等级保护知识介绍.pptVIP

等级保护的生命周期 等级保护/分级保护政策学习 内容概要 政策背景 等保/分保制度与标准 等保/分保职能分工 等保/分保各相关方职责 实施要求 管理过程 资质管理 政策背景(一) 等级保护是国家信息安全的基本制度 等级保护思想始于1994年发布的《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令），其中明确提出了“计算机信息系统实行安全等级保护”。之后于1999年发布了《计算机信息系统安全保护等级划分准则》（GB 17859-1999）。 等级保护工作推动取得突破性进展的标志是2003年发布《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）和2005年发布的《关于信息安全等级保护的实施意见》（公通字 [2005] 66号），确立了等级保护作为国家信息安全保障的基本制度。 等级保护制度是从国家的视角，依据信息系统被破坏后，对国家安全、社会秩序和公共利益造成的影响程度来划分系统的安全等级。等级保护制度充分体现了信息安全的国家意志。 政策背景(二) 等级保护与分级保护的分开管理 在66号文发布之后，等级保护按照信息系统的涉密情况分成两条线管理。非涉密信息系统的等级保护由公安部负责监督、检查、指导，称为“信息系统安全等级保护”；涉及国家秘密信息系统的等级保护由国家保密工作机构负责监督、检查、指导，称为“涉及国家秘密的信息系统分级保护”。 在等级保护方面，国家发布了《信息安全等级保护管理办法》（公通字 [2007] 43号）、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）等文件，并起草了“信息系统安全等级保护定级指南”、“信息系统安全等级保护基本要求”、“信息系统安全等级保护实施指南”等系列国家标准（报批稿）。 在分级保护方面，国家保密局发布了《涉及国家秘密的信息系统分级保护管理办法》（国保发[2005]16号），之后陆续发布了《涉及国家秘密的信息系统分级保护技术要求》、《涉及国家秘密的信息系统分级保护管理规范》、《涉及国家秘密的信息系统分级保护方案设计指南》、《涉及国家秘密的信息系统分级保护测评指南》等一系列分级保护的国家保密标准。 等保/分保制度与标准 等保/分保制度与标准 某级系统 物理安全 技术要求 管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 标准（一） 等级保护主要标准: 《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239)； 《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240)； 《信息安全技术 信息系统安全等级保护实施指南》(国标报批稿)； 《信息安全技术 信息系统安全等级保护测评规范》(国标报批稿)。 标准（二） 等级保护配套标准: 《计算机信息系统安全保护等级划分准则》（GB 17859-1999）； 《信息系统通用安全技术要求》（GB/T20271）； 《网络基础安全技术要求》（GB/T20270）； 《操作系统安全技术要求》（GB/T20272）； 《数据库管理系统安全技术要求》（GB/T20273）； 《终端计算机系统安全等级技术要求》（GA/T671）； 《信息系统安全管理要求》（GB/T20269）； 《信息系统安全工程管理要求》（GB/T20282）。 标准（三） 分级保护标准: 《涉及国家秘密的信息系统分级保护技术要求》（BMB17-2006）； 《涉及国家秘密的信息系统工程监理规范》（BMB18-2006）； 《涉及国家秘密的信息系统分级保护管理规范》（BMB20-2007）； 《涉及国家秘密的信息系统分级保护测评指南》（BMB22-2007）； 《涉及国家秘密的信息系统分级保护方案设计指南》（BMB23-2008）。 等级保护与分级保护职能分工 等级保护各相关方职责(一) 等级保护实施工程所涉及的主管部门与协作单位 分级保护各相关方职责(二) 分级保护实施工程所涉及的主管部门与协作单位 实施要求(一) 等级保护实施要求: 实施要求(二) 分级保护实施要求: 管理过程(一) 等级保护管理过程: 信息系统等级保护实施生命周期内的主要活动 规划设计阶段 安全实施/实现阶段 安全运行管理阶段 等级化风险评估 安全总体设计 安全建设规划 安全方案设计 安全产品采购 安全控制集成 测试与验收 管理机构的设置 管理制度的建设 人员配置和岗位培训 安全建设过程的管理 操作管理和控制 变更管理和控制 安全状态监控 安全事件处置和应急预案 安全评估和持续改进 监督检查 定级阶段 系统调查和描述 子系统划分/分解 子系统边界确定 安全等级确定 定级结果文档化 管理过程(二) 等级保护主管部门的管理手段: 管理过程