信息系統(tǒng)安全等級(jí)保護(hù).ppt

《信息系統(tǒng)安全等級(jí)保護(hù).ppt》由會(huì)員分享，可在線(xiàn)閱讀，更多相關(guān)《信息系統(tǒng)安全等級(jí)保護(hù).ppt（36頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

信息系統(tǒng)安全等級(jí)保護(hù),,內(nèi) 容,等級(jí)保護(hù)簡(jiǎn)介 等級(jí)保護(hù)定級(jí)與備案 等級(jí)保護(hù)解決方案 等級(jí)保護(hù)測(cè)評(píng),什么是等級(jí)保護(hù),信息安全等級(jí)保護(hù)是指：對(duì)國(guó)家秘密信息、法人和其他組織及公民的專(zhuān)有信息、公開(kāi)信息分類(lèi)分級(jí)進(jìn)行管理和保護(hù)； 根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實(shí)際安全需求，實(shí)行分級(jí)、分類(lèi)、分階段實(shí)施保護(hù)，保障信息安全和系統(tǒng)安全正常運(yùn)行，維護(hù)國(guó)家利益、公共利益和社會(huì)穩(wěn)定。 等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)特別是對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國(guó)家對(duì)信息安全等級(jí)保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范逐級(jí)加強(qiáng)監(jiān)管力度。突出重點(diǎn)，保障重要信息資源和重要信息系統(tǒng)的安全。,國(guó)家對(duì)信息安全保障的政策演變,,,等級(jí)保護(hù)系列標(biāo)準(zhǔn)規(guī)范,《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作通知》（公信安【2007】861號(hào)） 《信息系統(tǒng)安全保護(hù)等級(jí)保護(hù)定級(jí)指南》 《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（2004 66號(hào)） 《信息安全等級(jí)保護(hù)管理辦法》（2007 43號(hào)） 《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》 《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》 《信息系統(tǒng)安全等級(jí)保護(hù)監(jiān)督檢查要求》,,,分級(jí)保護(hù)系列標(biāo)準(zhǔn)規(guī)范,《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》BMB17-2006 《涉及國(guó)家秘密計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南》 BMB23-2008 《涉及國(guó)家秘密計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》BMB20-2007 《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》BMB22—2007 《涉及國(guó)家秘密計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)管理辦法 》國(guó)家保密局16號(hào),非涉密信息系統(tǒng)安全保障建設(shè)指南,涉密信息系統(tǒng)安全保障建設(shè)指南,等級(jí)保護(hù)標(biāo)準(zhǔn)規(guī)范,等級(jí)保護(hù)的主要工作流程,,,,自主定級(jí)和審批,評(píng)審,備案,,系統(tǒng)建設(shè),,等級(jí)測(cè)評(píng),,監(jiān)督檢查,,信息系統(tǒng)運(yùn)營(yíng)使用單位按照等級(jí)保護(hù)管理辦法和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》，確定信息系統(tǒng)的安全保護(hù)等級(jí)。有上級(jí)主管部門(mén)的，應(yīng)當(dāng)經(jīng)上級(jí)主管部門(mén)審核批準(zhǔn)?？缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由其主管部門(mén)統(tǒng)一確定安全保護(hù)等級(jí)。,,在信息系統(tǒng)確定安全保護(hù)等級(jí)過(guò)程中，可以進(jìn)行必要的業(yè)務(wù)和技術(shù)評(píng)估，組織專(zhuān)家進(jìn)行咨詢(xún)?cè)u(píng)審。對(duì)擬確定為第四級(jí)以上的信息系統(tǒng)的運(yùn)營(yíng)、使用單位或主管部門(mén)應(yīng)當(dāng)邀請(qǐng)國(guó)家信息安全等級(jí)保護(hù)專(zhuān)家評(píng)審委員會(huì)評(píng)審。,,第二級(jí)以上信息系統(tǒng)由其運(yùn)營(yíng)使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門(mén)統(tǒng)一定級(jí)的信息系統(tǒng)，由主管部門(mén)向公安部辦理備案手續(xù)?？缡』蛘呷珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。,,信息系統(tǒng)的安全保護(hù)等級(jí)確定后，運(yùn)營(yíng)使用單位應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和劃分準(zhǔn)則、基本要求、操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、服務(wù)器、終端等技術(shù)要求，使用符合本系統(tǒng)安全保護(hù)等級(jí)要求的信息安全產(chǎn)品，同步建設(shè)符合本系統(tǒng)安全保護(hù)等級(jí)要求的信息安全設(shè)施。