信息安全等級(jí)保護(hù)體系解讀

信息安全等級(jí)保護(hù)體系解讀2021/6/271內(nèi)容概要信息安全等級(jí)保護(hù)的定義1信息安全等級(jí)保護(hù)的內(nèi)容22021/6/272信息安全等級(jí)保護(hù)的定義信息安全等級(jí)保護(hù)制度是我國(guó)信息安全工作保障工作的基本制度和基本國(guó)策，是開(kāi)展信息安全工作的基本方法，是促進(jìn)信息化、維護(hù)國(guó)家信息安全的基本保障。信息系統(tǒng)信息安全產(chǎn)品信息安全事件第一級(jí)安全保護(hù)第二級(jí)安全保護(hù)第三級(jí)安全保護(hù)第四級(jí)安全保護(hù)第五級(jí)安全保護(hù)EAL1EAL2EAL3EAL4EAL5特別重大事件（I級(jí)）重大事件（II級(jí)）較大事件（III級(jí)）一般事件（IV級(jí)）2021/6/273信息系統(tǒng)安全保護(hù)等級(jí)的劃分等級(jí)對(duì)象侵害客體侵害程度監(jiān)管程度第一級(jí)一般系統(tǒng)合法權(quán)益損害自主保護(hù)第二級(jí)合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)保護(hù)社會(huì)秩序和公共利益損害第三級(jí)重要系統(tǒng)社會(huì)秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查國(guó)家安全損害第四級(jí)社會(huì)秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢查國(guó)家安全嚴(yán)重?fù)p害第五級(jí)極端重要系統(tǒng)國(guó)家安全特別嚴(yán)重?fù)p害專門監(jiān)督檢查2021/6/274信息安全等級(jí)保護(hù)的政策和法律體系《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院147號(hào)令)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（公通字[2004]66號(hào)）《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào))《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安[2007]861號(hào)）《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》（公信安[2007]1360號(hào)）《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》(公信安[2009]1429號(hào))《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》（發(fā)改高技[2008]2071號(hào)）《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等級(jí)測(cè)評(píng)工作的通知》（公信安303號(hào)文）關(guān)于印發(fā)《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（試行）》的通知（公信安[2009]1487號(hào)）《公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范》（公信安[2008]736號(hào)）信息安全等級(jí)保護(hù)工作定級(jí)備案整改測(cè)評(píng)檢查2021/6/275信息安全等級(jí)保護(hù)技術(shù)和管理標(biāo)準(zhǔn)體系計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859）信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南信息系統(tǒng)安全等級(jí)保護(hù)基本要求技術(shù)類

信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

其它技術(shù)類標(biāo)準(zhǔn)管理類

信息系統(tǒng)安全管理要求

信息系統(tǒng)安全工程管理要求其它管理類標(biāo)準(zhǔn)產(chǎn)品類

操作系統(tǒng)安全技術(shù)要求數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件安技術(shù)要求其它產(chǎn)品類標(biāo)準(zhǔn)信息系統(tǒng)安全等級(jí)保護(hù)基本要求的行業(yè)細(xì)則信息系統(tǒng)安全等級(jí)保護(hù)基本要求的定級(jí)細(xì)則信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求信息安全等級(jí)保護(hù)

安全建設(shè)整改工作安全等級(jí)安全要求現(xiàn)狀分析方法指導(dǎo)2021/6/276信息安全等級(jí)保護(hù)所涉及的標(biāo)準(zhǔn)通用類1.《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》(GB17859)2.《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/T25058)

