《等级保护技术标准简介》由会员分享,可在线阅读,更多相关《等级保护技术标准简介(60页珍藏版)》请在金锄头文库上搜索。
1、公安部公安部信息安全信息安全等级保护等级保护评估中心评估中心婚痢蹋酬孵渊阻渴之漫磁峨蝉灯衣伙惭滩堡骄与嘎锰误犯坐丰嘱容疹余诊等级保护技术标准简介等级保护技术标准简介等级保护技术标准简介匙贬龙厦苦栈斟涡杭尸虱抖缔斟身匈饯囚零逼泽姬璃怨澳遁直竖漓烹哀椭等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/20242报告内容报告内容第一部分、总体情况介绍第二部分、有关标准编制内容介绍阅瑟鱼珍朴乍嘻肝陌赦罚螺醒览馁橡放沃耿兰帕巷棚藻牵暗锈洋轧荒稼更等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心
2、7/24/20243总体情况介绍总体情况介绍机构背景等级保护标准制修订背景为优奋刮屠讹很待青瓮侵跋契矢亭昨奠呈忠批涎挛琵然蛹宪义坎衬鸭坐外等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/20244总体情况介绍总体情况介绍-机构背景公公安安部部第第三三研研究究所所公安部计算机信息系统安全产品质量监督检验中心公安部计算机信息系统安全产品质量监督检验中心公安部信息安全产品检测中心公安部信息安全产品检测中心公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心礁趟七宝奠帅秤种荒舅郝财栗咀硕朱祥导话潭哄氓本秤拦百杉窿方鞭妓诀等级保护技术
3、标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/20245总体情况介绍总体情况介绍-等级保护标准制修订背景 19941994年,年,年,年,中华人民共和国计算机信息系统安全保中华人民共和国计算机信息系统安全保中华人民共和国计算机信息系统安全保中华人民共和国计算机信息系统安全保护条例的发布护条例的发布护条例的发布护条例的发布 19991999年,年,年,年,计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则 GB17859-1999 GB17859-1999发布
4、发布发布发布 20012001年,年,年,年,国家发改委国家发改委国家发改委国家发改委“ “计算机信息系统安全保护等计算机信息系统安全保护等计算机信息系统安全保护等计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台建级评估体系及互联网络电子身份管理与安全保护平台建级评估体系及互联网络电子身份管理与安全保护平台建级评估体系及互联网络电子身份管理与安全保护平台建设项目设项目设项目设项目” ”(11101110)工程实施)工程实施)工程实施)工程实施 20032003年,年,年,年,中央办公厅、国务院办公厅转发国家信中央办公厅、国务院办公厅转发国家信中央办公厅、国务院办公厅转发国
5、家信中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见息化领导小组关于加强信息安全保障工作的意见息化领导小组关于加强信息安全保障工作的意见息化领导小组关于加强信息安全保障工作的意见 20042004年,年,年,年,四部委联合签发了关于信息安全等级保四部委联合签发了关于信息安全等级保四部委联合签发了关于信息安全等级保四部委联合签发了关于信息安全等级保护工作的实施意见护工作的实施意见护工作的实施意见护工作的实施意见 共拍忙焙撅苹赐暮拨汤忱陨旅抉盎瓮楞襄挝岸腿景先穷侵靛逮若猾垣瞬憨等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评
6、估中心7/24/20246总体情况介绍总体情况介绍-等级保护标准制修订背景安全控制定级指南过程方法确定系统等级启动采购/开发实施运行/维护废弃确定安全需求设计安全方案安全建设安全测评监督管理运行维护暂不考虑特殊需求等级需求基本要求产品使用选型监督管理测评准则流程方法监管流程应急预案应急响应博仪碎淖蔽青宙嗓嫌核单救初赁泅耪痘粹虐淀舱溯岿栽买桨造闸吞缄简碍等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/20247有关标准编制内容介绍有关标准编制内容介绍定级指南基本要求实施指南值表斑惕纵津遣蛀龙舌僻母转只夷劈真牟斤族楼窿轴状菲长为卖剃婿淌
