等级保护政策、流程、内容、定级介绍.ppt

信息安全等级保护基本介绍 河南天祺信息安全技术有限公司 信息安全系统等级保护 信息安全等级保护发展历程1 等级保护的基本概念和含义2 等级保护和测评的作用3 等级保护主要工作内容4 等级保护主要工作流程5 等级保护定级工作流程6 信息安全系统等级保护 等级保护测评工作流程7 等级保护安全建设内容8 等级保护监督检查内容9 测评具体工作过程10 建设整改工作指南11 1 等级保护发展历程 v 1994年，国务院147号令中华人民共和国计算机 信息系统安全保护条例 v 2003年，中央办公厅、国务院（中办发200327号） 国家信息化领导小组关于加强信息安全保障工作的 意见 v 2004年，公安部、国家保密局、国家密码管理局、国务 院信息化工作办公室（公通字200466号）关于 信息安全等级保护工作的实施意见 v 2006年，公安部开展信息安全等级保护试点工作，制定 计算机信息安全等级划分准则（GB17859-1999） 1 等级保护发展历程 v 2007年，公安部、国家保密局、国家密码管理局、国务 院信息化工作办公室（公通字200743号）信息 安全等级保护管理办法，（公信2007861号） 关于开展全国重要信息系统安全等级保护定级工作的通 知，开始在全国范围内开展信息安全等级保护工作。 v 2010年10月15日，第十七届中央委员会第五次全体会议 中提出的十二五规划中要求“健全网络与信息安全法律 法规，完善信息安全标准体系和认证认可体系，实施信 息安全等级保护、风险评估等制度”。 v 2012年7月17日，国务院办公厅（国发201223号） 国务院关于大力推进信息化发展和切实保障信息安全 的若干意见，要求“落实信息安全等级保护制度，开 展相应等级的安全建设和管理，做好信息系统定级备案 、整改和监督检查”。 2 基本概念和含义 v 信息安全等级保护是指对国家秘密信息、法人和其他组 织及公民的专有信息以及公开信息和存储、传输、处理 这些信息的信息系统分等级实行安全保护（五级），详 细分级依据请见GBT 22240-2008 信息安全技术 信息 系统安全等级保护定级指南中描述； v 对信息系统中使用的信息安全产品实行按等级管理； v 对信息系统中发生的信息安全事件分等级响应、处置. 2 基本概念和含义 等级保护遵循的原则： v 自主保护原则 v 重点保护原则 v 同步建设原则 v 动态调整原则 2 基本概念和含义 工作实施过程中涉及到的角色和职责： v 国家管理部门 v 信息系统主管部门 v 信息系统运营、使用单位 v 信息安全服务机构 v 信息安全等级测评机构 v 信息安全产品供应商 3 等保测评作用 工作实施过程中涉及到的角色和职责： v 在信息系统建设、整改时，信息系统运营使用单位通过 等级测评进行安全需求分析，确定系统的特殊安全需求 。信息系统等级保护基本安全要求与确定的特殊安全需 求共同确定了该系统的安全需求。 v 在系统运维过程中，定期委托测评机构开展等级测评， 对信息系统安全等级保护状况、安全保障性能进行安全 测试，对信息安全管控能力进行考察和评价，从而判定 是否具备信息系统安全等级保护基本要求中相应等 级安全保护能力。 v 等级测评报告是信息系统后期开展整改加固的重要指导 性文件，也是信息系统备案的重要附件材料。等级测评 结论是信息系统满足要求程度的证明文件。 4 主要工作内容 工作实施过程中涉及到的角色和职责： v 系统定级 v 系统备案 v 安全建设 v 等级测评 v 监督检查 5 等级保护主要工作流程 v业务流程 备案 测评申请 测评 测评准备 不合格项整改 整改后测评 信息系统 6 等级保护定级工作流程 v定级流程 4 定级备级备案 报公安部门定级备案 3 评审评审 公安或信息化行政部门组织评审定级 2 申报报 报当地公安或信息化行政部门进行审定 1 自评评 客户自行选定系统相应的保护等级 注：各地公安根据实际情况的不同有不同的备案形式要求，请根据当地公安 要求递交所需文件 6 等级保护定级工作流程 v 定级原则 信息系统定级是整个信息系统安全等级保护工作的第 一个重要环节，是开展信息系统建设、整改、测评、备 案、监督检查等后续工作的重要基础。 