信息安全等级保护内容介绍课件

1、PrivateAvailable to Group A OnlyPrivate InformationAvailable to All EmployeesPublic InformationAvailable to EveryonePrivateAvailable to Group B OnlyPrivateAvailableonly to very limited distribution信 息 访 问 的 广 度信 息 访 问 的 广 度保护级别增长保护级别增长专用专用仅供部门仅供部门A 供所有内部人员使用的信息供所有内部人员使用的信息供所有人员使用的公用信息仅供有限用户仅供有限用户专用专

2、用专用专用仅供部门仅供部门B 保护的核心是信息保护的核心是信息主管部门主管部门监督检查监督检查信息安全监信息安全监管职能部门管职能部门系统定级系统定级安全保护安全保护检测评估检测评估运营运营/ /使用单位使用单位安全服务商安全服务商安全评估机构安全评估机构技术标准技术标准管理规范管理规范风险分析基本要求安全等级定级指南其他标准要求等级系统保护方案实施运行维护管理安全事件管理安全风险管理安全产品选择安全工程实施系统安全配置安全状况监控系统特定需求等级化要求事件等级划分事件响应处置产品等级划分风险评估系统测评准则监督检查要求等级系统保护策略与安全方案实施指南评估指南重大变更重大变更安全规划设计安全

3、规划设计安全实施安全实施/ /实现实现安全运行管理安全运行管理系统定级系统定级局部调整局部调整系统终止系统终止主要输入主要输入主要输出主要输出阶段主要活动阶段主要活动子系统识别和描述子系统识别和描述系统立项文档系统立项文档系统建设文档系统建设文档系统管理文档系统管理文档系统详细描述文件系统详细描述文件系统识别与划分系统识别与划分系统总体描述文件系统总体描述文件系统总体描述文件系统总体描述文件安全等级确定安全等级确定系统总体描述文件系统总体描述文件系统详细描述文件系统详细描述文件系统安全保护等级系统安全保护等级定级建议书定级建议书安全评估和需求分析安全评估和需求分析安全总体设计安全总体设计 安全

4、建设规划安全建设规划 主要输入主要输入系统详细描述文件系统详细描述文件系统定级建议书系统定级建议书等级保护基本要求等级保护基本要求安全评估报告安全评估报告安全需求分析报告安全需求分析报告等级保护基本要求等级保护基本要求总体安全策略总体安全策略/框架框架单位信息化的中长单位信息化的中长期规划期规划阶段主要活动阶段主要活动安全评估报告安全评估报告安全需求分析报告安全需求分析报告安全总体方案书安全总体方案书技术防护框架技术防护框架管理策略框架管理策略框架信息系统安全建设信息系统安全建设方案方案主要输出主要输出确定评估范围确定评估范围 获得信息系统的信息获得信息系统的信息 确定具体的评估对象确定具体的

5、评估对象 确定评估工作的方法确定评估工作的方法 制定评估工作计划制定评估工作计划 系统详细描述文件系统详细描述文件系统定级建议书系统定级建议书用户文档用户文档输入输入输出输出过程的工作内容过程的工作内容评估工作方案评估工作方案主要输入主要输入主要输出主要输出阶段主要活动阶段主要活动安全详细方案设计安全详细方案设计安全总体方案书安全总体方案书系统安全建设方案系统安全建设方案安全产品技术白皮书安全产品技术白皮书安全详细设计方案安全详细设计方案安全技术实施安全技术实施 安全测评报告安全测评报告等级化安全测评等级化安全测评安全详细设计方案安全详细设计方案系统验收报告系统验收报告安全管理实施安全管理实施

6、 安全详细设计方案安全详细设计方案角色与职责说明书角色与职责说明书 管理制度管理制度/操作规范操作规范系统定级建议书系统定级建议书系统验收报告系统验收报告主要输入主要输入主要输出主要输出阶段主要活动阶段主要活动操作管理和控制操作管理和控制安全详细设计方案安全详细设计方案安全组织机构表安全组织机构表操作人员角色操作人员角色/职责表职责表各类操作规程各类操作规程变更管理和控制变更管理和控制变更需求变更需求变更结果报告变更结果报告 安全状态监控安全状态监控安全详细设计方案安全详细设计方案系统验收报告等系统验收报告等安全状态分析报告安全状态分析报告 安全事件处置和应安全事件处置和应急预案急预案 安全详

7、细设计方案安全详细设计方案安全组织机构表安全组织机构表安全事件报告程序安全事件报告程序 各类应急预案各类应急预案安全事件处置报告安全事件处置报告主要输入主要输入主要输出主要输出阶段主要活动阶段主要活动安全评估和持续改进安全评估和持续改进 安全评估报告安全评估报告安全改进方案安全改进方案等级化安全测评等级化安全测评 安全详细设计方案安全详细设计方案系统验收报告等系统验收报告等安全等级保护测评安全等级保护测评报告报告 监督检查监督检查安全详细设计方案安全详细设计方案系统验收报告等系统验收报告等监督检查结果报告监督检查结果报告 变更需求变更需求系统所属类型系统所属类型业务信息类别业务信息类别系统服务

8、范围系统服务范围业务依赖程度业务依赖程度业务信息安全性业务信息安全性业务服务保证性业务服务保证性业务信息安全性业务信息安全性业务服务保证性业务服务保证性信息系统安全保护等级信息系统安全保护等级信息系统所属类型业务信息类型信息系统服务范围业务依赖程度业务信息安全性取值业务服务保证性取值业务服务保证性等级1. 赋值赋值选择调节因子业务子系统安全保护等级2. 确定两个指标等级确定两个指标等级业务信息安全性等级3 确定业务子系统等级确定业务子系统等级信息系统安全保护等级4. 确定信息系统等级确定信息系统等级其它业务子系统 。信息系统测评系统测评（对安全控制、层面、区域间关联关系以及系统整体结构，分层次

9、综合分析、测评）安全控制测评（以测评单元组织的测评实施）测评单元测评单元测评项测评项测评方式测评方式测评对象测评对象测评实施测评实施结果判定结果判定具体技术和管理要求具体技术和管理要求访谈访谈/检查检查/测试测试人员人员/文档文档/机制机制/设备设备测评方式对象操作测评方式对象操作是否符合测评项要求是否符合测评项要求不同级别的不同级别的信息系统信息系统重要程度不同重要程度不同保护需求不同保护需求不同安全保护安全保护能力不同能力不同应对威胁的应对威胁的能力不同能力不同不同的安全目标不同的安全目标不同基本要求不同基本要求某级系统某级系统物理安全物理安全基本技术要求基本技术要求基本管理要求基本管理要求基本要求基本要求网络安全网络安全主机安全主机安全应用安全应用安全数据安全数据安全安全管理机构安全管理机构安全管理制度安全管理制度人员安全管理人员安全管理系统建设管理系统建设管理系统运维管理系统运维管理结构安全和网段划分结构安全和网段划分网络安全网络安全(四级四级)网络访问控制网络访问控制拨号访问控制拨号访问控制网络安全审计网络安全审计边界完整性检查边界完整性检查网络入侵检测网络入侵检测恶意代码防护恶意代码防护网络设备防护网络设备防护环境管理环境管理系统运维管理系统运维管理(四级四级)资产管理资产管理设备管理设备管理介质管理