信息安全等級保護知識培訓.pptx

1、信息安全等級保護知識培訓,張 青 CISP-注冊信息安全專家 信息安全等級測評師（中級） 軟件評測工程師 華為認證網絡工程師,太原清眾鑫科技有限公司,1.1 等級保護基本概念,1.2 實行等級保護的原因,1 信息安全等級保護體系概述,1.4 等級保護制度作用,1.5 等級保護相關的政策,1.6等級保護相關的標準,1.3 等級保護制度目的,1.7等級保護推進過程,信息系統(tǒng)安全等級保護是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。,1.1

2、 等級保護基本概念,1.2 實行等級保護制度原因,1.3 等級保護制度目的,1.4 等級保護制度作用,1.5 等級保護相關政策,基礎類 計算機信息系統(tǒng)安全保護等級劃分準則GB 17859-1999 信息系統(tǒng)安全等級保護實施指南GB/T 25058-2010 應用類 定級：信息系統(tǒng)安全保護等級定級指南GB/T 22240-2008 建設：信息系統(tǒng)安全等級保護基本要求GB/T 22239-2008 信息系統(tǒng)通用安全技術要求GB/T 20271-2006 信息系統(tǒng)等級保護安全設計技術要求GB/T 25070-2010 測評：信息系統(tǒng)安全等級保護測評要求 GB/T 28448-2012 信息系統(tǒng)安全等

3、級保護測評過程指南 GB/T 28449-2012 管理：信息系統(tǒng)安全管理要求GB/T 20269-2006 信息系統(tǒng)安全工程管理要求GB/T 20282-2006,1.6 等級保護相關標準,2017年6月1日 中華人民共和國網絡安全法,1.7 等級保護推進過程,2.3刑法修正案（九）,2.2中華人民共和國國家安全法,2.1山西省計算機信息系統(tǒng)安全保護條例,2 信息安全等級保護法律法規(guī),2.4中華人民共和國網絡安全法,2.1山西省計算機信息系統(tǒng)安全保護條例,山西省計算機信息系統(tǒng)安全保護條例于2008年9月25日經省十一屆人大常委會第六次會議表決通過，2009年1月1日起實施。 第二十條第三級以

4、上計算機信息系統(tǒng)建設完成后，運營、使用單位或者其主管部門應當按照國家規(guī)定，選擇符合國家規(guī)定條件的安全保護等級測評機構定期對其計算機信息系統(tǒng)安全狀況進行等級測評。,2.2中華人民共和國國家安全法,2015年7月1日第十二屆全國人民代表大會常務委員會第十五次會議通過中華人民共和國國家安全法，其中第二十五條指出，要加強網絡管理，防范、制止和依法懲治網絡攻擊、網絡入侵、網絡竊密、散布違法有害信息等網絡違法犯罪行為，維護國家網絡空間主權、安全和發(fā)展利益。,2.3刑法修正案（九）,第十二屆全國人大常委會第十六次會議表決通過了刑法修正案（九），修訂后的刑法自2015年11月1日開始施行。 刑法修正案（九）明

5、確了網絡服務提供者履行信息網絡安全管理的義務。 第二十八條指出：網絡服務提供者不履行法律、行政法規(guī)規(guī)定的信息網絡安全管理義務，經監(jiān)管部門責令采取改正措施而拒不改正，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金。,2.4中華人民共和國網絡安全法,中華人民共和國第十二屆全國人民代表大會常務委員會第二十四次會議于2016年11月7日通過中華人民共和國網絡安全法，自2017年6月1日起施行。 第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數(shù)據(jù)泄露或者被竊取、篡改。 第三十一條 國家對公共

6、通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。,2.4中華人民共和國網絡安全法,網絡運營者不履行網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。 關鍵信息基礎設施的運營者不履行網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處十萬元以上一百萬元以下罰款，對

7、直接負責的主管人員處一萬元以上十萬元以下罰款。,3 信息安全等級保護工作流程,3.1.3 等級的確定,3.1.2 定級對象確定,3.1.1 定級依據(jù)和原則,3.1 定級指南,3.1.4 定級方法,3.1.1 定級依據(jù)和原則,3.1.2 定級對象確定,定級工作是信息系統(tǒng)等級保護工作的起點，定級結果直接決定了后續(xù)安全保障工作的開展。在定級之前，首先必須明確定級的對象，即：對哪個信息系統(tǒng)進行定級。定級指南中指出，作為定級對象的信息系統(tǒng)應當具備以下三個條件：,3.1.3 等級的確定,等級的確定是不依賴于安全保護措施的，具有一定的“客觀性”，即該系統(tǒng)在存在之初便由其自身所實現(xiàn)的使命決定了它的安全保護等級

8、，而非由“后天”的安全保護措施決定。,3.1.4 定級方法,查表法,其他：專家評審、行業(yè)部門建議,3.2.4 備案流程,3.2.3 備案資料,3.2.1 備案作用,3.2 備案,3.2.2 備案時間,3.2.1 備案的作用,信息系統(tǒng)備案是國家有關信息安全職能部門了解和掌握重要信息系統(tǒng)的安全保護基本狀況、分析總體安全形勢的基礎資料來源，也是下一步接受備案機關開展各項監(jiān)督檢查工作所必需的基本依據(jù)。 新建系統(tǒng) 已有系統(tǒng),3.2.2 備案的時間,根據(jù)信息安全等級保護管理辦法，信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)運營使用單位或主管部門，應當在安全保護等級確定后30日內，到當?shù)毓矙C關網監(jiān)部門辦理備

