備案證書公安網(wǎng)監(jiān)對用戶備案申請進行審核系統(tǒng)備案單位根據(jù)網(wǎng)監(jiān)審核結(jié)果，到網(wǎng)監(jiān)部門現(xiàn)場提交網(wǎng)上申請時的備案紙質(zhì)資料公安網(wǎng)監(jiān)部門根據(jù)系統(tǒng)備案單位提交材料進行備案，頒發(fā)備案證書材料不齊定級不準(zhǔn)材料齊定級準(zhǔn)用戶用戶金盾網(wǎng)注冊企業(yè)賬號網(wǎng)上申請?zhí)峤毁Y料公安網(wǎng)監(jiān)公安網(wǎng)監(jiān)用戶用戶公安網(wǎng)監(jiān)公安網(wǎng)監(jiān)安全需求分析階段等保差距測評安全分析/整改設(shè)計技技 術(shù)術(shù) 類類管管 理理 類類物理安全核查數(shù)據(jù)安全核查應(yīng)用安全核查網(wǎng)絡(luò)安

11、全核查主機安全核查安全管理機構(gòu)核查系統(tǒng)運維管理核查系統(tǒng)建設(shè)管理核查安全管理制度核查人員安全管理核查管管 理理 類類安全管理機構(gòu)合規(guī)性系統(tǒng)運維管理合規(guī)性系統(tǒng)建設(shè)管理合規(guī)性安全管理制度合規(guī)性人員安全管理合規(guī)性技技 術(shù)術(shù) 類類網(wǎng)絡(luò)安全合規(guī)性主機安全合規(guī)性應(yīng)用安全合規(guī)性數(shù)據(jù)安全合規(guī)性資產(chǎn)對象調(diào)研安全需求分析報告安全需求分析報告等級保護安全整改方案等級保護安全整改方案資產(chǎn)調(diào)研表資產(chǎn)調(diào)研表網(wǎng)絡(luò)拓撲圖網(wǎng)絡(luò)拓撲圖物理安全合規(guī)性技術(shù)以及管理標(biāo)準(zhǔn)信息系統(tǒng)開發(fā)等相關(guān)文件安全需求分析（差距測評）單位等保整改等級保護整改階段整改實施單位：系統(tǒng)集成商、系統(tǒng)開發(fā)商、系統(tǒng)主管/使用/運營單位等技術(shù)類整改技術(shù)類整改安全需求分析報告、等級保護整改方案物理安全整改數(shù)據(jù)安全整改應(yīng)用安全整改網(wǎng)絡(luò)安全整改主機安全整改管理類整管理類整改改安全管理機構(gòu)整改系統(tǒng)運維管理整改系統(tǒng)建設(shè)管理整改安全管理制度整改人員安全管理整改等保整改等保整改實施報告實施報告等級保護驗收階段1.安全測評委托書2.信息系統(tǒng)結(jié)構(gòu)拓撲說明等詳細描述文件3.系統(tǒng)安全組織結(jié)構(gòu)和管理制度4.安全需求分析報告5.等級保護整改方案6.系統(tǒng)軟件硬件和信息安全產(chǎn)品清單7.信息系統(tǒng)安全等級保護定級報告用戶（系統(tǒng)主管/使用/運營單位）第三方測評機構(gòu)1.信息系統(tǒng)安全等級保護基本要求2.信息系統(tǒng)等