信息安全等级保护体系解读

信息安全等级保护体系解读2021/6/271内容概要信息安全等级保护的定义1信息安全等级保护的内容22021/6/272信息安全等级保护的定义信息安全等级保护制度是我国信息安全工作保障工作的基本制度和基本国策，是开展信息安全工作的基本方法，是促进信息化、维护国家信息安全的基本保障。信息系统信息安全产品信息安全事件第一级安全保护第二级安全保护第三级安全保护第四级安全保护第五级安全保护EAL1EAL2EAL3EAL4EAL5特别重大事件（I级）重大事件（II级）较大事件（III级）一般事件（IV级）2021/6/273信息系统安全保护等级的划分等级对象侵害客体侵害程度监管程度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导保护社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查2021/6/274信息安全等级保护的政策和法律体系《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《信息安全等级保护管理办法》（公通字[2007]43号)《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）《信息安全等级保护备案实施细则》（公信安[2007]1360号）《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安303号文）关于印发《信息系统安全等级测评报告模版（试行）》的通知（公信安[2009]1487号）《公安机关信息安全等级保护检查工作规范》（公信安[2008]736号）信息安全等级保护工作定级备案整改测评检查2021/6/275信息安全等级保护技术和管理标准体系计算机信息系统安全保护等级划分准则（GB17859）信息系统安全等级保护定级指南信息系统安全等级保护基本要求技术类

信息系统通用安全技术要求信息系统物理安全技术要求网络基础安全技术要求

其它技术类标准管理类

信息系统安全管理要求

信息系统安全工程管理要求其它管理类标准产品类

操作系统安全技术要求数据库管理系统安全技术要求网络和终端设备隔离部件安技术要求其它产品类标准信息系统安全等级保护基本要求的行业细则信息系统安全等级保护基本要求的定级细则信息系统安全等级保护测评过程指南信息系统等级保护安全设计技术要求信息系统安全等级保护实施指南信息系统安全等级保护测评要求信息安全等级保护

安全建设整改工作安全等级安全要求现状分析方法指导2021/6/276信息安全等级保护所涉及的标准通用类1.《计算机信息系统安全等级保护划分准则》(GB17859)2.《信息系统安全等级保护实施指南》(GB/T25058)

3.《信息安全技术信息系统安全等级保护基本要求》(GB/T22239)4.《信息安全技术信息系统安全保护等级定级指南》(GB/T22240)5.《信息安全技术信息系统安全等级保护测评要求》6.《信息安全技术信息系统安全等级保护测评过程指南》。。。。。。安全技术类1.《信息系统等级保护安全设计技术要求》2.《信息安全技术网络基础安全技术要求》(GB/T20270)3.《信息安全技术信息系统安全通用技术要求》(GB/T20271)4.《信息安全技术信息系统物理安全技术要求(GB/T21052)5.《信息安全技术服务器安全技术要求》(GB/T21028)6.《信息安全技术操作系统安全技术要求》(GB/T20272)7.《信息安全技术数据库管理系统安全技术要求》(GBT20273)。。。。。。安全管理类1.《信息安全技术信息系统安全管理要求》(GB/T20269)2.《信息安全技术信息系统安全工程管理要求》(GB/T20282)3.《信息技术安全技术信息安全事件管理指南》(GB/Z20985)4.《信息安全技术信息安全事件分类分级指南》(GB/Z20986)。。。。。。2021/6/277等保2.0为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用、情况下信息安全等级保护工作的开展，需对GB/T2239-2008进行修订新等保系列标准目前主要有六个部分GB/T22239.1信息安全技术网络安全等级保护基本要求第1部分安全通用要求GB/T22239.2信息安全技术网络安全等级保护基本要求第2部分云计算安全扩展要求GB/T22239.1信息安全技术网络安全等级保护基本要求第3部分移动互联安全扩展要求GB/T22239.1信息安全技术网络安全等级保护基本要求第4部分物联网安全扩展要求GB/T22239.1信息安全技术网络安全等级保护基本要求第5部分工业控制安全扩展要求GB/T22239.1信息安全技术网络安全等级保护基本要求第6部分大数据安全扩展要求2021/6/278信息安全等级保护工作的职责和角色行业主管部门：负责依照国家信息安全等级保护的管理规范和技术标准，督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。公安机关：非涉密信息系统等级保护具体工作的监督、检查、指导。

