信息安全等級保護(hù)培訓(xùn)

1、信息安全等級信息安全等級保護(hù)培訓(xùn)保護(hù)培訓(xùn)2012014 4年年1111月月2121日日等級保護(hù)等級等級保護(hù)基本概念介紹保護(hù)基本概念介紹等級保護(hù)實施流程等級保護(hù)實施流程等級保護(hù)等級等級保護(hù)基本概念介紹保護(hù)基本概念介紹等級保護(hù)實施流程等級保護(hù)實施流程什么是等級保護(hù) 信息安全等級保護(hù)管理辦法指出 信息安全等級保護(hù)是以信息為核心。根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達(dá)到的基本的安全保護(hù)水平等因素，對最核心的信息和信息系統(tǒng)劃分為五個安全保護(hù)和

2、監(jiān)管等級，實行分等級保護(hù)。為什么實施等級保護(hù)實施信息安全等級保護(hù)，可以有效地提高我國信息安全建設(shè)的整體水平。 有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息 化建設(shè)相協(xié)調(diào)； 有利于加強(qiáng)對涉及國家安全、經(jīng)濟(jì)秩序、社會穩(wěn)定和公共利益的信息系統(tǒng)的安全保護(hù)和管理監(jiān)督； 有利于明確國家、法人和其他組織、公民的安全責(zé)任，強(qiáng)化政府監(jiān)管職能，共同落實各項安全建設(shè)和安全管理措施； 有利于提高安全保護(hù)的科學(xué)性、整體性、針對性，推動信息安全產(chǎn)業(yè)水平，逐步探索一條適應(yīng)社會主義市場經(jīng)濟(jì)發(fā)展的信息安全發(fā)展模式。 有利于明確國家、法人和其他組織、公民的安全責(zé)任，強(qiáng)化政府監(jiān)管職能，共同落實各項安全建設(shè)和安全

3、管理措施； 有利于提高安全保護(hù)的科學(xué)性、整體性、針對性，推動信息安全產(chǎn)業(yè)水平，逐步探索一條適應(yīng)社會主義市場經(jīng)濟(jì)發(fā)展的信息安全發(fā)展模式。 “一個提高，六個有利于”國家對等級保護(hù)測評的要求 信息安全等級保護(hù)管理辦法“等級保護(hù)的實施與管理”第十四條指出： 建設(shè)完成后，運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定信息系統(tǒng)條件的測評單位，依據(jù)信息系統(tǒng)安全等級保護(hù)基本要求等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評。 第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。 廣東省安全保護(hù)對測評要求第十二條 第二

4、級以上計算機(jī)信息系統(tǒng)建設(shè)完成后，運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合國家規(guī)定的安全等級測評機(jī)構(gòu)，依據(jù)國家規(guī)定的技術(shù)標(biāo)準(zhǔn)，對計算機(jī)信息系統(tǒng)安全等級狀況開展等級測評，測評合格后方可投入使用。 第十三條 計算機(jī)信息系統(tǒng)的運(yùn)營、使用單位及其主管部門應(yīng)當(dāng)按照國家規(guī)定定期對計算機(jī)信息系統(tǒng)開展安全等級測評，并對計算機(jī)信息系統(tǒng)安全狀況、安全管理制度及措施的落實情況進(jìn)行自查。 計算機(jī)信息系統(tǒng)安全狀況經(jīng)測評或者自查，未達(dá)到安全等級保護(hù)要求的，運(yùn)營、使用單位應(yīng)當(dāng)進(jìn)行整改。 信息安全等級保護(hù)的標(biāo)準(zhǔn)體系基礎(chǔ)類 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB 17859-1999 GB 17859-1999 信息系統(tǒng)安全等級

5、保護(hù)實施指南GB/T 25058-2010 GB/T 25058-2010 應(yīng)用類 定級：信息系統(tǒng)安全保護(hù)等級定級指南GB/T 22240-2008 建設(shè)：信息系統(tǒng)安全等級保護(hù)基本要求GB/T 22239-2008 信息系統(tǒng)通用安全技術(shù)要求GB/T 20271-2006 信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求GB/T 25070- 2010 測評：信息系統(tǒng)安全等級保護(hù)測評要求 信息系統(tǒng)安全等級保護(hù)測評過程指南 管理：信息系統(tǒng)安全管理要求GB/T 20269-2006 信息系統(tǒng)安全工程管理要求GB/T 20282-2006 信息安全等級保護(hù)的標(biāo)準(zhǔn)體系 技術(shù)類 GB/T 21052-2007 信息安全技

