CISM0201信息安全管理

1、信息安全管理中国信息安全测评中心1课程内容信息安全管理信息安全管理基础信息安全管理方法2知识体：信息安全管理基础知识域： 信息安全管理基本概念了解信息安全管理的概念和内涵掌握信息安全管理的对象理解技管并重的原则，信息安全管理和信息安全技术相互配合一起保障信息系统安全33管理与信息安全管理管理指挥和控制组织的协调的活动。（- ISO9000:2005 质量管理体系 基础和术语）管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动。信息安全管理组织中为了完成信息安全目标，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动4 规则组织

2、 人员信息输入立法摘要变化？关键活动测量拥有者资 源记录标 准输入输出生 产经 营过程4信息安全管理现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。 信息安全管理（Information Security Management）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。 5信息安全管理6信息安全管理的对象：包括人员在内的各类信息相关资产。 规则 人员目标组织6信

3、息安全管理的需求7如果你把钥匙落在锁眼上会怎样？技术措施需要配合正确的使用才能发挥作用保险柜就一定安全吗？78WO!3G精心设计的网络防御体系，因违规外连形同虚设防火墙能解决这样的问题吗？信息安全管理的需求89信息系统是人机交互系统设备的有效利用是人为的管理过程信息安全管理的需求应对风险需要人为的管理过程9 信息安全事件不断增加病毒、木马事件挂马网站、钓鱼网站拒绝服务攻击等 系统漏洞呈快速增长趋势操作系统漏洞应用软件漏洞信息安全管理的紧迫性10电子政务和电子商务的发展，整个社会信息化的快速发展，对信息安全保障和管理提出了迫切的需求，如果信息安全跟不上去，信息安全的基础性工作跟不上，就会拖信息化

4、的后腿。这是发展的需要，是大势所趋。信息安全管理的紧迫性11信息安全“技管并重”的原则信息安全的成败取决于两个因素：技术和管理。 安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。 对于信息安全，到底是技术更重要，还是管理更重要？ 技管并重。“坚持管理与技术并重”是我国加强信息安全保障工作的主要原则12 技术和产品是基础，管理才是关键 产品和技术，要通过管理的组织职能才能发挥最佳作用 技术不高但管理良好的系统远比技术高超但管理混乱的系统安全 先进、易于理解、方便操作的安全策略对信息安全至关重要 建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全

5、 根本上说，信息安全是个管理过程，而不是技术过程信息安全管理的作用13实施信息安全管理的关键成功因素(CSF) 安全策略、目标和活动应该反映业务目标 有一种与组织文化保持一致的实施、维护、监督和改进信息安全的途径 来自高级管理层的明确的支持和承诺 深刻理解安全需求、风险评估和风险管理 向所有管理者和员工有效地推广安全意识 向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准 为信息安全管理活动提供资金支持 提供适当的培训和教育 建立有效的信息安全事件管理流程 建立测量体系，用来评估信息安全管理体系的表现，提供反馈建议供改进1414知识体：信息安全管理基础知识域：我国信息安全管理体制了解我

6、国信息安全管理格局了解国家信息安全管理职能的有关机构和部门1515信息安全在国家安全中的地位党和国家长期以来一直十分重视安全保密工作，并从敏感性、特殊性和战略性的高度，至始至终置于党的绝对领导之下。党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素信息安全是个大问题。必须把安全问题放到至关重要的位置上，认真加以考虑和解决。16我国的信息安全管理体制目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，各相关主管部门分别执行各自的安全职能，共同维护国家的信息安全国家信息化领导小组（国家网络与信息安全协调小组）工信部公安部国家安全部国家保密局国家密码管理局等等

7、17我国的信息安全基础设施中国信息安全测评中心(CNITSEC)中国信息安全认证中心(ISCCC)国家计算机网络应急技术处理协调中心（CNCERT/CC）国家计算机病毒应急处理中心全国信息安全标准化技术委员会（TC260）等等18知识体：信息安全管理方法知识域：风险管理基本概念了解信息安全风险的概念，理解信息安全风险基本要素，包括资产、威胁、脆弱性和控制措施等术语概念，理解这些要素之间的关系理解风险管理的定义，理解风险评估、风险处置等基本概念了解风险评估和风险处置的作用1919安全风险要素资产价值威胁脆弱性控制措施20安全风险的基本概念资产资产是任何对组织有价值的东西信息也是一种资产，对组织具