運(yùn)營(yíng)使用單位應(yīng)當(dāng)按照安全管理要求、安全工程管理要求等管理規(guī)范，建立安全組織，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)的安全管理制度。,,信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)使用單位應(yīng)當(dāng)選擇符合本系統(tǒng)安全保護(hù)等級(jí)要求的檢測(cè)機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)指南》等技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展技術(shù)評(píng)測(cè)。三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)；四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)；五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。,,受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對(duì)第三級(jí)、第四級(jí)信息系統(tǒng)的運(yùn)營(yíng)、使用單位的信息安全等級(jí)保護(hù)工作情況進(jìn)行檢查。三級(jí)信息系統(tǒng)每年至少檢查一次，四級(jí)信息系統(tǒng)每半年至少檢查一次。對(duì)跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會(huì)同其主管部門(mén)進(jìn)行。,內(nèi) 容,等級(jí)保護(hù)簡(jiǎn)介 等級(jí)保護(hù)定級(jí)與備案 等級(jí)保護(hù)解決方案 等級(jí)保護(hù)測(cè)評(píng),安全保護(hù)等級(jí)的劃分,1）用戶(hù)自主保護(hù)級(jí) 公民、法人和其它組織的合法權(quán)益：損害，國(guó)家安全、社會(huì)秩序和公共利益：不損害 2）系統(tǒng)審計(jì)保護(hù)級(jí) 公民、法人和其它組織的合法權(quán)益：損害，社會(huì)秩序和公共利益：損害，國(guó)家安全：不損害 3）安全標(biāo)記保護(hù)級(jí) 社會(huì)秩序和公共利益：嚴(yán)重?fù)p害，國(guó)家安全：損害 4）結(jié)構(gòu)化保護(hù)級(jí) 社會(huì)秩序和公共利益：特別嚴(yán)重?fù)p害，國(guó)家安全：嚴(yán)重?fù)p害 5）訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí) 國(guó)家安全：特別嚴(yán)重?fù)p害,定級(jí)要素與等級(jí)的關(guān)系,確定等級(jí)流程,,業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表,系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表,系統(tǒng)安全保護(hù)等級(jí)矩陣表,,,,,確定定級(jí)對(duì)象： 具有唯一確定的安全責(zé)任單位；滿(mǎn)足信息系統(tǒng)的基本要素；承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用,等級(jí)保護(hù)要求的組合,安全保護(hù)等級(jí)定級(jí)參考,1）一級(jí)，小型私營(yíng)、個(gè)體企業(yè)、中小學(xué)，鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)，縣級(jí)單位一般的信息系統(tǒng) 2）二級(jí)，縣級(jí)某些單位重要信息系統(tǒng)；地市級(jí)以上國(guó)家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般信息系統(tǒng)（例如非涉及工作、商業(yè)秘密，敏感信息的辦公系統(tǒng)和管理系統(tǒng)） 3）三級(jí)，地市級(jí)以上國(guó)家機(jī)關(guān)、企事業(yè)單位內(nèi)部重要信息系統(tǒng)（例如涉及工作、商業(yè)秘密，敏感信息的辦公系統(tǒng)和管理系統(tǒng)）?？缡』蛉珖?guó)聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、控制等方面的重要系統(tǒng)及在省、地市的分支系統(tǒng)；中央各部委、省（區(qū)、市）門(mén)戶(hù)網(wǎng)站和重要網(wǎng)站 4）四級(jí)，國(guó)家重要領(lǐng)域、重要部門(mén)中的特別重要系統(tǒng)以及核心系統(tǒng)，電力、電信、廣電、稅務(wù)等 5）五級(jí)，國(guó)家重要領(lǐng)域、重要部門(mén)中的極端重要系統(tǒng),系統(tǒng)定級(jí)和備案流程,系統(tǒng)備案,系統(tǒng)備案,14,需要準(zhǔn)備的材料,2級(jí),《信息系統(tǒng)安全等級(jí)保護(hù)備案表》 《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》 《網(wǎng)絡(luò)與信息安全承諾書(shū)》 《XX單位信息系統(tǒng)等級(jí)保護(hù)聯(lián)系表》 工商營(yíng)業(yè)執(zhí)照(或執(zhí)業(yè)許可證、事業(yè)單位證書(shū)、非盈利性機(jī)構(gòu)證書(shū)等許可證明)+法人代表身份證+組織機(jī)構(gòu)代碼證（如三證合一，省略）,3級(jí),《信息系統(tǒng)安全等級(jí)保護(hù)備案表》 《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》 《網(wǎng)絡(luò)與信息安全承諾書(shū)》 《XX單位信息系統(tǒng)等級(jí)保護(hù)聯(lián)系表》 