信息安全等級(jí)保護(hù)培訓(xùn)

1、信息安全等級(jí)信息安全等級(jí)保護(hù)培訓(xùn)保護(hù)培訓(xùn)2012014 4年年1111月月2121日日等級(jí)保護(hù)等級(jí)等級(jí)保護(hù)基本概念介紹保護(hù)基本概念介紹等級(jí)保護(hù)實(shí)施流程等級(jí)保護(hù)實(shí)施流程等級(jí)保護(hù)等級(jí)等級(jí)保護(hù)基本概念介紹保護(hù)基本概念介紹等級(jí)保護(hù)實(shí)施流程等級(jí)保護(hù)實(shí)施流程什么是等級(jí)保護(hù) 信息安全等級(jí)保護(hù)管理辦法指出 信息安全等級(jí)保護(hù)是以信息為核心。根據(jù)信息和信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度；遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；針對(duì)信息的保密性、完整性和可用性要求及信息系統(tǒng)必須要達(dá)到的基本的安全保護(hù)水平等因素，對(duì)最核心的信息和信息系統(tǒng)劃分為五個(gè)安全保護(hù)和

2、監(jiān)管等級(jí)，實(shí)行分等級(jí)保護(hù)。為什么實(shí)施等級(jí)保護(hù)實(shí)施信息安全等級(jí)保護(hù)，可以有效地提高我國(guó)信息安全建設(shè)的整體水平。 有利于在信息化建設(shè)過(guò)程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息 化建設(shè)相協(xié)調(diào)； 有利于加強(qiáng)對(duì)涉及國(guó)家安全、經(jīng)濟(jì)秩序、社會(huì)穩(wěn)定和公共利益的信息系統(tǒng)的安全保護(hù)和管理監(jiān)督； 有利于明確國(guó)家、法人和其他組織、公民的安全責(zé)任，強(qiáng)化政府監(jiān)管職能，共同落實(shí)各項(xiàng)安全建設(shè)和安全管理措施； 有利于提高安全保護(hù)的科學(xué)性、整體性、針對(duì)性，推動(dòng)信息安全產(chǎn)業(yè)水平，逐步探索一條適應(yīng)社會(huì)主義市場(chǎng)經(jīng)濟(jì)發(fā)展的信息安全發(fā)展模式。 有利于明確國(guó)家、法人和其他組織、公民的安全責(zé)任，強(qiáng)化政府監(jiān)管職能，共同落實(shí)各項(xiàng)安全建設(shè)和安全

3、管理措施； 有利于提高安全保護(hù)的科學(xué)性、整體性、針對(duì)性，推動(dòng)信息安全產(chǎn)業(yè)水平，逐步探索一條適應(yīng)社會(huì)主義市場(chǎng)經(jīng)濟(jì)發(fā)展的信息安全發(fā)展模式。 “一個(gè)提高，六個(gè)有利于”國(guó)家對(duì)等級(jí)保護(hù)測(cè)評(píng)的要求 信息安全等級(jí)保護(hù)管理辦法“等級(jí)保護(hù)的實(shí)施與管理”第十四條指出： 建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門(mén)應(yīng)當(dāng)選擇符合本辦法規(guī)定信息系統(tǒng)條件的測(cè)評(píng)單位，依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。 第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。 廣東省安全保護(hù)對(duì)測(cè)評(píng)要求第十二條 第二

4、級(jí)以上計(jì)算機(jī)信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門(mén)應(yīng)當(dāng)選擇符合國(guó)家規(guī)定的安全等級(jí)測(cè)評(píng)機(jī)構(gòu)，依據(jù)國(guó)家規(guī)定的技術(shù)標(biāo)準(zhǔn)，對(duì)計(jì)算機(jī)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)，測(cè)評(píng)合格后方可投入使用。 第十三條 計(jì)算機(jī)信息系統(tǒng)的運(yùn)營(yíng)、使用單位及其主管部門(mén)應(yīng)當(dāng)按照國(guó)家規(guī)定定期對(duì)計(jì)算機(jī)信息系統(tǒng)開(kāi)展安全等級(jí)測(cè)評(píng)，并對(duì)計(jì)算機(jī)信息系統(tǒng)安全狀況、安全管理制度及措施的落實(shí)情況進(jìn)行自查。 計(jì)算機(jī)信息系統(tǒng)安全狀況經(jīng)測(cè)評(píng)或者自查，未達(dá)到安全等級(jí)保護(hù)要求的，運(yùn)營(yíng)、使用單位應(yīng)當(dāng)進(jìn)行整改。 信息安全等級(jí)保護(hù)的標(biāo)準(zhǔn)體系基礎(chǔ)類(lèi) 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB 17859-1999 GB 17859-1999 信息系統(tǒng)安全等級(jí)

