信息安全等级保护体系培训.pptx
《信息安全等级保护体系培训.pptx》由会员分享,可在线阅读,更多相关《信息安全等级保护体系培训.pptx(48页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、信息安全等级保护体系信息安全等级保护体系目录目录目录目录1等级保护概念等级保护概念等级保护概念等级保护概念等级等级等级等级保护的实施方法及其过程保护的实施方法及其过程保护的实施方法及其过程保护的实施方法及其过程23等级等级等级等级保护相关文件的组织结构保护相关文件的组织结构保护相关文件的组织结构保护相关文件的组织结构4如何确定信息系统的安全保护等级如何确定信息系统的安全保护等级如何确定信息系统的安全保护等级如何确定信息系统的安全保护等级1、国际形势要求我们重视国家关键信息基础设施保护美国自克林顿政府以来,发布了一系列网络空间战略,特别是奥巴马政府发布了网络空间国际战略、网络空间行动战略,明确表
2、明了实施网络战略威慑、主导网络空间的图谋。境外敌对势力、敌对分子对我重要信息系统大肆进行入侵、攻击,窃取我国家秘密。2、国内形势要求我们重视国家关键信息基础设施保护针对基础信息网络和重要信息系统的违法犯罪持续上升基础信息网络和重要信息系统安全隐患严重3、信息安全性质决定了工作的复杂性和艰巨性。信息安全是国家安全的重要组成部分信息安全的本质是信息对抗、技术对抗是网络空间的政治斗争为什么要实施等级保护制度为什么要实施等级保护制度为什么要实施等级保护制度为什么要实施等级保护制度官方说法:信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统
3、分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。规定动作:信息系统定级、备案、安全建设整改、等级测评、监督检查。公安机关牵头,制定政策标准,并进行监督、检查、指导国家保密部门、密码管理部门负责有关保密工作和密码工作的监督、检查、指导工信部及地方经信部门负责等级保护工作中部门间的协调其中,涉及国家秘密信息系统由国家保密部门负责;非涉及国家秘密信息系统由公安机关负责什么是信息安全等级保护什么是信息安全等级保护什么是信息安全等级保护什么是信息安全等级保护信息系统安全保护等级划分及监管要求信息系统安全保护等级划分及监管要求信息系统安全保
4、护等级划分及监管要求信息系统安全保护等级划分及监管要求第一级第一级自主保护自主保护第二级第二级指导保护指导保护第三级第三级监督保护监督保护第四级第四级强制保护强制保护对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。依据国家有关管理规范、技术标准和业务专门需求进行保护必须进行专家评审、备案、测评(每半年一次),并接受国家信息安全监管部门的强制监督、检查对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。依据国家有关管理规范和技术标准进行保护要求备案(可以进行专家评审)、测评(每年一次),并接受国家信息安全监管部门的监督、检查对公民、法人和其他组织的合法权益产生严重损害,或
5、者对社会秩序和公共利益造成损害,但不损害国家安全。依据国家有关管理规范和技术标准进行保护要求备案,并接受国家信息安全监管部门的指导对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。依据国家有关管理规范和技术标准进行保护常见的二级系统举例(仅做参考)常见的二级系统举例(仅做参考)常见的二级系统举例(仅做参考)常见的二级系统举例(仅做参考)地市政府办公自动化系统(内部使用的)地市政府办公自动化系统(内部使用的)地地市政府邮件系统市政府邮件系统地市政府间协同办公系统地市政府间协同办公系统企业门户网站(用于对外宣传)企业门户网站(用于对外宣传)银行网站银行网站特点:与核心
6、业务无关常见的三级系统举例(仅做参考)常见的三级系统举例(仅做参考)常见的三级系统举例(仅做参考)常见的三级系统举例(仅做参考)部委级门户网站部委级门户网站省政府政务公开系统(交互式)省政府政务公开系统(交互式)医疗行业核心内网系统医疗行业核心内网系统交通行业卫星定位系统交通行业卫星定位系统银行生产网银行生产网特点:与业务密切相关的常见的四级系统举例(仅做参考)常见的四级系统举例(仅做参考)常见的四级系统举例(仅做参考)常见的四级系统举例(仅做参考)国家电力调度系统(国家电力调度系统(EMS)中国人民银行官方网站中国人民银行官方网站财政部财政支付系统财政部财政支付系统交通部应急指挥调度系统交通
7、部应急指挥调度系统银行生产系统银行生产系统特点:重要部门与核心业务密切相关的信息系统安全保护能力目标信息系统安全保护能力目标信息系统安全保护能力目标信息系统安全保护能力目标第二级第二级信息系统信息系统第三级第三级信息系统信息系统第四级第四级信息系统信息系统经过安全建设和等级测评工作,信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击有组织的大规模攻击的能力,抵抗严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行快速响应处置快速响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力
8、;对于服务保障性要求高的系统,应能迅速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。经过安全建设和等级测评工作,信息系统在统一的安全保护策略统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处具有对安全事件进行响应处置,并能够追踪安全责任的能力置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制具有对系统资源、用户、安全机
