信息安全等級保護(hù)內(nèi)容介紹課件

1、PrivateAvailable to Group A OnlyPrivate InformationAvailable to All EmployeesPublic InformationAvailable to EveryonePrivateAvailable to Group B OnlyPrivateAvailableonly to very limited distribution信 息 訪 問 的 廣 度信 息 訪 問 的 廣 度保護(hù)級別增長保護(hù)級別增長專用專用僅供部門僅供部門A 供所有內(nèi)部人員使用的信息供所有內(nèi)部人員使用的信息供所有人員使用的公用信息僅供有限用戶僅供有限用戶專用專

2、用專用專用僅供部門僅供部門B 保護(hù)的核心是信息保護(hù)的核心是信息主管部門主管部門監(jiān)督檢查監(jiān)督檢查信息安全監(jiān)信息安全監(jiān)管職能部門管職能部門系統(tǒng)定級系統(tǒng)定級安全保護(hù)安全保護(hù)檢測評估檢測評估運(yùn)營運(yùn)營/ /使用單位使用單位安全服務(wù)商安全服務(wù)商安全評估機(jī)構(gòu)安全評估機(jī)構(gòu)技術(shù)標(biāo)準(zhǔn)技術(shù)標(biāo)準(zhǔn)管理規(guī)范管理規(guī)范風(fēng)險(xiǎn)分析基本要求安全等級定級指南其他標(biāo)準(zhǔn)要求等級系統(tǒng)保護(hù)方案實(shí)施運(yùn)行維護(hù)管理安全事件管理安全風(fēng)險(xiǎn)管理安全產(chǎn)品選擇安全工程實(shí)施系統(tǒng)安全配置安全狀況監(jiān)控系統(tǒng)特定需求等級化要求事件等級劃分事件響應(yīng)處置產(chǎn)品等級劃分風(fēng)險(xiǎn)評估系統(tǒng)測評準(zhǔn)則監(jiān)督檢查要求等級系統(tǒng)保護(hù)策略與安全方案實(shí)施指南評估指南重大變更重大變更安全規(guī)劃設(shè)計(jì)安全

3、規(guī)劃設(shè)計(jì)安全實(shí)施安全實(shí)施/ /實(shí)現(xiàn)實(shí)現(xiàn)安全運(yùn)行管理安全運(yùn)行管理系統(tǒng)定級系統(tǒng)定級局部調(diào)整局部調(diào)整系統(tǒng)終止系統(tǒng)終止主要輸入主要輸入主要輸出主要輸出階段主要活動(dòng)階段主要活動(dòng)子系統(tǒng)識別和描述子系統(tǒng)識別和描述系統(tǒng)立項(xiàng)文檔系統(tǒng)立項(xiàng)文檔系統(tǒng)建設(shè)文檔系統(tǒng)建設(shè)文檔系統(tǒng)管理文檔系統(tǒng)管理文檔系統(tǒng)詳細(xì)描述文件系統(tǒng)詳細(xì)描述文件系統(tǒng)識別與劃分系統(tǒng)識別與劃分系統(tǒng)總體描述文件系統(tǒng)總體描述文件系統(tǒng)總體描述文件系統(tǒng)總體描述文件安全等級確定安全等級確定系統(tǒng)總體描述文件系統(tǒng)總體描述文件系統(tǒng)詳細(xì)描述文件系統(tǒng)詳細(xì)描述文件系統(tǒng)安全保護(hù)等級系統(tǒng)安全保護(hù)等級定級建議書定級建議書安全評估和需求分析安全評估和需求分析安全總體設(shè)計(jì)安全總體設(shè)計(jì) 安全

4、建設(shè)規(guī)劃安全建設(shè)規(guī)劃 主要輸入主要輸入系統(tǒng)詳細(xì)描述文件系統(tǒng)詳細(xì)描述文件系統(tǒng)定級建議書系統(tǒng)定級建議書等級保護(hù)基本要求等級保護(hù)基本要求安全評估報(bào)告安全評估報(bào)告安全需求分析報(bào)告安全需求分析報(bào)告等級保護(hù)基本要求等級保護(hù)基本要求總體安全策略總體安全策略/框架框架單位信息化的中長單位信息化的中長期規(guī)劃期規(guī)劃階段主要活動(dòng)階段主要活動(dòng)安全評估報(bào)告安全評估報(bào)告安全需求分析報(bào)告安全需求分析報(bào)告安全總體方案書安全總體方案書技術(shù)防護(hù)框架技術(shù)防護(hù)框架管理策略框架管理策略框架信息系統(tǒng)安全建設(shè)信息系統(tǒng)安全建設(shè)方案方案主要輸出主要輸出確定評估范圍確定評估范圍 獲得信息系統(tǒng)的信息獲得信息系統(tǒng)的信息 確定具體的評估對象確定具體的

