等保基本要求培训070726讲述.ppt

《信息系统安全等级保护基本要求》使用介绍 公安部信息安全等级保护评估中心 马力 目录 使用时机和主要作用 保护要求分级描述的主要思想 各级系统保护的主要内容 一、使用时机和主要作用 《管理办法》”等级划分和保护“第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。 《管理办法》”等级保护的实施与管理“第十二条 在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照……等技术标准同步建设符合该等级要求的信息安全设施。 《管理办法》”等级保护的实施与管理“第十三条 运营、使用单位应当参照《信息安全技术信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。 《管理办法》”等级保护的实施与管理“第十四条 信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。 《管理办法》”等级保护的实施与管理“第十四条 信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。 《管理办法》”等级保护的实施与管理“第十四条 经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。 技术标准和管理规范的作用 涉及的管理规范和技术标准 《信息安全等级保护管理办法》公通字[2007]43号 《计算机信息系统安全保护等级划分准则》（GB17859-1999） 《信息安全等级保护实施指南》 《信息安全等级保护定级指南》 《信息安全等级保护基本要求》 《信息安全等级保护测评要求》 《信息安全技术 网络基础安全技术要求》（GB/T20270-2006） 《信息安全技术 信息系统通用安全技术要求》GB/T20271-2006） 《信息安全技术 操作系统安全技术要求》（GB/T20272-2006） 《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006） 涉及的管理规范和技术标准 《信息安全技术 信息系统安全管理要求》（GB/T20269-2006） 《信息安全技术 信息系统安全工程管理要求》（GB/T20282-2006） 《信息安全技术 信息系统安全工程管理要求》（GB/T20282-2006） 整体要求的管理规范和技术标准 《信息安全等级保护管理办法》 《计算机信息系统安全保护等级划分准则》（GB17859-1999） 《信息系统安全等级保护实施指南》 《信息系统安全保护等级定级指南》 《信息系统安全等级保护基本要求》 《信息系统安全等级保护测评要求》 等等 《基本要求》的作用 《基本要求》的定位 是系统安全保护、等级测评的一个基本“标尺”，同样级别的系统使用统一的“标尺”来衡量，保证权威性，是一个达标线； 每个级别的信息系统按照基本要求进行保护后，信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态; 是每个级别信息系统进行安全保护工作的一个基本出发点，更加贴切的保护可以通过需求分析对基本要求进行补充，参考其他有关等级保护或安全方面的标准来实现; 《基本要求》的定位 二、保护要求分级描述的主要思想 《基本要求》基本思路 不同级别的安全保护能力要求 第一级安全保护能力 应能够防护系统免受来自个人的、拥有很少资源（如利用公开可获取的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度弱、持续时间很短等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。 第二级安全保护能力 应能够防护系统免受来自外部小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的重要资源损害，能够发现重要的安全漏洞和安全事件