8、有价值资产的分类电子信息资产纸介资产软件资产物理资产人员服务性资产公司形象和名誉21安全风险的基本概念威胁资威胁是可能导致信息安全事故和组织信息资产损失的环境或事件威胁是利用脆弱性来造成后果威胁举例黑客入侵和攻击病毒和其他恶意程序软硬件故障人为误操作盗窃网络监听供电故障设置后门未授权访问自然灾害如：地震、火灾22安全风险的基本概念脆弱性是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例系统漏洞程序Bug专业人员缺乏不良习惯缺少审计缺乏安全意识系统后门物理环境访问控制措施不当23安全风险的基本概念24控

9、制措施管理风险的方法。为达成组织目标提供合理保证，并能预防、检查和纠正风险。它们可以是行政、技术、管理、法律等方面的措施。控制措施的分类：预防性控制检查性控制纠正性控制24控制措施分类预防性控制措施：在问题发生前潜在问题，并作出纠正仅雇佣胜任的人员职责分工使用访问控制软件，只允许授权用户访问敏感文件检查性控制：检查控制发生的错误、疏漏或蓄意行为生产作业中设置检查点网络通信过程中的Echo控制内部审计纠正性控制：减少危害影响，修复检查性控制发现的问题意外处理计划备份流程恢复运营流程25安全风险要素之间的相互关系资产威胁防护措施脆弱性风险利用对抗导致增加减少作用于26什么是风险管理GB/Z 243

10、64信息安全风险管理规范定义：信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。 了解风险+控制风险=管理风险27通用风险管理定义定义是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序的过程，使引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。28为什么要做风险管理成本与效益平衡好的风险管理过程可以让机构以最具有成本效益的方式运行，并且使已知的风险维持在可接受的水平工作条理化好的风险管理过程使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级，更

11、好地管理风险。而不是将保贵的资源用于解决所有可能的风险PDCA过程的要求风险管理是一个持续的PDCA管理过程风险管理是信息安全保障工作有效工作方式29风险评估是信息安全管理的基础风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行界定。信息安全管理机制的建立需要确定信息安全需求信息安全需求获取的主要手段就是安全风险评估信息安全风险评估是信息安全管理机制建立的基础，没有风险评估，信息安全管理机制的建立就没有依据。3030风险处置是信息安全管理的核心应对风险评估的结果进行相应的风险处置。本质上，风险处置的最佳集合

12、就是信息安全管理体系的控制措施集合。控制目标、控制手段、实施指南的逻辑梳理出这些风险控制措施集合的过程也就是信息安全建立体系的建立过程。信息安全管理体系的核心就是这些最佳控制措施的集合。3131风险管理是信息安全管理的根本方法32周期性的风险评估与风险处置活动即形成对风险的动态管理。动态的风险管理是进行信息安全管理、实现信息安全目标、维持信息安全水平的根本方法。32知识体：信息安全管理方法知识域：信息安全管理体系理解什么是ISMS 了解ISO/IEC 27000标准族，包括其发展历史和主要标准了解ISMS的主要特点，了解ISMS的核心是PDCA描述的过程理解PDCA的特点和含义3333管理体系

13、相关概念34体系相互关联和相互作用的一组要素。 （- ISO9000:2005 质量管理体系 基础和术语）管理体系：建立方针和目标并达到目标的体系。 （- ISO9000:2005 质量管理体系 基础和术语）为达到组织目标的策略、程序、指南和相关资源的框架。 （- ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述和术语）34管理体系35ISO9000 质量管理体系ISO14000 环境管理体系OHSAS 职业健康安全管理体系ISO/IEC27000 信息安全管理体系ISO/IEC20000 服务管理体系ISO22000食品安全管理体系管理体系Management

