《等级保护的基本要求-中安威士PPT课件.pptx》由会员分享,可在线阅读,更多相关《等级保护的基本要求-中安威士PPT课件.pptx(21页珍藏版)》请在金锄头文库上搜索。
1、戴林Founder 等级保护简介 2 等级保护的定义 什么是等级保护 网络安全等级保护是指对国家重要信息 法人和其他组织及公民的专有信息以及公开信息和存储 传输 处理这些信息的信息系统分等级实行安全保护 对信息系统中使用的信息安全产品实行按等级管理 对信息系统中发生的信息安全事件分等级响应 处置 小结 等级保护是对专有信息及信息系统进行分等级保护 对其中的信息安全产品进行按等级管理 对发现的安全事件分等级响应和处置 两个对象 三重管理 3 等级保护的对象 国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信息系统 而不论它是否涉密 如 1 国家事务处理信息系统 党政机关办
2、公系统 2 金融 税务 工商 海关 能源 交通运输 社会保障 教育等基础设施的信息系统 3 国防工业企业 科研等单位的信息系统 4 公用通信 广播电视传输等基础信息网络中的计算机信息系统 5 互联网网络管理中心 关键节点 重要网站以及重要应用系统 6 其他领域的重要信息系统 4 等级保护工作的具体步骤 等级保护工作的步骤 根据信息系统等级保护相关标准 等级保护工作总共分五个阶段 分别为 1 信息系统定级 2 信息系统备案 3 系统安全建设 4 信息系统开始等级测评 5 主管单位定期开展监督检查 小结 系统定级和备案工作是等级保护工作开展的前提 也是等级保护工作最先要做的内容 系统安全建设可以先
3、做也可以在等级测评之后再进行 第三和第四步没有严格意义上的先后顺序之分 5 开展等级保护工作的相关法律法规或文件要求 开展等级保护工作的相关法律法规或文件要求 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 明确要求我国信息安全保障工作实行等级保护制度 信息安全等级保护管理办法 的通知 公通字 2007 43号 具体部署了实施信息安全等级保护工作的操作办法 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知 公信安 2010 303号 加快推动了等级保护工作的发展 中华人民共和国网络安全法 明确了国家实行网络安全等级保护制度 小结 网络安全法的出台将等级保
4、护工作以法律形式确定下来 等级保护工作至此以法律的形式确定为国家网络安全的基本国策 没有网络安全就没有国家安全 6 等级保护的配套标准 7 等级保护的等级 等级保护的等级分为五个等级 系统的重要程度从1 5级逐级升高 分别为 第一级 自主保护级 第二级 指导保护级 第三级 监督保护级 第四级 强制保护级 第五级 专控保护级 小结 我们在日常工作中需要进行等级保护测评的系统是2 4级 经常遇到的是二级和三级信息系统 一级系统要求比较低 不需要进行测评 如果某个系统达到五级系统 那么这个系统很可能就已经涉密了 就不是等级保护范畴了 所以在技术要求里也没有五级的相关标准要求 8 等级保护的等级定义
5、信息系统的安全保护等级分为以下五级 第一级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益造成损害 但不损害国家安全 社会秩序和公共利益 第二级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益产生严重损害 或者对社会秩序和公共利益造成损害 但不损害国家安全 第三级 信息系统受到破坏后 会对社会秩序和公共利益造成严重损害 或者对国家安全造成损害 第四级 信息系统受到破坏后 会对社会秩序和公共利益造成特别严重损害 或者对国家安全造成严重损害 第五级 信息系统受到破坏后 会对国家安全造成特别严重损害 9 信息系统顶级备案工作地点 去哪里进行信息系统的定级备案工作 答 全国绝大部分地方
