信息安全等级保护知识培训

1、信息安全信息安全等级等级保护知识培训保护知识培训 张张 青青CISP-CISP-注册信息安全专家注册信息安全专家信息安全等级测评师（中级）信息安全等级测评师（中级）软件评测工程师软件评测工程师华为认证网络工程师华为认证网络工程师太原清众鑫科技有限公司太原清众鑫科技有限公司信息安全等级保护工作流程信息安全等级保护基本要求信息安全等级保护体系概述信息安全等级保护法律法规1.1 等级保护基本概念等级保护基本概念1.2 实行等级保护的原因实行等级保护的原因1 信息安全等级保护体系概述1.4 等级保护制度作用等级保护制度作用1.5 等级保护相关的政策等级保护相关的政策1.6等级等级保护相关的标准保护相关

2、的标准1.3 等级保护制度目的等级保护制度目的1.7等级保护推进过程等级保护推进过程p信息系统安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。1.1 等级保护基本概念整体信息安整体信息安全防范意识全防范意识和能力薄弱和能力薄弱网络及信息网络及信息安全问题关安全问题关系国家安全系国家安全信息系统安信息系统安全建设和管全建设和管理缺乏体系理缺乏体系化思想化思想信息安全法信息安全法律法规不完律法规不完善，标准体善，标准体系尚待完善

3、系尚待完善 1.2 实行等级保护制度原因体现国家体现国家管理意志管理意志构建国家构建国家信息安全信息安全保障体系保障体系保障信息保障信息化发展和化发展和维护国家维护国家安全安全1.3 等级保护制度目的提出信息安全工作的思路提出信息安全工作的思路划定信息系统保护的基线划定信息系统保护的基线发现信息系统的问题和差距发现信息系统的问题和差距明确信息系统安全保护的方向明确信息系统安全保护的方向提升信息系统的安全保护能力提升信息系统的安全保护能力1.4 等级保护制度作用1.5 等级保护相关政策u 基础类基础类 计算机信息系统安全保护等级划分准则GB 17859-1999 信息系统安全等级保护实施指南GB

4、/T 25058-2010 u 应用类应用类 定级：信息系统安全保护等级定级指南GB/T 22240-2008 建设：信息系统安全等级保护基本要求GB/T 22239-2008 信息系统通用安全技术要求GB/T 20271-2006 信息系统等级保护安全设计技术要求GB/T 25070-2010 测评：信息系统安全等级保护测评要求 GB/T 28448-2012 信息系统安全等级保护测评过程指南 GB/T 28449-2012 管理：信息系统安全管理要求GB/T 20269-2006 信息系统安全工程管理要求GB/T 20282-2006 1.6 等级保护相关标准20032003年年9 9月月

5、中办国办颁发中办国办颁发关于加强信息安全保障关于加强信息安全保障工作的意见工作的意见中办发中办发200327200327号号20042004年年1111月月四部委会签四部委会签关于信息安全等级保护关于信息安全等级保护工作的实施意见工作的实施意见公通字公通字200466200466号号20062006年年1 1月月四部委会签四部委会签信息安全等级保护管理信息安全等级保护管理办法（试行）办法（试行）（公通字（公通字2006720067号）号）20072007年年6 6月月四部委会签四部委会签信息安全等级保护管理信息安全等级保护管理办法办法公通字公通字200743200743号号19941994年年

6、 国务院颁布国务院颁布中华人民共和国计算机中华人民共和国计算机信息系统安全保护条例信息系统安全保护条例国务院国务院19941471994147号号20172017年年6 6月月1 1日日中华人民共和国网络安全中华人民共和国网络安全法法1.7 等级保护推进过程信息安全等级保护工作流程信息安全等级保护基本要求信息安全等级保护体系概述信息安全等级保护法律法规 2.3刑法修正案（九）刑法修正案（九）2.2中华人民共和国国家安全法中华人民共和国国家安全法2.1山西省计算机信息系统安全保护条例山西省计算机信息系统安全保护条例2 信息安全等级保护法律法规 2.4中华人民共和国网络安全法中华人民共和国网络安全