14、 System35信息安全管理体系36什么是信息安全管理体系（ISMS）信息安全管理体系ISMSISO/IEC2700136信息安全管理体系37什么是信息安全管理体系（ISMS） 数据安全 网络安全 系统安全 设备安全 物理安全 人员安全 应急响应 。 管理体系方法 管理体系要求 认证机构和认证 审核和审核员 国际互认 。 Information Security Management System-ISMS 信息安全管理体系; 基于ISO/IEC27000系列国际标准族; 是综合信息安全管理和技术手段，保障组织信息安全的一种方法； ISMS是管理体系（MS）家族的一个成员。信息安全管理体系I

15、SMS37信息安全管理体系38什么是信息安全管理体系（Information Security Management System, ISMS）基于国际标准ISO/IEC 27001信息安全管理体系要求，是综合信息安全管理和技术手段，保障组织信息安全的一种方法ISMS是管理体系（MS）家族的一个成员38BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的历史沿革 1990年代初 英国贸工部（DTI）成立工作组，立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。 1993年9月 颁布信息安全管理实施细则，形成B

16、S 7799的基础。 1995年2月 首次出版BS 7799-1:1995信息安全管理实用规则。 1998年2月 英国公布BS 7799-2:信息安全管理体系要求。 1999年4月 BS 7799-1与BS 7799-2修订后重新发布。 2000年12月 国际标准组织 ISO/IEC JTC 1/SC27工作组认可通过BS 7799-1，颁布ISO/IEC 17799:2000信息安全管理实用规则。 2002年9月 BSI对BS 7799-2进行了改版，用来替代原标准（BS 7799-2:1999）使用。 2005年6月 ISO 17799:2000改版，成为ISO 17799:2005。 2

17、005年10月 ISO正式采用BS 7799-2:2002，命名为ISO 27001:2005。 2007年7月 ISO 17799:2005归入ISO 27000系列，命名为ISO 27002:2005。 2008年6月- 中国政府等同采用ISO 27001:2005, 命名为GB/T 22080-2008； 中国政府等同采用ISO 27002:2005, 命名为GB/T 22081-2008. ISO/IEC 27000标准族介绍3939BS7799BS7799-1BS7799-2ISO17799ISO27002GB/T22081ISO27001GB/T22080ISO/IEC 27000

18、标准族介绍BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的对应关系404041ISO/IEC 27000系列27000270032700427008 27000信息安全管理体系概述和术语 27001信息安全管理体系要求27002 信息安全管理实用规则27003信息安全管理体系实施指南27004 信息安全管理测量 27005 信息安全风险管理27006 提供信息安全管理体系审核和认证机构的要求27007 信息安全管理体系审核指南27008信息安全管理体系控制措施审核员指南270012700227000270062700527003270

19、04信息安全管理体系基本原理和词汇 ISO/IEC 27000标准族介绍4142ISO27001标准是认证机构进行审核时的审核准则，是ISO27000标准族中最重要最核心的一份标准。目前，ISO27000标准族已经日益完善，已经开发和正在开发的标准共28项。其中正式发布的标准有13项；部分发布的标准有2项；由于移动互联网、物联网、云计算等新概念新技术的出现，且基于ISO的标准修订周期规则，ISO27001、ISO27002标准已经在修订当中。ISO/IEC 27000标准族介绍4243ISO/IEC 27000标准族介绍标准编号标准名称ISO/IEC27000:2009Information

20、security management systems - Overview and vocabulary信息安全管理体系-概述和术语 ISO/IEC27001:2005Information security management systems-requirements信息安全管理体系-要求ISO/IEC27002:2005Code of practice for information security management信息安全管理实用规则ISO/IEC27003:2010Information security management system implementation gu

21、idance信息安全管理体系实施指南ISO/IEC27004:2009Information security management Measurement信息安全管理-测量ISO/IEC27005:2011（第二版）Information security risk management信息安全风险管理ISO/IEC27006:2011（第二版）Requirements for bodies providing audit and certification of information security management systems信息安全管理体系认证机构要求（提示：标准编号后面跟

22、有年代编号的为已经正式发布的标准，其它为尚未正式发布的标准）4344ISO/IEC 27000标准族介绍ISO/IEC27007:2011Guidelines for Information Security Management Systems auditing信息安全管理体系审核指南ISO/IEC27008:2011Guidelines for auditors on information security management systems controls信息安全管理体系控制措施审核员指南ISO/IEC27010:(FCD)Information security manageme