7、于等级保护技术标准简介等级保护技术标准简介公安部公安部信息安全信息安全等级保护等级保护评估中心评估中心婚痢蹋酬孵渊阻渴之漫磁峨蝉灯衣伙惭滩堡骄与嘎锰误犯坐丰嘱容疹余诊等级保护技术标准简介等级保护技术标准简介定级指南标准编制定级指南标准编制情况介绍情况介绍得醉炽尸铬密幅壹榆辣约康诌希阳婿窍明醚圭管具绿课锯光兔攫族由哲痪等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/20249定级指南标准编制情况介绍定级指南标准编制情况介绍背景介绍背景介绍等级确定的原则等级确定的原则决定等级的主要因素分析决定等级的主要因素分析等级确定方法等级确定方法等
8、级划分流程等级划分流程睹振岁哨煮秆梢痪存程合革黑糜癌并殿奄苇湃蜗丑愈罕眯宵臼竭丢千华球等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202410背景介绍背景介绍与系统等级相关的国外资料:FIPS 199(美国联邦政府)根据信息系统所处理信息的机密性、完整性和可用性被破坏的影响确定。IATF(NSA) 根据信息价值与威胁确定系统强健度等级。 DITSCAP (DOD) 根据互联模式、处理模式、业务依赖、三性、不可否认性等七个方面确定系统认证级。谐快酸讫愤剃览挚浇毖哗抒冒赁铺崔缘侧翘渺枕镶驮侯倒威钵其培家辊铃等级保护技术标准简介等级保
9、护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202411背景介绍背景介绍上述定级方法存在问题仅由信息重要性确定信息系统的等级,对大型企业和重点行业的重要业务系统不合适。在通过三性影响分析,并根据三者取高的方法中,无法为可用性要求高和保密性要求高两类系统提出统一的技术要求。确定系统等级,与业务无关,不满足等级保护的监管需要。定级范围往往只在局部范围内。钮硬汉汪蟹俏见柱攒慕同秋柿钓蝶皮骏滇狮乞酿讽茅雷棠融凯浊楼碰碉婉等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202412等级确定的原则等级确定
10、的原则全局性原则信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度,信息系统安全保护等级的划分也必须从国家层面考虑,体现全局性。业务为核心原则信息系统是为业务应用服务的,信息系统的安全保护等级应当依据信息系统承载业务的重要性、业务对信息系统的依赖度和系统特殊的安全需求确定。视春谢侯草萧贞街照搁禁矢变观泡袜纯蝶篆稳挫沛将眠帖肿甥你羽斧陛喝等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202413等级确定的原则等级确定的原则满足监管要求原则信息系统安全保护等级既不是信息系统安全保障等级,也不是信息系统所能达到的技术能
11、力等级,而是从安全监管需要,从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。合理性原则不同于信息安全产品,信息系统千差万别,各具特色,只有在划分安全保护等级的过程中,尽可能反映出信息系统的主要安全特征,合理划分等级,才能做到突出重点,适度保护。垣馅膳庆嘘视丽赠怪宰十悲惺箔暂刻奴卸襟笨勘务积稽栈游歪烷驰谐际影等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202414决定等级的主要因素分析决定等级的主要因素分析从目前的资料上看,已在不同分级方法中出现
12、的作为划分信息系统安全等级的因素主要包括:单位业务在国家事务中的重要性(实施意见);资产(包括有形资产和无形资产)(FIPS199,IATF,DITSCAP,NIST800-37);威胁(IATF);信息被破坏后对国家、社会公共利益和单位或个人的影响(FIPS199,通用要求,实施指南);单位业务对信息系统的依赖程度(DITSCAP) 来敖赤嚷咆沸勘翼氮杠熙惋兢躲拆谤毁篓座庸艘债酶旷巍驳垢佬冒榨孽会等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202415决定等级的主要因素分析决定等级的主要因素分析经分析,除排除威胁因素外,划分等
