2、等级保护交流课案.pptx

构建安全能力 提升业务价值 等级保护交流 TOPSEC 一、等保流程介绍 等级保护介绍 等级保护是对涉及国计民生的基础信息网络和重要信息系统按其重要程度及实际安全需求，合理投入，分级进行保护，分类指导，分阶段实施，保障信息系统安全正常运行和信息安全，提高信息安全综合防护能力，保障国家安全，维护社会秩序和稳定，保障并促进信息化建设健康发展，拉动信息安全和基础信息科学技术发展与产业化的国家层面的信息安全制度。进而牵动经济发展，提高综合国力。针对等级保护，国家陆续出台了一系列的标准、制度，使其作为国家层面的信息安全保障基本制度在全社会广泛执行。 信息安全等级保护政策体系 系统定级 安全 建设整改 等级测评 安全自查与监督检查 系统备案 信息系统定级原则：“自主定级、专家评审、主管部门审批、公安机关审核”。 定级工作流程：摸底调查、确定定级对象、对信息系统进行重要性分析、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。 等级保护实施过程——系统定级 系统定级 安全 建设整改 等级测评 安全自查与监督检查 系统备案 1、信息系统备案 第二级以上信息系统，由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续，填写《信息系统安全等级保护备案表》。 隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部备案；其他信息系统向北京市公安局备案。 跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。 各部委统一定级信息系统在各地的分支系统，即使是上级主管部门定级的，也要到当地公安网络安全保卫部门备案。 2、受理备案与审核 公安机关对备案材料进行审核，定级准确、材料符合要求的颁发由公安部统一监制的备案证明。发现定级不准的，通知备案单位重新审核确定。 3、备案管理 将备案信息系统录入重要信息系统安全管理系统进行管理。 备案材料 1 《信息系统安全等级保护备案表》 二级以上 2 系统拓扑结构及说明 三级以上 3 系统安全组织机构和管理制度 4 系统安全保护设施设计实施方案或者改建实施方案 5 系统使用的信息安全产品清单及其认证、销售许可证明 6 测评后符合系统安全保护等级的技术检测评估报告 7 信息系统安全保护等级专家评审意见 8 主管部门审核批准信息系统安全保护等级的意见 等级保护实施过程——系统备案 系统定级 安全 建设整改 等级测评 安全自查与监督检查 系统备案 范围：已备案的第二级（含）以上信息系统纳入安全建设整改的范围。 尚未开展定级备案的信息系统，要先定级备案，定级不准的要先纠正，再开展安全建设整改。 新建系统要同步开展安全建设工作。 步骤： 第一步：制定信息系统安全建设整改工作规划，对信息系统安全建设整改工作进行总体部署； 第二步：开展信息系统安全保护现状分析，从管理和技术两个方面确定信息系统安全建设整改需求； 第三步：确定安全保护策略，制定信息系统安全建设整改方案； 第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施； 第五步：开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作。 等级保护实施过程——建设整改 系统定级 安全 建设整改 等级测评 安全自查与监督检查 系统备案 信息系统安全管理基本要求 系统定级 安全 建设整改 等级测评 安全自查与监督检查 系统备案 信息系统安全技术基本要求 等级保护二级、三级系统主要控制措施对比 安全类别 控制项 主要安全措施 二级保护措施 三级保护措施 物理安全 物理访问控制 机房安排专人负责，来访人员须审批和陪同 ■ ■ 重要区域配置门禁系统 ? ■ 防盗窃和防破坏 暴露在公共场所的网络设备须具备安全保护措施 ■ ■ 主机房安装监控报警系统 ? ■ 防雷击 机房计算机系统接地符合GB 500571994《建筑物防雷设计规范》中的计算机机房防雷要求 ■ ■ 机房电源、网络信号线、重要设备安装有资质的防雷装置 ? ■ 防火 机房设置灭火设备和火灾自动报警系统 ■ ■ 机房配置自动灭火装置 ? ■ 电力供应 机房及关键设备应配置UPS备用电力供应 ■ ■ 医院重要科室应采用双回路电源供电 ■ ■ 环境监控 机房设置温、湿度自动调节设施 ■ ■ 机房设置防水检测和报警设施 ? ■ 对机房关键设备和磁介质实施电磁屏蔽 ? ■ 等级保护二级、三级系统主要控制措施对比 网络安全 结构安全 网络应按职能和重要程度不同划分网段 ■ ■ 重要网段之间应采用技术隔离，如防火墙 ? ■ 访问控制 网络边界部署防火墙或网闸 ■ ■ 安全审计 网络日志审计、网络运维管理安全审计 ■ ■ 边界完