9、制等进行集中控管的能力。等进行集中控管的能力。经过安全建设和等级测评工作,信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。目录目录目录目录1等级保护概念等级保护概念等级保护概念等级保护概念等级等级等级等级保护的实施方法及其过程保护的实施方法及其过程保护的实施方法及其过程保护的实施方法及其过程23等级等级等级等级保护相关文件的组织结构保护相关文件的组织结构保护相关文件的组织结构保护相关文件的组织结构4如何确定信息系统的安全保护等级
10、如何确定信息系统的安全保护等级如何确定信息系统的安全保护等级如何确定信息系统的安全保护等级信息系统安全等级保护相关文件之间的关系信息系统安全等级保护相关文件之间的关系信息系统安全等级保护相关文件之间的关系信息系统安全等级保护相关文件之间的关系政策文件政策文件四大标准四大标准技术标准技术标准管理标准管理标准提供指导提供指导提供方法提供方法安全等级的信息系统安全等级的信息系统提供技术要求提供技术要求提供管理要求提供管理要求v国务院国务院147147号令号令中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例v中办发中办发200327200327号号国家信息化领导小组关于
11、加强信息安全保障工作的意见国家信息化领导小组关于加强信息安全保障工作的意见v公通字公通字200466200466号号关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见v公通字公通字200743200743号号信息安全等级保护管理办法信息安全等级保护管理办法信息系统安全等级保护实施的政策文件信息系统安全等级保护实施的政策文件信息系统安全等级保护实施的政策文件信息系统安全等级保护实施的政策文件政策文件政策文件信息安全等级保护政策体系信息安全等级保护政策体系信息安全等级保护政策体系信息安全等级保护政策体系v计算机计算机信息系统安全保护等级信息系统安全保护等级划分准则(划分准则(GB
12、 17859-1999GB 17859-1999)v信息系统安全保护等级定级指南信息系统安全保护等级定级指南(GB/T 22240-2008GB/T 22240-2008)v信息系统信息系统安全等级保护实施指南安全等级保护实施指南(GB/T25058-2010 GB/T25058-2010)v信息系统安全等级保护基本要求信息系统安全等级保护基本要求(GB/T 22239-2008GB/T 22239-2008)信息系统安全等级保护实施的政策文件信息系统安全等级保护实施的政策文件信息系统安全等级保护实施的政策文件信息系统安全等级保护实施的政策文件四大标准四大标准v计算机信息系统安全保护等级划分准
13、则计算机信息系统安全保护等级划分准则(GB 17859-1999GB 17859-1999)v信息安全技术信息安全技术 信息系统通用安全技术要求信息系统通用安全技术要求(GB/T 20271-2006GB/T 20271-2006)v信息安全技术信息安全技术 网络基础安全技术要求网络基础安全技术要求(GB/T 20270-2006GB/T 20270-2006)v信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求(GB/T 20272-2006GB/T 20272-2006)v信息安全技术信息安全技术 数据库管理系统安全技术要求数据库管理系统安全技术要求(GB/T 20273-
14、2006GB/T 20273-2006)v信息安全技术信息安全技术 服务器技术要求服务器技术要求(GB/T 21028-2007GB/T 21028-2007)v信息安全技术信息安全技术 终端计算机系统安全等级技术要求终端计算机系统安全等级技术要求(GA/T 671-2006GA/T 671-2006)v涉及国家秘密的信息系统分级保护技术要求涉及国家秘密的信息系统分级保护技术要求(BMB17-2006BMB17-2006)v信息系统安全等级保护实施的技术标准信息系统安全等级保护实施的技术标准信息系统安全等级保护实施的技术标准信息系统安全等级保护实施的技术标准技术标准技术标准v信息安全技术信息安
15、全技术 信息系统安全管理要求信息系统安全管理要求(GB/T20269-2006GB/T20269-2006)v信息安全技术信息安全技术 信息系统安全工程管理要求信息系统安全工程管理要求(GB/T20282-2006GB/T20282-2006)v涉及国家秘密的信息系统分级保护管理规范涉及国家秘密的信息系统分级保护管理规范(BMB20-2007BMB20-2007)v 信息系统安全等级保护实施的管理标准信息系统安全等级保护实施的管理标准信息系统安全等级保护实施的管理标准信息系统安全等级保护实施的管理标准管理标准管理标准信息安全等级保护标准体系信息安全等级保护标准体系信息安全等级保护标准体系信息安
16、全等级保护标准体系等级保护基本要求的组织方式等级保护基本要求的组织方式等级保护基本要求的组织方式等级保护基本要求的组织方式某级系统某级系统物物理理安安全全技术要求技术要求管理要求管理要求基本要求基本要求网网络络安安全全主主机机安安全全应应用用安安全全数数据据安安全全安安全全管管理理机机构构安安全全管管理理制制度度人人员员安安全全管管理理系系统统建建设设管管理理系系统统运运维维管管理理不同级别信息系统的要求点及其数量差别不同级别信息系统的要求点及其数量差别不同级别信息系统的要求点及其数量差别不同级别信息系统的要求点及其数量差别安全要求类安全要求类层面层面一级一级二级二级三级三级四级四级技术要求技
