等级保护和分级保护基础培训ppt课件.ppt

等级保护和分级保护基础培训 PART01 等级保护测评 基础 等级保护五个级别 第一级自主保护级 第二级指导保护级 第三级监督保护级 第四级强制保护级 第五级专控保护级 等级保护的主要对象 等级保护主要对象 等级保护定级的主要标准 信息系统定级主要考虑两个方面 一是业务信息收到破坏客体是谁 二是对客体侵害程度如何 两个方面结合起来 根据下表制定信息系统应该定位第几级 等级保护相关政策法规 2005年前 中华人民共和国计算机信息系统安全保护条例 1994年国务院147号令 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 关于信息安全等级保护工作的实施意见 公通字 2004 66号 2007 信息安全等级保护管理办法 公通字 2007 43号 关于开展全国重要信息系统安全等级保护定级工作的通知 公信安 2007 861号 2009 2009年信息安全等级保护工作内容及具体要求 公信安 2009 232 2012 计算机信息网络国际联网安全保护管理办法 公安部第33号令 2012 02 06 中华人民共和国计算机信息系统安全保护条例 2012 02 07 2017年 互联网安全保护技术措施规定 公安部令第82号 2017 08 30 中华人民共和国网络安全法 2017 08 30 等级保护十大核心标准 基础类 计算机信息系统安全保护等级测分准则 GB17859 1999 信息系统安全等级保护实施指南 GB T应用类定级 信息系统安全保护等级定级指南 GB T22240 2008建设 信息系统安全等级保护基本要求 GB T22239 2008 信息系统通用安全技术要求 GB T20271 2006 信息系统等级保护安全设计技术要求 测评 信息系统安全等级保护测评要求 GB T 信息系统安全等级保护测评过程指南 管理 信息系统安全管理要求 GB T20269 2006 信息系统安全工程管理要求 GB T20282 2006 等级保护完全的实施过程 等级保护基本安全要求 等级保护三级系统的控制类和控制项 等级保护三级系统的控制类和控制项 等级保护三级系统安全保护要求 数据安全和备份恢复 等级保护三级系统安全保护要求 数据安全和备份恢复 PART02 分级保护测评 基础 分级保护测评适用单位 分级保护测评机构 分级保护相关标准 分级保护测评相关流程 分级保护测评技术要求 分级保护管理要求 政府行业分级保护测评分工 问 等级保护与分级保护各分为几个等级 对应关系是什么 答 等级保护分5个级别 一级 自主保护 二级 指导保护 三级 监督保护 四级 强制保护 五级 专控保护 分级保护分3个级别 秘密级 机密级 机密增强级 绝密级 分级保护与等级保护对应关系 秘密级对应三级 机密级对应四级 绝密级对应五级 问 等级保护的重要信息系统有哪些 答 电信 广电行业的公用通信网 广播电视传输网等基础信息网络 经营性公众互联网信息服务单位 互联网接入服务单位 数据中心等单位的重要信息系统 铁路 银行 海关 税务 民航 电力 证券 保险 外交 科技 发展改革 国防科技 公安 人事劳动和社会保障 财政 审计 商务 水利 国土资源 能源 交通 文 教育 统计 工商行政管理 邮政等行业 部门的生产 调度 管理 办公等重要信息系统 市 地 级以上党政机关的重要网站和办公信息系统 问 等级保护的主管部门是谁 答 公安机关是等级保护工作的主管部门 负责信息安全等级保护工作的监督 检查 指导 问 等级保护是否是强制性的 可以不做吗 答 国家信息安全等级保护坚持自主定级 自主保护的原则 信息系统的安全保护等级根据信息系统在国家安全 经济建设 社会生活中的重要程度 信息系统遭到破坏后对国家安全 社会秩序 公共利益以及公民 法人和其他组织的合法权益的危害程度等因素确定 备案后3级系统每年进行一次监督检查 4级每半年进行一次监督检查 问 是否只是在政府行业实行 企业是否也在等级保护和分级保护范畴之内 答 等级保护涉及所有行业 只要有信息系统的单位都在等级保护覆盖范围 涉密系统除外 问 分级保护的主管部门是谁 答 国家保密工作部门 国家保密局 各省保密局 各地市市保密局 问 分级保护的政策依据是哪个文件 答 涉及国家秘密的信息系统分级保护管理办法 国保发 2005 16号 问 哪些单位可以做分级保护的测评 有什么资质要求 答 目前 国家保密工作部门及国家保密局授权的系统测评机构负责测评 测评机构应具备涉及国家秘密的计算机信息系统集成风险评估单项资质 问 涉密系统分级保护多长时间需进行一次安全保密检查 答 秘密级 机密级信息系统 应每两年至少进行一次安全保密测评或保密检查 绝密级信息系统 应每年至少进行一次安全保密测评或保密检查 问 分级保护的系统集成对厂商的资质有什么要求 答 甲级资质单位可在全国范围内承接涉密信息系统的规划 设计和实施业务 并仅可承担本单位承建的涉密信息系统的系统服务和系统咨询工作 不得从事其它单项资质业务 乙级资质单位可在所限定的行政区域内承接涉密信息系统的规划 设计和实施业务 并仅可承担本单位承接的涉密信息系统的系统服务和系统咨询工作 不得从事其它单项资质业务 问 分级保护的哪些具体工作对厂商有单项资质的要求 单项业务 全国 仅限所批准业务 军工 软件开发 综合布线 系统服务 系统咨询 风险评估 工程监理 数据恢复 屏蔽室建设 保密安防监控 问 分级保护对涉密系统中使用的安全保密产品