6、规定 各地级市的单位将定级资料交给各自地级市的网安支队 省级单位将资料交给省公安网安总队 特定行业有要求的另说 也有部分地方是先将资料交到区县网安大队 再由区县网安大队转交地级市网安支队进行备案 小结 系统定级资料填写完成之后打印两份 首页盖章 电子档准备一份 带着这些资料去当地公安网安部门进行系统备案 至于到底是哪个网安请根据各地的要求 省 市 区县都有可能 10 等级保护测评的定义 什么是等级保护测评 答 等级保护测评指的是用户单位委托第三方有测评资质且在当地备案的测评机构对单位已定级备案的信息系统按照对应的等级标准要求进行测评的过程 测评结束后出具相应的信息系统测评报告 小结 对测评机构
7、要求一定是有资质且在用户所在地公安网安部门备案 否则你找外地或外省的测评机构进行测评 测评结论得不到主管部门的承认 测评就白做了 特殊情况另说 如针对某个项目进行单独异地备案 11 信息系统的测评多久需要测一次 信息系统的测评多久需要测一次 四级信息系统要求每半年至少开展一次测评 三级信息系统要求每年至少开展一次测评 二级信息系统一般每两年开展一次测评 时间上没有强制要求 部分行业有行业标准要求 如电力行业明确二级系统两年做一次测评 小结 二级系统为什么建议是两年呢 一 系统相对三级没那么重要 所以时间上相对长点 二 系统相对没有定级的系统更重要些 且往往有些二级系统也非常重要 存储了大量重要
8、的信息数据 其实本来是定三级的 种种原因定了二级 不去做测评 风险太大 12 等级保护测评的周期 等级保护测评一般多长时间能测完 答 现场测评周期一般一周左右 具体看信息系统数量及信息系统的规模 有所增减 小规模安全整改2 3周 出具报告时间一周 整体持续周期1 2个月 如果整改不及时或牵涉到购买设备 时间不好说 但总的要求一年内要完成 小结 测评周期最不确定的因素就是整改 整改的快自然结束的快 所以用户单位想早点结束的话就得把安全整改抓紧落实完成 13 等级保护测评的费用 等级保护测评的费用是多少 答 测评的费用首先是按照信息系统来算 不是按照一个单位 第二不同等级的测评费用不一样 费用每个
9、省市具体要求不一样 通常每个省市都有自己的一个价格体系 二级和三级系统的测评费用相对都是固定的 如某些省市 二级系统不低于4万元 三级系统不低于8万元 小结 测评的费用按照系统个数和系统的等级去核算 等级越高的相对费用越高 具体请根据每个省的行情来看 14 等级保护测评找谁做 用户单位需要开展等级保护测评 找谁去做 答 找有测评资质在当地有资格的测评公司去做测评 该单位至少具有该省市信息安全等级保护协调小组办公室发放的 信息安全等级保护测评机构推荐证书 同时要求在测评机构在省公安厅网安总队备案成功 另外部分省份要求测评机构在用户单位所在地级市公安网安部门备案 备案成功后方可在当地开展等级保护测
10、评工作 小结 测评必须是有资质有资格的测评公司去做 有些厂商或者集成商号称能做测评 他们可能是有这个技术水平 但是没有这个资格和资质 15 等级保护测评的结论 等级保护测评后的最终结论分为哪几种 答 测评最终结论分为不符合 基本符合和符合三种 除了结论之外还有具体得分 如82分 小结 测评的结论理论上有符合这种结论 就是满分100分的情况 但是实际上很难达到 也几乎没有出现过 如果你们家测评达到100分了 或者你经常看到有人得100分 那一定是这家测评机构不负责任地在测评 一方面是没有绝对的安全 另一方面等保的一些条款确实很难达到或者不适用 初次做等保能达到65 75之间就已经不错了 16 等
11、级保护测评的结论 等级保护测评结论不符合是不是等级保护工作就白做了 答 等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差 不符合等保的相应标准要求 但是这并不代表等级保护工作白做了 即使你拿着不符合的测评报告 主管单位也是承认你们单位今年的等级保护工作已经开展过了 只是目前的问题较多 没达到相应的标准 小结 测评结论不符合不是最重要的 最重要的是我们已经发现了问题 下面就需要及时对这些问题特别是高危风险及时进行安全整改 消除隐患 降低风险 17 等级保护测评的证明 测评结束后有什么书面性的材料证明自己开展过等保工作 答 书面性材料有 一个是加盖过主管部门的公章的系统定级备案资料和系统备案证明 另一个就是测评报告 加盖过测评机构公章及测评专用章 小结 有不少客户会问 测评报告出了后主管部门有没有一个类似通过测评的一个证明 这个据我了解全国只有极个别地方有类似证明文件 绝大多数地方都没有 拿到了正式测评报告测评的工作就可以算是告一段落了 18 等级保护的套餐 19 等保对相关产品的要求 20 等保对相关产品的要求 谢谢
