信息系統(tǒng)安全等級保護.ppt
《信息系統(tǒng)安全等級保護.ppt》由會員分享,可在線閱讀,更多相關(guān)《信息系統(tǒng)安全等級保護.ppt(36頁珍藏版)》請在裝配圖網(wǎng)上搜索。
信息系統(tǒng)安全等級保護,內(nèi) 容,等級保護簡介 等級保護定級與備案 等級保護解決方案 等級保護測評,什么是等級保護,信息安全等級保護是指:對國家秘密信息、法人和其他組織及公民的專有信息、公開信息分類分級進行管理和保護; 根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實際安全需求,實行分級、分類、分階段實施保護,保障信息安全和系統(tǒng)安全正常運行,維護國家利益、公共利益和社會穩(wěn)定。 等級保護的核心是對信息系統(tǒng)特別是對業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級、按標準進行建設(shè)、管理和監(jiān)督。國家對信息安全等級保護工作運用法律和技術(shù)規(guī)范逐級加強監(jiān)管力度。突出重點,保障重要信息資源和重要信息系統(tǒng)的安全。,國家對信息安全保障的政策演變,等級保護系列標準規(guī)范,關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作通知(公信安【2007】861號) 信息系統(tǒng)安全保護等級保護定級指南 關(guān)于信息安全等級保護工作的實施意見(2004 66號) 信息安全等級保護管理辦法(2007 43號) 信息系統(tǒng)安全等級保護實施指南 信息系統(tǒng)安全等級保護基本要求 信息系統(tǒng)安全等級保護測評要求 信息系統(tǒng)安全等級保護監(jiān)督檢查要求,分級保護系列標準規(guī)范,涉及國家秘密的計算機信息系統(tǒng)分級保護技術(shù)要求BMB17-2006 涉及國家秘密計算機信息系統(tǒng)安全保密方案設(shè)計指南 BMB23-2008 涉及國家秘密計算機信息系統(tǒng)分級保護管理規(guī)范BMB20-2007 涉及國家秘密的信息系統(tǒng)分級保護測評指南BMB222007 涉及國家秘密計算機信息系統(tǒng)分級保護管理辦法 國家保密局16號,非涉密信息系統(tǒng)安全保障建設(shè)指南,涉密信息系統(tǒng)安全保障建設(shè)指南,等級保護標準規(guī)范,等級保護的主要工作流程,自主定級和審批,評審,備案,系統(tǒng)建設(shè),等級測評,監(jiān)督檢查,信息系統(tǒng)運營使用單位按照等級保護管理辦法和信息系統(tǒng)安全等級保護定級指南,確定信息系統(tǒng)的安全保護等級。有上級主管部門的,應(yīng)當經(jīng)上級主管部門審核批準。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護等級。,在信息系統(tǒng)確定安全保護等級過程中,可以進行必要的業(yè)務(wù)和技術(shù)評估,組織專家進行咨詢評審。對擬確定為第四級以上的信息系統(tǒng)的運營、使用單位或主管部門應(yīng)當邀請國家信息安全等級保護專家評審委員會評審。,第二級以上信息系統(tǒng)由其運營使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng),由主管部門向公安部辦理備案手續(xù)??缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng),應(yīng)當向當?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。,信息系統(tǒng)的安全保護等級確定后,運營使用單位應(yīng)當按照國家信息安全等級保護管理規(guī)范和劃分準則、基本要求、操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)、服務(wù)器、終端等技術(shù)要求,使用符合本系統(tǒng)安全保護等級要求的信息安全產(chǎn)品,同步建設(shè)符合本系統(tǒng)安全保護等級要求的信息安全設(shè)施。運營使用單位應(yīng)當按照安全管理要求、安全工程管理要求等管理規(guī)范,建立安全組織,制定并落實符合本系統(tǒng)安全保護等級的安全管理制度。