3.《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239)4.《信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》(GB/T22240)5.《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》6.《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》。。。。。。安全技術(shù)類1.《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》2.《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270)3.《信息安全技術(shù)信息系統(tǒng)安全通用技術(shù)要求》(GB/T20271)4.《信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求(GB/T21052)5.《信息安全技術(shù)服務(wù)器安全技術(shù)要求》(GB/T21028)6.《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》(GB/T20272)7.《信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》(GBT20273)。。。。。。安全管理類1.《信息安全技術(shù)信息系統(tǒng)安全管理要求》(GB/T20269)2.《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》(GB/T20282)3.《信息技術(shù)安全技術(shù)信息安全事件管理指南》(GB/Z20985)4.《信息安全技術(shù)信息安全事件分類分級(jí)指南》(GB/Z20986)。。。。。。2021/6/277等保2.0為了適應(yīng)移動(dòng)互聯(lián)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)、新應(yīng)用、情況下信息安全等級(jí)保護(hù)工作的開(kāi)展，需對(duì)GB/T2239-2008進(jìn)行修訂新等保系列標(biāo)準(zhǔn)目前主要有六個(gè)部分GB/T22239.1信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第1部分安全通用要求GB/T22239.2信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第2部分云計(jì)算安全擴(kuò)展要求GB/T22239.1信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第3部分移動(dòng)互聯(lián)安全擴(kuò)展要求GB/T22239.1信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第4部分物聯(lián)網(wǎng)安全擴(kuò)展要求GB/T22239.1信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第5部分工業(yè)控制安全擴(kuò)展要求GB/T22239.1信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第6部分大數(shù)據(jù)安全擴(kuò)展要求2021/6/278信息安全等級(jí)保護(hù)工作的職責(zé)和角色行業(yè)主管部門：負(fù)責(zé)依照國(guó)家信息安全等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，督促、檢查和指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營(yíng)、使用單位的信息安全等級(jí)保護(hù)工作。公安機(jī)關(guān)：非涉密信息系統(tǒng)等級(jí)保護(hù)具體工作的監(jiān)督、檢查、指導(dǎo)。

保密部門：涉密信息系統(tǒng)等保工作的監(jiān)督、檢查、指導(dǎo)。

密碼管理部門：密碼工作的監(jiān)督、檢查、指導(dǎo)。國(guó)務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)：各部門間的工作協(xié)調(diào)。測(cè)評(píng)機(jī)構(gòu)：

對(duì)信息系統(tǒng)和信息安全產(chǎn)品進(jìn)行等級(jí)保護(hù)測(cè)評(píng)，出具測(cè)評(píng)結(jié)論。信息安全服務(wù)機(jī)構(gòu)：

協(xié)助信息系統(tǒng)運(yùn)營(yíng)、使用單位完成安全保護(hù)等級(jí)、安全需求分析、安全總體規(guī)劃、實(shí)施安全建設(shè)和安全改造等。信息系統(tǒng)運(yùn)營(yíng)、使用單位：

確定安全保護(hù)等級(jí)，安全保護(hù)的規(guī)劃設(shè)計(jì)，定級(jí)進(jìn)行等保測(cè)評(píng)，建立信息安全事件應(yīng)急響應(yīng)體系。信息安全產(chǎn)品供應(yīng)商：