17、术要求物理安全物理安全9 9191932323333网络安全网络安全9 9181833333232主机安全主机安全6 6191932323636应用安全应用安全7 7191931313636数据安全及备份恢复数据安全及备份恢复2 24 48 81111管理要求管理要求安全管理制度安全管理制度3 37 711111414安全管理机构安全管理机构4 49 920202020人员安全管理人员安全管理7 7111116161818系统建设管理系统建设管理2020282845454848系统运维管理系统运维管理1818414162627070合计合计/8585175175290290318318级差级差
18、/90901151152828目录目录目录目录1等级保护概念等级保护概念等级保护概念等级保护概念等级等级等级等级保护的实施方法及其过程保护的实施方法及其过程保护的实施方法及其过程保护的实施方法及其过程23等级等级等级等级保护相关文件的组织结构保护相关文件的组织结构保护相关文件的组织结构保护相关文件的组织结构4如何确定信息系统的安全保护等级如何确定信息系统的安全保护等级如何确定信息系统的安全保护等级如何确定信息系统的安全保护等级v 等级保护的核心是对等级保护的核心是对信息系统信息系统分等级、按标准进行建设、管分等级、按标准进行建设、管理和监督。等级保护在实施过程中应遵循以下基本原则:理和监督。等
19、级保护在实施过程中应遵循以下基本原则:a)a)自主保护原则自主保护原则v由各主管部门和运营使用单位按照国家相关法规和标准,自由各主管部门和运营使用单位按照国家相关法规和标准,自主确定信息系统的安全等级,自行组织实施安全保护。主确定信息系统的安全等级,自行组织实施安全保护。b)b)同步建设原则同步建设原则v信息系统在新建、改建、扩建时应当同步规划和设计安全方信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。信息化建设相适应。信息系统安全等级保护实施的基本原则信息系统安全
20、等级保护实施的基本原则信息系统安全等级保护实施的基本原则信息系统安全等级保护实施的基本原则c)c)c)c)重点保护原则重点保护原则重点保护原则重点保护原则v根据信息系统的重要程度、业务特点,通过划分不同安全等根据信息系统的重要程度、业务特点,通过划分不同安全等级的信息系统,实现不同强度的安全保护,集中资源优先保护级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。涉及核心业务或关键信息资产的信息系统。d)d)d)d)适当调整原则适当调整原则适当调整原则适当调整原则v要跟踪信息系统的变化情况,调整安全保护措施。因为信息要跟踪信息系统的变化情况,调整安全保护
21、措施。因为信息系统的应用类型、范围等条件的变化及其他原因,安全等级需系统的应用类型、范围等条件的变化及其他原因,安全等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全等级,根据信息系统安全等级的调整重新确定信息系统的安全等级,根据信息系统安全等级的调整情况,重新实施安全保护。情况,重新实施安全保护。信息系统安全等级保护实施的基本原则信息系统安全等级保护实施的基本原则信息系统安全等级保护实施的基本原则信息系统安全等级保护实施的基本原则信息系统安全等级保护过程中涉及到的各类角色及其职责信息系统安全等级保护过程中涉
22、及到的各类角色及其职责信息系统安全等级保护过程中涉及到的各类角色及其职责信息系统安全等级保护过程中涉及到的各类角色及其职责国家管理部门国家管理部门信息系统主管部门信息系统主管部门信息系统运营使用单位信息系统运营使用单位信息安全服务机构信息安全服务机构信息安全等级测评机构信息安全等级测评机构信息系统安全等级保护过程中涉及到的各类角色及其职责信息系统安全等级保护过程中涉及到的各类角色及其职责信息系统安全等级保护过程中涉及到的各类角色及其职责信息系统安全等级保护过程中涉及到的各类角色及其职责v公安机关负责信息安全等级保护工作的监督、检查、指导;公安机关负责信息安全等级保护工作的监督、检查、指导;v国
23、家保密工作部门负责等级保护工作中有关保密工作的监督、检查、国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导;指导;v国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;指导;v涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;规的规定进行管理;v国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调护工作的部门间协调国家管理部门国家管理
24、部门负负责责依依照照国国家家信信息息安安全全等等级级保保护护的的管管理理规规范范和和技技术术标标准准,督督促促、检检查查和和指指导导本本行行业业、本本部部门门或或者者本本地地区区信信息息系系统统运运营、使用单位的信息安全等级保护工作。营、使用单位的信息安全等级保护工作。信息系统安全等级保护过程中涉及到的各类角色及其职责信息系统安全等级保护过程中涉及到的各类角色及其职责信息系统安全等级保护过程中涉及到的各类角色及其职责信息系统安全等级保护过程中涉及到的各类角色及其职责信息系统主管部门信息系统主管部门v负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全负责依照国家信息安全等级保
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 等级 保护 体系 培训
限制150内