信息系统等级保护培训

信息系统级别保护，第26届世界大学生夏季游戏网络信息安全技术支持单位，第一，信息系统级别保护概述2，如何实施级别保护工作，教育内容，(a)信息安全级别保护工作是什么？(b)什么是信息系统？(c)保护等级的国家政策和标准规范；(4)保护等级的工作内容；(5)保护等级的构建过程；(6)等级保护各参与部门的角色定位；信息系统等级保护概述；信息安全等级保护包括国家秘密信息、法人和其他组织和公民的专有信息；公开信息和存储、传输、处理等。信息安全级别保护任务定义，信息系统定义，信息系统(InformationSystem)是可以收集、传递、存储、处理、维护和使用由人、计算机和其他外围设备组成的信息的系统。门户，OA系统，短信平台，教务管理系统等。保护等级的国家政策，GB17859-1999计算机信息系统安全等级分类指南， GB/T20269-2006信息系统安全管理要求GB/T20282-2006信息安全技术信息系统安全工程管理要求GB/T20270-2006信息安全技术网络基本安全技术要求GB/T20271-2006信息安全技术信息系统一般安全技术要求GB t 22239-2008信息安全技术信息系统安全级别保护基本要求GB/t 22440-2008信息安全技术信息系统安全级别保护法规级别指南GB/T25070-2010信息安全技术信息系统级别保护安全设计技术要求GB/T25058-2010信息安全技术信息系统安全级别保护实施指南.GB/t 20009-2005信息安全技术操作系统安全评估指南，国家引进了70多个国家标准、线和批准标准，从基础、设计、实施、管理、系统等各个方面提出了对等保险系统的要求和建议。，等级保护技术标准规范，评估人目标技术标准：建筑人员目标技术标准：等级保护技术标准规范，管理类标准：等级保护技术标准规范：等级保护技术标准规范，信息安全技术信息系统安全等级保护基本要求(GB/t 22239-2008)，000更粗糙的粒度是指导标准。公安部作为系统构建、评价的重要依据，重点了解安全系统设计的主要基础：中央三重防御，国家出台了约70多个标准：信息安全技术信息系统安全等级保护设计技术要求 (GB/t 2240-2008)，信息系统安全主管部门确定系统保护水平标准，等级保护技术标准规范，等级保护具有安全保护功能的系统、安全构建目标、物理安全、技术要求、管理要求、基本要求、网络安全、主机安全、应用程序安全、数据安全、安全管理机构、安全管理系统、人力安全管理、系统构建管理、系统运行和维护、等级保护构建要求网络结构安全性2。网络访问控制3。网络安全审计4。边界完整性检查5。网络入侵防护6。恶意代码保护7。网络保护设备，主机安全认证必需的访问控制系统安全审核4。剩馀信息保护5。入侵预防6。恶意代码预防7。资源控制，应用安全1。认证2 .安全审计3。剩馀信息保护4。通信完整性和机密性保护，数据安全1。数据机密性保护2。数据完整性保护，5 .控制软件容错；严格的访问；严格的访问。7.自动保护功能；8.资源管理；等级保护部署要求，满足策略要求满足用户要求，安全状态，基本要求，物理安全，网络安全，主机安全，应用程序安全，数据安全和备份恢复，等级保护部署模式，其他等级系统，计算环境，区域边界，通信网络，安全管理中心，安全区域边界，可信计算环境，安全管理中心，安全通信网络，级别保护技术实施标准，1，信息安全级别保护任务概述2，级别保护任务实施方法，培训内容(a)实施过程(b) 安全规划设计安全实施3、安全实施/实施4、安全运营管理5、系统关闭(a)实施过程、第一阶段信息系统基本情况深入调查第二阶段信息系统安全保护等级确定第三阶段专家审查和批准、1、系统等级、正确等级对象：信息系统业务实体或负责部门根据以下原则确定等级对象： 一是相对独立或承载单一业务的信息二，信息系统的信息安全由该部队主管。