開(kāi)發(fā)符合等級(jí)保護(hù)相關(guān)要求的信息安全產(chǎn)品，按照等級(jí)保護(hù)相關(guān)要求銷售信息安全產(chǎn)品并提供相關(guān)服務(wù)。信息安全等級(jí)保護(hù)2021/6/279信息安全等級(jí)保護(hù)工作概述定級(jí)備案整改測(cè)評(píng)檢查信息安全等級(jí)保護(hù)工作流程1.確定信息系統(tǒng)的安全防護(hù)等級(jí)，形成定級(jí)報(bào)告。2.持定級(jí)報(bào)告到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門進(jìn)行備案。3.參照信息系統(tǒng)當(dāng)前等級(jí)要求和標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)進(jìn)行整改加固。4.委托具備測(cè)評(píng)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，形成正式的測(cè)評(píng)報(bào)告。5.向當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門提交測(cè)評(píng)報(bào)告，配合完成對(duì)信息安全等級(jí)保護(hù)實(shí)施情況的檢查。2021/6/2710信息安全等級(jí)保護(hù)—定級(jí)定義由信息系統(tǒng)運(yùn)營(yíng)單位確定信息系統(tǒng)的安全保護(hù)等級(jí)。1由運(yùn)營(yíng)單位業(yè)務(wù)部門確定實(shí)施信息安全等級(jí)保護(hù)的信息系統(tǒng)。2參照定級(jí)標(biāo)準(zhǔn)和流程獲得信息等級(jí)的安全保護(hù)等級(jí)信息。3最終形成信息系統(tǒng)安全保護(hù)等級(jí)確認(rèn)報(bào)告。2021/6/2711定級(jí)參考信息業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公司、法人和其他組織的合法利益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第四級(jí)系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公司、法人和其他組織的合法利益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國(guó)家安全第三級(jí)第四級(jí)第四級(jí)2021/6/2712定級(jí)流程1.確定定級(jí)對(duì)象2.確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體3.綜合評(píng)定對(duì)客體的侵害程度4.業(yè)務(wù)信息安全等級(jí)（S）5.確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體6.綜合評(píng)定對(duì)客體的侵害程度7.系統(tǒng)服務(wù)安全等級(jí)（A）8.定級(jí)對(duì)象的安全保護(hù)等級(jí)（SxAxGx）2021/6/2713信息安全等級(jí)保護(hù)—備案定義由信息系統(tǒng)運(yùn)營(yíng)單位持定級(jí)報(bào)告到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門進(jìn)行信息系統(tǒng)安全保護(hù)等級(jí)信息備案。1按照運(yùn)營(yíng)單位所在地確定受理備案的機(jī)構(gòu)（省公安廳/市公安局）。2由運(yùn)營(yíng)單位填寫信息系統(tǒng)安全等級(jí)保護(hù)備案表格。3提交備案表格，獲得備案回執(zhí)信息（通過(guò)審核/限期整改）。2021/6/2714信息安全等級(jí)保護(hù)—整改定義按照信息系統(tǒng)已備案的等級(jí)信息，參照信息安全等級(jí)保護(hù)基本要求，組織開(kāi)展差距分析及整改加固的相關(guān)工作。由信息系統(tǒng)運(yùn)營(yíng)單位開(kāi)展自查及整改工作，不斷完善信息安全等級(jí)保護(hù)的各項(xiàng)要求。委托具備測(cè)評(píng)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)差距分析，配合運(yùn)營(yíng)單位完成整改及安全加固工作。2021/6/2715信息安全等級(jí)保護(hù)—測(cè)評(píng)定義委托具備測(cè)評(píng)資質(zhì)的第三方測(cè)評(píng)機(jī)構(gòu)，對(duì)已定級(jí)的信息系統(tǒng)進(jìn)行信息安全等級(jí)保護(hù)測(cè)評(píng)，并出具正式的測(cè)評(píng)報(bào)告和測(cè)評(píng)結(jié)論。