6、術(shù) 信息系統(tǒng)物理安全技術(shù)要求 GB/T 20270-2006 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求 GB/T 20272-2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求 GB/T 20273-2006 信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 其他信息產(chǎn)品、信息安全產(chǎn)品等 其它類 GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范 GB/T 20285-2007 信息安全技術(shù) 信息安全事件管理指南 GB/Z 20986-2007 信息安全技術(shù) 信息安全事件分類分級指南 GB/T 20988-2007 信息安全技

7、術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范 等級保護(hù)標(biāo)準(zhǔn)與工作環(huán)節(jié)的關(guān)系信息系統(tǒng)安全等級保護(hù)定級指南信息系統(tǒng)安全等級保護(hù)行業(yè)定級細(xì)則信息系統(tǒng)安全等級保護(hù)測評過程指南信息系統(tǒng)安全等級保護(hù)測評要求信息系統(tǒng)安全等級保護(hù)基本要求的行業(yè)細(xì)則信息系統(tǒng)安全等級保護(hù)基本要求信息系統(tǒng)安全等級保護(hù)實施指南信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求信息安全等級保護(hù)安全建設(shè)整改工作安全等級方法指導(dǎo)現(xiàn)狀分析安全要求技術(shù)類信息系統(tǒng)通用安全技術(shù)要求其他技術(shù)類標(biāo)準(zhǔn)管理類信息系統(tǒng)安全管理要求其他管理類標(biāo)準(zhǔn)計算機(jī)信息系統(tǒng)安全等級保護(hù)劃分準(zhǔn)則（GB17859）產(chǎn)品類操作系統(tǒng)安全技術(shù)要求其他產(chǎn)品類標(biāo)準(zhǔn)等級保護(hù)等級等級保護(hù)基本概念介紹保護(hù)基本概念介紹等級保護(hù)實施

8、流程等級保護(hù)實施流程等級保護(hù)實施基本流程公安網(wǎng)監(jiān)審核等保驗收測評系統(tǒng)備案系統(tǒng)定級頒發(fā)證書安全需求分析規(guī)劃等保整改方案檢查報告及整改方案提交網(wǎng)監(jiān)備案等保整改實施測評報告提交網(wǎng)監(jiān)備案運(yùn)營單位系統(tǒng)自運(yùn)維材料不齊不合格不合格合格定級不準(zhǔn)定級準(zhǔn)材料齊合格定級階段定級階段備案階段備案階段差距測評階段差距測評階段整改整改階段階段驗收階段驗收階段自查階段自查階段等級保護(hù)系統(tǒng)定級流程用戶1.信息系統(tǒng)總體描述文件2.信息系統(tǒng)詳細(xì)描述文件3.信息系統(tǒng)等級保護(hù)定級指南4.其他信息系統(tǒng)建設(shè)相關(guān)標(biāo)準(zhǔn)及文件信息系統(tǒng)安全等級保護(hù)定級報告信息系統(tǒng)安全等級保護(hù)定級報告等級保護(hù)系統(tǒng)定級方法等級保護(hù)定級方法（定級指南）一般流程定級對

9、象客體、社會關(guān)系信息系統(tǒng)安全等級對客體的侵害程度受侵害的客體系統(tǒng)服務(wù)安全等級業(yè)務(wù)信息安全等級等級確定系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級等級保護(hù)備案材料用戶網(wǎng)上備案所需材料用戶網(wǎng)上備案所需材料二級系統(tǒng)所需三級系統(tǒng)所需信息系統(tǒng)運(yùn)營單位信息備案授權(quán)人身份證（掃描件）信息系統(tǒng)定級報告信息系統(tǒng)運(yùn)營單位信息信息系統(tǒng)備案信息表系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明系統(tǒng)安全組織機(jī)構(gòu)和管理制度系統(tǒng)安全保護(hù)設(shè)計實施方案或改建實施方案系統(tǒng)是使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證

