收藏
下载资源

信息系统安全等级保护基本要求培训讲解

上传人:我** 文档编号:117878955 上传时间:2019-12-11 格式:PPT 页数:82 大小:1.86MB
返回 下载 相关 举报
信息系统安全等级保护基本要求培训讲解_第1页
第1页 / 共82页
信息系统安全等级保护基本要求培训讲解_第2页
第2页 / 共82页
信息系统安全等级保护基本要求培训讲解_第3页
第3页 / 共82页
信息系统安全等级保护基本要求培训讲解_第4页
第4页 / 共82页
信息系统安全等级保护基本要求培训讲解_第5页
第5页 / 共82页
点击查看更多>>
资源描述

《信息系统安全等级保护基本要求培训讲解》由会员分享,可在线阅读,更多相关《信息系统安全等级保护基本要求培训讲解(82页珍藏版)》请在金锄头文库上搜索。

1、公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 信息系统安全等级保护基本要求 使用介绍 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 目录目录 使用时机和主要作用 保护要求分级描述的主要思想 各级系统保护的主要内容 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 一、一、使用时机和主要作用使用时机和主要作用 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 *

2、管理办法管理办法” ”等级划分和保护等级划分和保护“ “第八条第八条 信息系统运营、使用单位依据本办法 和相关技术标准对信息系统进行保护 ,国家有关信息安全职能部门对其信 息安全等级保护工作进行监督管理。 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 管理办法管理办法” ”等级保护的实施与管理等级保护的实施与管理“ “第十二条第十二条 在信息系统建设过程中,运营、使用单位应 当按照计算机信息系统安全保护等级划分 准则(GB17859-1999)、信息系统安 全等级保护基本要求等技术标准,参照 等技术标准同步建设符合该等级要求的 信息

3、安全设施。 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 管理办法管理办法” ”等级保护的实施与管理等级保护的实施与管理“ “第十三条第十三条 运营、使用单位应当参照信息安全技术信息 系统安全管理要求(GB/T20269-2006)、 信息安全技术信息系统安全工程管理要求( GB/T20282-2006)、信息系统安全等级保护 基本要求等管理规范,制定并落实符合本系 统安全保护等级要求的安全管理制度。 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 管理办法管理办法” ”等

4、级保护的实施与管理等级保护的实施与管理“ “第十四条第十四条 信息系统建设完成后,运营、使用单位或者 其主管部门应当选择符合本办法规定条件的 测评单位,依据信息系统安全等级保护测 评要求等技术标准,定期对信息系统安全 等级状况开展等级测评。第三级信息系统应 当每年至少进行一次等级测评,第四级信息 系统应当每半年至少进行一次等级测评,第 五级信息系统应当依据特殊安全需求进行等 级测评。 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 管理办法管理办法” ”等级保护的实施与管理等级保护的实施与管理“ “第十四条第十四条 信息系统运营、使用

5、单位及其主管部门应当定 期对信息系统安全状况、安全保护制度及措施 的落实情况进行自查。第三级信息系统应当每 年至少进行一次自查,第四级信息系统应当每 半年至少进行一次自查,第五级信息系统应当 依据特殊安全需求进行自查。 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 管理办法管理办法” ”等级保护的实施与管理等级保护的实施与管理“ “第十四条第十四条 经测评或者自查,信息系统安全状况未达到安 全保护等级要求的,运营、使用单位应当制定 方案进行整改。 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护

6、评估中心评估中心 * 技术标准和管理规范的作用技术标准和管理规范的作用 技术标准和管理规范 信息系统定级 信息系统安全建设或改建 安全状况达到等级保护要求的信息系统 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 涉及的管理规范和技术标准涉及的管理规范和技术标准 信息安全等级保护管理办法公通字200743号 计算机信息系统安全保护等级划分准则(GB17859-1999 ) 信息安全等级保护实施指南 信息安全等级保护定级指南 信息安全等级保护基本要求 信息安全等级保护测评要求 信息安全技术 网络基础安全技术要求(GB/T20270- 2

7、006) 信息安全技术 信息系统通用安全技术要求GB/T20271- 2006) 信息安全技术 操作系统安全技术要求(GB/T20272- 2006) 信息安全技术 数据库管理系统安全技术要求( GB/T20273-2006) 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 涉及的管理规范和技术标准涉及的管理规范和技术标准 信息安全技术 信息系统安全管理要求( GB/T20269-2006) 信息安全技术 信息系统安全工程管理要求 (GB/T20282-2006) 信息安全技术 信息系统安全工程管理要求 (GB/T20282-2006

8、) 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 整体要求的管理规范和技术标准整体要求的管理规范和技术标准 信息安全等级保护管理办法 计算机信息系统安全保护等级划分准则( GB17859-1999) 信息系统安全等级保护实施指南 信息系统安全保护等级定级指南 信息系统安全等级保护基本要求 信息系统安全等级保护测评要求 等等 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 基本要求基本要求的作用的作用 信息系统安全等级保护基本要求 运营、使用单位 (安全服务商) 主管部门 (