5、保護(hù)實(shí)施指南GB/T 25058-2010 GB/T 25058-2010 應(yīng)用類(lèi) 定級(jí)：信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南GB/T 22240-2008 建設(shè)：信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 22239-2008 信息系統(tǒng)通用安全技術(shù)要求GB/T 20271-2006 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求GB/T 25070- 2010 測(cè)評(píng)：信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南 管理：信息系統(tǒng)安全管理要求GB/T 20269-2006 信息系統(tǒng)安全工程管理要求GB/T 20282-2006 信息安全等級(jí)保護(hù)的標(biāo)準(zhǔn)體系 技術(shù)類(lèi) GB/T 21052-2007 信息安全技

6、術(shù) 信息系統(tǒng)物理安全技術(shù)要求 GB/T 20270-2006 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求 GB/T 20272-2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求 GB/T 20273-2006 信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求 其他信息產(chǎn)品、信息安全產(chǎn)品等 其它類(lèi) GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 GB/T 20285-2007 信息安全技術(shù) 信息安全事件管理指南 GB/Z 20986-2007 信息安全技術(shù) 信息安全事件分類(lèi)分級(jí)指南 GB/T 20988-2007 信息安全技

7、術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范 等級(jí)保護(hù)標(biāo)準(zhǔn)與工作環(huán)節(jié)的關(guān)系信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南信息系統(tǒng)安全等級(jí)保護(hù)行業(yè)定級(jí)細(xì)則信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求信息系統(tǒng)安全等級(jí)保護(hù)基本要求的行業(yè)細(xì)則信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求信息安全等級(jí)保護(hù)安全建設(shè)整改工作安全等級(jí)方法指導(dǎo)現(xiàn)狀分析安全要求技術(shù)類(lèi)信息系統(tǒng)通用安全技術(shù)要求其他技術(shù)類(lèi)標(biāo)準(zhǔn)管理類(lèi)信息系統(tǒng)安全管理要求其他管理類(lèi)標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則（GB17859）產(chǎn)品類(lèi)操作系統(tǒng)安全技術(shù)要求其他產(chǎn)品類(lèi)標(biāo)準(zhǔn)等級(jí)保護(hù)等級(jí)等級(jí)保護(hù)基本概念介紹保護(hù)基本概念介紹等級(jí)保護(hù)實(shí)施

8、流程等級(jí)保護(hù)實(shí)施流程等級(jí)保護(hù)實(shí)施基本流程公安網(wǎng)監(jiān)審核等保驗(yàn)收測(cè)評(píng)系統(tǒng)備案系統(tǒng)定級(jí)頒發(fā)證書(shū)安全需求分析規(guī)劃等保整改方案檢查報(bào)告及整改方案提交網(wǎng)監(jiān)備案等保整改實(shí)施測(cè)評(píng)報(bào)告提交網(wǎng)監(jiān)備案運(yùn)營(yíng)單位系統(tǒng)自運(yùn)維材料不齊不合格不合格合格定級(jí)不準(zhǔn)定級(jí)準(zhǔn)材料齊合格定級(jí)階段定級(jí)階段備案階段備案階段差距測(cè)評(píng)階段差距測(cè)評(píng)階段整改整改階段階段驗(yàn)收階段驗(yàn)收階段自查階段自查階段等級(jí)保護(hù)系統(tǒng)定級(jí)流程用戶(hù)1.信息系統(tǒng)總體描述文件2.信息系統(tǒng)詳細(xì)描述文件3.信息系統(tǒng)等級(jí)保護(hù)定級(jí)指南4.其他信息系統(tǒng)建設(shè)相關(guān)標(biāo)準(zhǔn)及文件信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告等級(jí)保護(hù)系統(tǒng)定級(jí)方法等級(jí)保護(hù)定級(jí)方法（定級(jí)指南）一般流程定級(jí)對(duì)

9、象客體、社會(huì)關(guān)系信息系統(tǒng)安全等級(jí)對(duì)客體的侵害程度受侵害的客體系統(tǒng)服務(wù)安全等級(jí)業(yè)務(wù)信息安全等級(jí)等級(jí)確定系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第五級(jí)等級(jí)保護(hù)備案材料用戶(hù)網(wǎng)上備案所需材料用戶(hù)網(wǎng)上備案所需材料二級(jí)系統(tǒng)所需三級(jí)系統(tǒng)所需信息系統(tǒng)運(yùn)營(yíng)單位信息備案授權(quán)人身份證（掃描件）信息系統(tǒng)定級(jí)報(bào)告信息系統(tǒng)運(yùn)營(yíng)單位信息信息系統(tǒng)備案信息表系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說(shuō)明系統(tǒng)安全組織機(jī)構(gòu)和管理制度系統(tǒng)安全保護(hù)設(shè)計(jì)實(shí)施方案或改建實(shí)施方案系統(tǒng)是使用的信息安全產(chǎn)品清單及其認(rèn)證、銷(xiāo)售許可證

