2信息系统等级保护介绍.pptVIP

信 息 安 全 等 级 保 护 基 本 介 绍 浙江省发展信息安全测评技术有限公司 2011年1月 信息安全系统等级保护 1、等级保护发展历程 2、等级保护的基本概念和含义 3、等级保护和测评的作用 4、等级保护主要工作内容 5、等级保护主要工作流程 6、等级保护定级工作流程 7、等级保护测评工作流程 8、等级保护安全建设内容 9、等级保护监督检查内容 10、测评具体工作过程 11、建设整改工作指南 1、发展历程 1994年，国务院147号令——《中华人民共和国计算机信息系统安全保护条例》 2003年，中央办公厅、国务院（中办发[2003]27号）——《国家信息化领导小组关于加强信息安全保障工作的意见》 2004年，公安部、国家必威体育官网网址局、国家密码管理局、国务院信息化工作办公室（公通字[2004]66号）——《关于信息安全等级保护工作的实施意见》 2006年，公安部开展信息安全等级保护试点工作，制定《计算机信息安全等级划分准则》（GB17859-1999） 1、发展历程 2007年，公安部、国家必威体育官网网址局、国家密码管理局、国务院信息化工作办公室（公通字[2007]43号）——《信息安全等级保护管理办法》，（公信安[2007]861号）——《关于开展全国重要信息系统安全等级保护定级工作的通知》，开始在全国范围内开展信息安全等级保护工作 2010年，浙江省信息安全等级保护协调小组多次召开会议并下发通知，介绍工作总体进度情况等，省公安也多次监督指导工作，认识到等级保护工作开展的重要性和必要性 2011年，《浙江省信息化促进条例》2011年1月1日开始正式实施 2、基本概念和含义 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护（五级），详细分级依据请见《GBT 22240-2008 信息安全技术 信息系统安全等级保护定级指南》中描述； 对信息系统中使用的信息安全产品实行按等级管理； 对信息系统中发生的信息安全事件分等级响应、处置 2、基本概念和含义 等级保护遵循的原则： 自主保护原则 重点保护原则 同步建设原则 动态调整原则 2、基本概念和含义 工作实施过程中涉及到的角色和职责： 国家管理部门 信息系统主管部门 信息系统运营、使用单位 信息安全服务机构 信息安全等级测评机构 信息安全产品供应商 3、等保测评作用 在信息系统建设、整改时，信息系统运营使用单位通过等级测评进行安全需求分析，确定系统的特殊安全需求。信息系统等级保护基本安全要求与确定的特殊安全需求共同确定了该系统的安全需求。 在系统运维过程中，定期委托测评机构开展等级测评，对信息系统安全等级保护状况、安全保障性能进行安全测试，对信息安全管控能力进行考察和评价，从而判定是否具备《信息系统安全等级保护基本要求》中相应等级安全保护能力。 等级测评报告是信息系统后期开展整改加固的重要指导性文件，也是信息系统备案的重要附件材料。等级测评结论是信息系统满足要求程度的证明文件。 4、主要工作内容 系统定级 系统备案 安全建设 等级测评 监督检查 5、等级保护主要工作流程 业务流程 6、等级保护定级工作流程 定级流程 6、等级保护定级工作流程 定级原则 信息系统定级是整个信息系统安全等级保护工作的第一个重要环节，是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。 信息系统定级工作的主体是信息系统运营和使用单位，坚持“自主定级、自主保护”原则，因此定级工作应当由信息系统的运营和使用单位来完成。 6、等级保护定级工作流程 定级受理备案审核材料 管理办法明确规定第二级以上信息系统应当在安全保护等级确定后30日内，由其运营、使用单位到所在地区的市级以上公安机关办理系统备案手续。 办理备案手续时，应填写《信息系统安全等级保护备案表》，《信息系统安全等级保护定级报告》、《系统定级评审意见》（或上级主管部门定级审核意见）、相关电子数据等。 7、等级保护测评工作流程 测评流程 等级测评的工作流程，依据《信息系统安全等级保护测评过程指南》，具体内容参见：等保测评工作流程图 7、等级保护测评工作流程 测评内容 7、等级保护测评工作流程 测评依据的相关标准体系 可以从多个角度来分析—— A、从基本分类角度来看，分为：基础类标准、技术类标准、管理类标准； B、从等级保护生命周期看，分为：系统定级用标准、安全建设用标准、等级测评用标准、运行维护用标准、通用标准； C、从对象角度看，分为：基础标准、系统标准、产品标准、安全服务标准、安全事件标准等。 7、等级保护测评工作流程 测评依据的主要标准 实施指南 《信息安全技术 信息系统安全等级保护实施指南》 （报批稿） 定级指南 《GB