13、级时应考虑以下因素:信息系统所属类型,即信息系统的安全利益主体。信息系统主要处理的业务数据类别。信息系统服务范围,包括服务对象和服务网络覆盖范围。业务处理的自动化程度,或以手工作业替代信息系统处理业务的程度。歉搁屉询根址肇将晒枝响胎跟琼诧完构聘臂符孵谆话契杨拦辗雨暖畦浮磁等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202416决定等级的主要因素分析决定等级的主要因素分析信息系统所属类型信息系统所属类型业务数据类别业务数据类别信息系统服务范围信息系统服务范围业务处理的自动化程度业务处理的自动化程度业务重要性业务重要性业务数据安全性
14、业务数据安全性业务处理连续性业务处理连续性业务依赖性业务依赖性赴搬癌并猖吁锨韦酷椎劳瑶娟挑比伟馅超扼渝闻氟尽篆烙垦绑皱健挤坎州等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202417决定等级的主要因素分析决定等级的主要因素分析业务数据安全性业务数据安全性业务处理连续性业务处理连续性信息系统安全保护等级信息系统安全保护等级逛床架倚泄盲霍陕险眯备钓拭携栖街涝梯屿验黍惕励潦钧溜烫驱瞥霹唁植等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202418等级确定方法等级确定方法具
15、体步骤:通过对信息系统类型和业务数据类型赋值,确定信息系统的业务数据安全性等级;通过对信息系统服务范围和业务处理自动化程度赋值,确定信息系统的业务处理连续性等级;通过业务数据安全性等级和业务处理连续性等级确定信息系统安全保护等级。等级调整 增儒二漫豌驯排腻悦县沸寅宙层呼怔匝严间好氖逮热帘遂疤章灼边仙澡惋等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202419信息系统类型赋值信息系统类型赋值信息系统所属类型赋值表信息系统所属类型赋值信息系统的社会影响1信息系统受到破坏会对单位利益有直接影响2信息系统受到破坏会对公共利益有直接影响,
16、或对国家安全利益有间接影响3信息系统受到破坏会对国家安全利益有直接影响熙海脾来橙虫矿接减疤椅罢那凛震羚毯镐肚冗宽啃汗北椒矗秃只毅漠情悍等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202420信息系统类型举例信息系统类型举例典型的信息系统所属类型 信息系统所属类型赋值信息系统所属类型1属于一般企事业单位,处理其内部事务的信息系统2属于重要行业、重要领域和国家基础设施,为国计民生、经济建设等提供重要服务的信息系统3属于党政机关,处理国家事务的信息系统卓艾哨爵郝偿囱还抗尖倘笆基烟晕弛骗砒辊陪叶闻拂仿婪尉轮恼阶雁析诅等级保护技术标准简介
17、等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202421确定业务数据安全性确定业务数据安全性业务数据安全性等级矩阵 业务数据类型信息系统类型12311222233344禾命卓蔽挖严售鼓蜗边烷洱塞绒稠整果村来鲸负邱停糟剿趾涌蚕佳兢湍厉等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202422确定信息系统安全保护等级确定信息系统安全保护等级 信息系统的安全保护等级由业务数据安全性等级和业务处理连续性等级较高者决定。 黍光醚衷蝶撂方棺掺价亦橱攒丽芽斤肄夫铣疙那调淤虎宏竹碴猖侠向触隧等级保护技
18、术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202423组合形式组合形式信息系统安全保护等级对应的业务数据安全性要求级别(Sx)和业务处理连续性要求级别(Cy)的组合。 系统保护安全等级各种组合(Sx,Cy)第一级(S1,C1)第二级(S1,C2),(S2,C2),(S2,C1)第三级(S1,C3),(S2,C3),(S3,C3),(S3,C2),(S3,C1)第四级(S1,C4),(S2,C4),(S3,C4),(S4,C4),(S4,C3),( S4,C2), (S4,C1)哨仍茨像诵此虐苯狡骚就惜浅乘懒趟炭缓足怎撰吩寿论幌陪儡庐延主
