信息安全等级保护体系解读

信息安全等级保护体系解读,内容概要,信息安全等级保护的定义,信息安全等级保护制度是我国信息安全工作保障工作的基本制度和基本国策，是开展信息安全工作的基本方法，是促进信息化、维护国家信息安全的基本保障。,第一级安全保护第二级安全保护第三级安全保护第四级安全保护第五级安全保护,EAL1EAL2EAL3EAL4EAL5,特别重大事件（I级）重大事件（II级）较大事件（III级）一般事件（IV级）,信息系统安全保护等级的划分,信息安全等级保护的政策和法律体系,中华人民共和国计算机信息系统安全保护条例(国务院147号令),国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）,关于信息安全等级保护工作的实施意见（公通字200466号）,信息安全等级保护管理办法（公通字200743号),关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号）,信息安全等级保护备案实施细则（公信安20071360号）,关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号),关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号）,关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安303号文）,关于印发信息系统安全等级测评报告模版（试行）的通知（公信安20091487号）,公安机关信息安全等级保护检查工作规范（公信安2008736号）,信息安全等级保护工作,定级,备案,整改,测评,检查,信息安全等级保护技术和管理标准体系,计算机信息系统安全保护等级划分准则（GB17859）,信息系统安全等级保护定级指南,信息系统安全等级保护基本要求,技术类信息系统通用安全技术要求信息系统物理安全技术要求网络基础安全技术要求其它技术类标准,管理类信息系统安全管理要求信息系统安全工程管理要求其它管理类标准,产品类操作系统安全技术要求数据库管理系统安全技术要求网络和终端设备隔离部件安技术要求其它产品类标准,信息系统安全等级保护基本要求的行业细则,信息系统安全等级保护基本要求的定级细则,信息系统安全等级保护测评过程指南,信息系统等级保护安全设计技术要求,信息系统安全等级保护实施指南,信息系统安全等级保护测评要求,信息安全等级保护安全建设整改工作,安全等级,安全要求,现状分析,方法指导,信息安全等级保护所涉及的标准,通用类,1.计算机信息系统安全等级保护划分准则(GB17859)2.信息系统安全等级保护实施指南(GB/T25058)3.信息安全技术信息系统安全等级保护基本要求(GB/T22239)4.信息安全技术信息系统安全保护等级定级指南(GB/T22240)5.信息安全技术信息系统安全等级保护测评要求6.信息安全技术信息系统安全等级保护测评过程指南。,安全技术类,1.信息系统等级保护安全设计技术要求2.信息安全技术网络基础安全技术要求(GB/T20270)3.信息安全技术信息系统安全通用技术要求(GB/T20271)4.信息安全技术信息系统物理安全技术要求(GB/T21052)5.信息安全技术服务器安全技术要求(GB/T21028)6.信息安全技术操作系统安全技术要求(GB/T20272)7.信息安全技术数据库管理系统安全技术要求(GBT20273)。,安全管理类,1.信息安全技术信息系统安全管理要求(GB/T20269)2.信息安全技术信息系统安全工程管理要求(GB/T20282)3.信息技术安全技术信息安全事件管理指南(GB/Z20985)4.信息安全技术信息安全事件分类分级指南(GB/Z20986)。,等保2.0,为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用、情况下信息安全等级保护工作的开展，需对GB/T2239-2008进行修订新等保系列标准目前主要有六个部分GB/T22239.1信息安全技术网络安全等级保护基本要求第1部分安全通用要求GB/T22239.2信息安全技术网络安全等级保护基本要求第2部分云计算安全扩展要求GB/T22239.1信息安全技术网络安全等级保护基本要求第3部分移动互联安全扩展要求GB/T22239.1信息安全技术网络安全等级保护基本要求第4部分物联网安全扩展要求GB/T22239.1信息安全技术网络安全等级保护基本要求第5部分工业控制安全扩展要求GB/T22239.1信息安全技术网络安全等级保护基本要求第6部分大数据安全扩展要求,信息安全等级保护工作的职责和角色,行业主管部门：负责依照国家信息安全等级保护的管理规范和技术标准，督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。,公安机关：非涉密信息系统等级保护具体工作的监督、检查、指导。保密部门：涉密信息系统等保工作的监督、检查、指导。密码管理部门：密码工作的监督、检查、指导。国务院信息化工作办公室及地方信息化领导小组办事机构：各部门间的工作协调。,测评机构：对信息系统和信息安全产品进行等级保护测评，出具测评结论。,信息安全服务机构：协助信息系统运营、使用单位完成安全保护等级、安全需求分析、安全总体规划、实施安全建设和安全改造等。,信息系统运营、使用单位：确定安全保护等级，安全保护的规划设计，定级进行等保测评，建立信息安全事件应急响应体系。,信息安全产品供应商：开发符合等级保护相关要求的信息安全产品，按照等级保护相关要求销售信息安全产品并提供相关服务。,信息安全等级保护,信息安全等级保护工作概述,1.确定信息系统的安全防护等级，形成定级报告。,2.持定级报告到当地公安机关网监部门进行备案。,3.参照信息系统当前等级要求和标准，对信息系统进行整改加固。,4.委托具备测评资质的测评机构对信息系统进行等级测评，形成正式的测评报告。,5.向当地公安机关网监部门提交测评报告，配合完成对信息安全等级保护实施情况的检查。,信息安全等级保护定级,定级参考信息,业务信息安全保护等级矩阵表,系统服务安全保护等级矩阵表,定级流程,1.确定定级对象,2.确定业务信息安全受到破坏时所侵害的客体,3.综合评定对客体的侵害程度,4.业务信息安全等级（S）,5.确定系统服务安全受到破坏时所侵害的客体,6.综合评定对客体的侵害程度,7.系统服务安全等级（A）,8.定级对象的安全保护等级（SxAxGx）,信息安全等级保护备案,信息安全等级保护整改,信息安全等级保护测评,测评实施流程,等级测评项目启动,信息收集与分析,工具和表单准备,测评准备活动,测评对象确定,测评指标确定,测评内容确定,工具测评方法确定,测评指导书开发,测评方案编制,方案编制活动,现场测评准备,现场测评和结果记录,结果确认和资料归还,现场测评活动,单项测评结果判定,单元测评结果判定,整体测评,风险分析,等保测评结论形成,测评报告编制,报告编制活动,沟通与洽谈,信息安全等级保护检查,信息安全等级保护基本要求,安全运维管理,系统建设管理,物理和环境安全,网络和通信安全,设备和计算安全,安全策略和管理制度,安全管理机构和人员,应用和数据安全,安全建设管理,技术要求,管理要求,安全通用技术要求,典型等级保护安全技术方案,等级保护二/三级关键点说明,三级等保实施方案（通用）,云等保要点梳理,在云计算环境中，应将云服务方侧的云计算平台单独作为顶级对象定级，云租户侧的等级保护对象也应作为单独的顶级对象定级对于大型云计算平台，应将云计算基础设施和有关