23、nt for inter-sector andinter-organisational communications部门间和组织间通信的信息安全管理(FCD: Final Committee Draft，最终委员会草案)ISO/IEC 27011:2008Information security management guidelines for telecommunications organizations based on ISO/IEC 27002基于ISO/IEC27002的电信行业信息安全管理指南 ISO/IEC 27012ISMS for e-Government电子政务的ISM

24、S(曾经列入计划，但尚未发布任何草案)ISO/IEC 27013:(DIS)Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001 ISO20000-1和ISO27001集成实施指南(DIS: Draft International Standard，国际标准草案)4445ISO/IEC 27000标准族介绍ISO/IEC 27014:(draft)Information security governance framework信息安全治理框架(草案)ISO/IEC 27015:(draf

25、t)Information security management guidance for financial services金融服务信息安全管理指南(草案)（由于输入极小，本标准有可能取消）ISO/IEC 27016:(draft)Information security management Organizational economics信息安全管理-组织经济学（草案）ISO/IEC 27017Cloud Computing Security and Privacy云计算安全和保密（研究阶段的第二期已结束，此标准本身将是一个标准族）ISO/IEC 27031:2011Guidelin

26、es for information and communications technology readiness for business continuity业务连续性的信息和通信技术准备就绪指南ISO/IEC 27032:(FDIS)Guidelines for cybersecurity 网际安全指南(FDIS: Final Draft International Standard，最终国际标准草案)ISO/IEC 27033:(part 1 published, rest under development)Network Security 网络安全 (第一部分已经发布，其余尚在开

27、发中)(ISO/IEC 27033-1:2009: network security overview and concepts网络安全概述和概念)ISO/IEC 27034:(part 1 published, rest under development)Application Security 应用安全(第一部分已经发布，其余尚在开发中)(ISO/IEC 27034-1:2011: Application security Overview and concepts 应用安全-概述和概念）4546ISO/IEC 27000标准族介绍ISO/IEC 27035:2011Informatio

28、n security Incident Management信息安全事件管理ISO/IEC 27036:(draft)Information security for supplier relationships供应商关系信息安全（草案）ISO/IEC 27037:(DIS)Guidelines for identification, collection, acquisition, and preservation of digital evidence识别、收集、获取和保存数字证据指南(DIS: Draft International Standard，国际标准草案)ISO/IEC 270

29、38:(draft)Specification for digital redaction数字编辑规范（草案）ISO/IEC 27039:(draft)Selection, deployment and operations of Intrusion Detection and Prevention Systems (IDPS)选择、开发和运行入侵检测和防护系统(IDPS)(草案）ISO/IEC 27040:(draft)Storage security存储安全（草案）ISO 27799:2008Information security management in health using I

30、SO/IEC 27002用ISO/IEC 27002进行健康信息安全管理 46信息安全管理体系的特点47信息安全管理体系要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标和措施等一系列活动来建立信息安全管理体系；体系的建立基于系统、全面、科学的安全风险评估，体现以预防控制为主的思想，强调遵守国家有关信息安全的法律、法规及其他合同方面的要求；强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式；强调保护组织所拥有的关键性信息资产，而不是全部信息资产，确保信息的保密性、完整性和可用性，保持组织的竞争优势和业务的持续性。47A规划实施

31、检查处置PDCPDCA循环4848PDCA循环49PDCA也称“戴明环”，由美国质量管理专家戴明提出。P（Plan）：计划，确定方针和目标，确定活动计划；D（Do）：实施，实际去做，实现计划中的内容；C（Check）：检查，总结执行计划的结果，注意效果，找出问题；A（Action）：行动，对总结检查的结果进行处理，成功地经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现；未解决的问题放到下一个PDCA循环。4950PDCA特点一：按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环。 9090处置实施规划检查CADPPDCA特点二： 组织中的每个部分，甚至个人，均可