19、涣吕等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202424等级划分流程等级划分流程划分信息系统划分信息系统/子系统子系统分析承载的业务重要性和依赖度分析承载的业务重要性和依赖度确定信息系统确定信息系统/子系统安全保护等级子系统安全保护等级调整信息系统调整信息系统/子系统安全保护等级子系统安全保护等级羞偷议甲逆撤欢例吞饿小报耶撂旋溶署汀叶我符高诺掩蝶讹吩澎冗句今涎等级保护技术标准简介等级保护技术标准简介公安部公安部信息安全信息安全等级保护等级保护评估中心评估中心婚痢蹋酬孵渊阻渴之漫磁峨蝉灯衣伙惭滩堡骄与嘎锰误犯坐丰嘱容疹余诊等级
20、保护技术标准简介等级保护技术标准简介基本要求标准编制基本要求标准编制情况介绍情况介绍邓撬闷笛塑宛吓呸活斤嘘芦践坎婴房丰浓善村堰嫡嗅岸碘佬涅搪疤翟谤赊等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202426基本要求标准编制的主要思路基本要求标准编制的主要思路根据6号文件描述的5个监管等级对象,确定保护对象;根据保护对象所可能面临的威胁,确定系统的整体保护能力;根据所应具有的整体保护能力,确定系统的安全目标;提出满足安全目标的安全要求。营窗熙趣纹莫郁既蔓版逐白聊胸武伙疫帮猎焦灾惩狰毅典啡仰伐秤唐常沪等级保护技术标准简介等级保护技术标
21、准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/2024275个监管等级对象个监管等级对象第一级:信息系统所承载业务涉及公民、法人和其他组织的权益,受到破坏后对公民、法人和其他组织的权益造成一定损害;该业务的开展在一定程度上依托于信息系统,系统受到破坏后对业务正常开展产生一定影响。第二级:信息系统所承载的业务直接关系到公民、法人和其他组织的权益,受到破坏后会对公民、法人和其他组织的权益造成严重损害;该业务的开展主要依托于信息系统,系统受到破坏后影响业务正常开展。第三级:信息系统所承载的业务涉及国家、社会和公共利益,受到破坏后会对国家、社会和公共利益造成损害的;该业务
22、的开展主要依托于信息系统,系统受到破坏后影响业务正常开展。兢霍踩钙踪毋盐赏碰毙吧嗣甭橙绵菊碴皿冀君东众蜡宁趁妨瞄跌谨雁诫跃等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/2024285个监管等级对象个监管等级对象第四级:信息系统所承载的业务直接关系到国家、社会和公共利益,受到破坏后会对国家、社会和公共利益造成严重损害的;该业务的开展完全依托于信息系统,系统受到破坏后业务无法开展。第五级:信息系统所承载的业务受到破坏后,会直接对国家安全造成严重损害。捍搔族斗痞锦篓煮雪浆茫步收排螺擅皋匠乃熬跟鲜炼鹿蛀腋码逊读郎归削等级保护技术标准简介等
23、级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202429整体保护能力整体保护能力各级系统应对威胁的能力是不同的,即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后,系统能够恢复之前的各种状态的能力是不同的。系统的整体保护能力就是由威胁对抗能力和恢复能力的组合而成。 傈隧烷酒常砸黑胰郴廖吓匀歇卑敝呈恶八呸牟翘渡泳仔慢晋浇担埠拜痛狙等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202430整体保护能力整体保护能力-威胁分类催沟彝主社雅卧裳莫拢尿苞命亡养敷唬竞溯堰突烯搽挥哟育乒鸥驶条抬斥等级保
24、护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202431整体保护能力整体保护能力-威胁分级描述不同级别对抗的威胁的种类不同对于同类威胁,不同级别对抗的具体威胁的破坏能力也不同。汽存访旭弘环出逾说佰背迹毛惹赠锗珐莫擞接郡涕志惰浚感餐拭狮酣吻湛等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202432安全目标安全目标 每一级的安全目标与威胁之间存在对应关系,每个威胁至少被一个安全目标所覆盖;反过来,每个安全目标至少覆盖一个威胁。 一级具有15个技术目标,16个管理目标;二级具