9、等级测评机构) 安全保护测评检查 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 基本要求基本要求的定位的定位 是系统安全保护、等级测评的一个基本“标尺” ,同样级别的系统使用统一的“标尺”来衡量, 保证权威性,是一个达标线; 每个级别的信息系统按照基本要求进行保护后 ,信息系统具有相应等级的基本安全保护能力 ,达到一种基本的安全状态; 是每个级别信息系统进行安全保护工作的一个 基本出发点,更加贴切的保护可以通过需求分 析对基本要求进行补充,参考其他有关等级保 护或安全方面的标准来实现; 公安部公安部 信安标委会信安标委会 公安部公安

10、部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 基本要求基本要求的定位的定位 某级信息系统基本保护精确保护 基本要求 保护 基本要求 测评 补充的安全措施 GB17859-1999 通用技术要求 安全管理要求 高级别的基本要求 等级保护其他标准 安全方面相关标准 等等 基本保护 特殊需求 补充措施 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 二、二、保护要求分级描述的主要思想保护要求分级描述的主要思想 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 基本要求

11、基本要求基本思路基本思路 不同级别 信息系统 重要程度不同 应对不同威胁的能力 (威胁弱点) 具有不同的安全保护能力 不同的基本要求 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 不同级别的安全保护能力要求不同级别的安全保护能力要求 第一级安全保护能力 应能够防护系统免受来自个人的、拥有很少资源(如利用 公开可获取的工具等)的威胁源发起的恶意攻击、一般的 自然灾难(灾难发生的强度弱、持续时间很短等)以及其 他相当危害程度的威胁(无意失误、技术故障等)所造成 的关键资源损害,在系统遭到损害后,能够恢复部分功能 。 第二级安全保护能力

12、应能够防护系统免受来自外部小型组织的(如自发的三两人组 成的黑客组织)、拥有少量资源(如个别人员能力、公开可获 或特定开发的工具等)的威胁源发起的恶意攻击、一般的自然 灾难(灾难发生的强度一般、持续时间短、覆盖范围小等)以 及其他相当危害程度的威胁(无意失误、技术故障等)所造成 的重要资源损害,能够发现重要的安全漏洞和安全事件,在系 统遭到损害后,能够在一段时间内恢复部分功能。 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 不同级别的安全保护能力要求不同级别的安全保护能力要求 第三级安全保护能力 应能够在统一安全策略下防护系统免受来

13、自外部有组织的团 体(如一个商业情报组织或犯罪组织等),拥有较为丰富资 源(包括人员能力、计算能力等)的威胁源发起的恶意攻击 、较为严重的自然灾难(灾难发生的强度较大、持续时间较 长、覆盖范围较广等)以及其他相当危害程度的威胁(内部 人员的恶意威胁、无意失误、较严重的技术故障等)所造成 的主要资源损害,能够发现安全漏洞和安全事件,在系统遭 到损害后,能够较快恢复绝大部分功能。 第四级安全保护能力 应能够在统一安全策略下防护系统免受来自国家级 别的、敌对组织的、拥有丰富资源的威胁源发起的 恶意攻击、严重的自然灾难(灾难发生的强度大、 持续时间长、覆盖范围广等)以及其他相当危害程 度的威胁(内部人

14、员的恶意威胁、无意失误、严重 的技术故障等)所造成的资源损害,能够发现安全 漏洞和安全事件,在系统遭到损害后,能够迅速恢 复所有功能。 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 各个要素之间的关系各个要素之间的关系 安全保护能力 基本安全要求 每个等级的信息系统 基本技术措施基本管理措施 具备 包含包含 满足满足 实现 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 基本要求基本要求核心思路核心思路 某级系统 技术要求管理要求 基本要求 建立安全技术体系 建立安全管理体

15、系 具有某级安全保护能力的系统 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 各级系统的保护要求差异(宏观)各级系统的保护要求差异(宏观) 安全保护模型PPDRR Protection防护 Policy Detection 策略 检测 Response 响应 Recovery 恢复 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 各级系统的保护要求差异(宏观)各级系统的保护要求差异(宏观) 一级系统 二级系统 三级系统 四级系统 防护 防护/监测 策略/防护/监测/恢复 策略/防护/监测/恢复/响应 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 各级系统的保护要求差异(宏观)各级系统的保护要求差异(宏观) 成功的完成业务 信息保障 人 技术 操作 防御网络与基 础设施 防御飞 地边界 防御计 算环境 支撑性 基础设 施 安全保护模型IATF 公安部公安部 信安标委会信安标委会 公安部公安部 信息安全信息安全 等级保护等级保护 评估中心评估中心 * 各级系统

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号