网络安全等级保护工作内容与基本要求培训.pptVIP

电力行业测评指标 电力行业测评指标 系统类型 级别 控制点数量 生产控制信息系统类 2级 191 生产控制信息系统类 3级 307 管理信息系统类 2级 185 管理信息系统类 3级 299 电力系统安全保护要求—总体要求 控制点 一级 二级 三级 四级 物理位置的选择 * * * 物理访问控制 * * * * 防盗窃和防破坏 * * * * 防雷击 * * * * 防火 * * * * 防水和防潮 * * * * 防静电 * * * 温湿度控制 * * * * 电力供应 * * * * 电磁防护 * * * 合计 7 10 10 10 各级的要求-物理安全 电磁防护（S）： 一级：无此要求。 二级：要求具有基本的电磁防护能力，如电源线和通信 线缆应隔离铺设等。 三级：除二级要求外，增强了防护能力，要求能够做到 关键设备和磁介质的电磁屏蔽。 四级：在三级要求的基础上，要求屏蔽范围扩展关键区 域。 控制点 一级 二级 三级 四级 结构安全（G） * * * * 访问控制（G） * * * * 安全审计（G） * * * 边界完整性检查（S ） * * * 入侵防范（G） * * * 恶意代码防范（G） * * 网络设备防护（G） * * * * 合计 3 6 7 7 LOGO 网络安全等级保护工作内容与基本要求 等级保护工作内容 1 等级保护基本要求 2 内容概要 网络安全等级保护工作概述 定级 备案 整改 测评 检查 网络安全等级保护工作流程 1.确定信息系统的安全防护等级，形成定级报告。 2.持定级报告到当地公安机关网监部门进行备案。 3.参照信息系统当前等级要求和标准，对信息系统进行整改加固。 4.委托具备测评资质的测评机构对信息系统进行等级测评，形成正式的测评报告。 5.向当地公安机关网监部门提交测评报告，配合完成对网络安全等级保护实施情况的检查。 网络安全等级保护基本要求 系统运维管理 系统建设管理 数据安全 网络安全等级保护基本要求 物理安全 网络安全 主机安全 安全管理机构 安全管理制度 应用安全 人员安全管理 技术要求 管理要求 网络安全等级保护—定级 定义 由信息系统运营单位确定信息系统的安全保护等级。 1 由运营单位业务部门确定实施网络安全等级保护的信息系统。 2 参照定级标准和流程获得信息等级的安全保护等级信息。 3 最终形成信息系统安全保护等级确认报告。 定级流程 1.确定定级对象 2.确定业务信息安全受到破坏时所侵害的客体 3.综合评定对客体的侵害程度 4.业务信息安全等级（S） 5.确定系统服务安全受到破坏时所侵害的客体 6.综合评定对客体的侵害程度 7.系统服务安全等级（A） 8.定级对象的安全保护等级（SxAxGx） 定级参考信息 定级结论 安全保护等级 信息系统定级结果组合 第二级 S1A2G2,S2A2G2,S2A1G2 第三级 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3 第四级 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4 网络安全等级保护—备案 定义 由信息系统运营单位持定级报告到当地公安机关网监部门进行信息系统安全保护等级信息备案。 1 按照运营单位所在地确定受理备案的机构（省公安厅/市公安局）。 2 由运营单位填写信息系统安全等级保护备案表格。 3 提交备案表格，获得备案回执信息（通过审核/限期整改）。 备案信息 网络安全等级保护—整改 定义 按照信息系统已备案的等级信息，参照网络安全等级保护基本要求，组织开展差距分析及整改加固的相关工作。 由信息系统运营单位开展自查及整改工作，不断完善网络安全等级保护的各项要求。 委托具备测评资质的测评机构开展信息系统安全等级保护差距分析，配合运营单位完成整改及安全加固工作。 整改依据 网络安全等级保护—测评 定义 委托具备测评资质的第三方测评机构，对已定级的信息系统进行网络安全等级保护测评，并出具正式的测评报告和测评结论。 1 明确被测评系统的安全保护等级，制定测评方案和实施计划。 2 由运营单位配合完成测评过程中的人员访谈、配置检查、安全测试等工作。 3 出具最终的测评报告和测评结论（符合/基本符合/不符合）。 测评实施流程 等级测评项目启动 信息收集与分析 工具和表单准备 测评准备活动 测评对象确定 测评指标确定 测评内容确定 工具测评方法确定 测评指导书开发 测评方案编制 方案编制活动 现场测评准备 现场测评和结果记录 结果确认和资料归还 现场测评活动 单项测评结果判定 单元测评结果判定 整体测评 风险分析 等保测评结论形成 测评报告编制 报告编制活动 沟通与洽谈 1.测评准备活动 测评项目启动 测评机构与信息系统运营单位签订测评委托合同，明确被测评的信息系统名称