32、以PDCA循环，大环套小环，一层一层地解决问题。 PDCA特点三：每通过一次PDCA 循环，都要进行总结，提出新目标，再进行第二次PDCA 循环。90909090处置实施规划检查CADP达到新的水平改进(修订标准)维持原有水平90909090处置实施规划检查CADPPDCA循环的特征与作用50PDCA循环，能够提供一种优秀的过程方法，以实现持续改进。遵循PDCA循环，能使任何一项活动都有效地进行。PDCA循环的作用5151信息安全管理体系持续改进的PDCA循环过程52信息安全管理体系是PDCA动态持续改进的一个循环体。规划和建立实施和运行监视和评审保持和改进相关方信息安全要求和期望相关方受控的

33、信息安全52ISMS的核心内容可以概括为4句话 规定你应该做什么并形成文件：P做文件已规定的事情：D评审你所做的事情的符合性：C采取纠正和预防措施，持续改进：A用PDCA来理解什么是信息安全管理体系5353信息安全管理过程方法的作用54过程方法要求（Methodological requirements）：为组织根据业务风险建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系规定了要求。按照PDCA循环理念运行的信息安全管理体系是从过程上严格保证了信息安全管理体系的有效性，在过程上的这些要求是不可或缺的，也就是说不是可选的，是必须执行的。54信息安全管理过程方法的结构5555方针、

34、手册等管理制度、程序、策略文件等操作规范、规程、作业指导书、模板文件等计划、表格、报告、各种运行/检查记录、日志文件等一级文件二级文件三级文件四级文件一级文件：方针性文件；二级文件：信息安全管控程序及管理规定性文件；三级文件：操作指南及作业指导书类；四级文件：体系运行的各种记录。下级文件应支持上级文件。 信息安全管理体系化文件56知识体：信息安全管理方法知识域：等级保护的安全管理体制了解等级保护有关的重要国家标准了解等级保护的定级要素及级别划分准则了解等级保护的工作流程理解等级保护的管理要求主要内容57信息安全等级保护58中华人民共和国计算机信息系统安全保护条例（1994年国务院147号令）第

35、九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。GB 17859-1999计算机信息系统安全保护等级划分准则58信息安全等级保护法规政策体系59信息安全等级保护标准60计算机信息系统安全保护等级划分准则信息系统安全等级保护定级指南 信息系统安全等级保护基本要求信息系统安全等级保护实施指南信息系统等级保护安全设计技术要求 信息系统安全管理要求信息系统安全工程管理要求信息系统安全等级保护测评要求 信息系统安全等级保护测评指南信息安全风险评估规范 信息安全等级保护测评机构能力规范等 60等级保护标准61GB17859技术要求等保实施等保测评

36、管理要求GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求GB/T 22240-2008 信息安全技术 信息系统安全保护等级定级指南GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南 GB/T 20269-2006 信息安全技术 信息系统安全管理要求GB/T 20282-2006 信息安全技术 信息系统安全工程管理要求GB/T 28448-2012 信息系统安全等级保护测评要求 GB/T 28449-2012 信息系统安全等级保护测评过程指南 61等级保护的五级划分信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会

37、秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。62等级保护定级要素业务信息安全被破坏

38、时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级63等级保护五级监管等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查64信息安全等级保护65等级保护主要流程一是自主定级 二是评审 三是备案 四是系统安全建设 五是等级测评六是监督检查65

39、信息安全等级保护政策-定级 & 备案关于开展全国重要信息系统安全等级保护定级工作的通知是指导定级环节工作的政策文件，该通知部署在全国范围内开展重要信息系统安全等级保护定级工作，标志着全国信息安全等级保护工作的全面开展。信息安全等级保护备案实施细则是指导备案环节工作的政策文件，该文件规定了公安机关受理信息系统运营使用单位信息系统备案工作的内容、流程、审核等内容，指导各级公安机关受理信息系统备案工作。66信息安全等级保护政策-安全建设整改关于开展信息系统等级保护安全建设整改工作的指导意见、关于加强国家电子政务工程建设项目信息安全风险评估工作的通知和关于进一步推进中央企业信息安全等级保护工作的通知是

