信息安全等级保护培训

1、信息安全等级保护培训信息安全等级保护培训2012014 4年年1111月月2121日日等级保护等级等级保护基本概念介绍保护基本概念介绍等级保护实施流程等级保护实施流程等级保护等级等级保护基本概念介绍保护基本概念介绍等级保护实施流程等级保护实施流程什么是等级保护 信息安全等级保护管理办法指出 信息安全等级保护是以信息为核心。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素，对最核心的信息和信息系统划分为五个安全保护和

2、监管等级，实行分等级保护。为什么实施等级保护实施信息安全等级保护，可以有效地提高我国信息安全建设的整体水平。 有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息 化建设相协调； 有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督； 有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施； 有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息安全发展模式。 有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全

3、管理措施； 有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息安全发展模式。 “一个提高，六个有利于”国家对等级保护测评的要求 信息安全等级保护管理办法“等级保护的实施与管理”第十四条指出： 建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定信息系统条件的测评单位，依据信息系统安全等级保护基本要求等技术标准，定期对信息系统安全等级状况开展等级测评。 第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。 广东省安全保护对测评要求第十二条 第二

4、级以上计算机信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构，依据国家规定的技术标准，对计算机信息系统安全等级状况开展等级测评，测评合格后方可投入使用。 第十三条 计算机信息系统的运营、使用单位及其主管部门应当按照国家规定定期对计算机信息系统开展安全等级测评，并对计算机信息系统安全状况、安全管理制度及措施的落实情况进行自查。 计算机信息系统安全状况经测评或者自查，未达到安全等级保护要求的，运营、使用单位应当进行整改。 信息安全等级保护的标准体系基础类 计算机信息系统安全保护等级划分准则GB 17859-1999 GB 17859-1999 信息系统安全等级

5、保护实施指南GB/T 25058-2010 GB/T 25058-2010 应用类 定级：信息系统安全保护等级定级指南GB/T 22240-2008 建设：信息系统安全等级保护基本要求GB/T 22239-2008 信息系统通用安全技术要求GB/T 20271-2006 信息系统等级保护安全设计技术要求GB/T 25070- 2010 测评：信息系统安全等级保护测评要求 信息系统安全等级保护测评过程指南 管理：信息系统安全管理要求GB/T 20269-2006 信息系统安全工程管理要求GB/T 20282-2006 信息安全等级保护的标准体系 技术类 GB/T 21052-2007 信息安全技

6、术 信息系统物理安全技术要求 GB/T 20270-2006 信息安全技术 网络基础安全技术要求 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 20272-2006 信息安全技术 操作系统安全技术要求 GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求 其他信息产品、信息安全产品等 其它类 GB/T 20984-2007 信息安全技术 信息安全风险评估规范 GB/T 20285-2007 信息安全技术 信息安全事件管理指南 GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南 GB/T 20988-2007 信息安全技

7、术 信息系统灾难恢复规范 等级保护标准与工作环节的关系信息系统安全等级保护定级指南信息系统安全等级保护行业定级细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统安全等级保护基本要求的行业细则信息系统安全等级保护基本要求信息系统安全等级保护实施指南信息系统等级保护安全设计技术要求信息安全等级保护安全建设整改工作安全等级方法指导现状分析安全要求技术类信息系统通用安全技术要求其他技术类标准管理类信息系统安全管理要求其他管理类标准计算机信息系统安全等级保护划分准则（GB17859）产品类操作系统安全技术要求其他产品类标准等级保护等级等级保护基本概念介绍保护基本概念介绍等级保护实施

8、流程等级保护实施流程等级保护实施基本流程公安网监审核等保验收测评系统备案系统定级颁发证书安全需求分析规划等保整改方案检查报告及整改方案提交网监备案等保整改实施测评报告提交网监备案运营单位系统自运维材料不齐不合格不合格合格定级不准定级准材料齐合格定级阶段定级阶段备案阶段备案阶段差距测评阶段差距测评阶段整改整改阶段阶段验收阶段验收阶段自查阶段自查阶段等级保护系统定级流程用户1.信息系统总体描述文件2.信息系统详细描述文件3.信息系统等级保护定级指南4.其他信息系统建设相关标准及文件信息系统安全等级保护定级报告信息系统安全等级保护定级报告等级保护系统定级方法等级保护定级方法（定级指南）一般流程定级对

9、象客体、社会关系信息系统安全等级对客体的侵害程度受侵害的客体系统服务安全等级业务信息安全等级等级确定系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级等级保护备案材料用户网上备案所需材料用户网上备案所需材料二级系统所需三级系统所需信息系统运营单位信息备案授权人身份证（扫描件）信息系统定级报告信息系统运营单位信息信息系统备案信息表系统拓扑结构及说明系统安全组织机构和管理制度系统安全保护设计实施方案或改建实施方案系统是使用的信息安全产品清单及其认证、销售许可证

10、明测评后符合系统安全保护等级的技术检测评估报告信息系统安全保护等级专家评审意见主管部门审核批准信息系统安全保护等级的意见等保整改或测评之后提交网监等级保护备案流程网上备案申请公安网监审核提交申请材料颁发备案证书公安网监对用户备案申请进行审核系统备案单位根据网监审核结果，到网监部门现场提交网上申请时的备案纸质资料公安网监部门根据系统备案单位提交材料进行备案，颁发备案证书材料不齐定级不准材料齐定级准用户用户金盾网注册企业账号网上申请提交资料公安网监公安网监用户用户公安网监公安网监安全需求分析阶段等保差距测评安全分析/整改设计技技 术术 类类管管 理理 类类物理安全核查数据安全核查应用安全核查网络安

11、全核查主机安全核查安全管理机构核查系统运维管理核查系统建设管理核查安全管理制度核查人员安全管理核查管管 理理 类类安全管理机构合规性系统运维管理合规性系统建设管理合规性安全管理制度合规性人员安全管理合规性技技 术术 类类网络安全合规性主机安全合规性应用安全合规性数据安全合规性资产对象调研安全需求分析报告安全需求分析报告等级保护安全整改方案等级保护安全整改方案资产调研表资产调研表网络拓扑图网络拓扑图物理安全合规性技术以及管理标准信息系统开发等相关文件安全需求分析（差距测评）单位等保整改等级保护整改阶段整改实施单位：系统集成商、系统开发商、系统主管/使用/运营单位等技术类整改技术类整改安全需求分析报告、等级保护整改方案物理安全整改数据安全整改应用安全整改网络安全整改主机安全整改管理类整管理类整改改安全管理机构整改系统运维管理整改系统建设管理整改安全管理制度整改人员安全管理整改等保整改等保整改实施报告实施报告等级保护验收阶段1.安全测评委托书2.信息系统结构拓扑说明等详细描述文件3.系统安全组织结构和管理制度4.安全需求分析报告5.等级保护整改方案6.系统软件硬件和信息安全产品清单7.信息系统安全等级保护定级报告用户（系统主管/使用/运营单位）第三方测评机构1.信息系统安全等级保护基本要求2.信息系统等