《等级保护知识培训》.ppt

目录 等级保护概念介绍 等级保护流程介绍 等级保护定级 等级保护基本要求 等级保护实施 等级保护测评 我公司开展的等级保护服务 什么是等级保护？ 信息系统安全等级保护是指对信息和信息系统划分为五个安全保护和监管等级，实行分等级保护。 有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施； 有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息安全发展模式。 等保的对象及频度 系统新建 发生过重大事件 未进行过测评 网络或信息系统重大变更 安全事件爆发 监管部门提出要求（重要时期前，例奥运会，亚运会） 每年（三级）进行一次 每半年（四级）进行一次 目录 等级保护概念介绍 等级保护流程介绍 等级保护定级 等级保护基本要求 等级保护实施 等级保护测评 我公司开展的等级保护服务 等级保护测评流程 　　 等保测评参考标准 GB/T22240信息系统安全等级保护定级指南 GB/T22239信息系统安全等级保护基本要求 信息系统安全等级保护测评过程指南 信息系统安全等级保护实施指南 等级保护测评准则（已基本废弃） 目录 等级保护概念介绍 等级保护流程介绍 等级保护定级 等级保护基本要求 等级保护实施 等级保护验收测评 我公司开展的等级保护支持服务 等级保护定级维度 等级保护对象受到破坏时所侵害的客体 对客体造成侵害的程度 定级阶段-关于定级范围 （一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 （二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 （三）市（地）级以上党政机关的重要网站和办公信息系统???? 定级阶段-关于定级对象确定 一、定级对象的三个条件 具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。 满足信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。 定级阶段-关于定级对象确定 一、定级对象的三个条件 承载相对独立的业务应用 定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以是完整的业务流程的一部分。 定级阶段-关于定级对象确定 二、定级对象的识别和划分 可能使定级要素赋值不同因素 可能涉及不同客体的系统。 可能对客体造成不同程度损害的系统。 处理不同类型业务的系统。 本身运行在不同的网络环境中的系统。 分不开的系统，按照高级别保护。 定级阶段-关于定级过程 识别单位基本信息 了解单位基本信息有助于判断单位的职能特点，单位所在行业及单位在行业所处的地位和所用，由此判断单位主要信息系统的宏观定位。 识别业务种类、流程和服务 应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体方式和程度，影响的区域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等方面。这些具体数据即可以为主管部门制定定级指导意见提供参照，也可以作为主管部门审批定级结果的重要依据。 定级阶段-关于定级过程 识别信息 调查了解定级对象信息系统所处理的信息，了解单位对信息的三个安全属性的需求，了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响，对影响程度的描述应尽可能量化。 识别网络结构和边界 调查了解定级对象信息系统所在单位的整体网络状况、安全防护和外部连接情况，目的是了解信息系统所处的单位内部网络环境和外部环境特点，以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系。 定级阶段-关于定级过程 识别主要的软硬件设备 调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等，设备所在网段，在系统中的功能和作用。调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度