信息系统定级工作的主体是信息系统运营和使用单位，坚 持“自主定级、自主保护”原则，因此定级工作应当由 信息系统的运营和使用单位来完成。 6 等级保护定级工作流程 v 定级受理备案审核材料 管理办法规定第二级以上信息系统应当在安全保护等级 确定后30日内，由其运营、使用单位到所在地区的市级 以上公安机关办理系统备案手续。 办理备案手续时，应填写信息系统安全等级保护备案 表，信息系统安全等级保护定级报告、系统定 级评审意见（或上级主管部门定级审核意见）、相关 电子数据等。 7 等级保护测评工作流程 v 测评流程 等级测评的工作流程，依据信息系统安全等级保护测 评过程指南，具体内容参见：等保测评工作流程图 7 等级保护测评工作流程 v测评内容 物理安全 网络安全 主机系统安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 信息 系统 综合测评 7 等级保护测评工作流程 v测评依据的相关标准体系 可以从多个角度来分析 A、从基本分类角度来看，分为：基础类标准、技术类 标准、管理类标准； B、从等级保护生命周期看，分为：系统定级用标准、 安全建设用标准、等级测评用标准、运行维护用标准、 通用标准； C、从对象角度看，分为：基础标准、系统标准、产品 标准、安全服务标准、安全事件标准等。 7 等级保护测评工作流程 v测评依据的主要标准 实施指南 信息安全技术 信息系统安全等级保护实施指南 （报批稿） 定级指南 GBT 22240-2008 信息安全技术 信息系统安全等级 保护定级指南 划分准则 GB 17859-1999 计算机信息系统安全保护等级划分 准则 7 等级保护测评工作流程 测评依据的基本要求 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 参照： GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 20270-2006 信息安全技术 网络基础安全技术要求 GB/T 20272-2006 信息安全技术 操作系统安全技术要求 GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求 GB/T 21028-2007 信息安全技术 服务器安全技术要求 GA/T 671-2006 信息安全技术 终端计算机系统安全等级技术要求 测评依据的测评要求 信息安全技术 信息系统安全等级保护测评要求 7 等级保护测评工作流程 v测评方法 访谈 文档审查 配置检查 工具测试 7 等级保护测评工作流程 v测评后续要求 信息系统建设完成后，运营、使用单位选择符合规定条 件的测评单位，依据信息系统安全等级保护测评要求 等技术标准，定期开展等级测评服务； 第三级系统每年至少进行一次等级测评，第四级系统每 半年至少进行一次等级测评； 8 等级保护安全建设内容 v安全建设 在信息系统安全保护等级确定以后，系统运营单位和使 用单位开展系统安全建设和改建工作，通常包括安全需 求分析、总体安全设计、详细安全设计、安全设施实现 和安全运行与维护等工作。 9 等级保护监督检查内容 v监督检查 公安机关负责信息安全等级保护工作的督促、检查、指 导； 受理备案的公安机关对第三级信息系统的运营、使用单 位每年至少检查一次，对第四级每半年检查一次； 公安机关检查发现不符合有关管理规范和技术标准的， 发出整改通知并进行整改。 10 测评具体工作过程 v准备过程 p等级测评项目启动 ：组建等级测评项目组，从资料 、人员、计划安排等方面为整个等级测评项目的实 施做好准备。 