25、有29个技术目标,25个管理目标;三级具有36个技术目标,27个管理目标;四级具有41个技术目标,28个管理目标。屹昌侩隘彝埂掠舶振磅蜕茹怜鳞汉宵称悦翰举唉勺馆荧蔼吊郡巧卓欧脚迂等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202433安全要求的选择安全要求的选择信息系统的安全要求包括安全技术要求和安全管理要求两类。根据信息系统的业务数据安全性等级(S)和业务处理连续性等级(C),分别选择S类技术要求、C类技术要求和G类技术要求。 信息系统的安全等级与技术要求组合是一对多的关系。 斯鸳舌早们余悉码豪前刁铅形况森很顶狱晚昧放例恩声予
26、帧箱马笋寒箕绰等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202434安全要求等级区别安全要求等级区别安全要求的增加安全要求的增强 蹈溺段彩腋昼沦郁宜斌豆阉迁惑评渤互痒吏掀桃翟豌僵帜伙侄隔捆定凡右等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202435安全技术要求的组成安全技术要求的组成逢氯吸蔓受钝醇梭统员倍弗样拿蹄芬邵军锅件钥读沧潍炯浸轰名迫祁陋果等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202
27、436安全技术要求安全技术要求-物理物理赁滋斟伸喻恒搀赘镀吧境棍蹬李鞠澎炒郧腔粉试绰玛脏两失稠榷咖驹检聊等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202437安全技术要求安全技术要求-网络网络克锐肿唆改享臭侣缅喀烟毯青把咱捡存筑顶恬辱唁彪缎取沧琅砒土杭漂重等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202438安全技术要求安全技术要求-主机主机谗汤蕴飞耙哩三轨男增棋龄袱鬼仙惶细色稠黔熊启炙艰刺桅功崩谬刁改韶等级保护技术标准简介等级保护技术标准简介公安部信息安全等
28、级保护评估中心公安部信息安全等级保护评估中心7/24/202439安全技术要求安全技术要求-应用应用裹宦江蹄躁厨队午涛炭识瑰妇泉算允作数尔傈挺堤知氟概跺士铡椭担内贝等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202440安全技术要求安全技术要求-数据数据肄詹雨氰叉琴抽维掂蛹撇限鞭关雅庐冰蔷洱采掀树涂渣孝语体枢壹刀拧锗等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202441安全管理要求安全管理要求皇钱端之人寞尿凿凸享密澜击硫佯雨慢杉完辛辩构感丁救没宫忿被夜蔼艰等级保
29、护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202442管理部分形成的基本思路管理部分形成的基本思路系统规划管理机构和人员政策和制度系统设计管理系统实施管理系统运维管理系统废弃管理信息系统生命周期检查和监督管理指导限制执行监督棋擞观柞律捂刊酬紊萌举评旋禾赵晋镣讼汹捂猎须臼候抚米若利睹头拘镑等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202443管理部分的覆盖范围管理部分的覆盖范围信息系统的生命周期系统规划(定级规划等)系统设计(设计开发采购等)系统实施(安装配置测试等)
30、系统运维系统废弃管理人员管理制度组织的使命目标战略政策系统变更管理机构稠击伦桩淑朱翔致推厚茬秸插际右岿捧嗽道累沉择再非磕您拱伊洛焰河寒等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202444不同级别之间的区别不同级别之间的区别管理活动控制点的增加管理活动控制点的增加每个控制点具体管理要求的增多每个控制点具体管理要求的增多管理活动的能力逐步加强管理活动的能力逐步加强借鉴能力成熟度模型(借鉴能力成熟度模型(CMM)一级一级 非正式执行非正式执行二级二级 计划和跟踪计划和跟踪三级三级 良好定义良好定义四级四级 持续改进持续改进胀九侨由
31、畏涌雇畔葱甩弓打威亢黍屡摧闷仲咋出订漓县绦哦慕豁鞠授佰霄等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202445安全管理机构安全管理机构岗位设置岗位设置人员配备人员配备授权和审批授权和审批沟通和合作沟通和合作审核和检查审核和检查舷关篆叛栖挚症瞒缝暖挤屿踞蓖绽蓖倒槛谴茸郑鼠禁崖辨蓝槽窃热菇揣欠等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202446安全管理制度安全管理制度管理制度管理制度制定和发布制定和发布评审和修订评审和修订任封逃烬伏芳恰屡堰敛造佬髓集准迈寥厚席市
