信息系统安全等级保护标准体系.ppt

信息系统安全等级保护 标准体系,武汉安域信息安全技术有限公司 余少波 博士 地址：湖北武汉东湖开发区武大园路6号 电话电邮：,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,定级指南,基本要求,测评要求,等级保护标准体系,等级保护标准体系,信息安全等级保护标准体系由等级保护工作过程中所需的所有标准组成，整个标准体系可以从多个角度分析 从基本分类角度看 基础类标准 技术类标准 管理类标准 从对象角度看 基础标准 系统标准 产品标准 安全服务标准 安全事件标准等,等级保护标准体系,从等级保护生命周期看 通用/基础标准 系统定级用标准 安全建设用标准 等级测评用标准 运行维护用标准等,等级保护标准体系,一是：定级备案 二是：建设整改 三是：等级测评 四是：监督检查,等级保护标准体系-主要工作,（一）基础 1、计算机信息系统安全保护等级划分准则GB17859-1999 2、信息系统安全等级保护实施指南GB/T 25058-2010 （二）系统定级环节 3、信息系统安全保护等级定级指南GB/T22240-2008 （三）建设整改环节 4、信息系统安全等级保护基本要求GB/T22239-2008 （四）等级测评环节 5、信息系统安全等级保护测评要求(国标报批稿) 6、信息系统安全等级保护测评过程指南(国标报批稿),等级保护标准体系-主要标准,信息安全等级保护管理办法（公通字200743号，以下简称管理办法） 计算机信息安全保护等级划分准则（GB 17859-1999，简称划分准则） 信息系统安全等级保护实施指南 GB/T 25058-2010 （简称实施指南） 信息系统安全保护等级定级指南（GB/T 22240-2008，简称定级指南） 信息系统安全等级保护基本要求（GB/T 22239-2008，简称基本要求） 信息系统安全等级保护测评要求（简称测评要求） 信息系统安全等级保护测评过程指南 （简称测评过程指南）,等级保护标准体系-主要标准和政策,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,定级指南,基本要求,测评要求,具体做法,等级确定与备案,自查与等级测评,等级保护运行与管理,基本要求，实施指南、 安全产品标准,定级指南、实施指南,监督管理要求、 基本要求、测评要求,基本要求，定级指南、 实施指南，设计规范、测评要求,安全规划与设计,安全建设与实现,监督管理要求实施指南,标准定位和关系,管理办法(43文件)（总要求） 实施指南（GB/T25058-2010） 定级指南（GB/T22240-2008） 基本要求（GB/T22239-2008） 测评要求 建设指南,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,定级指南,基本要求,测评要求,管理办法,管理办法第八条: 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理 。,管理办法,管理办法第九条: 信息系统运营、使用单位应当按照信息系统安全等级保护实施指南具体实施等级保护工作。,管理办法,管理办法第十条: 信息系统运营、使用单位应当依据本办法和信息系统安全等级保护定级指南确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。,管理办法,管理办法第十二条: 在信息系统建设过程中，运营、使用单位应当按照计算机信息系统安全保护等级划分准则（GB17859-1999）、信息系统安全等级保护基本要求等技术标准，参照等技术标准同步建设符合该等级要求的信息安全设施。,管理办法,管理办法第十三条: 运营、使用单位应当参照信息安全技术信息系统安全管理要求（GB/T20269-2006）、信息安全技术信息系统安全工程管理要求（GB/T20282-2006）、信息系统安全等级保护基本要求等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。