等级保护和分级保护基础培训.ppt

等级保护和分级保护基础培训PART 01:“等级保护测评”基础等级保护五个级别第一级 自主保护级第二级 指导保护级第三级 监督保护级 第四级 强制保护级 第五级 专控保护级 等级保护的主要对象等级保护主要对象等级保护定级的主要标准信息系统定级主要考虑两个方面，一是业务信息收到破坏客体是谁，二是对客体侵害程度如何。两个方面结合起来，根据下表制定信息系统应该定位第几级等级保护相关政策法规2005年前 中华人民共和国计算机信息系统安全保护条例（1994年 国务院147号令）国家信息化领导小组关于加强信息安全保障工作的意见(中办发【2003】27号）关于信息安全等级保护工作的实施意见（公通字【2004】66号）2007 信息安全等级保护管理办法（公通字【2007】43号）关于开展全国重要信息系统安全等级保护定级工作的通知（公信安【2007】861号）2009 2009年信息安全等级保护工作内容及具体要求（公信安【2009】232）2012 计算机信息网络国际联网安全保护管理办法（公安部第33号令）（2012-02-06）中华人民共和国计算机信息系统安全保护条例（2012-02-07）2017年 互联网安全保护技术措施规定（公安部令第82号）（2017-08-30）中华人民共和国网络安全法（2017-08-30）等级保护十大核心标准基础类 计算机信息系统安全保护等级测分准则GB 17859-1999 信息系统安全等级保护实施指南GB/T 应用类定级：信息系统安全保护等级定级指南GB/T 22240-2008建设：信息系统安全等级保护基本要求GB/T 22239-2008 信息系统通用安全技术要求GB/T 20271-2006 信息系统等级保护安全设计技术要求测评：信息系统安全等级保护测评要求GB/T 信息系统安全等级保护测评过程指南管理：信息系统安全管理要求 GB/T 20269-2006 信息系统安全工程管理要求GB/T 20282-2006等级保护完全的实施过程等级保护基本安全要求等级保护三级系统的控制类和控制项等级保护三级系统的控制类和控制项等级保护三级系统安全保护要求-数据安全和备份恢复等级保护三级系统安全保护要求-数据安全和备份恢复PART 02:“分级保护测评”基础分级保护测评适用单位分级保护测评机构分级保护相关标准分级保护测评相关流程分级保护测评技术要求分级保护管理要求政府行业分级保护测评分工分级保护测评时效性分级保护评测审核内容FAQ问：等等级保保护与分与分级保保护各分各分为几个等几个等级，对应关系是什么？关系是什么？答：等级保护分5个级别：一级（自主保护）、二级（指导保护）、三级（监督保护）、四级（强制保护）、五级（专控保护）。分级保护分3个级别：秘密级、机密级（机密增强级）、绝密级。分级保护与等级保护对应关系：秘密级对应三级、机密级对应四级、绝密级对应五级。问：等等级保保护的重要信息系的重要信息系统有哪些？有哪些？答：电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。市（地）级以上党政机关的重要网站和办公信息系统。问：等等级保保护的主管部的主管部门是是谁？答：答：公安机关公安机关是等级保护工作的主管部门，负责信息安全等级保护工作的监督、检查、指导，问：等等级保保护是否是是否是强制性的，可以不做制性的，可以不做吗？答：国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。备案后3级系统每年进行一次监督检查，4级每半年进行一次监督检查。问：是否只是在政府行是否只是在政府行业实行？企行？企业是否也在等是否也在等级保保护和分和分级保保护范畴之内？范畴之内？答：等级保护涉及所有行业，只要有信息系统的单位都在等级保护覆盖范围（涉密系统除外）FAQ问：分分级保保护的主管部的主管部门是是谁？答：国家保密工作部门（国家保密局、各省保密局、各地市市保密局）。问：分分级保保护的政策依据是哪个文件？的政策依据是哪个文件？答：涉及国家秘密的信息系统分级保护管理办法（国保发200516号）。问：哪些哪些单位可以做分位可以做分级保保护的的测评，有什么，有什么资质要求？要求？答：目前，国家保密工作部门及国家保密局授权的系统测评机构负责测评，测评机构应具备涉及国家秘密的计算机信息系统集成风险评估单项资质。问：涉密系涉密系统分分级保保护多多长时间需需进行一次安全保密行一次安全保密检查？答：秘密级、机密级信息系统：应每两年至少进行一次安全保密测评或保密检查；绝密级信息系统：应每年至少进行一次安全保密测评或保密检查。问：分分级保保护的系的系统集成集成对厂商的厂商的资质有什么要求？有什么要求？答：甲级资质单位可在全国范围内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承建的涉密信息系统的系统服务和系统咨询工作，不得从事其它单项资质业务。乙级资质单位可在所限定的行政区域内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承接的涉密信息系统的系统服务和系统咨询工作，不得从事其它单项资质业务。问：分分级保保护的哪些具体工作的哪些具体工作对厂商有厂商有单项资质的要求？的要求？单项业务：（全国，仅限所批准业务）军工、软件开发、综合布线、系统服务、系统咨询、风险评估、工程监理、数据恢复、屏蔽室建设、保密安防监控。问：分分级保保护对涉密系涉密系统中使用的安全保密中使用的安全保密产品有哪些要求？品有哪些要求？涉密信息系统使用的信息安全保密产品原则上应当选用国产品，并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测，通过检测的产品由国家保密局审核发布目录。