等的级保护基本要求培训.pptx

信息系统安全等级保护基本要求目录等级保护等级GB 17859-1999 计算机信息系统 安全保护等级划分准则GB/T 22239—2008 信息系统安全等级保护基本要求GB/T 22240—2008 信息系统安全等级保护定级指南信息系统安全等级保护测评过程指南（国标报批稿）信息系统安全等级保护测评要求（国标报批稿）GB/T 25058-2010信息系统安全等级保护实施指南GB/T 25070-2010信息系统等级保护安全设计技术要求等级保护重要标准GA/T 708-2007 信息系统安全等级保护体系框架GA/T 709－2007 信息系统安全等级保护基本模型GA/T 710-2007 信息系统安全等级保护基本配置GA/T 711-2007 应用软件系统安全等级保护通用技术指南GA/T 712－2007 应用软件系统安全等级保护通用测试指南GA/T 713-2007 信息系统安全管理测评GB/T 18018—2007 路由器安全技术要求GB/T 20269—2006 信息系统安全管理要求GB/T 20270—2006 网络基础安全技术要求GB/T 20271—2006 信息系统安全通用技术要求GB/T 20272—2006 操作系统安全技术要求GB/T 20273—2006 数据库管理系统安全技术要求GB/T 20275—2006 入侵检测系统技术要求和测试评价方法GB/T 20278—2006 网络脆弱性扫描产品技术要求GB/T 20279—2006 网络和终端设备隔离部件安全技术要求GB/T 20281—2006 防火墙技术要求和测试评价方法GB/T 20282—2006 信息系统安全工程管理要求GB/T 20979—2007 虹膜识别系统技术要求GB/T 20984—2007 信息安全风险评估规范GB/T 20988—2007 信息系统灾难恢复规范GB/T 21028—2007 服务器安全技术要求GB/T 21052—2007 信息系统物理安全技术要求GB/T 21053—2007 公钥基础设施 PKI系统安全等级保护技术要求GB/Z 20985—2007 信息安全事件管理指南 YD/TGB/Z 20986—2007 信息安全事件分类分级指南等级保护相关标准SAG=MAX(S,A)定级流程安全保护和系统定级的关系安全等级信息系统保护要求的组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4目录等级保护基本要求作用《管理办法》”等级划分和保护“第八条信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。《管理办法》”等级保护的实施与管理“第十二条在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照……等技术标准同步建设符合该等级要求的信息安全设施。《管理办法》”等级保护的实施与管理“第十三条运营、使用单位应当参照《信息安全技术信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。 《管理办法》”等级保护的实施与管理“第十四条信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。《管理办法》”等级保护的实施与管理“第十四条信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。《管理办法》”等级保护的实施与管理“第十四条经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。技术标准和管理规范的作用信息系统定级信息系统安全建设或改建技术标准和管理规范安全状况达到等级保护要求的信息系统《基本要求》的定位是系统安全保护、等级测评的一个基本“标尺”，同样级别的系统使用统一的“标尺”来衡量，保证权威性，是一个达标线；每个级别的信息系统按照基本