,管理办法,管理办法第十四条: 信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据信息系统安全等级保护测评要求等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,定级指南,基本要求,测评要求,实施指南,介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动，通过对过程和活动的介绍，使大家了解对信息系统实施等级保护的流程方法，以及不同的角色在不同阶段的作用等。,实施指南,等级变更,局部调整,信息系统定级,总体安全规划,安全设计与实施,安全运行维护,信息系统终止,实施指南的主要思路,以信息系统安全等级保护建设为主要线索， 定义信息系统等级保护实施的主要阶段和过程 对每个阶段介绍和描述主要的过程和实施活动 对每个活动说明实施主体、主要活动内容和输入输出等,实施指南标准的结构,正文由9个章节1个附录构成 1. 范围 2.规范性引用文件 3术语定义 4. 等级保护实施概述 5.信息系统定级 6.总体安全规划 7.安全设计/实施 8.安全运行维护 9.信息系统终止 附录A 主要过程及其输出,实施指南中的主要概念,阶段 过程 主要活动 子活动 活动输入 活动输出,实施指南特点,阶段 过程 活动 子活动 例如: 信息系统定级 信息系统分析 系统识别和描绘 识别信息系统的基本信息 识别信息系统的管理框架 信息系统划分,系统定级阶段-实施流程,主要输入,主要输出,过程,系统立项文档 系统建设文档 系统管理文档,信息系统分析,系统总体描述文件 系统详细描述文件,安全保护等级确定,系统总体描述文件 系统详细描述文件,系统安全保护等级定级建议书,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,定级指南,基本要求,测评要求,定级指南,安全保护等级 等级的确定是不依赖于安全保护措施的，具有一定的“客观性”，即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级，而非由“后天”的安全保护措施决定。,标准的结构,正文由6个章节构成 1. 范围 2. 规范性引用文件 3. 术语定义 4. 定级原理 5. 定级方法 6. 级别变更,-定级原理,五个等级的定义 第一级, 信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。,-定级原理,-定级方法,确定定级对象； 确定业务信息安全受到破坏时所侵害的客体； 综合评定业务信息安全被破坏对客体的侵害程度； 得到业务信息安全等级； 确定系统服务安全受到破坏时所侵害的客体； 综合评定系统服务安全被破坏对客体的侵害程度； 得到系统服务安全等级； 由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。,可能的系统级别,第一级 S1A1G1 第二级 S1A2G2，S2A2G2，S2A1G2 第三级 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 第四级 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,定级指南,基本要求,测评要求,36,标准背景,03年，27号文件进一步明确信息安全等级保护制度 04年，66号文件要求“尽快制定、完善法律法规和标准体系” 编制历程 04年10月，接受公安部的标准编制任务 05年 6月，完成初稿，广泛征求安全领域专家和行业用户意见； 05年10月，征求意见稿第一稿，国信办、安标委评审 05年11月，征求意见稿第三稿 06年 6月，试点工作 07年04月，征求意见稿第四稿，安标委专家评审 07年05月，形成报批稿 08年6月19日，正式发布，08年11月1日正式实施。