5、評估對象 確定評估工作的方法確定評估工作的方法 制定評估工作計(jì)劃制定評估工作計(jì)劃 系統(tǒng)詳細(xì)描述文件系統(tǒng)詳細(xì)描述文件系統(tǒng)定級建議書系統(tǒng)定級建議書用戶文檔用戶文檔輸入輸入輸出輸出過程的工作內(nèi)容過程的工作內(nèi)容評估工作方案評估工作方案主要輸入主要輸入主要輸出主要輸出階段主要活動(dòng)階段主要活動(dòng)安全詳細(xì)方案設(shè)計(jì)安全詳細(xì)方案設(shè)計(jì)安全總體方案書安全總體方案書系統(tǒng)安全建設(shè)方案系統(tǒng)安全建設(shè)方案安全產(chǎn)品技術(shù)白皮書安全產(chǎn)品技術(shù)白皮書安全詳細(xì)設(shè)計(jì)方案安全詳細(xì)設(shè)計(jì)方案安全技術(shù)實(shí)施安全技術(shù)實(shí)施 安全測評報(bào)告安全測評報(bào)告等級化安全測評等級化安全測評安全詳細(xì)設(shè)計(jì)方案安全詳細(xì)設(shè)計(jì)方案系統(tǒng)驗(yàn)收報(bào)告系統(tǒng)驗(yàn)收報(bào)告安全管理實(shí)施安全管理實(shí)施

6、 安全詳細(xì)設(shè)計(jì)方案安全詳細(xì)設(shè)計(jì)方案角色與職責(zé)說明書角色與職責(zé)說明書 管理制度管理制度/操作規(guī)范操作規(guī)范系統(tǒng)定級建議書系統(tǒng)定級建議書系統(tǒng)驗(yàn)收報(bào)告系統(tǒng)驗(yàn)收報(bào)告主要輸入主要輸入主要輸出主要輸出階段主要活動(dòng)階段主要活動(dòng)操作管理和控制操作管理和控制安全詳細(xì)設(shè)計(jì)方案安全詳細(xì)設(shè)計(jì)方案安全組織機(jī)構(gòu)表安全組織機(jī)構(gòu)表操作人員角色操作人員角色/職責(zé)表職責(zé)表各類操作規(guī)程各類操作規(guī)程變更管理和控制變更管理和控制變更需求變更需求變更結(jié)果報(bào)告變更結(jié)果報(bào)告 安全狀態(tài)監(jiān)控安全狀態(tài)監(jiān)控安全詳細(xì)設(shè)計(jì)方案安全詳細(xì)設(shè)計(jì)方案系統(tǒng)驗(yàn)收報(bào)告等系統(tǒng)驗(yàn)收報(bào)告等安全狀態(tài)分析報(bào)告安全狀態(tài)分析報(bào)告 安全事件處置和應(yīng)安全事件處置和應(yīng)急預(yù)案急預(yù)案 安全詳

7、細(xì)設(shè)計(jì)方案安全詳細(xì)設(shè)計(jì)方案安全組織機(jī)構(gòu)表安全組織機(jī)構(gòu)表安全事件報(bào)告程序安全事件報(bào)告程序 各類應(yīng)急預(yù)案各類應(yīng)急預(yù)案安全事件處置報(bào)告安全事件處置報(bào)告主要輸入主要輸入主要輸出主要輸出階段主要活動(dòng)階段主要活動(dòng)安全評估和持續(xù)改進(jìn)安全評估和持續(xù)改進(jìn) 安全評估報(bào)告安全評估報(bào)告安全改進(jìn)方案安全改進(jìn)方案等級化安全測評等級化安全測評 安全詳細(xì)設(shè)計(jì)方案安全詳細(xì)設(shè)計(jì)方案系統(tǒng)驗(yàn)收報(bào)告等系統(tǒng)驗(yàn)收報(bào)告等安全等級保護(hù)測評安全等級保護(hù)測評報(bào)告報(bào)告 監(jiān)督檢查監(jiān)督檢查安全詳細(xì)設(shè)計(jì)方案安全詳細(xì)設(shè)計(jì)方案系統(tǒng)驗(yàn)收報(bào)告等系統(tǒng)驗(yàn)收報(bào)告等監(jiān)督檢查結(jié)果報(bào)告監(jiān)督檢查結(jié)果報(bào)告 變更需求變更需求系統(tǒng)所屬類型系統(tǒng)所屬類型業(yè)務(wù)信息類別業(yè)務(wù)信息類別系統(tǒng)服務(wù)

