信息安全等級保護(hù)體系解讀

信息安全等級保護(hù)體系解讀2021/6/271內(nèi)容概要信息安全等級保護(hù)的定義1信息安全等級保護(hù)的內(nèi)容22021/6/272信息安全等級保護(hù)的定義信息安全等級保護(hù)制度是我國信息安全工作保障工作的基本制度和基本國策，是開展信息安全工作的基本方法，是促進(jìn)信息化、維護(hù)國家信息安全的基本保障。信息系統(tǒng)信息安全產(chǎn)品信息安全事件第一級安全保護(hù)第二級安全保護(hù)第三級安全保護(hù)第四級安全保護(hù)第五級安全保護(hù)EAL1EAL2EAL3EAL4EAL5特別重大事件（I級）重大事件（II級）較大事件（III級）一般事件（IV級）2021/6/273信息系統(tǒng)安全保護(hù)等級的劃分等級對象侵害客體侵害程度監(jiān)管程度第一級一般系統(tǒng)合法權(quán)益損害自主保護(hù)第二級合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)保護(hù)社會秩序和公共利益損害第三級重要系統(tǒng)社會秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查國家安全損害第四級社會秩序和公共利益特別嚴(yán)重?fù)p害強制監(jiān)督檢查國家安全嚴(yán)重?fù)p害第五級極端重要系統(tǒng)國家安全特別嚴(yán)重?fù)p害專門監(jiān)督檢查2021/6/274信息安全等級保護(hù)的政策和法律體系《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》(國務(wù)院147號令)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）《關(guān)于信息安全等級保護(hù)工作的實施意見》（公通字[2004]66號）《信息安全等級保護(hù)管理辦法》（公通字[2007]43號)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》（公信安[2007]861號）《信息安全等級保護(hù)備案實施細(xì)則》（公信安[2007]1360號）《關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》(公信安[2009]1429號)《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》（發(fā)改高技[2008]2071號）《關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知》（公信安303號文）關(guān)于印發(fā)《信息系統(tǒng)安全等級測評報告模版（試行）》的通知（公信安[2009]1487號）《公安機(jī)關(guān)信息安全等級保護(hù)檢查工作規(guī)范》（公信安[2008]736號）信息安全等級保護(hù)工作定級備案整改測評檢查2021/6/275信息安全等級保護(hù)技術(shù)和管理標(biāo)準(zhǔn)體系計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859）信息系統(tǒng)安全等級保護(hù)定級指南信息系統(tǒng)安全等級保護(hù)基本要求技術(shù)類

信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

其它技術(shù)類標(biāo)準(zhǔn)管理類

信息系統(tǒng)安全管理要求

信息系統(tǒng)安全工程管理要求其它管理類標(biāo)準(zhǔn)產(chǎn)品類

操作系統(tǒng)安全技術(shù)要求數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件安技術(shù)要求其它產(chǎn)品類標(biāo)準(zhǔn)信息系統(tǒng)安全等級保護(hù)基本要求的行業(yè)細(xì)則信息系統(tǒng)安全等級保護(hù)基本要求的定級細(xì)則信息系統(tǒng)安全等級保護(hù)測評過程指南信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求信息系統(tǒng)安全等級保護(hù)實施指南信息系統(tǒng)安全等級保護(hù)測評要求信息安全等級保護(hù)

安全建設(shè)整改工作安全等級安全要求現(xiàn)狀分析方法指導(dǎo)2021/6/276信息安全等級保護(hù)所涉及的標(biāo)準(zhǔn)通用類1.《計算機(jī)信息系統(tǒng)安全等級保護(hù)劃分準(zhǔn)則》(GB17859)2.《信息系統(tǒng)安全等級保護(hù)實施指南》(GB/T25058)

