等级测评工程师培训宣贯PPT课件

地址：国家863软件专业孵化器（上海）基地联航路1588号，业务受理：钦州路100号1号楼702室热线电话：02164511296，网站：WWW.SSTL.ORG.CN,信息安全等级测评培训宣贯,上海计算机软件技术开发中心上海市软件评测重点实验室2012/03/31,.,2,主要内容,等级测评师相关什么是信息安全等级保护安全保护等级的划分等级保护工作的职责分工等级保护工作的主要流程等级保护标准体系,.,3,一、等级测评师,培训时间与方式4月初网上培训(远程）4月18日北京培训与考核,.,4,一、等级测评师,要求开展等级测评的人员：培训和考试取得信息安全等级测评师证书（等级测评师分为初级、中级和高级）等级测评人员需持等级测评师证上岗关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安2010303号）,.,5,一、等级测评师-分级,初级等级测评师（技术和管理）中级等级测评师高级等级测评师,.,6,一、等级测评师,初级等级测评师了解信息安全等级保护的相关政策、标准；熟悉信息安全基础知识；熟悉信息安全产品分类，了解其功能、特点和操作方法；掌握等级测评方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；掌握测评工具的操作方法，能够合理设计测试用例获取所需测试数据；能够按照报告编制要求整理测评数据。,.,7,一、等级测评师,中级等级测评师熟悉信息安全等级保护相关政策、法规；正确理解信息安全等级保护标准体系和主要标准内容，能够跟踪国内、国际信息安全相关标准的发展；掌握信息安全基础知识，熟悉信息安全测评方法，具有信息安全技术研究的基础和实践经验；具有较丰富的项目管理经验,熟悉测评项目的工作流程和质量管理的方法，具有较强的组织协调和沟通能力；,.,8,一、等级测评师,中级等级测评师能够独立开发测评指导书，熟悉测评指导书的开发、版本控制和评审流程；能够根据信息系统的特点，编制测评方案，确定测评对象、测评指标和测评方法；具有综合分析和判断的能力，能够依据测评报告模板要求编制测评报告，能够整体把握测评报告结论的客观性和准确性。具备较强的文字表达能力；了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题，提出合理化的整改建议。,.,9,一、等级测评师,高级等级测评师熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展；对信息安全等级保护标准体系及主要标准有较为深入的理解；具有信息安全理论研究的基础、实践经验和研究创新能力；具有丰富的质量体系管理和项目管理经验，具有较强的组织协调和管理能力；熟悉等级保护工作的全过程，熟悉定级、等级测评、建设整改各个工作环节的要求。,.,10,一、等级测评师,.,11,一、等级测评师,.,12,一、等级测评师,需要介绍本人参加过的系统测评项目的情况及承担的主要工作（5分钟），评审测评指导书和等级测评报告,面试人员需要提交本人工作总结简要介绍主要项目经历（5分钟）,.,13,一、等级测评师-培训课程,.,14,一、等级测评师-初级,.,15,一、等级测评师-中级,.,16,一、等级测评师-高级,.,17,二、什么是信息安全等级保护,信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。,.,18,二、什么是信息安全等级保护,1关于信息安全等级保护工作的实施意见公通字200466号(公安部、国家保密局、国家密码管理局、国信办联合印发)指出“信息安全等级保护工作是个庞大的系统工程，关系到国家信息化建设的方方面面，这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施，信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。,.,19,二、什么是信息安全等级保护,1信息安全等级保护管理办法公通字200743号(公安部、国家保密局、国家密码管理局、国信办联合印发)规定“国家通过制定统一的信息安全等级保护管理规范和技术标准、组织公民、法人和其他组织对信息系统分等级实施安全保护，对等级保护工作的实施进行了监督、管理”规定“信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行了监督管理。,.,20,二、什么是信息安全等级保护,管理办法规定需要等级保护的范围：1、电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。2、铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。3、市（地）级以上党政机关的重要网站和办公信息系统。4、涉及国家秘密的信息系统。,.,21,三、安全保护等级的划分,.,22,三、安全保护等级的划分,一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的资产损失，有限的社会不良影响，对其他组织和个人造成较低损害。,.,23,三、安全保护等级的划分,严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。,.,24,三、安全保护等级的划分,特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。,.,25,四、等级保护工作的职责分工,公安机关负责信息安全等级保护工作的监督、检查、指导；国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。,.,26,五、等级保护工作的主要流程,一是定级。包括评审与审批。二是备案（二级以上信息系统）。三是系统建设、整改（按条件选择产品）。四是开展等级测评（按条件选择测评机构）。五是信息安全监管部门定期开展监督检查。,.,27,六、等级保护的测评标准,GB17859-1999计算机信息系统安全等级保护划分准则GBT22239-2008信息安全技术信息系统安全等级保护基本要求（称基本要求）信息安全技术信息系统安全等级保护实施指南信息安全技术信息系统安全等级保护测评要求信息安全技术信息系统安全等级保护测评过程指南,.,28,六、等级保护的测评标准GBT22239-2008,安全保护能力,基本安全要求,每个等级的信息系统,基本技术措施,基本管理措施,具备,包含,包含,满足,满足,实现,.,29,六、等级保护的测评标准GBT22239-2008核心思路,某级系统,技术要求,管理要求,基本要求,建立安全技术体系,建立安全管理体系,具有某级安全保护能力的系统,.,30,六、等级保护的测评标准GBT22239-2008,各级系统的保护要求差异（宏观）,一级系统,二级系统,三级系统,四级系统,防护,防护/监测,策略/防护/监测/恢复,策略/防护/监测/恢复/响应,.,31,六、等级保护的测评标准GBT22239-2008,各级系统的保护要求差异（宏观）,一级系统,二级系统,三级系统,四级系统,通信/边界（基本）,通信/边界/内部（关键设备）,通信/边界/内部（主要设备）,通信/边界/内部/基础设施（所有设备）,.,32,六、等级保护的测评标准GBT22239-2008,一级系统,二级系统,三级系统,四级系统,计划和跟踪（主要制度）,计划和跟踪（主要制度）,良好定义（管理活动制度化）,持