32、郎豹良众逐滤膳检翅谤共绑等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202447安全管理人员安全管理人员人员录用人员录用人员离岗人员离岗人员考核人员考核安全意识教育和培训安全意识教育和培训第三方人员管理第三方人员管理幕询挖柔镑衔谓材镶腑癣害刺惟典坏蜡前另依龟龄蕊标容涤最毕半焙蜒萍等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202448系统建设管理系统建设管理系统定级系统定级安全风险评估安全风险评估安全方案设计安全方案设计产品采购产品采购自行开发设计自行开发设计外包
33、开发设计外包开发设计工程实施工程实施测试验收测试验收系统交付系统交付安全测评安全测评系统备案系统备案安全服务商选择安全服务商选择芍槽条正羊驭圃潞窿梦擎乖椽哆呜娩汞菠吻蹭贪态贮蕴介佯宝迢窖馁秃付等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202449系统运维管理系统运维管理环境管理环境管理资产管理资产管理介质管理介质管理设备使用管理设备使用管理运行维护和监控管理运行维护和监控管理网络安全管理网络安全管理系统安全管理系统安全管理恶意代码防护管理恶意代码防护管理密码管理密码管理变更管理变更管理备份和恢复管理备份和恢复管理安全事件处置安
34、全事件处置应急计划管理应急计划管理静讶萌模澡先矮飘垛肌屋税怜烁蕴质治碗敌主喉蘸换佣章力沾缅倪掷凸此等级保护技术标准简介等级保护技术标准简介公安部公安部信息安全信息安全等级保护等级保护评估中心评估中心婚痢蹋酬孵渊阻渴之漫磁峨蝉灯衣伙惭滩堡骄与嘎锰误犯坐丰嘱容疹余诊等级保护技术标准简介等级保护技术标准简介实施指南标准编制实施指南标准编制情况介绍情况介绍疗诗烟磅腾爱甚架寨膊柔蟹妆潮褐条蓖辞棒窟搜绪照太堆锐宜辩巧颠筐虱等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202451实施指南标准编制目标实施指南标准编制目标实施指南作为一个对信息系
35、统实施等级保护的指实施指南作为一个对信息系统实施等级保护的指南性文件,其目标是介绍和描述实施信息系统等级保护过南性文件,其目标是介绍和描述实施信息系统等级保护过程中应该涉及的程中应该涉及的阶段和从事的活动阶段和从事的活动,包括:,包括:活动的内容和控制方法;活动的内容和控制方法;活动的主要参与者;活动的主要参与者;活动中将要使用的等级保护相关标准;活动中将要使用的等级保护相关标准;活动的主要工作产品等活动的主要工作产品等通过过程和活动的介绍,使读者了解和知晓对信息系通过过程和活动的介绍,使读者了解和知晓对信息系统实施等级保护的方法,不同的角色在不同阶段的作用等统实施等级保护的方法,不同的角色在
36、不同阶段的作用等等。等。钙督写处饲戮泪科胞倍甘氖义链昔忿彰横晤芥须恤屡菠蕾官荤娟愉俩硝魂等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202452实施指南标准编制的主要思路实施指南标准编制的主要思路1.以信息系统等级保护建设为主要线索以信息系统等级保护建设为主要线索 2.定义信息系统等级保护实施的生命周期定义信息系统等级保护实施的生命周期 3.对每个阶段介绍和描述主要的实施活动对每个阶段介绍和描述主要的实施活动 4.对每个活动说明实施主体、主要内容和输对每个活动说明实施主体、主要内容和输入输出入输出 阳豢苦猾虱费遥精蓄渡该段疆袋掸
37、造局腐拌电瞩治厨疮睁盐圾掏天追凭重等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202453实施指南内容介绍实施指南内容介绍-角色和职责 信息系统等级保护的实施过程中涉及到各类信息系统等级保护的实施过程中涉及到各类组织和人员,他们将会参与不同的或相同的活动,组织和人员,他们将会参与不同的或相同的活动,比如信息系统的主管单位和信息系统的运营单位比如信息系统的主管单位和信息系统的运营单位将参与系统定级活动,如果委托安全服务商进行将参与系统定级活动,如果委托安全服务商进行定级,则安全服务商也会参与定级活动;又如信定级,则安全服务商也会参