3.《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T22239)4.《信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級定級指南》(GB/T22240)5.《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》6.《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南》。。。。。。安全技術(shù)類1.《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》2.《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270)3.《信息安全技術(shù)信息系統(tǒng)安全通用技術(shù)要求》(GB/T20271)4.《信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求(GB/T21052)5.《信息安全技術(shù)服務(wù)器安全技術(shù)要求》(GB/T21028)6.《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》(GB/T20272)7.《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GBT20273)。。。。。。安全管理類1.《信息安全技術(shù)信息系統(tǒng)安全管理要求》(GB/T20269)2.《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》(GB/T20282)3.《信息技術(shù)安全技術(shù)信息安全事件管理指南》(GB/Z20985)4.《信息安全技術(shù)信息安全事件分類分級指南》(GB/Z20986)。。。。。。2021/6/277等保2.0為了適應(yīng)移動互聯(lián)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和工業(yè)控制等新技術(shù)、新應(yīng)用、情況下信息安全等級保護(hù)工作的開展，需對GB/T2239-2008進(jìn)行修訂新等保系列標(biāo)準(zhǔn)目前主要有六個部分GB/T22239.1信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第1部分安全通用要求GB/T22239.2信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第2部分云計算安全擴(kuò)展要求GB/T22239.1信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第3部分移動互聯(lián)安全擴(kuò)展要求GB/T22239.1信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第4部分物聯(lián)網(wǎng)安全擴(kuò)展要求GB/T22239.1信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第5部分工業(yè)控制安全擴(kuò)展要求GB/T22239.1信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求第6部分大數(shù)據(jù)安全擴(kuò)展要求2021/6/278信息安全等級保護(hù)工作的職責(zé)和角色行業(yè)主管部門：負(fù)責(zé)依照國家信息安全等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，督促、檢查和指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護(hù)工作。公安機(jī)關(guān)：非涉密信息系統(tǒng)等級保護(hù)具體工作的監(jiān)督、檢查、指導(dǎo)。

保密部門：涉密信息系統(tǒng)等保工作的監(jiān)督、檢查、指導(dǎo)。

密碼管理部門：密碼工作的監(jiān)督、檢查、指導(dǎo)。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)：各部門間的工作協(xié)調(diào)。測評機(jī)構(gòu)：

對信息系統(tǒng)和信息安全產(chǎn)品進(jìn)行等級保護(hù)測評，出具測評結(jié)論。信息安全服務(wù)機(jī)構(gòu)：

協(xié)助信息系統(tǒng)運營、使用單位完成安全保護(hù)等級、安全需求分析、安全總體規(guī)劃、實施安全建設(shè)和安全改造等。信息系統(tǒng)運營、使用單位：

確定安全保護(hù)等級，安全保護(hù)的規(guī)劃設(shè)計，定級進(jìn)行等保測評，建立信息安全事件應(yīng)急響應(yīng)體系。信息安全產(chǎn)品供應(yīng)商：

