信息安全等级保护知识培训

信息安全等级保护知识培训

张青CISP-注册信息安全专家信息安全等级测评师（中级）软件评测工程师华为认证网络工程师太原清众鑫科技有限公司第一页，共50页。信息安全等级保护工作流程信息安全等级保护基本要求信息安全等级保护体系概述信息安全等级保护法律法规第二页，共50页。1.1等级保护基本概念1.2实行等级保护的原因1信息安全等级保护体系概述1.4等级保护制度作用1.5等级保护相关的政策1.6等级保护相关的标准1.3等级保护制度目的1.7等级保护推进过程第三页，共50页。信息系统安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。1.1等级保护基本概念第四页，共50页。整体信息安全防范意识和能力薄弱网络及信息安全问题关系国家安全信息系统安全建设和管理缺乏体系化思想信息安全法律法规不完善，标准体系尚待完善1.2实行等级保护制度原因第五页，共50页。体现国家管理意志构建国家信息安全保障体系保障信息化发展和维护国家安全1.3等级保护制度目的第六页，共50页。提出信息安全工作的思路划定信息系统保护的基线发现信息系统的问题和差距明确信息系统安全保护的方向提升信息系统的安全保护能力1.4等级保护制度作用第七页，共50页。1.5等级保护相关政策第八页，共50页。基础类《计算机信息系统安全保护等级划分准则》GB17859-1999《信息系统安全等级保护实施指南》GB/T25058-2010应用类定级：《信息系统安全保护等级定级指南》GB/T22240-2008建设：《信息系统安全等级保护基本要求》GB/T22239-2008《信息系统通用安全技术要求》GB/T20271-2006《信息系统等级保护安全设计技术要求》GB/T25070-2010测评：《信息系统安全等级保护测评要求》GB/T28448-2012

《信息系统安全等级保护测评过程指南》GB/T28449-2012管理：《信息系统安全管理要求》GB/T20269-2006《信息系统安全工程管理要求》GB/T20282-20061.6等级保护相关标准第九页，共50页。2003年9月中办国办颁发《关于加强信息安全保障工作的意见》中办发[2003]27号2004年11月四部委会签《关于信息安全等级保护工作的实施意见》公通字[2004]66号2006年1月四部委会签《信息安全等级保护管理办法（试行）》（公通字[2006]7号）

2007年6月四部委会签《信息安全等级保护管理办法》公通字[2007]43号1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》国务院[1994]147号2017年6月1日中华人民共和国网络安全法1.7等级保护推进过程第十页，共50页。信息安全等级保护工作流程信息安全等级保护基本要求信息安全等级保护体系概述信息安全等级保护法律法规第十一页，共50页。

2.3刑法修正案（九）2.2中华人民共和国国家安全法2.1山西省计算机信息系统安全保护条例2信息安全等级保护法律法规

2.4中华人民共和国网络安全法第十二页，共50页。2.1山西省计算机信息系统安全保护条例《山西省计算机信息系统安全保护条例》于2008年9月25日经省十一届人大常委会第六次会议表决通过，2009年1月1日起实施。第二十条第三级以上计算机信息系统建设完成后，运营、使用单位或者其主管部门应当按照国家规定，选择符合国家规定条件的安全保护等级测评机构定期对其计算机信息系统安全状况进行等级测评。第十三页，共50页。2.2中华人民共和国国家安全法2015年7月1日第十二届全国人民代表大会常务委员会第十五次会议通过《中华人民共和国国家安全法》，其中第二十五条指出，要加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。第十四页，共50页。2.3刑法修正案（九）第十二届全国人大常委会第十六次会议表决通过了《刑法修正案（九）》，修订后的刑法自2015年11月1日开始施行。《刑法修正案（九）》明确了网络服务提供者履行信息网络安全管理的义务。第二十八条指出：网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。第十五页，共50页。2.4中华人民共和国网络安全法中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过《中华人民共和国网络安全法》，自2017年6月1日起施行。第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。第十六页，共50页。2.4中华人民共和国网络安全法网络运营者不履行网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。第十七页，共50页。信息安全等级保护工作流程信息安全等级保护基本要求信息安全等级保护体系概述信息安全等级保护法律法规第十八页，共50页。

3信息安全等级保护工作流程第十九页，共50页。

3.1.3等级的确定3.1.2定级对象确定3.1.1定级依据和原则3.1定级指南

3.1.4定级方法第二十页，共50页。3.1.1定级依据和原则定级依据《信息安全等级保护管理办法》《信息系统安全等级保护定级指南》定级原则谁拥有谁负责、谁运行谁负责。自主定级。因为系统的重要程度以及在遭受破坏后造成多大影响自己最清楚。第二十一页，共50页。3.1.2定级对象确定

定级工作是信息系统等级保护工作的起点，定级结果直接决定了后续安全保障工作的开展。在定级之前，首先必须明确定级的对象，即：对哪个信息系统进行定级。《定级指南》中指出，作为定级对象的信息系统应当具备以下三个条件：具有唯一确定的安全责任单位具有信息系统的基本要素承载单一或相对独立的业务应用第二十二页，共50页。3.1.3等级的确定等级的确定是不依赖于安全保护措施的，具有一定的“客观性”，即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级，而非由“后天”的安全保护措施决定。第二十三页，共50页。3.1.4定级方法查表法其他：专家评审、行业部门建议第二十四页，共50页。3.2.4备案流程