,37,标准定位,GB 17859-1999的细化和发展 吸收安全机制并扩展到不同层面 增加安全管理方面的内容 借鉴PDR、CMM、17799 关注可操作性 最佳实践 当前技术的发展 机制要求（目标/要求）,信息系统安全等级保护基本要求,计算机信息系统安全保护等级划分准则（GB17859）,信息系统通用安全 技术要求,信息系统物理安全 技术要求,技术类,其他技术类标准,信息系统安全 管理要求,信息系统安全工程 管理要求,其他管理类标准,信息系统安全等级保护定级指南,信息系统安全等级保护基本要求的行业细则,信息系统安全等级保护测评过程指南,信息系统安全等级保护测评要求,信息系统等级保护安全设计技术要求,管理类,产品类,数据库管理系统安全技术要求,其他产品类标准,信息系统安全等级保护行业定级细则,操作系统安全技术 要求,信息系统安全等级保护建设整改,网络基础安全技术 要求,网络和终端设备隔离部件技术要求,安全定级,基线要求,状态分析,方法指导,信息系统安全等级保护实施指南,等级保护有关标准 在安全建设整改工作中的作用,38,39,与其他标准的关系,GB17859-1999是基础性标准，基本要求17859基础上的进一步细化和扩展。 定级指南确定出系统等级以及业务信息安全性等级和业务服务保证性等级后，需要按照相应等级，根据基本要求选择相应等级的安全保护要求进行系统建设实施。 测评要求是依据基本要求检验系统的各项保护措施是否达到相应等级的基本要求所规定的保护能力。,40,标准适用范围,用户范围 信息系统的主管部门及运营使用单位 测评机构 安全服务机构（系统集成商，软件开发商） 信息安全监管职能部门 适用环节 需求分析 方案设计、系统建设与验收 运行维护、等级测评、自查,标准的编制思路,门槛合理 对每个级别的信息系统安全要求设置合理，按照基本要求建设后，确实达到期望的安全保护能力 内容完整 综合技术、管理各个方面的要求，安全要求内容考虑全面、完整，覆盖信息系统生命周期 便于使用 安全要求分类方式合理，便于安全保护、检测评估、监督检查实施各方的灵活使用,41,42,描述模型,43,基本安全保护能力,对抗能力和恢复能力共同构成了信息系统的安全保护能力。 安全保护能力主要表现为信息系统应对威胁的能力，称为对抗能力，但当信息系统无法阻挡威胁对自身的破坏时，信息系统的恢复能力使系统在一定时间内恢复到原有状态，从而降低负面影响。,44,能力目标,第一级安全保护能力 应具有能够对抗来自个人的、拥有很少资源（如利用公开可获取的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度弱、持续时间很短、系统局部范围等）、以及其他相当危害程度的威胁所造成的关键资源损害，并在威胁发生后，能够恢复部分功能。,45,能力目标,第二级安全保护能力 应具有能够对抗来自小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小（局部性）等）、以及其他相当危害程度（无意失误、设备故障等）的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。,46,能力目标,第三级安全保护能力 应具有能够对抗来自大型的、有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广（地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的较严重故障等）威胁的能力，并在威胁发生后，能够较快恢复绝大部分功能。,47,能力目标,第四级安全保护能力 应具有能够对抗来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难（灾难发生的强度大、持续时间长、覆盖范围广（多地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的严重故障等）威胁的能力，并在威胁发生后，能够迅速恢复所有功能。