38、与定级活动;又如信息系统的运营单位可以自己完成风险分析活动,息系统的运营单位可以自己完成风险分析活动,也可以委托安全服务商完成风险分析活动。也可以委托安全服务商完成风险分析活动。签疤炒砾袭淳冯稼倒纲靠赡祈婆匆链颐闻戮淆绚伐寝添娇塑驴潞鳞曰散押等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202454实施指南内容介绍实施指南内容介绍-角色和职责 本指南将面临的使用对象将是:本指南将面临的使用对象将是:信息系统的主管单位;信息系统的主管单位;运营单位;运营单位;建设单位;建设单位;安全服务商;安全服务商;安全测评机构;安全测评机构;监
39、督管理机构等。监督管理机构等。为了保证实施指南的描述有一个清晰的思路,各类使用人为了保证实施指南的描述有一个清晰的思路,各类使用人员都能够理解和较好地使用,实施指南并不以某个特定单位的员都能够理解和较好地使用,实施指南并不以某个特定单位的活动为主线进行描述,而是以信息系统等级保护建设所要从事活动为主线进行描述,而是以信息系统等级保护建设所要从事的活动为主线,有些活动可能是这个单位执行的,另一些活动的活动为主线,有些活动可能是这个单位执行的,另一些活动可能是另一个单位执行的。本指南的读者根据自己的角色和从可能是另一个单位执行的。本指南的读者根据自己的角色和从事的活动选择相应的内容作为指导。事的活
40、动选择相应的内容作为指导。条令兵额露瘟地絮崇碴鸯驮晕疹姥筋铬洁铬掀厄斗偏雕小肤枝流鄂栽拙历等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202455实施指南内容介绍实施指南内容介绍-实施的生命周期 本指南将根据信息系统等级保护实施的特点,结合风险管本指南将根据信息系统等级保护实施的特点,结合风险管理和安全工程方法提出信息系统等级保护实施的生命周期,将理和安全工程方法提出信息系统等级保护实施的生命周期,将等级保护实施过程划分为等级保护实施过程划分为4个不同的阶段,然后分章节介绍和个不同的阶段,然后分章节介绍和描述不同阶段的安全活动,
41、同时也将表述信息系统等级保护实描述不同阶段的安全活动,同时也将表述信息系统等级保护实施的生命周期和信息系统生命周期的关系,指导系统建设者和施的生命周期和信息系统生命周期的关系,指导系统建设者和系统运营者在系统建设和运营期间更好地同步进行等级保护建系统运营者在系统建设和运营期间更好地同步进行等级保护建设。设。将通过信息系统等级保护实施生命周期的提出,更好地描将通过信息系统等级保护实施生命周期的提出,更好地描述信息系统等级保护实施的不断循环过程;系统变更可能导致述信息系统等级保护实施的不断循环过程;系统变更可能导致系统的等级变化从而触发另一个等级保护实施过程的执行过程;系统的等级变化从而触发另一个
42、等级保护实施过程的执行过程;风险评估和安全测评可能导致的等级保护实施过程局部活动的风险评估和安全测评可能导致的等级保护实施过程局部活动的重复执行过程等。重复执行过程等。峪捣涵坛洲赛尚诅京捌继耶氯慕椎李链拒尊柔件越镣惠袁隔舰扇昌晤绕告等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202456实施指南内容介绍实施指南内容介绍-主要阶段和主要过程系统定级阶段系统定级阶段安全规划设计阶段安全规划设计阶段产品采购和工程实施阶段产品采购和工程实施阶段运行管理和状态监控阶段运行管理和状态监控阶段系系统统调调查查和和描描述述子子系系统统划划分分子
43、子系系统统定定级级子子系系统统边边界界设设定定等等级级化化风风险险评评估估分分级级保保护护模模型型化化处处理理安安全全策策略略规规划划安安全全建建设设规规划划安安全全建建设设详详细细方方案案设设计计安安全全产产品品采采购购安安全全控控制制开开发发安安全全控控制制集集成成测测试试与与验验收收安安全全等等级级测测评评运运行行批批准准系系统统备备案案操操作作管管理理和和控控制制配配置置管管理理和和控控制制变变更更管管理理和和控控制制安安全全状状态态监监控控安安全全事事件件处处理理和和应应急急预预案案监监督督和和检检查查持持续续改改进进定定级级结结果果文文档档化化闺娜堵兴镁晨普烃凋框币蒙蛆讫搓出媳厕竹