p信息收集和分析 ：查阅被测系统已有资料或使用调 查表单的方式，了解整个系统的构成和保护情况， 为编写测评方案和开展现场测评工作奠定基础。 p工具和文档准备 ：确认测评工具，打印的各类文档 ：现场测评授权书、测评结果记录表格（含测评人 员入场和离场确认）、文档交接单。 10 测评具体工作过程 v方案编制过程 p测评对象确定 ：根据已经了解到的被测系统信息，分析 整个被测系统和各测评业务系统，确定出本次测评的测 评对象。 p测评指标确定 ：根据已经了解到的被测系统定级结果， 确定出本次测评的测评指标。 p测评内容确定 ：确定现场测评的具体实施内容，包括单 元测评和系统测评。 p测评实施手册开发：测评实施手册制定，包括指导测评 人员如何进行测评活动，及现场测评的工具、方法和操 作步骤等的详细描述。 p测评方案编制 ：完成测评方案编制，方案包括：项目概 述、测评对象、测评指标、测评工具的接入点、单元测 评实施、系统测评实施以及配套的测评实施手册。 10 测评具体工作过程 v测评实施过程 p测评实施准备 ：实施现场测评的启动过程，确认更 新后的测评计划和测评程序，确认授权委托书。 p现场测评和结果记录：通过访谈、文档审查、配置 检查、工具测试和实地察看，对技术安全和管理安 全测评的测评结果记录。 p结果确认和资料归还 ：测评结果记录。 10 测评具体工作过程 v分析与报告编制过程 p系统整体测评分析 ：从安全控制间、层面间和区域 间出发考虑，给出系统整体测评的具体结果和结论 ，并对系统结构进行整体安全测评。 p测评报告编制 ：经过评审和确认的被测系统等级测 评报告。 10 测评具体工作过程 v整改后测评和残余风险评估 p首次测评完成后，需将发现问题及整改意见回馈给 被测评方。得到确认后，需给被测评方预留一段整 改时间，进行整改。 p被测评方整改完成后，本公司测评人员对被测系统 进行整改后测评，主要针对首次测评中发现问题的 整改情况测评。 p如果有些问题不能进行整改或整改后会造成较大的 损失，针对此问题被测评方可不进行整改，本公司 测评人员为被测评方提供此类问题的残余风险评估 ，将在测评报告中体现最终整改后的测评结果和残 余风险评估等信息。 10 测评具体工作过程 v测评报告备案 p将最终的测评报告和首次测评后的整改问题汇总的 纸版文档一并提交给之前定级备案的公安机关（省 公安厅或各市公安局）进行最终备案。 10 测评具体工作过程 v配合工作内容 测评小组指导下填写信息系统基本情况调查表； 确定项目协调人员、项目配合人员； 根据需要安排会议场地，组织项目会议所需参加的 会议人员； 提供测评小组临时办公场地； 明确项目授权签字、测评记录结果确认签字资格和 工具扫描与渗透测试授权签字权利资格； 在测评期间如果需要查看相关制度记录，请确认授 予相关资料查询权限； 提供测评小组进出相关检测场地的出入权限； 如果因测评项目具体需要，请准予提供相关服务， 例如在工具扫描时需要分配网线接口，临时分配合 法IP等； 其他相关事宜。 11 建设整改工作指南 v总则 v安全管理制度建设 v安全技术措施建设 总则 v工作目标 通过落实安全责任制，开展管理制度建设、技术措 施建设，落实等级保护制度的各项要求，使信息系 统安全管理水平明显提高，安全保护能力明显增强 ，安全隐患和安全事故明显减少，有效保障信息化 健康发展，维护国家安全、社会秩序和公共利益。 总则 v工作内容 落实信息安全责任制，建立并落实各类安全管理制 度，开展人员安全管理、系统建设管理和系统运维 管理等工作，落实物理安全、网络安全、主机安全 、应用安全和数据安全等安全保护技术措施 需要说明的是：不同级别信息系统安全建设整改的 具体内容应根据信息系统定级时的业务信息安全等 级和系统服务安全等级，以及信息系统安全保护现 状确定。