,48,描述模型,一级系统,二级系统,三级系统,防护,防护/检测,策略/防护/检测/恢复,策略/防护/检测/恢复/响应,四级系统,技术要求特点,49,描述模型,一级系统,二级系统,三级系统,四级系统,管理要求特点,一般执行（部分活动建制度）,计划实施（主要过程建制度）,统一策略（管理制度体系化）,持续改进（管理制度体系化/验证/改进）,50,描述模型,一级系统,二级系统,三级系统,四级系统,覆盖范围特点,通信/边界（关键资源）,通信/边界/内部（重要设备）,通信/边界/内部（主要设备）,通信/边界/内部/基础设施（所有设备）,51,描述结构,52,安全类,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全及备份恢复,安全管理制度,安全管理机构,人员安全管理,系统建设管理,系统运维管理,类,53,示例,7 第三级基本要求 7.1 技术要求 7.1.1 物理安全 物理位置的选择 本项要求包括 a) 机房和办公场地应选择在具有防震、防 风和防雨等能力的建筑内 b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。 。,类,要求项,控制点,54,控制点标注,业务信息安全相关要求（标记为S） 系统服务保证相关要求（标记为A） 通用安全保护要求（标记为G） 技术要求（3种标注） 管理要求（统属G）,55,描述模型,业务信息安全相关要求（S） 电磁防护 访问控制 数据完整性 数据保密性 系统服务保证相关要求（A） 电力供应 软件容错 备份与恢复 资源控制 通用安全保护要求（G） 管理要求和大部分技术要求,逐级增强的特点,控制点增加 要求项增加 要求项增强 范围增大 要求细化 要求粒度细化,57,逐级增强的特点-控制点增加,三级基本要求：在二级基本要求的基础上，技术方面，在控制点上增加了网络恶意代码防范、剩余信息保护、软件容错、抗抵赖等。管理方面，增加了系统备案、安全测评、监控管理和安全管理中心等控制点。 四级基本要求：在三级基本要求的基础上，技术方面，在系统和应用层面控制点上增加了安全标记、可信路径，,58,不同级别系统控制点的差异汇总,59,逐级增强的特点-要求项增加,要求项增多，如，对“身份鉴别”，一级要求“进行身份标识和鉴别”，二级增加要求“口令复杂度、登录失败保护等”；而三级则要求“采用两种或两种以上组合的鉴别技术 ”。 项目增加，要求增强。,60,不同级别系统要求项的差异汇总,61,逐级增强的特点-要求项增强,范围增大，如，对物理安全的“防静电”，二级只要求“关键设备应采用必要的接地防静电措施”；而三级则在对象的范围上发生了变化，为“主要设备应采用必要的接地防静电措施”。范围的扩大，表明了该要求项强度的增强。 。,62,逐级增强的特点-要求项增强,要求细化：如，人员安全管理中的“安全意识教育和培训”，二级要求“应制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训”，而三级在对培训计划进行了进一步的细化，为“应针对不同岗位制定不同培训计划”，培训计划有了针对性，更符合各个岗位人员的实际需要。,63,逐级增强的特点-要求项增强,粒度细化：如，网络安全中的“访问控制”，二级要求“控制粒度为网段级”，而三级要求则将控制粒度细化，为“控制粒度为端口级”。由“网段级”到“端口级”，粒度上的细化，同样也增强了要求的强度。,64,基本要求文档结构,由9个章节2个附录构成 1.适用范围 2.规范性引用文件 3.术语定义 4.信息系统安全等级保护概述 .9五个等级的基本要求 附录A 关于信息系统整体安全保护能力的要求 附录B 基本安全要求的选择和使用,65,各级的要求-物理安全,物理位置选择,物理安全,物理访问控制,防盗窃和防破坏,防 雷 击,防火,防 水 和 防 潮,电力供应,电磁防护,防 静 电,温 湿 度 控 制,66,等级要求-物理安全,物理安全要求主要由机房（包括主、辅机房、介质存放间等）所部署的设备设施和采取的安全技术措施两方面提供的功能来满足。 部分物理安全要求涉及到终端所在的办公场地。,67,68,各级的要求-网络安全,网络安全,结构安全,网络访问控制,网络安全审计,边界完整性检查,网络入侵检测,恶意代码防护,网络设备防护,69,等级要求-网络安全,网络安全要求中对广域网络、城域网络等通信网络的要求由构成通信网络的网络设备、安全设备等的网络管理机制提供的功能来满足。 对局域网安全的要求主要通过采用、防火墙、入侵检测系统、恶意代码防范系统、安全管理中心等设备提供的安全功能来满足。