9、案手續(xù)。 新建第二級以上信息系統(tǒng)，應當在投入運行后30日內，由其運營、使用單位到當?shù)毓矙C關網監(jiān)部門辦理備案手續(xù)。,2.2.3 備案資料,信息系統(tǒng)運營、使用單位應當在其系統(tǒng)安全保護等級確定后，向當?shù)赝壒矙C關提前備案（縣級單位應當向市級公安機關備案），備案時應當?shù)絺浒笝C關填寫備案登記表并按要求提交相關資料，包括紙質版和電子版。 書面填寫信息系統(tǒng)安全等級保護備案表 一式兩份?？商頦ORD文檔，再打印輸出，附上附件。 備案登記表/系統(tǒng)體系/功能結構圖/系統(tǒng)安全保護方案或措施/系統(tǒng)安全管理制度等。,3.2.4 備案流程,3.3 建設整改,3.3.1實施概述,3.3.2實施過程,3.3.1 實施概述

10、,信息系統(tǒng)安全管理建設,信息系統(tǒng)安全技術建設,開展信息系統(tǒng)安全自查和等級測評,信息系統(tǒng)安全需求分析/相應級別的要求,確定安全策略，制定安全建設方案,物 理 安 全,網 絡 安 全,主 機 安 全,應 用 安 全,數(shù) 據(jù) 安 全,安全管理機構,安全管理制度,人員安全管理,系統(tǒng)建設管理,系統(tǒng)運行管理,3.3.2 實施過程,3.4.1 等級測評依據(jù),3.4 信息安全等級保護測評,3.4.3 等級測評流程,3.4.4 等級測評結果,3.4.5 等級測評目的,3.4.1 等級測評依據(jù),依據(jù)信息安全等級保護管理辦法第十四條中規(guī)定: 信息系統(tǒng)建設完成后， 運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條

11、件的測評機構，依據(jù)信息系統(tǒng)安全等級保護測評要求 等技術標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進行一次等級測評，第四級信息系統(tǒng)應當每半年至少進行一次等級測評，第五級信息系統(tǒng)應當依據(jù)特殊安全需求進行等級測評。,3.4.2 等級測評流程,符合性判別依據(jù)是: 1、信息系統(tǒng)中是否存在高風險，如果有，一票否決。 2、信息系統(tǒng)中沒有高風險，且測評項綜合得分為60分以上100分以下為基本符合。 注：100分為符合。,3.4.3 等級測評結果,3.4.4 等級測評目的,對于企業(yè)來說，實施信息安全等級保護測評能夠有效地提高單位信息和信息系統(tǒng)安全建設的整體水平，有效控制企業(yè)信息安全

12、建設成本；有利于明確國家、法人和其他組織、公民的信息安全責任，加強企業(yè)信息安全管理。 對于信息系統(tǒng)來說，通過等級保護測評可及時發(fā)現(xiàn)信息系統(tǒng)安全狀況并制定方案進行整改，當信息系統(tǒng)完全達到安全保護能力要求時，信息系統(tǒng)就基本可做到“進不來、拿不走、改不了、看不懂、賴不掉”。,3.5 監(jiān)督檢查,依據(jù)公安機關信息安全等級保護檢查工作規(guī)范第二條中規(guī)定: 公安機關信息安全等級保護檢查工作是指公安機關依據(jù)有關規(guī)定，會同主管部門對非涉密重要信息系統(tǒng)運營使用單位等級保護工作開展和落實情況進行檢查，督促、檢查其建設安全設施、落實安全措施、建立并落實安全管理制度、落實安全責任、落實責任部門和人員。,4.2 不同級別系

13、統(tǒng)的差異,4.1 基本要求結構,4 信息安全等級保護基本要求,4.3 等級測評技術要求,4.4 等級測評管理要求,4.5 等級保護新標準,4.1基本要求結構,4.2不同級別系統(tǒng)的差異(控制點),4.2不同級別系統(tǒng)的差異(要求項),4.3等級測評技術要求(三級為黑色字體),安全審計,防火,防水防潮,防靜電,溫濕度控制,電力供應,電磁防護,網絡設備 防護,入侵防范,惡意代碼 防范,剩余信息 保護,系統(tǒng)資源 控制,資源控制,剩余信息保護,4.4等級測評管理要求(三級為黑色字體),等級測評,備份和恢復管理,安全事件處置,應急預案管理,4.5等級保護新標準（2.0）,隨著新技術、新業(yè)態(tài)的出現(xiàn)，原有標準面臨挑戰(zhàn)。 為適應新技術發(fā)展，解決云計算、物聯(lián)網、移動互聯(lián)和工控領域信息系統(tǒng)等級保護工作的需要，2014年3月-10月，由公安部牽頭組織開展了信息技術新領域等級保護標準的申報工作，新標準為匹配網絡安全法將信息安全改稱為網絡安全。 定級指南：滿足新的等級保護對象的定級需求 基本要求：滿足新技術領域如云計算、物聯(lián)網、工控、大數(shù)據(jù)和移動互聯(lián)系統(tǒng)等保護需求 測評要求：滿足新測評對象和技術實現(xiàn)的測