第三，信息系统的基本要素。支持网络可以用作固定对象。应用类的信息系统以划分指定为应用程序类别的对象。，第一步是了解信息系统的基本情况。第一步是相对独立或承载单个业务的信息系统。即，分级对象可以承载一个或多个业务应用程序的主要业务流程，一些业务功能是独立的，可以与其他信息系统的业务应用程序进行少量数据交换，分级对象可以与其他业务应用程序共享，尤其是网络传输设备和一些设备。“相对独立”的业务应用程序不是指整个业务流程，它可以是整个业务流程的一部分。第一步是了解信息系统的基本情况。二是信息系统的信息安全是本机构的负责人。即，作为完成等级保护工作的布置、实施单位或等级保护记录和监督检查的直接责任单位的分级对象的信息系统必须能够唯一地识别相应的安全责任单位。第一步是了解信息系统的基本情况。第三是信息系统的基本要素。也就是说，信息系统必须是根据相关和支持设备、特定应用目标和规则组合在一起的物理实体。不要将单个系统组件(如单个服务器、终端或网络设备)用作评级目标。对第一阶段信息系统的基本情况进行彻底调查，深入调查第一阶段信息系统的基本情况，第二阶段信息系统安全水平确定第三阶段专家审查和批准，第一阶段系统等级、信息系统安全水平是信息系统的客观属性，不是采取的安全措施，而是根据信息系统的重要性和信息系统破坏后对国家安全、社会稳定、人民合法权益等的危害程度确定信息系统的安全水平。第二阶段初步确定信息系统安全水平，(a)信息系统的安全水平由第二阶段因素决定：1、等级保护对象受损时被侵害的对象2、损坏时对象的侵害程度，第二阶段初步确定信息系统安全水平，第一、等级保护对象受损时被侵害的对象：a、国家安全b、社会秩序、公益国家安全利益反映了国家水平、全球相关国家政治安全、军事安全、经济安全、社会安全、科技安全和资源环境安全等方面的利益。 重要的国家事务处理系统、国防产业生产系统、国防设施的控制系统等属于影响国家政权坚固性和国防力量的信息系统；非法控制可能影响国家统一、民族统一、社会稳定的重大事件的广播、电视、网络等主要报道媒体的发布或广播系统；处理国家对外活动信息的信息系统；处理国家重要安全保卫工作信息的信息系统和处理重大刑事案件的调查系统；高技术领域的研发、生产系统等影响国家经济竞争力和技术力量的信息系统，以及电力、通信、能源、运输、金融等国家重要基础设施的生产、控制、管理系统等，b、社会秩序3354是社会政治、经济、生产、生活、科学研究、管理系统等。公共利益是指，非特定社会成员共同享受，维持其生产、生活、教育、卫生等方面的利益。财政、金融、工商业、税务、公共检验法、海关、社会保障等所有政府机构的社会管理和公共服务系统，还包括教育、科研机构的工作系统，以及向公众提供医疗保健、应急服务、供水、电力、邮政等必要服务的所有生产系统或管理系统。第二阶段信息系统安全水平初步确认、c、法律权益是法律确认和受法律保护的公民、法人和其他组织享有的特定社会权利和利益。作为信息化的手段，社会成员要利用的公共设施和通过信息系统对公共设施的管理控制都有需要考虑的方面。例如公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。公共利益与社会秩序密切相关，社会秩序的破坏一般损害公共利益。第二阶段信息系统安全级别初步确定，第二阶段信息系统安全级别初步确定，第二阶段对目标的损坏程度a，一般损坏程度b，严重损坏c，特殊严重损坏发生，第二阶段信息系统安全级别初步确定，各种风险后果的三个风险级别如下：一般损害：工作职能受到区域影响，业务能力下降，但不影响主要职能的执行；轻微的法律问题；低资产损失；有限的社会不利影响；对其他组织和个人的低损害。