,70,71,各级的要求-主机安全,主机安全,身份鉴别,访问控制,可信路径,安全审计,剩余信息保护,入侵防范,恶意代码防范,资源控制,安全标记,72,等级要求-主机安全,主机包括应用服务器、数据库服务器、安全软件所安装的服务器及管理终端、业务终端、办公终端等。 主机安全要求通过操作系统、数据库管理系统及其他安全软件（包括防病毒、防入侵、木马检测等软件）实现的安全功能来满足。,73,74,各级的要求-应用安全,应用安全,身份鉴别,访问控制,通信完整性,通信保密性,安全审计,剩余信息保护,抗抵赖,软件容错,资源控制,代码安全,75,等级要求-应用安全,应用安全要求通过应用系统、应用平台系统等实现的安全功能来满足。 如果应用系统是多层结构的，一般不同层的应用都需要实现同样强度的身份鉴别、访问控制、安全审计、剩余信息保护及资源控制等。 通信保密性、完整性一般在一个层面实现。,76,各级的要求-数据安全及备份和恢复,数据安全,数据完整性,数据保密性,备份和恢复,77,78,各级的要求-安全管理,79,各级的要求-安全管理机构,岗位设置,安全管理机构,人员配备,授权和审批,沟通与合作,审核和检查,80,81,各级的要求-安全管理制度,管理制度,安全管理制度,制定和发布,评审和修订,82,83,各级的要求-人员安全管理,人员安全管理,人员录用,人员离岗,人员考核,安全意识教育和培训,外部人员访问管理,84,85,各级的要求-系统建设管理,系统建设管理,系统定级,安全方案设计,产品采购,自行软件开发,外包软件开发,工程实施,测试验收,系统交付,安全服务商选择,系统备案,等级测评,86,87,各级的要求-系统运维管理,88,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,定级指南,基本要求,测评要求,测评要求,在内容上，与基本要求一一对应，直接把基本要求的要求项作为测评要求的测评指标。 在方法上，涵盖访谈、检查和测试三种基本方法，充分考虑方法实施的可行性。 在强度上，与安全等级相适应。 在结果上，单点测试，整体评价相结合,主要内容,主体由10个章节构成 1.范围 2.规范性引用文件 3.术语、定义和符号 4.安全测评概述 5.第1级安全控制测评 6.第2级安全控制测评 7.第3级安全控制测评 8.第4级安全控制测评 9.第5级安全控制测评 10.系统整体测评 附录A 测评强度 附录B 关于系统整体测评的进一步说明,测评要求的作用,指导系统运营使用单位进行自查 指导测评机构进行等级测评 监管职能部门参照进行监督检查 规范测评内容和行为,测评要求和基本要求的关系,基本要求规定了信息系统安全等级保护的基本要求，包括基本技术要求和基本管理要求，适用于不同安全等级信息系统的安全保护 。 测评要求规定了对信息系统安全控制进行等级测评的基本内容，使用到的测评方法，涉及到的测评对象，实施测评的过程要求，以及对测评结果进行判定的基本规则。 内容和结构上，存在一一对应关系。,测评方法,访谈通过与信息系统用户（个人/群体）迚行交流、认论等活劢，获取相关证据证明信息系统安全保护措施是否落实的一种方法。 检查通过对测评对象（设备、文档、现场等）迚行观察、查验、分析等活劢，获取相关证据证明信息系统安全保护措施是否有效的一种方法。 测试利用预定的方法/工具使测评对象产生特定的行为活劢，查看输出结果与预期结果的差异，以获取证据证明信息系统安全保护措施是否有效的一种方法。,Telematics的产业链（以车厂为主）,fee,fee,fee,fee,Contents,Contents,CRM Data,Monthly Subscription,Mobility Services,Wireless Connections,Connection Fee,Telematics Services,内容采集商,内容整合商,终端厂商,通信运营商,Telematics 服务提供商,汽车厂商,客户,Telematics发展,总体情况介绍-等级保护标准制修订背景,1994年，中华人民共和国计算机信息系统安全保护条例的发布 1999年，计算机信息系统安全保护等级划分准则 GB17859-1999发布 