10、明測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告信息系統(tǒng)安全保護(hù)等級(jí)專(zhuān)家評(píng)審意見(jiàn)主管部門(mén)審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見(jiàn)等保整改或測(cè)評(píng)之后提交網(wǎng)監(jiān)等級(jí)保護(hù)備案流程網(wǎng)上備案申請(qǐng)公安網(wǎng)監(jiān)審核提交申請(qǐng)材料頒發(fā)備案證書(shū)公安網(wǎng)監(jiān)對(duì)用戶(hù)備案申請(qǐng)進(jìn)行審核系統(tǒng)備案單位根據(jù)網(wǎng)監(jiān)審核結(jié)果，到網(wǎng)監(jiān)部門(mén)現(xiàn)場(chǎng)提交網(wǎng)上申請(qǐng)時(shí)的備案紙質(zhì)資料公安網(wǎng)監(jiān)部門(mén)根據(jù)系統(tǒng)備案單位提交材料進(jìn)行備案，頒發(fā)備案證書(shū)材料不齊定級(jí)不準(zhǔn)材料齊定級(jí)準(zhǔn)用戶(hù)用戶(hù)金盾網(wǎng)注冊(cè)企業(yè)賬號(hào)網(wǎng)上申請(qǐng)?zhí)峤毁Y料公安網(wǎng)監(jiān)公安網(wǎng)監(jiān)用戶(hù)用戶(hù)公安網(wǎng)監(jiān)公安網(wǎng)監(jiān)安全需求分析階段等保差距測(cè)評(píng)安全分析/整改設(shè)計(jì)技技 術(shù)術(shù) 類(lèi)類(lèi)管管 理理 類(lèi)類(lèi)物理安全核查數(shù)據(jù)安全核查應(yīng)用安全核查網(wǎng)絡(luò)安

11、全核查主機(jī)安全核查安全管理機(jī)構(gòu)核查系統(tǒng)運(yùn)維管理核查系統(tǒng)建設(shè)管理核查安全管理制度核查人員安全管理核查管管 理理 類(lèi)類(lèi)安全管理機(jī)構(gòu)合規(guī)性系統(tǒng)運(yùn)維管理合規(guī)性系統(tǒng)建設(shè)管理合規(guī)性安全管理制度合規(guī)性人員安全管理合規(guī)性技技 術(shù)術(shù) 類(lèi)類(lèi)網(wǎng)絡(luò)安全合規(guī)性主機(jī)安全合規(guī)性應(yīng)用安全合規(guī)性數(shù)據(jù)安全合規(guī)性資產(chǎn)對(duì)象調(diào)研安全需求分析報(bào)告安全需求分析報(bào)告等級(jí)保護(hù)安全整改方案等級(jí)保護(hù)安全整改方案資產(chǎn)調(diào)研表資產(chǎn)調(diào)研表網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)拓?fù)鋱D物理安全合規(guī)性技術(shù)以及管理標(biāo)準(zhǔn)信息系統(tǒng)開(kāi)發(fā)等相關(guān)文件安全需求分析（差距測(cè)評(píng)）單位等保整改等級(jí)保護(hù)整改階段整改實(shí)施單位：系統(tǒng)集成商、系統(tǒng)開(kāi)發(fā)商、系統(tǒng)主管/使用/運(yùn)營(yíng)單位等技術(shù)類(lèi)整改技術(shù)類(lèi)整改安全需求分析報(bào)告、等級(jí)保護(hù)整改方案物理安全整改數(shù)據(jù)安全整改應(yīng)用安全整改網(wǎng)絡(luò)安全整改主機(jī)安全整改管理類(lèi)整管理類(lèi)整改改安全管理機(jī)構(gòu)整改系統(tǒng)運(yùn)維管理整改系統(tǒng)建設(shè)管理整改安全管理制度整改人員安全管理整改等保整改等保整改實(shí)施報(bào)告實(shí)施報(bào)告等級(jí)保護(hù)驗(yàn)收階段1.安全測(cè)評(píng)委托書(shū)2.信息系統(tǒng)結(jié)構(gòu)拓?fù)湔f(shuō)明等詳細(xì)描述文件3.系統(tǒng)安全組織結(jié)構(gòu)和管理制度4.安全需求分析報(bào)告5.等級(jí)保護(hù)整改方案6.系統(tǒng)軟件硬件和信息安全產(chǎn)品清單7.信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告用戶(hù)（系統(tǒng)主管/使用/運(yùn)營(yíng)單位）第三方測(cè)評(píng)機(jī)構(gòu)1.信息系統(tǒng)安全等級(jí)保護(hù)基本要求2.信息系統(tǒng)等