40、指导安全建设整改环节工作的政策文件。前者明确了非涉及国家秘密信息系统开展安全建设整改工作的目标、内容、流程和要求等；中者要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照信息安全等级保护管理办法进行，明确了项目验收条件：公安机关颁发的信息系统安全等级保护备案证明、等级测评报告和风险评估报告；后者公安部和国资委联合发布的政策文件，对中央企业信息系统安全等级保护工作提出了明确要求。67信息安全等级保护政策-等级测评关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知和关于印发的通知是指导等级测评环节工作的政策文件。前者确定了开展信息安全等级保护测评体系建设和等级测评工作的目标、

41、内容和工作要求，规定了测评机构的条件、业务范围和禁止行为，规范了测评机构申请、受理、测评工程师管理、测评能力评估、审核、推荐的流程和要求；后者明确了等级测评活动的内容、方法和测评报告格式等。68信息安全等级保护政策检查公安机关信息安全等级保护检查工作规范(试行)和关于开展信息安全等级保护专项监督检查工作的通知是指导监督检查环节工作的政策文件。前者规定了公安机关开展信息安全等级保护检查工作的内容、程序、方式以及相关法律文书等。后者是公安部发给各公安局公共信息网络安全监察处的文件，要求自 2010 年 9月 15日起至 12 月15 日，在全国范围内开展为期三个月的信息安全等级保护专项监督检查工作

42、，并明确了检查目的、检查内容、检查方式和进度安排。以上政策文件构成了信息系统安全等级保护工作开展的政策体系，为了组织开展等级保护工作、建设整改工作和等级测评工作明确了工作目标、工作要求和工作流程。69信息安全等级保护测评检查周期70安全测评第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。安全自查第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。7071安全检查受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全

43、等级保护工作情况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。对第五级信息系统，应当由国家指定的专门部门进行检查信息安全等级保护测评检查周期71安全保护能力基本安全要求等保3级的信息系统基本技术措施基本管理措施具备包含包含满足满足实现等级保护能力、措施与要求72等级保护基本要求技术要求物理安全网络安全主机安全应用安全数据安全管理要求系统运维管理系统建设管理人员安全管理安全管理制度安全管理机构73各级系统的安全保护的核心某级系统技术要求管理要求基本要求建立安全技术体系建立安全管理体系具有某级安全

44、保护能力的系统74基本要求的组织方式某级系统类技术要求管理要求基本要求类控制点具体要求控制点具体要求75安全要求类层面一级二级三级四级技术要求物理安全7101010网络安全3677主机安全4679应用安全47911数据安全及备份恢复2333管理要求安全管理制度2333安全管理机构4555人员安全管理4555系统建设管理991111系统运维管理9121313合计/48667377控制点基本要求GB/T 22239-200876等级保护技术要求物理安全：物理位置选择、物理访问控制、防盗和防破坏、防雷击、防火、防水、防潮湿、防静电、电力保障、电磁防护网络安全：结构安全和网段划分、网络访问控制、拨号访

45、问控制、网络安全审计、边界完整性检测、网络入侵防范、网络设备防护、恶意代码防范主机系统安全：身份鉴别、自主访问控制、强制访问控制、安全审计、系统保护、剩余信息保护、入侵防范、恶意代码防范、资源控制应用安全：身份鉴别、访问控制、安全审计、剩余信息保护、通信保密性、通信完整性、抗抵赖、软件容错、资源控制数据安全：数据完整性、数据保密性、数据备份与恢复77等级保护技术要求物理安全物理安全主要涉及的方面包括环境安全（防火、防水、防雷击等）设备和介质的防盗窃防破坏等方面。物理安全具体包括：10个控制点 物理位置的选择（G）、物理访问控制（G）、 防盗窃和防破坏（G）、防雷击（G)、 防火（G）、防水和防潮（G）、防静电（G）、 温湿度控制（G）、电力供应（A）、 电磁防护（S）78等级保护技术要求-网络安全网络安全主要关注的方面包括：网络结构、网络边界以及网络设备自身安全等。网络安全具体包括：7个控制点 结构安全(G)、访问控制(G)、安全审计(G)、 边界完整性检查(A)、入侵防范(G)、 恶意代码防范(G)、网络设备防护(G)79等级保护技术要求-主机安全主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。主机安全具体包括：7个控制点 身份鉴别(S)、访问控制(S)、安全审计(G)、 剩余信息保护(S)、入侵防范(G)、