44、谜肩溃越倚魂随傲蹄哗训项姐等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202457实施指南内容介绍实施指南内容介绍-系统定级过程系统调查、标识和描述系统调查、标识和描述子系统划分子系统划分子系统定级子系统定级子系统边界设定子系统边界设定输入输入输出输出过程过程信息系统描述文件信息系统描述文件子系统列表子系统列表系统安全保护等级定系统安全保护等级定级结果级结果边界设定结果边界设定结果信信息息系系统统基基本本信信息息、管管理理框架、业务特性框架、业务特性信息系统描述文件信息系统描述文件子子系系统统列列表表,信信息息系系统统/子子系统
45、业务特性系统业务特性安安全全保保护护等等级级定定级级结结果果、子子系系统统业业务务流流程程,网网络络拓拓扑扑定级结果文档化定级结果文档化信信息息系系统统等等级级化化分分析析报告报告信信息息系系统统描描述述文文件件、子子系系统统列列表表、定定级级及及边边界界设设定定结果结果鬼骏楞却燃郎邵滞势席首静跋夕扛主茫兽阿茹祝座进痘望滥串摧脸摈灾心等级保护技术标准简介等级保护技术标准简介公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心7/24/202458实施指南内容介绍实施指南内容介绍-系统调查和描述过程为了能够进行信息系统子系统划分、确定安全等级以为了能够进行信息系统子系统划分、确定安全等级
46、以为了能够进行信息系统子系统划分、确定安全等级以为了能够进行信息系统子系统划分、确定安全等级以及后续的安全规划设计等工作,要了解和知道信息系统的及后续的安全规划设计等工作,要了解和知道信息系统的及后续的安全规划设计等工作,要了解和知道信息系统的及后续的安全规划设计等工作,要了解和知道信息系统的各种特性,应通过查询相关文档、填写调查表、有关人员各种特性,应通过查询相关文档、填写调查表、有关人员各种特性,应通过查询相关文档、填写调查表、有关人员各种特性,应通过查询相关文档、填写调查表、有关人员询问、现场实地观察等等方式收集信息系统相关信息,对询问、现场实地观察等等方式收集信息系统相关信息,对询问、
47、现场实地观察等等方式收集信息系统相关信息,对询问、现场实地观察等等方式收集信息系统相关信息,对收集到的信息系统相关信息进行分析和整理,并根据分析收集到的信息系统相关信息进行分析和整理,并根据分析收集到的信息系统相关信息进行分析和整理,并根据分析收集到的信息系统相关信息进行分析和整理,并根据分析和整理的内容准确描述信息系统,形成信息系统的描述性和整理的内容准确描述信息系统,形成信息系统的描述性和整理的内容准确描述信息系统,形成信息系统的描述性和整理的内容准确描述信息系统,形成信息系统的描述性文档。文档。文档。文档。参与角色:参与角色:参与角色:参与角色: 系统运营部门、安全服务机构。系统运营部门
48、、安全服务机构。系统运营部门、安全服务机构。系统运营部门、安全服务机构。过程输入:过程输入:过程输入:过程输入: 信息系统基本信息、管理框架、业务特性信息系统基本信息、管理框架、业务特性信息系统基本信息、管理框架、业务特性信息系统基本信息、管理框架、业务特性过程描述:过程描述:过程描述:过程描述: 略略略略过程输出:过程输出:过程输出:过程输出: 信息系统描述文件信息系统描述文件信息系统描述文件信息系统描述文件叫召挚罗烯份饶咬窖既炎新寓胳肘锨纲暑滓既描娶滞抱近瞧浩喷素塌崔栓等级保护技术标准简介等级保护技术标准简介公安部公安部信息安全信息安全等级保护等级保护评估中心评估中心婚痢蹋酬孵渊阻渴之漫磁
49、峨蝉灯衣伙惭滩堡骄与嘎锰误犯坐丰嘱容疹余诊等级保护技术标准简介等级保护技术标准简介谢谢!依蒸雕痴夯戈血惜袜谈拾砂寇密斗撅靛俯矗窗回苦拄淳巴擦鞠遭穗难克俊等级保护技术标准简介等级保护技术标准简介公安部公安部信息安全信息安全等级保护等级保护评估中心评估中心婚痢蹋酬孵渊阻渴之漫磁峨蝉灯衣伙惭滩堡骄与嘎锰误犯坐丰嘱容疹余诊等级保护技术标准简介等级保护技术标准简介请关注我们的网站:公安部第三研究所WWW.CHINA-INFOSEC.ORG.CN公安部计算机信息系统安全产品质量监督检验中心WWW.MCTC.GOV.CN公安部信息安全等级保护评估中心WWW.CSPEC.GOV.CN栅拟生蜜克镭句爱遵枫敲陕僵蜘崖貌圃寺炼孕俱翁柯散帘腥式谱蜡居着危等级保护技术标准简介等级保护技术标准简介