7、法2.12.1山西省山西省计算机信息系统安全保护计算机信息系统安全保护条例条例山西省计算机信息系统安全保护条例于2008年9月25日经省十一届人大常委会第六次会议表决通过，2009年1月1日起实施。第二十条第三级以上计算机信息系统第三级以上计算机信息系统建设完成后，运营、使用单位或者其主管部门应当按照国家规定，选择符合国家规符合国家规定条件的安全保护等级测评机构定期对其计算机信息系统安定条件的安全保护等级测评机构定期对其计算机信息系统安全状况进行等级测评全状况进行等级测评。2.22.2中华人民共和国中华人民共和国国家安全国家安全法法2015年7月1日第十二届全国人民代表大会常务委员会第十五次会

8、议通过中华人民共和国国家安全法，其中第二十五条指出，要加强网络管理，防范、制止和依法惩治网络攻击、网络入要加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。2.32.3刑法刑法修正案（九修正案（九）第十二届全国人大常委会第十六次会议表决通过了刑法修正案（九），修订后的刑法自2015年11月1日开始施行。刑法修正案（九）明确了网络服务提供者履行信息网络安网络服务提供者履行信息网络安全管理的义务全管理的义务。第二十八条指出：网络服务提供者不履行法律、行政法规规定的

9、信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。2.42.4中华人民共和国网络安全法中华人民共和国网络安全法中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过中华人民共和国网络安全法，自2017年6月1日起施行。第二十一第二十一条条 国家国家实行网络安全等级保护制度。实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。第三十一第三十一条条 国家对公共通信和信息服务、能源、交通、水利

10、、金融、公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。，在网络安全等级保护制度的基础上，实行重点保护。2.42.4中华人民共和国网络安全法中华人民共和国网络安全法网络运营者不网络运营者不履行网络履行网络安全保护义务安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。 关

11、键关键信息基础设施的运营者不信息基础设施的运营者不履行网络履行网络安全保护义务安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。信息安全等级保护工作流程信息安全等级保护基本要求信息安全等级保护体系概述信息安全等级保护法律法规 3 信息安全等级保护工作流程 3.1.3 等级的确定等级的确定3.1.2 定级对象确定定级对象确定3.1.1 定级依据和原则定级依据和原则3.1 定级指南 3.1.4 定级方法定级方法3.1.1 定级依据和原则定级依据定级依据信息安全等级保护管理办法信息系统

12、安全等级保护定级指南定级原则定级原则谁拥有谁负责、谁运行谁负责。自主定级。因为系统的重要程度以及在遭受破坏后造成多大影响自己最清楚。3.1.2 定级对象确定 定级工作是信息系统等级保护工作的起点，定级结果直接决定了后续安全保障工作的开展。在定级之前，首先必须明确定级的对象，即：对哪个信息系统进行定级。定级指南中指出，作为定级对象的信息系统应当具备以下三个条件：具有唯一确定的安全责任单位具有信息系统的基本要素承载单一或相对独立的业务应用3.1.3 等级的确定等级的确定是不依赖于安全保护措施的，具有一等级的确定是不依赖于安全保护措施的，具有一定的定的“客观性客观性”，即该系统在存在之初便由其自身所

13、，即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级，而非由实现的使命决定了它的安全保护等级，而非由“后天后天”的安全保护措施决定。的安全保护措施决定。3.1.4 定级方法n 查表法n 其他：专家评审、行业部门建议3.2.4 备案流程备案流程 3.2.3 备案资料备案资料3.2.1 备案作用备案作用3.2 备案3.2.2 备案时间备案时间3.2.1 备案的作用 信息系统备案是国家有关信息安全职能部门了解和掌握重要信息系统的安全保护基本状况、分析总体安全形势的基础资料来源，也是下一步接受备案机关开展各项监督检查工作所必需的基本依据。 l新建系统l已有系统3.2.2 备案的时间根据信息

14、安全等级保护管理办法，信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门，应当在安全保护等级确定后30日内，到当地公安机关网监部门办理备案手续。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到当地公安机关网监部门办理备案手续。2.2.3 备案资料信息系统运营、使用单位应当在其系统安全保护等级确定后，向当地同级公安机关提前备案（县级单位应当向市级公安机关备案），备案时应当到备案机关填写备案登记表并按要求提交相关资料，包括纸质版和电子版。书面填写信息系统安全等级保护备案表 一式两份。可填WORD文档，再打印输出，附上附件。备案登记表/系统体系/功能结构图/系统安