2001年，国家发改委“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台建设项目”（1110）工程实施 2003年，中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见 2004年，四部委联合签发了关于信息安全等级保护工作的实施意见 ,总体情况介绍-等级保护标准制修订背景,定级指南标准编制 情况介绍,定级指南标准编制情况介绍,背景介绍 等级确定的原则 决定等级的主要因素分析 等级确定方法 等级划分流程,背景介绍,与系统等级相关的国外资料： FIPS 199（美国联邦政府） 根据信息系统所处理信息的机密性、完整性和可用性被破坏的影响确定。 IATF（NSA） 根据信息价值与威胁确定系统强健度等级。 DITSCAP （DOD） 根据互联模式、处理模式、业务依赖、三性、不可否认性等七个方面确定系统认证级。,背景介绍,上述定级方法存在问题 仅由信息重要性确定信息系统的等级，对大型企业和重点行业的重要业务系统不合适。 在通过三性影响分析，并根据三者取高的方法中，无法为可用性要求高和保密性要求高两类系统提出统一的技术要求。 确定系统等级，与业务无关，不满足等级保护的监管需要。 定级范围往往只在局部范围内。,等级确定的原则,全局性原则 信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度，信息系统安全保护等级的划分也必须从国家层面考虑，体现全局性。 业务为核心原则 信息系统是为业务应用服务的，信息系统的安全保护等级应当依据信息系统承载业务的重要性、业务对信息系统的依赖度和系统特殊的安全需求确定。,等级确定的原则,满足监管要求原则 信息系统安全保护等级既不是信息系统安全保障等级，也不是信息系统所能达到的技术能力等级，而是从安全监管需要，从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。 合理性原则 不同于信息安全产品，信息系统千差万别，各具特色，只有在划分安全保护等级的过程中，尽可能反映出信息系统的主要安全特征，合理划分等级，才能做到突出重点，适度保护。,决定等级的主要因素分析,从目前的资料上看，已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括： 单位业务在国家事务中的重要性（实施意见）； 资产（包括有形资产和无形资产）（FIPS199，IATF，DITSCAP，NIST800-37）； 威胁（IATF）； 信息被破坏后对国家、社会公共利益和单位或个人的影响（FIPS199，通用要求，实施指南）； 单位业务对信息系统的依赖程度（DITSCAP）,决定等级的主要因素分析,经分析，除排除威胁因素外，划分等级时应考虑以下因素： 信息系统所属类型，即信息系统的安全利益主体。 信息系统主要处理的业务数据类别。 信息系统服务范围，包括服务对象和服务网络覆盖范围。 业务处理的自动化程度，或以手工作业替代信息系统处理业务的程度。,决定等级的主要因素分析,信息系统所属类型,业务数据类别,信息系统服务范围,业务处理的自动化程度,业务重要性,业务数据安全性,业务处理连续性,业务依赖性,决定等级的主要因素分析,业务数据安全性,业务处理连续性,信息系统安全保护等级,等级确定方法,具体步骤： 通过对信息系统类型和业务数据类型赋值，确定信息系统的业务数据安全性等级； 通过对信息系统服务范围和业务处理自动化程度赋值，确定信息系统的业务处理连续性等级； 通过业务数据安全性等级和业务处理连续性等级确定信息系统安全保护等级。 等级调整,信息系统类型赋值,信息系统所属类型赋值表,信息系统类型举例,典型的信息系统所属类型,确定业务数据安全性,业务数据安全性等级矩阵,确定信息系统安全保护等级,信息系统的安全保护等级由业务数据安全性等级和业务处理连续性等级较高者决定。,组合形式,信息系统安全保护等级对应的业务数据安全性要求级别（Sx）和业务处理连续性要求级别(Cy)的组合。