等级保护报告.ppt

中国信息安全测评中心 宁波测评中心 等级保护工作介绍 及 评审会总结报告 2008-12-23 宁波市信息安全测评中心 洪哲 中国信息安全测评中心 宁波测评中心 等级保护出台过程 等级保护简介 2008-12-23 Page | 1 《信息安全技术信息系统安全等级保护实施指南》 《信息安全技术信息系统安全等级保护基本要求》 《信息安全技术信息系统安全等级保护定级指南》 《信息安全技术信息系统安全等级保护测评准则》 中国信息安全测评中心 宁波测评中心 等级保护相关技术细则 等级保护简介 2008-12-23 Page | 1 开展安全等级保护工作的技术依据 目标标准： 《信息系统通用安全技术要求》（GB/T20271） 《网络基础安全技术要求》（GB/T20270） 《操作系统安全技术要求》（GB/T20272） 《数据库管理系统安全技术要求》（GB/T20273） 《终端计算机系统安全等级技术要求》（GA/T671） 《信息系统安全管理要求》（GB/T20269） 《信息系统安全工程管理要求》（GB/T20282） 产品标准: 防火墙、入侵检测、终端设备隔离部件等 中国信息安全测评中心 宁波测评中心 等级保护政策法律依据解读 等级保护简介 2008-12-23 Page | 1 1.共和国计算机信息系统安全保护条例 2.国家信息化领导小组关于加强信息安全保障工作的意见 3.关于信息安全等级保护工作的实施意见 4.中华人民共和国信息安全等级保护管理办法 5.关于开展全国重要信息系统安全等级保护定级工作的通知 6.公安机关信息安全等级保护监督检查工作规范 中国信息安全测评中心 宁波测评中心 12月17-22日 宁波市信息安全等级保护专家评审 等级保护简介 2008-12-23 Page | 1 评审范围: 1.不包含涉密信息系统 2.初步确定信息系统安全保护等级后，聘请专家进行评审。 因此涉及系统为初步自评的二级以上系统 3.责任主体为宁波市单位. 评审负责人: 赵英 评审专家: 主要来自信息产业局,信息安全测评中心,国安局,市保密局,宁波市信息中心,宁波联通,宁波理工学院,电子口岸,市政府办公室信息中心 中国信息安全测评中心 宁波测评中心 12月17-22日 宁波市信息安全等级保护专家评审单位 等级保护简介 2008-12-23 Page | 1 证券公司: 广发证券,爱建证券,光大证券,齐鲁证券,中国民族证券,中信建设证券,中信证券,中国银河证券,金元证券 期货公司: 中国国际期货,永安期货,光大期货,南华期货 保险公司: 泰康人寿保险,渤海保险,安邦财保 电信运营商: 中国联通,网通信息港,宁波电信 其他: 宁波港,镇海炼化,财税局,砾社机场,交通局,检察院,检验检疫局,水利局 中国信息安全测评中心 宁波测评中心 12月17-22日 宁波市信息安全等级保护定级过程 等级保护简介 2008-12-23 Page | 1 中国信息安全测评中心 宁波测评中心 信息安全等级保护专家评审现场流程 等级保护简介 2008-12-23 Page | 1 中国信息安全测评中心 宁波测评中心 信息安全等级保护专家评审行业分析: 等级保护简介 2008-12-23 Page | 1 证券公司: 几乎所有证券公司的客户数据均存放于其总公司,本地营业部只负责从卫星接收行情数据.服务仅涉及本营业部客户。 范例：光大证券 特例：银河证券 常见评审意见： 二级，服务对社会秩序和公共利益有一般损害。 期货公司: 所有期货公司在本地均无任何数据，部分公司在本地由专线连接总公司，有电话服务备份，服务故障仅影响营业部客户。 常见评审意见： 二级或一级，仅对公民、法人和其他组织的合法权益造成损害。 保险公司: 在本地均无数据，系统服务故障危害性很小。 常见评审意见： 信息二级，服务一级。 电信运营商: 基础网络部分均未申报，需要补报。 中国信息安全测评中心 宁波测评中心 信息安全等级保护专家评审常见问题: 等级保护简介 2008-12-23 Page | 1 常见问题： 信息系统责任主体划分不明：安邦财保等。 信息系统边界划分模糊：中国国际期货等。 专家意见与上级单位指导意见相违背：财税局综合税收征管信息系统和网上征管信息系统等. 信息系统描述不清晰：镇海炼化等 信息系统侵害程度不明晰：光大期货等 中国信息安全测评中心 宁波测评中心 信息安全等级保护专家评审单位需求: 等级保护简介 2008-12-23 Page | 1 希望提高自我评定等级： 市检察院，理由：举报人的信息相对重要，需要对此负责。 镇海炼化，理由：能提高领导重视程度。 水利局，理由：涉及省领导的系统，需要提高等