1明確被測(cè)評(píng)系統(tǒng)的安全保護(hù)等級(jí)，制定測(cè)評(píng)方案和實(shí)施計(jì)劃。2由運(yùn)營(yíng)單位配合完成測(cè)評(píng)過(guò)程中的人員訪談、配置檢查、安全測(cè)試等工作。3出具最終的測(cè)評(píng)報(bào)告和測(cè)評(píng)結(jié)論（符合/基本符合/不符合）。2021/6/2716測(cè)評(píng)實(shí)施流程等級(jí)測(cè)評(píng)項(xiàng)目啟動(dòng)信息收集與分析工具和表單準(zhǔn)備測(cè)評(píng)準(zhǔn)備活動(dòng)測(cè)評(píng)對(duì)象確定測(cè)評(píng)指標(biāo)確定測(cè)評(píng)內(nèi)容確定工具測(cè)評(píng)方法確定測(cè)評(píng)指導(dǎo)書開(kāi)發(fā)測(cè)評(píng)方案編制方案編制活動(dòng)現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄結(jié)果確認(rèn)和資料歸還現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)單項(xiàng)測(cè)評(píng)結(jié)果判定單元測(cè)評(píng)結(jié)果判定整體測(cè)評(píng)風(fēng)險(xiǎn)分析等保測(cè)評(píng)結(jié)論形成測(cè)評(píng)報(bào)告編制報(bào)告編制活動(dòng)溝通與洽談2021/6/2717信息安全等級(jí)保護(hù)—檢查定義公安機(jī)關(guān)網(wǎng)監(jiān)部門定期對(duì)信息系統(tǒng)運(yùn)營(yíng)單位的信息安全等級(jí)保護(hù)實(shí)施情況進(jìn)行檢查和監(jiān)督。1第三級(jí)信息系統(tǒng)每年一次；第四級(jí)信息系統(tǒng)每半年一次。2檢查內(nèi)容包括：定級(jí)備案情況、安全整改情況、安全管理制度建設(shè)和落實(shí)情況、測(cè)評(píng)實(shí)施情況等。3由公安機(jī)關(guān)網(wǎng)監(jiān)部門出具檢查報(bào)告或整改通知書。2021/6/2718信息安全等級(jí)保護(hù)基本要求安全運(yùn)維管理系統(tǒng)建設(shè)管理信息安全等級(jí)保護(hù)基本要求物理和環(huán)境安全網(wǎng)絡(luò)和通信安全設(shè)備和計(jì)算安全安全策略和管理制度安全管理機(jī)構(gòu)和人員應(yīng)用和數(shù)據(jù)安全安全建設(shè)管理技術(shù)要求管理要求2021/6/2719安全通用技術(shù)要求2021/6/2720典型等級(jí)保護(hù)安全技術(shù)方案2021/6/2721等級(jí)保護(hù)二/三級(jí)關(guān)鍵點(diǎn)說(shuō)明2021/6/2722三級(jí)等保實(shí)施方案（通用）三級(jí)系統(tǒng)安全保護(hù)環(huán)境基本要求與對(duì)應(yīng)產(chǎn)品使用范圍基本要求產(chǎn)品類型舉例安全計(jì)算環(huán)境網(wǎng)絡(luò)結(jié)構(gòu)（VLAN劃分）三層交換機(jī)（防火墻）MPLSVPN訪問(wèn)控制（權(quán)限分離）主機(jī)核心加固系統(tǒng)入侵防范（檢測(cè)告警）主機(jī)入侵檢測(cè)產(chǎn)品備份恢復(fù)（數(shù)據(jù)備份）設(shè)備冗余、本地備份（介質(zhì)場(chǎng)外存儲(chǔ)）數(shù)據(jù)完整性、保密性VPN設(shè)備剩余信息管理終端綜合管理系統(tǒng)身份認(rèn)證（雙因素）證書、令牌、保密卡惡意代碼防范（統(tǒng)一管理）網(wǎng)絡(luò)版主機(jī)防病毒軟件安全區(qū)域邊界區(qū)域邊界訪問(wèn)控制（協(xié)議檢測(cè)）防火墻（IPS）資源控制（優(yōu)先級(jí)控制）帶寬管理、流量控制設(shè)備區(qū)域邊界入侵檢測(cè)IDS區(qū)域邊界惡意代碼防范防病毒網(wǎng)關(guān)，沙箱區(qū)域邊界完整性保護(hù)終端綜合管理系統(tǒng)安全通信網(wǎng)絡(luò)通信網(wǎng)絡(luò)安全審計(jì)上網(wǎng)行為管理數(shù)據(jù)傳輸完整性、保密性保護(hù)VPN設(shè)備安全管理中心系統(tǒng)管理安全管理平臺(tái)審計(jì)管理（網(wǎng)絡(luò)、主機(jī)、應(yīng)用）安全審計(jì)系統(tǒng)2021/6/2723云等保要點(diǎn)梳