8、范圍系統(tǒng)服務(wù)范圍業(yè)務(wù)依賴程度業(yè)務(wù)依賴程度業(yè)務(wù)信息安全性業(yè)務(wù)信息安全性業(yè)務(wù)服務(wù)保證性業(yè)務(wù)服務(wù)保證性業(yè)務(wù)信息安全性業(yè)務(wù)信息安全性業(yè)務(wù)服務(wù)保證性業(yè)務(wù)服務(wù)保證性信息系統(tǒng)安全保護(hù)等級信息系統(tǒng)安全保護(hù)等級信息系統(tǒng)所屬類型業(yè)務(wù)信息類型信息系統(tǒng)服務(wù)范圍業(yè)務(wù)依賴程度業(yè)務(wù)信息安全性取值業(yè)務(wù)服務(wù)保證性取值業(yè)務(wù)服務(wù)保證性等級1. 賦值賦值選擇調(diào)節(jié)因子業(yè)務(wù)子系統(tǒng)安全保護(hù)等級2. 確定兩個(gè)指標(biāo)等級確定兩個(gè)指標(biāo)等級業(yè)務(wù)信息安全性等級3 確定業(yè)務(wù)子系統(tǒng)等級確定業(yè)務(wù)子系統(tǒng)等級信息系統(tǒng)安全保護(hù)等級4. 確定信息系統(tǒng)等級確定信息系統(tǒng)等級其它業(yè)務(wù)子系統(tǒng) 。信息系統(tǒng)測評系統(tǒng)測評（對安全控制、層面、區(qū)域間關(guān)聯(lián)關(guān)系以及系統(tǒng)整體結(jié)構(gòu)，分層次

9、綜合分析、測評）安全控制測評（以測評單元組織的測評實(shí)施）測評單元測評單元測評項(xiàng)測評項(xiàng)測評方式測評方式測評對象測評對象測評實(shí)施測評實(shí)施結(jié)果判定結(jié)果判定具體技術(shù)和管理要求具體技術(shù)和管理要求訪談訪談/檢查檢查/測試測試人員人員/文檔文檔/機(jī)制機(jī)制/設(shè)備設(shè)備測評方式對象操作測評方式對象操作是否符合測評項(xiàng)要求是否符合測評項(xiàng)要求不同級別的不同級別的信息系統(tǒng)信息系統(tǒng)重要程度不同重要程度不同保護(hù)需求不同保護(hù)需求不同安全保護(hù)安全保護(hù)能力不同能力不同應(yīng)對威脅的應(yīng)對威脅的能力不同能力不同不同的安全目標(biāo)不同的安全目標(biāo)不同基本要求不同基本要求某級系統(tǒng)某級系統(tǒng)物理安全物理安全基本技術(shù)要求基本技術(shù)要求基本管理要求基本管理要求基本要求基本要求網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全主機(jī)安全主機(jī)安全應(yīng)用安全應(yīng)用安全數(shù)據(jù)安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)安全管理制度安全管理制度人員安全管理人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理結(jié)構(gòu)安全和網(wǎng)段劃分結(jié)構(gòu)安全和網(wǎng)段劃分網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全(四級四級)網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)訪問控制撥號訪問控制撥號訪問控制網(wǎng)絡(luò)安全審計(jì)網(wǎng)絡(luò)安全審計(jì)邊界完整性檢查邊界完整性檢查網(wǎng)絡(luò)入侵檢測網(wǎng)絡(luò)入侵檢測惡意代碼防護(hù)惡意代碼防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù)環(huán)境管理環(huán)境管理系統(tǒng)運(yùn)維管理系統(tǒng)運(yùn)維管理(四級四級)資產(chǎn)管理資產(chǎn)管理設(shè)備管理設(shè)備管理介質(zhì)管理