,信息系統(tǒng)建設(shè)完成后,運營使用單位應(yīng)當選擇符合本系統(tǒng)安全保護等級要求的檢測機構(gòu),依據(jù)信息系統(tǒng)安全等級保護測評指南等技術(shù)標準對信息系統(tǒng)安全等級狀況開展技術(shù)評測。三級信息系統(tǒng)應(yīng)當每年至少進行一次等級測評;四級信息系統(tǒng)應(yīng)當每半年至少進行一次等級測評;五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行等級測評。,受理備案的公安機關(guān)應(yīng)當對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。三級信息系統(tǒng)每年至少檢查一次,四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查,應(yīng)當會同其主管部門進行。,內(nèi) 容,等級保護簡介 等級保護定級與備案 等級保護解決方案 等級保護測評,安全保護等級的劃分,1)用戶自主保護級 公民、法人和其它組織的合法權(quán)益:損害,國家安全、社會秩序和公共利益:不損害 2)系統(tǒng)審計保護級 公民、法人和其它組織的合法權(quán)益:損害,社會秩序和公共利益:損害,國家安全:不損害 3)安全標記保護級 社會秩序和公共利益:嚴重損害,國家安全:損害 4)結(jié)構(gòu)化保護級 社會秩序和公共利益:特別嚴重損害,國家安全:嚴重損害 5)訪問驗證保護級 國家安全:特別嚴重損害,定級要素與等級的關(guān)系,確定等級流程,業(yè)務(wù)信息安全保護等級矩陣表,系統(tǒng)服務(wù)安全保護等級矩陣表,系統(tǒng)安全保護等級矩陣表,確定定級對象: 具有唯一確定的安全責任單位;滿足信息系統(tǒng)的基本要素;承載相對獨立的業(yè)務(wù)應(yīng)用,等級保護要求的組合,安全保護等級定級參考,1)一級,小型私營、個體企業(yè)、中小學,鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng),縣級單位一般的信息系統(tǒng) 2)二級,縣級某些單位重要信息系統(tǒng);地市級以上國家機關(guān)、企事業(yè)單位內(nèi)部一般信息系統(tǒng)(例如非涉及工作、商業(yè)秘密,敏感信息的辦公系統(tǒng)和管理系統(tǒng)) 3)三級,地市級以上國家機關(guān)、企事業(yè)單位內(nèi)部重要信息系統(tǒng)(例如涉及工作、商業(yè)秘密,敏感信息的辦公系統(tǒng)和管理系統(tǒng))??缡』蛉珖?lián)網(wǎng)運行的用于生產(chǎn)、調(diào)度、管理、控制等方面的重要系統(tǒng)及在省、地市的分支系統(tǒng);中央各部委、?。▍^(qū)、市)門戶網(wǎng)站和重要網(wǎng)站 4)四級,國家重要領(lǐng)域、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng),電力、電信、廣電、稅務(wù)等 5)五級,國家重要領(lǐng)域、重要部門中的極端重要系統(tǒng),系統(tǒng)定級和備案流程,系統(tǒng)備案,系統(tǒng)備案,14,需要準備的材料,2級,信息系統(tǒng)安全等級保護備案表 信息系統(tǒng)安全等級保護定級報告 網(wǎng)絡(luò)與信息安全承諾書 XX單位信息系統(tǒng)等級保護聯(lián)系表 工商營業(yè)執(zhí)照(或執(zhí)業(yè)許可證、事業(yè)單位證書、非盈利性機構(gòu)證書等許可證明)+法人代表身份證+組織機構(gòu)代碼證(如三證合一,省略),3級,信息系統(tǒng)安全等級保護備案表 信息系統(tǒng)安全等級保護定級報告 網(wǎng)絡(luò)與信息安全承諾書 XX單位信息系統(tǒng)等級保護聯(lián)系表 工商營業(yè)執(zhí)照+法人代表身份證+組織機構(gòu)代碼證(如三證合一,省略) 信息系統(tǒng)安全等級保護備案表表四涉及的材料掃描件,系統(tǒng)備案,信息系統(tǒng)安全等級保護備案表表四涉及的材料掃描件: 系統(tǒng)拓撲結(jié)構(gòu)及說明 系統(tǒng)安全組織機構(gòu)及管理制度 系統(tǒng)安全保護設(shè)施設(shè)計實施方案或改建實施方案 