信息安全等级保护培训..pptxVIP

信息安全等级保护培训2014年11月21日等级保护等级保护基本概念介绍等级保护实施流程等级保护等级保护基本概念介绍等级保护实施流程什么是等级保护《信息安全等级保护管理办法》指出 信息安全等级保护是以信息为核心。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素，对最核心的信息和信息系统划分为五个安全保护和监管等级，实行分等级保护。为什么实施等级保护“一个提高，六个有利于”实施信息安全等级保护，可以有效地提高我国信息安全建设的整体水平。 有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息 化建设相协调； 有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督； 有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施； 有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息安全发展模式。 有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施； 有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息安全发展模式。 国家对等级保护测评的要求《信息安全等级保护管理办法》“等级保护的实施与管理”第十四条指出： 建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定信息系统条件的测评单位，依据《信息系统安全等级保护基本要求》等技术标准，定期对信息系统安全等级状况开展等级测评。 第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。 广东省安全保护对测评要求第十二条 第二级以上计算机信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构，依据国家规定的技术标准，对计算机信息系统安全等级状况开展等级测评，测评合格后方可投入使用。 第十三条 计算机信息系统的运营、使用单位及其主管部门应当按照国家规定定期对计算机信息系统开展安全等级测评，并对计算机信息系统安全状况、安全管理制度及措施的落实情况进行自查。计算机信息系统安全状况经测评或者自查，未达到安全等级保护要求的，运营、使用单位应当进行整改。 信息安全等级保护的标准体系基础类 –《计算机信息系统安全保护等级划分准则》GB 17859-1999 –《信息系统安全等级保护实施指南》GB/T 25058-2010 应用类 – 定级：《信息系统安全保护等级定级指南》GB/T 22240-2008 – 建设：《信息系统安全等级保护基本要求》GB/T 22239-2008 《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》GB/T 25070- 2010 – 测评：《信息系统安全等级保护测评要求》 《信息系统安全等级保护测评过程指南》 – 管理：《信息系统安全管理要求》GB/T 20269-2006 《信息系统安全工程管理要求》GB/T 20282-2006 信息安全等级保护的标准体系 ? 技术类 – GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求 – GB/T 20270-2006 信息安全技术 网络基础安全技术要求 – GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 – GB/T 20272-2006 信息安全技术 操作系统安全技术要求 – GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求 – 其他信息产品、信息安全产品等 ? 其它类 – GB/T 20984-2007 信息安全技术 信息安全风险评估规范 – GB/T 20285-2007 信息安全技术 信息安全事件管理指南 – GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南 – GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范 等级保护标准与工作环节的关系信息系统安全等级保护定级指南信息系统安全等级保护行业定级细则信息系统安全等级保护实施指南信息系统等级保护安全设计技术要求安全等级信息系统安全等级保护测评过程指南现状分析方法指导信息系统安全等级保护测评要求信息安全等级保护安全建设整改工作安全要求信息系统安全等级保护基本要求的行业细则信息系统安全等级保护基本要求产品类管理类技术类操作系统安全技术要