開發(fā)符合等級保護(hù)相關(guān)要求的信息安全產(chǎn)品，按照等級保護(hù)相關(guān)要求銷售信息安全產(chǎn)品并提供相關(guān)服務(wù)。信息安全等級保護(hù)2021/6/279信息安全等級保護(hù)工作概述定級備案整改測評檢查信息安全等級保護(hù)工作流程1.確定信息系統(tǒng)的安全防護(hù)等級，形成定級報告。2.持定級報告到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門進(jìn)行備案。3.參照信息系統(tǒng)當(dāng)前等級要求和標(biāo)準(zhǔn)，對信息系統(tǒng)進(jìn)行整改加固。4.委托具備測評資質(zhì)的測評機(jī)構(gòu)對信息系統(tǒng)進(jìn)行等級測評，形成正式的測評報告。5.向當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門提交測評報告，配合完成對信息安全等級保護(hù)實施情況的檢查。2021/6/2710信息安全等級保護(hù)—定級定義由信息系統(tǒng)運營單位確定信息系統(tǒng)的安全保護(hù)等級。1由運營單位業(yè)務(wù)部門確定實施信息安全等級保護(hù)的信息系統(tǒng)。2參照定級標(biāo)準(zhǔn)和流程獲得信息等級的安全保護(hù)等級信息。3最終形成信息系統(tǒng)安全保護(hù)等級確認(rèn)報告。2021/6/2711定級參考信息業(yè)務(wù)信息安全保護(hù)等級矩陣表業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公司、法人和其他組織的合法利益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第四級系統(tǒng)服務(wù)安全保護(hù)等級矩陣表系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公司、法人和其他組織的合法利益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第四級2021/6/2712定級流程1.確定定級對象2.確定業(yè)務(wù)信息安全受到破壞時所侵害的客體3.綜合評定對客體的侵害程度4.業(yè)務(wù)信息安全等級（S）5.確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體6.綜合評定對客體的侵害程度7.系統(tǒng)服務(wù)安全等級（A）8.定級對象的安全保護(hù)等級（SxAxGx）2021/6/2713信息安全等級保護(hù)—備案定義由信息系統(tǒng)運營單位持定級報告到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門進(jìn)行信息系統(tǒng)安全保護(hù)等級信息備案。1按照運營單位所在地確定受理備案的機(jī)構(gòu)（省公安廳/市公安局）。2由運營單位填寫信息系統(tǒng)安全等級保護(hù)備案表格。3提交備案表格，獲得備案回執(zhí)信息（通過審核/限期整改）。2021/6/2714信息安全等級保護(hù)—整改定義按照信息系統(tǒng)已備案的等級信息，參照信息安全等級保護(hù)基本要求，組織開展差距分析及整改加固的相關(guān)工作。由信息系統(tǒng)運營單位開展自查及整改工作，不斷完善信息安全等級保護(hù)的各項要求。委托具備測評資質(zhì)的測評機(jī)構(gòu)開展信息系統(tǒng)安全等級保護(hù)差距分析，配合運營單位完成整改及安全加固工作。2021/6/2715信息安全等級保護(hù)—測評定義委托具備測評資質(zhì)的第三方測評機(jī)構(gòu)，對已定級的信息系統(tǒng)進(jìn)行信息安全等級保護(hù)測評，并出具正式的測評報告和測評結(jié)論。1明確被測評系統(tǒng)的安全保護(hù)等級，制定測評方案和實施計劃。2由運營單位配合完成測評過程中的人員訪談、配置檢查、安全測試等工作。3出具最終的測評報告和測評結(jié)論（符合/基本符合/不符合）。2021/6/2716測評實施流程等級測評項目啟動信息收集與分析工具和表單準(zhǔn)備測評準(zhǔn)備活動測評對象確定測評指標(biāo)確定測評內(nèi)容確定工具測評方法確定測評指導(dǎo)書開發(fā)測評方案編制方案編制活動現(xiàn)場測評準(zhǔn)備現(xiàn)場測評和結(jié)果記錄結(jié)果確認(rèn)和資料歸還現(xiàn)場測評活動單項測評結(jié)果判定單元測評結(jié)果判定整體測評風(fēng)險分析等保測評結(jié)論形成測評報告編制報告編制活動溝通與洽談2021/6/2717信息安全等級保護(hù)—檢查定義公安機(jī)關(guān)網(wǎng)監(jiān)部門定期對信息系統(tǒng)運營單位的信息安全等級保護(hù)實施情況進(jìn)行檢查和監(jiān)督。1第三級信息系統(tǒng)每年一次；第四級信息系統(tǒng)每半年一次。2檢查內(nèi)容包括：定級備案情況、安全整改情況、安全管理制度建設(shè)和落實情況、測評實施情況等。3由公安機(jī)關(guān)網(wǎng)監(jiān)部門出具檢查報告或整改通知書。2021/6/2718信息安全等級保護(hù)基本要求安全運維管理系統(tǒng)建設(shè)管理信息安全等級保護(hù)基本要求物理和環(huán)境安全網(wǎng)絡(luò)和通信安全設(shè)備和計算安全安全策略和管理制度安全管理機(jī)構(gòu)和人員應(yīng)用和數(shù)據(jù)安全安全建設(shè)管理技術(shù)要求管理要求2021/6/2719安全通用技術(shù)要求2021/6/2720典型等級保護(hù)安全技術(shù)方案2021/6/2721等級保護(hù)二/三級關(guān)鍵點說明2021/6/2722三級等保實施方案（通用）三級系統(tǒng)安全保護(hù)環(huán)境基本要求與對應(yīng)產(chǎn)品使用范圍基本要求產(chǎn)品類型舉例安全計算環(huán)境網(wǎng)絡(luò)結(jié)構(gòu)（VLAN劃分）三層交換機(jī)（防火墻）MPLSVPN訪問控制（權(quán)限分離）主機(jī)核心加固系統(tǒng)入侵防范（檢測告警）主機(jī)入侵檢測產(chǎn)品備份恢復(fù)（數(shù)據(jù)備份）設(shè)備冗余、本地備份（介質(zhì)場外存儲）數(shù)據(jù)完整性、保密性VPN設(shè)備剩余信息管理終端綜合管理系統(tǒng)身份認(rèn)證（雙因素）證書、令牌、保密卡惡意代碼防范（統(tǒng)一管理）網(wǎng)絡(luò)版主機(jī)防病毒軟件安全區(qū)域邊界區(qū)域邊界訪問控制（協(xié)議檢測）防火墻（IPS）資源控制（優(yōu)先級控制）帶寬管理、流量控制設(shè)備區(qū)域邊界入侵檢測IDS區(qū)域邊界惡意代碼防范防病毒網(wǎng)關(guān)，沙箱區(qū)域邊界完整性保護(hù)終端綜合管理系統(tǒng)安全通信網(wǎng)絡(luò)通信網(wǎng)絡(luò)安全審計上網(wǎng)行為管理數(shù)據(jù)傳輸完整性、保密性保護(hù)VPN設(shè)備安全管理中心系統(tǒng)管理安全管理平臺審計管理（網(wǎng)絡(luò)、主機(jī)、應(yīng)用）安全審計系統(tǒng)2021/6/2723云等保要點梳