第二阶段信息系统安全水平初步决定，严重损害：工作职能受到严重影响，业务能力明显减少，严重影响主要职能的执行，严重的法律问题发生，高资产损失，广泛的社会不利影响，对其他组织和个人造成严重损害。第二阶段信息系统安全级别的初步识别，特别是严重损害：工作能力受到特别严重影响或活动能力丧失，业务能力严重下降或功能不能执行的非常严重的法律问题，非常严重的资产损失，广泛的社会不利影响，对其他组织和个人造成了非常严重的损害。第二阶段初步确定信息系统安全水平，第一，影响活动工作职能工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能。2、导致业务能力下降下降的迹象包括业务范围减少、业务处理性能下降、可服务用户人数减少、其他各种业务指标下降等，各行业务都有相关行业感兴趣的业务指标。例如，电力行业关注发展电力和电力使用，税务行业关注税费收入，银行业关注存款额、贷款额、交易量等，证券经纪行业关注股票数量和交易量。3、引起法律纠纷的是比较严重的影响，在较轻的程度上可能以投诉、索赔、媒体曝光等形式出现。4、导致财产损失的包括系统资产破坏造成的直接损失、因业务量减少而造成的损失、直接资金损失、对客户索赔的资金筹措等信用下降、单位形象减少、客户关系损失等间接经济损失。医疗服务系统，公安行业的特定系统等人员伤亡直接发生。5、引起社会不良影响，包括对社会风气、统治自信等的影响。两阶段信息系统安全级别初步决定、(2)信息系统安全包括业务信息安全和系统服务安全，保护级别决定于业务信息安全级别和系统服务安全级别两者中的较高级别。第二阶段信息系统安全级别，第三阶段，全面评估对象侵犯程度，第二阶段，确定业务信息安全侵害对象，第六阶段，全面评估对象侵犯程度，第五阶段，确定系统服务安全侵害对象，第七阶段，系统服务安全级别，第四阶段，业务信息安全级别，第八阶段，等级对象安全级别，表第二阶段初步信息系统安全水平确定，表2:系统服务安全水平矩阵表：第二阶段初步信息系统安全水平确定，侵权水平综合确定：业务信息安全受损造成的财产损失可以从直接资金损失大小、间接信息恢复费用等方面看出。 系统服务安全性受损、业务能力下降的程度可以从信息系统服务复盖的区域范围、用户数量或业务规模等方面看出。，第二阶段信息系统安全级别初步确定，第一阶段信息系统基本情况探索第二阶段初步信息系统安全级别确定第三阶段专家审查和批准，第一阶段系统等级，信息系统等级审查：在信息系统安全等级确定过程中，可以聘请专家提交咨询审查和等级审查意见。被确定为四级以上信息系统的运营、使用单位或主管部门应当邀请国家信息安全等级专家审查委员会提出审查意见。三级专家评审和批准，信息系统等级的最终决定和批准：信息系统操作使用单位参考专家的等级评审意见，最终确定信息系统等级，形成计算机信息系统安全保护等级划分准则。专家复查意见与作业使用单位意见不同时，作业使用单位会自行决定系统等级。信息系统运行业务有上级主管部门，上级主管部门应当批准对安全等级的审查。第3阶段专家审查和批准，第1阶段(第1阶段)2，安全计划设计安全实施3，安全实施/实施4，安全运行管理5，系统关闭，(a)实施流程，信息安全技术信息系统安全等级保护定级指南第11条，信息系统的安全级别确定后运行，使用，2，安全构建，第12条在信息系统构建过程中，运营、使用单位应根据信息系统安全等级保护定级报告、信息安全等级保护管理办法等技术标准参考计算机信息系统安全保护等级划分准则、信息系统安全等级保护基本要求、信息安全技术信息系统通用安全技术要求、信息安全技术操作系统安全技术要求、信息安全技术数据库管理系统安全技术要求等技术标准，同时构建适合该级别的信