,等级划分流程,划分信息系统/子系统,分析承载的业务重要性和依赖度,确定信息系统/子系统安全保护等级,调整信息系统/子系统安全保护等级,基本要求标准编制 情况介绍,基本要求标准编制的主要思路,根据6号文件描述的5个监管等级对象，确定保护对象； 根据保护对象所可能面临的威胁，确定系统的整体保护能力； 根据所应具有的整体保护能力，确定系统的安全目标； 提出满足安全目标的安全要求。,5个监管等级对象,第一级：信息系统所承载业务涉及公民、法人和其他组织的权益，受到破坏后对公民、法人和其他组织的权益造成一定损害；该业务的开展在一定程度上依托于信息系统，系统受到破坏后对业务正常开展产生一定影响。 第二级：信息系统所承载的业务直接关系到公民、法人和其他组织的权益，受到破坏后会对公民、法人和其他组织的权益造成严重损害；该业务的开展主要依托于信息系统，系统受到破坏后影响业务正常开展。 第三级：信息系统所承载的业务涉及国家、社会和公共利益，受到破坏后会对国家、社会和公共利益造成损害的；该业务的开展主要依托于信息系统，系统受到破坏后影响业务正常开展。,5个监管等级对象,第四级：信息系统所承载的业务直接关系到国家、社会和公共利益，受到破坏后会对国家、社会和公共利益造成严重损害的；该业务的开展完全依托于信息系统，系统受到破坏后业务无法开展。 第五级：信息系统所承载的业务受到破坏后，会直接对国家安全造成严重损害。,整体保护能力,各级系统应对威胁的能力是不同的，即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后，系统能够恢复之前的各种状态的能力是不同的。 系统的整体保护能力就是由威胁对抗能力和恢复能力的组合而成。,整体保护能力-威胁分类,整体保护能力-威胁分级描述,不同级别对抗的威胁的种类不同 对于同类威胁，不同级别对抗的具体威胁的破坏能力也不同。,安全目标,每一级的安全目标与威胁之间存在对应关系，每个威胁至少被一个安全目标所覆盖；反过来，每个安全目标至少覆盖一个威胁。 一级具有15个技术目标，16个管理目标；二级具有29个技术目标，25个管理目标；三级具有36个技术目标，27个管理目标；四级具有41个技术目标，28个管理目标。,安全要求的选择,信息系统的安全要求包括安全技术要求和安全管理要求两类。 根据信息系统的业务数据安全性等级（S）和业务处理连续性等级（C），分别选择S类技术要求、C类技术要求和G类技术要求。 信息系统的安全等级与技术要求组合是一对多的关系。,安全要求等级区别,安全要求的增加 安全要求的增强,安全技术要求的组成,安全技术要求-物理,安全技术要求-网络,安全技术要求-主机,安全技术要求-应用,安全技术要求-数据,安全管理要求,管理部分形成的基本思路,管理部分的覆盖范围,信息系统的生命周期,系统规划(定级规划等),系统设计(设计开发采购等),系统实施(安装配置测试等),系统运维,系统废弃,管理人员,管理制度,组织的使命目标战略政策,系统变更,管理机构,不同级别之间的区别,管理活动控制点的增加 每个控制点具体管理要求的增多 管理活动的能力逐步加强 借鉴能力成熟度模型（CMM） 一级 非正式执行 二级 计划和跟踪 三级 良好定义 四级 持续改进,安全管理机构,岗位设置 人员配备 授权和审批 沟通和合作 审核和检查,安全管理制度,管理制度 制定和发布 评审和修订,安全管理人员,人员录用 人员离岗 人员考核 安全意识教育和培训 第三方人员管理,系统建设管理,系统定级 安全风险评估 安全方案设计 产品采购 自行开发设计 外包开发设计,工程实施 测试验收 系统交付 安全测评 系统备案 安全服务商选择,系统运维管理,环境管理 资产管理 介质管理 设备使用管理 运行维护和监控管理 网络安全管理,系统安全管理 恶意代码防护管理 密码管理 变更管理 备份和恢复管理 安全事件处置 应急计划管理,实施指南标准编制 情况介绍,实施指南标准编制目标,实施指南作为一个对信息系统实施等级保护的指南性文件，其目标是介绍和描述实施信息系统等级保护过程中应该涉及的阶段和从事的活动，包括： 活动的内容和控制方法； 活动的主要参与者； 活动中将要使用的等级保护相关标准； 活动的主要工作产品等 通过过程和活动的介绍，使读者了解和知晓对信息系统实施等级保护的方法，不同的角色在不同阶段的作用等等。,实施指南标准编制的主要思路,以信息系统等级保护建设为主要线索 定义信息系统等级保护实