15、全保护方案或措施/系统安全管理制度等。3.2.4 备案流程3.3 3.3 建设整改建设整改 3.3.1实施概述实施概述3.3.2实施过程实施过程信息系统定级信息系统定级总体安全规划总体安全规划安全设计与实施安全设计与实施 安全运行与维护安全运行与维护等级变更等级变更局部调整局部调整信息系统终止信息系统终止3.3.1 实施概述信息系统安全管理建设信息系统安全管理建设信息系统安全技术建设信息系统安全技术建设开展信息系统安全自查和等级测评开展信息系统安全自查和等级测评信息系统安全需求分析信息系统安全需求分析/ /相应级别的要求相应级别的要求确定安全策略，制定安全建设方案确定安全策略，制定安全建设方案

16、物物 理理 安安 全全网网 络络 安安 全全主主 机机 安安 全全应应 用用 安安 全全数数 据据 安安 全全安全管理机构安全管理机构安全管理制度安全管理制度人员安全管理人员安全管理系统建设管理系统建设管理系统运行管理系统运行管理3.3.2 实施过程等级测评依据等级测评依据3.4 信息安全等级保护测评信息安全等级保护测评3.4.3 等级测评流程等级测评流程3.4.4 等级测评结果等级测评结果3.4.5 等级测评目的等级测评目的3.4.1 等级测评依据依据依据信息安全等级保护管理办法信息安全等级保护管理办法第十四条中规定第十四条中规定: : 信息系统建设完成后， 运营、使用单位或者其主管部门应当

17、选择符合本办法规定条件的测评机构，依据信息系统安全等级保护测评要求 等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。3.4.2 等级测评流程符合性判别依据符合性判别依据是是:1、信息系统中是否存在高风险，如果有，一票否决。、信息系统中是否存在高风险，如果有，一票否决。2、信息系统中没有高风险，且测评项综合得分为、信息系统中没有高风险，且测评项综合得分为60分以上分以上100分以下为基本符合。分以下为基本符合。注：注：100分为符合。分为符合。3.4.3

18、等级测评结果测评结论符合性判别依据综合得分符合信息系统中未发现安全问题，等级测评结果中所有测评项得分均为5分。100分基本符合信息系统中存在安全问题，但不会导致信息系统面临高等级安全风险。介于60到100分之间不符合信息系统中存在安全问题，而且会导致信息系统面临高等级安全风险。低于60分3.4.4 等级测评目的p对于企业来说，实施信息安全等级保护测评能够有效地提高单位信息和信息系统安全建设的整体水平，有效控制企业信息安全建设成本；有利于明确国家、法人和其他组织、公民的信息安全责任，加强企业信息安全管理。p对于信息系统来说，通过等级保护测评可及时发现信息系统安全状况并制定方案进行整改，当信息系统

19、完全达到安全保护能力要求时，信息系统就基本可做到“进不来、拿不走、改不了、看不懂、赖不掉”。3.5 监督检查依据依据公安机关信息安全等级保护检查工作规范公安机关信息安全等级保护检查工作规范第第二二条条中规定中规定:公安机关信息安全等级保护检查工作是指公安机关依据有关规定，会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查，督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。信息安全等级保护工作流程信息安全等级保护基本要求信息安全等级保护体系概述信息安全等级保护法律法规4.2 不同级别系统的差异不同级别系统的差异4.1 基

20、本要求结构基本要求结构4 信息安全等级保护基本要求4.3 等级等级测评技术要求测评技术要求4.4 等级测评等级测评管理管理要求要求4.5 等级保护新标准等级保护新标准某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全及备份恢复安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理4.1基本要求结构4.2不同级别系统的差异(控制点)安全要求类层面一级二级三级四级技术要求物理安全7101010网络安全3677主机安全4679应用安全47911数据安全及备份恢复2333管理要求安全管理制度2333安全管理机构4555人员安全管理4555系统建设管理991111系统运维管理

21、9121313合计/48667377级差/18744.2不同级别系统的差异(要求项)安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差/90115284.3等级测评技术要求(三级为黑色字体)物理安全网络安全主机安全应用安全数据安全及备份恢复位置选择访问控制防盗防破坏结构安全边界完整性入侵防范恶意代码防范恶意代码防范访问控制身份鉴别访问控制安全审计身份鉴别访问控制安全审计通信完整性通信保密性抗抵赖抗抵赖软件容错数据完整性数据保密性备份和恢复防雷击安全审计防火防水防潮防静电温湿度控制电力供应电磁防护网络设备防护入侵防范恶意代码防范剩余信息剩余信息保护保护系统资源控制资源控制剩余信息保护剩余信息保护4.4等级测评管理要求(三级为黑色字