信息系统安全建设整改工作具体实施可以 根据实际情况，将安全管理和安全技术整改内容一 并实施，或分步实施 总则 v工作流程 第一步：制定信息系统安全建设整改工作规划，对 信息系统安全建设整改工作进行总体部署； 第二步：开展信息系统安全保护现状分析，从管理 和技术两个方面确定信息系统安全建设整改需求； 第三步：确定安全保护策略，制定信息系统安全建 设整改方案； 第四步：开展信息系统安全建设整改工作，建立并 落实安全管理制度，落实安全责任制，建设安全设 施，落实安全措施； 第五步：开展安全自查和等级测评，及时发现信息 系统中存在安全隐患和威胁，进一步开展安全建设 整改工作。 总则 v标准应用 信息系统安全建设整改工作应依据基本要求， 并在不同阶段、针对不同技术活动参照相应的标准 规范进行。 需要说明的是：计算机信息系统安全保护等级划 分准则及配套标准是基本要求的基础；基 本要求是信息系统安全建设整改的依据；定级 指南为定级工作提供指导；测评要求等标准 规范等级测评活动；实施指南等标准指导等级 保护建设； 总则 v安全保护能力目标 第二级信息系统：经过安全建设整改，信息系统具 有抵御小规模、较弱强度恶意攻击的能力，抵抗一 般的自然灾害的能力，防范一般性计算机病毒和恶 意代码危害的能力；具有检测常见的攻击行为，并 对安全事件进行记录的能力；系统遭到损害后，具 有恢复系统正常运行状态的能力。 安全管理制度建设 v按照国家有关规定，依据基本要求，参照 信息系统安全管理要求等标准规范要求， 开展信息系统等级保护安全管理制度建设工作 。 安全技术措施建设 v按照国家有关规定，依据基本要求，参照 信息系统通用安全技术要求、信息系统 等级保护安全设计技术要求等标准规范要求 ，开展信息系统安全技术建设整改工作 等保过程中的常见问题 问：公安部门要求什么时间完成等保测评？我们 还没有定级，预算经费也没有报，如何开展工 作？ 答：根据公安文件要求的时间开展测评工作。如 果还没有定级，则根据定级要求和流程，先向 公安递交定级备案文件，预算纳入下一年度工 作计划，在经费未落实前，可以先行进行系统 了解、系统加固配合工作。 定级专家评审时间：每季度或每半年（或不定 期），由公安组织专家评审。 等保过程中的常见问题 问：定级对象范围是什么？一般是以什么界限来划 分？是不是所有的系统都要申报？ 答：定级对象范围： 1、起支撑、传输作用的信息网络（包括专网、内 网、外网、网管系统），网络要合理划分区域； 2、用于生产、调度、管理、作业、指挥、办公等 目的的各类业务系统，跨省或者全国联网运行信 息系统的分支系统也要单独定级； 3、各单位网站。 等保过程中的常见问题 问：实际操作中如何定级？区别？ 答：第二级信息系统：适用于县级某些单位中的重要信息 系统；地市级以上国家机关、企事业单位内部一般的 信息系统。例如非涉及工作秘密、商业秘密、敏感信 息的办公系统和管理系统等。 第三级信息系统：一般适用于地市级以上国家机关、 企事业单位内部重要的信息系统，例如涉及工作秘密 、商业秘密、敏感信息的办公系统和管理系统；跨省 或全国联网运行的用于生产、调度、管理、指挥、作 业、控制等方面的重要信息系统以及这类系统在省、 地市的分支系统；中央各部委、省（区、市）门户网 站和重要网站；跨省联接的网络系统等。 在实际操作中，可参考备案单位自主定级分类指南。 等保过程中的常见问题 问：递交的备案资料都包括哪些内容？ 答：1、信息系统安全等级保护备案表（一式 两份） 2、信息系统安全等级保护定级报告（一 个系统一份） 3、系统定级评审意见（或上级主管部门 定级审核意见） 4、相关电子数据等 等保过程中的常见问题 问：定级报告一般都包括哪些部分？ 答：1、定级依据 包括与本次信息系统定级相关的法规、标准、规范和文件等 ，例如管理办法、定级指南、本行业的安全管理规定等 确定信息系统安全保护等级所需依据的文件。 2、信息系统划分 详细描述信息系统的管理机构和管理职责、网络结构和对外 边界、承载业务种类、处理的主要信息等。如果定