保密部门：涉密信息系统等保工作的监督、检查、指导。

密码管理部门：密码工作的监督、检查、指导。国务院信息化工作办公室及地方信息化领导小组办事机构：各部门间的工作协调。测评机构：

对信息系统和信息安全产品进行等级保护测评，出具测评结论。信息安全服务机构：

协助信息系统运营、使用单位完成安全保护等级、安全需求分析、安全总体规划、实施安全建设和安全改造等。信息系统运营、使用单位：

确定安全保护等级，安全保护的规划设计，定级进行等保测评，建立信息安全事件应急响应体系。信息安全产品供应商：

开发符合等级保护相关要求的信息安全产品，按照等级保护相关要求销售信息安全产品并提供相关服务。信息安全等级保护2021/6/279信息安全等级保护工作概述定级备案整改测评检查信息安全等级保护工作流程1.确定信息系统的安全防护等级，形成定级报告。2.持定级报告到当地公安机关网监部门进行备案。3.参照信息系统当前等级要求和标准，对信息系统进行整改加固。4.委托具备测评资质的测评机构对信息系统进行等级测评，形成正式的测评报告。5.向当地公安机关网监部门提交测评报告，配合完成对信息安全等级保护实施情况的检查。2021/6/2710信息安全等级保护—定级定义由信息系统运营单位确定信息系统的安全保护等级。1由运营单位业务部门确定实施信息安全等级保护的信息系统。2参照定级标准和流程获得信息等级的安全保护等级信息。3最终形成信息系统安全保护等级确认报告。2021/6/2711定级参考信息业务信息安全保护等级矩阵表业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公司、法人和其他组织的合法利益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第四级系统服务安全保护等级矩阵表系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公司、法人和其他组织的合法利益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第四级2021/6/2712定级流程1.确定定级对象2.确定业务信息安全受到破坏时所侵害的客体3.综合评定对客体的侵害程度4.业务信息安全等级（S）5.确定系统服务安全受到破坏时所侵害的客体6.综合评定对客体的侵害程度7.系统服务安全等级（A）8.定级对象的安全保护等级（SxAxGx）2021/6/2713信息安全等级保护—备案定义由信息系统运营单位持定级报告到当地公安机关网监部门进行信息系统安全保护等级信息备案。1按照运营单位所在地确定受理备案的机构（省公安厅/市公安局）。2由运营单位填写信息系统安全等级保护备案表格。3提交备案表格，获得备案回执信息（通过审核/限期整改）。2021/6/2714信息安全等级保护—整改定义按照信息系统已备案的等级信息，参照信息安全等级保护基本要求，组织开展差距分析及整改加固的相关工作。由信息系统运营单位开展自查及整改工作，不断完善信息安全等级保护的各项要求。委托具备测评资质的测评机构开展信息系统安全等级保护差距分析，配合运营单位完成整改及安全加固工作。2021/6/2715信息安全等级保护—测评定义委托具备测评资质的第三方测评机构，对已定级的信息系统进行信息安全等级保护测评，并出具正式的测评报告和测评结论。1明确被测评系统的安全保护等级，制定测评方案和实施计划。2由运营单位配合完成测评过程中的人员访谈、配置检查、安全测试等工作。3出具最终的测评报告和测评结论（符合/基本符合/不符合）。2021/6/2716测评实施流程等级测评项目启动信息收集与分析工具和表单准备测评准备活动测评对象确定测评指标确定测评内容确定工具测评方法确定测评指导书开发测评方案编制方案编制活动现场测评准备现场测评和结果记录结果确认和资料归还现场测评活动单项测评结果判定单元测评结果判定整体测评风险分析等保测评结论形成测评报告编制报告编制活动沟通与洽谈2021/6/2717信息安全等级保护—检查定义公安机关网监部门定期对信息系统运营单位的信息安全等级保护实施情况进行检查和监督。1第三级信息系统每年一次；第四级信息系统每半年一次。2检查内容包括：定级备案情况、安全整改情况、安全管理制度建设和落实情况、测评实施情况等。3由公安机关网监部门出具检查报告或整改通知书。2021/6/2718信息安全等级保护基本要求安全运维管理系统建设管理信息安全等级保护基本要求物理和环境安全网络和通信安全设备和计算安全安全策略和管理制度安全管理机构和人员应用和数据安全安全建设管理技术要求管理要求2021/6/2719安全通用技术要求2021/6/2720典型等级保护安全技术方案2021/6/2721等级保护二/三级关键点说明2021/6/2722三级等保实施方案（通用）三级系统安全保护环境基本要求与对应产品使用范围基本要求产品类型举例安全计算环境网络结构（VLAN划分）三层交换机（防火墙）MPLSVPN访问控制（权限分离）主机核心加固系统入侵防范（检测告警）主机入侵检测产品备份恢复（数据备份）设备冗余、本地备份（介质场外存储）数据完整性、保密性VPN设备剩余信息管理终端综合管理系统身份认证（双因素）证书、令牌、保密卡恶意代码防范（统一管理）网络版主机防病毒软件安全区域边界区域边界访问控制（协议检测）防火墙（IPS）资源控制（优先级控制）带宽管理、流量控制设备区域边界入侵检测IDS区域边界恶意代码防范防病毒网关，沙箱区域边界完整性保护终端综合管理系统安全通信网络通信网络安全审计上网行为管理数据传输完整性、保密性保护VPN设备安全管理中心系统管理安全管理平台审计管理（网络、主机、应用）安全审计系统2021/6/2723云等保要点梳