10、明測評后符合系統(tǒng)安全保護(hù)等級的技術(shù)檢測評估報告信息系統(tǒng)安全保護(hù)等級專家評審意見主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級的意見等保整改或測評之后提交網(wǎng)監(jiān)等級保護(hù)備案流程網(wǎng)上備案申請公安網(wǎng)監(jiān)審核提交申請材料頒發(fā)備案證書公安網(wǎng)監(jiān)對用戶備案申請進(jìn)行審核系統(tǒng)備案單位根據(jù)網(wǎng)監(jiān)審核結(jié)果，到網(wǎng)監(jiān)部門現(xiàn)場提交網(wǎng)上申請時的備案紙質(zhì)資料公安網(wǎng)監(jiān)部門根據(jù)系統(tǒng)備案單位提交材料進(jìn)行備案，頒發(fā)備案證書材料不齊定級不準(zhǔn)材料齊定級準(zhǔn)用戶用戶金盾網(wǎng)注冊企業(yè)賬號網(wǎng)上申請?zhí)峤毁Y料公安網(wǎng)監(jiān)公安網(wǎng)監(jiān)用戶用戶公安網(wǎng)監(jiān)公安網(wǎng)監(jiān)安全需求分析階段等保差距測評安全分析/整改設(shè)計技技 術(shù)術(shù) 類類管管 理理 類類物理安全核查數(shù)據(jù)安全核查應(yīng)用安全核查網(wǎng)絡(luò)安

11、全核查主機(jī)安全核查安全管理機(jī)構(gòu)核查系統(tǒng)運(yùn)維管理核查系統(tǒng)建設(shè)管理核查安全管理制度核查人員安全管理核查管管 理理 類類安全管理機(jī)構(gòu)合規(guī)性系統(tǒng)運(yùn)維管理合規(guī)性系統(tǒng)建設(shè)管理合規(guī)性安全管理制度合規(guī)性人員安全管理合規(guī)性技技 術(shù)術(shù) 類類網(wǎng)絡(luò)安全合規(guī)性主機(jī)安全合規(guī)性應(yīng)用安全合規(guī)性數(shù)據(jù)安全合規(guī)性資產(chǎn)對象調(diào)研安全需求分析報告安全需求分析報告等級保護(hù)安全整改方案等級保護(hù)安全整改方案資產(chǎn)調(diào)研表資產(chǎn)調(diào)研表網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)拓?fù)鋱D物理安全合規(guī)性技術(shù)以及管理標(biāo)準(zhǔn)信息系統(tǒng)開發(fā)等相關(guān)文件安全需求分析（差距測評）單位等保整改等級保護(hù)整改階段整改實施單位：系統(tǒng)集成商、系統(tǒng)開發(fā)商、系統(tǒng)主管/使用/運(yùn)營單位等技術(shù)類整改技術(shù)類整改安全需求分析報告、等級保護(hù)整改方案物理安全整改數(shù)據(jù)安全整改應(yīng)用安全整改網(wǎng)絡(luò)安全整改主機(jī)安全整改管理類整管理類整改改安全管理機(jī)構(gòu)整改系統(tǒng)運(yùn)維管理整改系統(tǒng)建設(shè)管理整改安全管理制度整改人員安全管理整改等保整改等保整改實施報告實施報告等級保護(hù)驗收階段1.安全測評委托書2.信息系統(tǒng)結(jié)構(gòu)拓?fù)湔f明等詳細(xì)描述文件3.系統(tǒng)安全組織結(jié)構(gòu)和管理制度4.安全需求分析報告5.等級保護(hù)整改方案6.系統(tǒng)軟件硬件和信息安全產(chǎn)品清單7.信息系統(tǒng)安全等級保護(hù)定級報告用戶（系統(tǒng)主管/使用/運(yùn)營單位）第三方測評機(jī)構(gòu)1.信息系統(tǒng)安全等級保護(hù)基本要求2.信息系統(tǒng)等