工商營(yíng)業(yè)執(zhí)照+法人代表身份證+組織機(jī)構(gòu)代碼證（如三證合一，省略） 《信息系統(tǒng)安全等級(jí)保護(hù)備案表》表四涉及的材料掃描件,系統(tǒng)備案,信息系統(tǒng)安全等級(jí)保護(hù)備案表》表四涉及的材料掃描件： 系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明 系統(tǒng)安全組織機(jī)構(gòu)及管理制度 系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或改建實(shí)施方案 系統(tǒng)使用的安全產(chǎn)品清單及認(rèn)證、銷(xiāo)售許可證明 系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告 專(zhuān)家評(píng)審情況 上級(jí)主管部門(mén)審批意見(jiàn),內(nèi) 容,等級(jí)保護(hù)簡(jiǎn)介 等級(jí)保護(hù)定級(jí)與備案 等級(jí)保護(hù)解決方案 等級(jí)保護(hù)測(cè)評(píng),安全保障體系模型,安全等級(jí)保護(hù),技術(shù)安全要求,管理安全要求,差距分析,,,,,,等級(jí)保護(hù)差距分析 以信息系統(tǒng)為單位 以基本要求為依據(jù) 業(yè)務(wù)信息與系統(tǒng)服務(wù)關(guān)聯(lián)分析,根據(jù)系統(tǒng)所確定的安全等級(jí)從《基本要求》中選擇相應(yīng)等級(jí)的基本安全需求,根據(jù)系統(tǒng)所面臨的威脅特點(diǎn)調(diào)整安全要求，去掉不適用項(xiàng),基本要求中某些地方的安全措施不能滿(mǎn)足本單位信息系統(tǒng)的保護(hù)要求；沒(méi)有提供所需要的保護(hù)措施,對(duì)比信息系統(tǒng)現(xiàn)狀和安全要求之間的差距，確定不滿(mǎn)足要求的安全項(xiàng),,1、確定信息系統(tǒng)的基本安全需求,,2、選擇調(diào)整基本安全需求,,3、明確特殊安全需求,,4、根據(jù)各項(xiàng)安全要求進(jìn)行逐項(xiàng)分析,,,,確定不符合安全項(xiàng),現(xiàn)狀梳理,明確安全建設(shè)需求,1,2,3,等級(jí)保護(hù)設(shè)計(jì)方案,安全技術(shù)體系設(shè)計(jì) 物理安全設(shè)計(jì) 網(wǎng)絡(luò)安全設(shè)計(jì) 主機(jī)安全設(shè)計(jì) 應(yīng)用安全設(shè)計(jì) 數(shù)據(jù)安全設(shè)計(jì) 安全管理設(shè)計(jì) 安全管理體系設(shè)計(jì) 安全管理制度 安全管理機(jī)構(gòu) 人員安全管理 系統(tǒng)建設(shè)管理 系統(tǒng)運(yùn)維管理 安全服務(wù)保障設(shè)計(jì) 風(fēng)險(xiǎn)評(píng)估 安全加固 安全巡檢 應(yīng)急響應(yīng) 安全培訓(xùn),等級(jí)保護(hù)設(shè)計(jì),安全的網(wǎng)絡(luò)結(jié)構(gòu) 安全的邊界防護(hù) 安全的計(jì)算環(huán)境,,,,網(wǎng)絡(luò)和基礎(chǔ)設(shè)施保護(hù),,,,1,關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固,2,采用雙核心設(shè)計(jì)，確保網(wǎng)絡(luò)的容錯(cuò)能力；并通過(guò)核心交換機(jī)執(zhí)行QOS，保障關(guān)鍵應(yīng)用的資源,3,配置網(wǎng)絡(luò)設(shè)備的日志審計(jì)，并通過(guò)統(tǒng)一的網(wǎng)絡(luò)日志審計(jì)平臺(tái)實(shí)現(xiàn)集中記錄，同時(shí)也作為安全管理平臺(tái)的分析依據(jù)。,區(qū)域邊界保護(hù),區(qū)域邊界保護(hù),保護(hù)計(jì)算環(huán)境,保護(hù)計(jì)算環(huán)境,實(shí)現(xiàn)集中安全管理,落實(shí)安全管理措施,,,三級(jí)系統(tǒng)安全管理措施,建立全面的安全管理制度，并安排專(zhuān)人負(fù)責(zé)并監(jiān)控執(zhí)行情況； 建立全面的人員管理體系，制定嚴(yán)格的考核標(biāo)準(zhǔn) 建設(shè)過(guò)程的各項(xiàng)活動(dòng)都要求進(jìn)行制度化規(guī)范，按照制度要求進(jìn)行活動(dòng)的開(kāi)展 實(shí)現(xiàn)嚴(yán)格的保密性管理 成立安全運(yùn)維小組，對(duì)安全維護(hù)的責(zé)任落實(shí)到具體的人 引入第三方專(zhuān)業(yè)安全服務(wù),內(nèi) 容,等級(jí)保護(hù)簡(jiǎn)介 等級(jí)保護(hù)定級(jí)與備案 等級(jí)保護(hù)解決方案 等級(jí)保護(hù)測(cè)評(píng),測(cè)評(píng)依據(jù),《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147號(hào)令） 《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)） GB 17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》 GB/T 22239-2008 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 GB/T 28448-2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》 GB/T 28449-2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》 《信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告模版（2015年版）》（公信安[2014]2866號(hào)） 《信息系統(tǒng)安全等級(jí)測(cè)評(píng)合同》,測(cè)評(píng)方法,測(cè)評(píng)過(guò)程,需配合事項(xiàng),交流討論,