系統(tǒng)使用的安全產(chǎn)品清單及認證、銷售許可證明 系統(tǒng)等級測評報告 專家評審情況 上級主管部門審批意見,內(nèi) 容,等級保護簡介 等級保護定級與備案 等級保護解決方案 等級保護測評,安全保障體系模型,安全等級保護,技術(shù)安全要求,管理安全要求,差距分析,等級保護差距分析 以信息系統(tǒng)為單位 以基本要求為依據(jù) 業(yè)務(wù)信息與系統(tǒng)服務(wù)關(guān)聯(lián)分析,根據(jù)系統(tǒng)所確定的安全等級從基本要求中選擇相應(yīng)等級的基本安全需求,根據(jù)系統(tǒng)所面臨的威脅特點調(diào)整安全要求,去掉不適用項,基本要求中某些地方的安全措施不能滿足本單位信息系統(tǒng)的保護要求;沒有提供所需要的保護措施,對比信息系統(tǒng)現(xiàn)狀和安全要求之間的差距,確定不滿足要求的安全項,1、確定信息系統(tǒng)的基本安全需求,2、選擇調(diào)整基本安全需求,3、明確特殊安全需求,4、根據(jù)各項安全要求進行逐項分析,確定不符合安全項,現(xiàn)狀梳理,明確安全建設(shè)需求,1,2,3,等級保護設(shè)計方案,安全技術(shù)體系設(shè)計 物理安全設(shè)計 網(wǎng)絡(luò)安全設(shè)計 主機安全設(shè)計 應(yīng)用安全設(shè)計 數(shù)據(jù)安全設(shè)計 安全管理設(shè)計 安全管理體系設(shè)計 安全管理制度 安全管理機構(gòu) 人員安全管理 系統(tǒng)建設(shè)管理 系統(tǒng)運維管理 安全服務(wù)保障設(shè)計 風險評估 安全加固 安全巡檢 應(yīng)急響應(yīng) 安全培訓,等級保護設(shè)計,安全的網(wǎng)絡(luò)結(jié)構(gòu) 安全的邊界防護 安全的計算環(huán)境,網(wǎng)絡(luò)和基礎(chǔ)設(shè)施保護,1,關(guān)鍵網(wǎng)絡(luò)設(shè)備進行安全加固,2,采用雙核心設(shè)計,確保網(wǎng)絡(luò)的容錯能力;并通過核心交換機執(zhí)行QOS,保障關(guān)鍵應(yīng)用的資源,3,配置網(wǎng)絡(luò)設(shè)備的日志審計,并通過統(tǒng)一的網(wǎng)絡(luò)日志審計平臺實現(xiàn)集中記錄,同時也作為安全管理平臺的分析依據(jù)。,區(qū)域邊界保護,區(qū)域邊界保護,保護計算環(huán)境,保護計算環(huán)境,實現(xiàn)集中安全管理,落實安全管理措施,三級系統(tǒng)安全管理措施,建立全面的安全管理制度,并安排專人負責并監(jiān)控執(zhí)行情況; 建立全面的人員管理體系,制定嚴格的考核標準 建設(shè)過程的各項活動都要求進行制度化規(guī)范,按照制度要求進行活動的開展 實現(xiàn)嚴格的保密性管理 成立安全運維小組,對安全維護的責任落實到具體的人 引入第三方專業(yè)安全服務(wù),內(nèi) 容,等級保護簡介 等級保護定級與備案 等級保護解決方案 等級保護測評,測評依據(jù),中華人民共和國計算機信息系統(tǒng)安全保護條例(國務(wù)院147號令) 信息安全等級保護管理辦法(公通字200743號) GB 17859-1999計算機信息系統(tǒng)安全保護等級劃分準則 GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求 GB/T 28448-2012信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求 GB/T 28449-2012信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指南 信息安全等級保護測評報告模版(2015年版)(公信安20142866號) 信息系統(tǒng)安全等級測評合同,測評方法,測評過程,需配合事項,交流討論,- 1.請仔細閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點此認領(lǐng)!既往收益都歸您。
下載文檔到電腦,查找使用更方便
9.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 信息系統(tǒng)安全 等級 保護
鏈接地址:http://m.italysoccerbets.com/p-2478276.html