3.2.3备案资料3.2.1备案作用3.2备案3.2.2备案时间第二十五页，共50页。3.2.1备案的作用

信息系统备案是国家有关信息安全职能部门了解和掌握重要信息系统的安全保护基本状况、分析总体安全形势的基础资料来源，也是下一步接受备案机关开展各项监督检查工作所必需的基本依据。新建系统已有系统第二十六页，共50页。3.2.2备案的时间根据《信息安全等级保护管理办法》，信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门，应当在安全保护等级确定后30日内，到当地公安机关网监部门办理备案手续。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到当地公安机关网监部门办理备案手续。第二十七页，共50页。2.2.3备案资料信息系统运营、使用单位应当在其系统安全保护等级确定后，向当地同级公安机关提前备案（县级单位应当向市级公安机关备案），备案时应当到备案机关填写备案登记表并按要求提交相关资料，包括纸质版和电子版。书面填写《信息系统安全等级保护备案表》一式两份。可填WORD文档，再打印输出，附上附件。备案登记表/系统体系/功能结构图/系统安全保护方案或措施/系统安全管理制度等。第二十八页，共50页。3.2.4备案流程第二十九页，共50页。第三十页，共50页。3.3建设整改

3.3.1实施概述3.3.2实施过程第三十一页，共50页。信息系统定级总体安全规划安全设计与实施安全运行与维护等级变更局部调整信息系统终止3.3.1实施概述第三十二页，共50页。信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全需求分析/相应级别的要求确定安全策略，制定安全建设方案物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运行管理3.3.2实施过程第三十三页，共50页。3.4.1等级测评依据3.4信息安全等级保护测评3.4.3等级测评流程3.4.4等级测评结果3.4.5等级测评目的第三十四页，共50页。3.4.1等级测评依据依据《信息安全等级保护管理办法》第十四条中规定:信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。第三十五页，共50页。3.4.2等级测评流程第三十六页，共50页。符合性判别依据是:1、信息系统中是否存在高风险，如果有，一票否决。2、信息系统中没有高风险，且测评项综合得分为60分以上100分以下为基本符合。注：100分为符合。3.4.3等级测评结果测评结论符合性判别依据综合得分符合信息系统中未发现安全问题，等级测评结果中所有测评项得分均为5分。100分基本符合信息系统中存在安全问题，但不会导致信息系统面临高等级安全风险。介于60到100分之间不符合信息系统中存在安全问题，而且会导致信息系统面临高等级安全风险。低于60分第三十七页，共50页。3.4.4等级测评目的对于企业来说，实施信息安全等级保护测评能够有效地提高单位信息和信息系统安全建设的整体水平，有效控制企业信息安全建设成本；有利于明确国家、法人和其他组织、公民的信息安全责任，加强企业信息安全管理。对于信息系统来说，通过等级保护测评可及时发现信息系统安全状况并制定方案进行整改，当信息系统完全达到安全保护能力要求时，信息系统就基本可做到“进不来、拿不走、改不了、看不懂、赖不掉”。第三十八页，共50页。第三十九页，共50页。3.5监督检查依据《公安机关信息安全等级保护检查工作规范》第二条中规定:公安机关信息安全等级保护检查工作是指公安机关依据有关规定，会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查，督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。第四十页，共50页。信息安全等级保护工作流程信息安全等级保护基本要求信息安全等级保护体系概述信息安全等级保护法律法规第四十一页，共50页。4.2不同级别系统的差异4.1基本要求结构4信息安全等级保护基本要求4.3等级测评技术要求4.4等级测评管理要求4.5等级保护新标准第四十二页，共50页。某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全及备份恢复安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理4.1基本要求结构第四十三页，共50页。4.2不同级别系统的差异(控制点)安全要求类层面一级二级三级四级技术要求物理安全7101010网络安全3677主机安全4679应用安全47911数据安全及备份恢复2333管理要求安全管理制度2333安全管理机构4555人员安全管理4555系统建设管理991111系统运维管理9121313合计/48667377级差//1874第四十四页，共50页。4.2不同级别系统的差异(要求项)安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差//9011528第四十五页，共50页。4.3等级测评技术要求(三级为黑色字体)物理安全网络安全主机安全应用安全数据安全及备份恢复位置选择访问控制防盗防破坏结构安全边界完整性入侵防范恶意代码防范访问控制身份鉴别访问控制安全审计身份鉴别访问控制安全审计通信完整性通信保密性抗抵赖软件容错数据完整性数据保密性备份和恢复防雷击安全审计防火防水防潮防静电温湿度控制电力供应电磁防护网络设备防护入侵防范恶意代码防范剩余信息保护系统资源控制资源控制剩余信息保护第四十六页，共50页。4.4等级测评管理要求(三级为黑色字体)安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理管理制度制订发布评审修订岗位设置