等级保护-政策要求和标准体系.pptVIP

* * GB17859-1999《计算机信息系统安全保护等级划分准则》是基础性标准， GB/T20271-2006《信息系统通用安全技术要求》、GB/T20270-2006《网络基础安全技术要求》、GB/T21052-2007《信息系统物理安全技术要求》等技术要求类标准和GB/T20269-2006《信息系统安全管理要求》、GB/T20282-2006《信息系统安全工程管理要求》等管理要求类标准是在GB17859-1999基础上的进一步细化和扩展。 * GB17859-1999《计算机信息系统安全保护等级划分准则》是基础性标准， GB/T20271-2006《信息系统通用安全技术要求》、GB/T20270-2006《网络基础安全技术要求》、GB/T21052-2007《信息系统物理安全技术要求》等技术要求类标准和GB/T20269-2006《信息系统安全管理要求》、GB/T20282-2006《信息系统安全工程管理要求》等管理要求类标准是在GB17859-1999基础上的进一步细化和扩展。 * GB17859-1999《计算机信息系统安全保护等级划分准则》是基础性标准， GB/T20271-2006《信息系统通用安全技术要求》、GB/T20270-2006《网络基础安全技术要求》、GB/T21052-2007《信息系统物理安全技术要求》等技术要求类标准和GB/T20269-2006《信息系统安全管理要求》、GB/T20282-2006《信息系统安全工程管理要求》等管理要求类标准是在GB17859-1999基础上的进一步细化和扩展。 * GB/T22239-2008《信息系统安全等级保护基本要求》（以下简称《基本要求》）技术部分吸收和借鉴了GB 17859-1999及相关标准，采纳其中的身份鉴别、数据完整性、自主访问控制、强制访问控制、审计、客体重用（改为剩余信息保护）标记、可信路径等8个安全机制，并将这些机制根据各级的安全目标，扩展到网络层、主机系统层、应用层和数据层，《基本要求》管理部分充分借鉴了ISO/IEC 17799:2005等国际上流行的信息安全管理方面的标准。 * 根据现有技术的发展水平，《基本要求》提出和规定了不同安全保护等级信息系统的最低保护要求。行业主管部门可以依据《基本要求》，结合行业特点和信息系统实际出台行业细则，行业细则的要求应不低于《基本要求》。 * GB/T22240-2008《信息系统安全等级保护定级指南》（以下简称《定级指南》）为信息系统运营使用单位确定信息系统安全保护等级的工作提供指导，行业主管部门可以依据《定级指南》，结合行业特点和信息系统实际出台行业定级细则， * * 《信息系统安全等级保护实施指南》是信息系统安全等级保护建设实施的过程控制标准，用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。 * 《信息系统等级保护安全设计技术要求》对信息系统安全建设的技术设计活动提供指导，是实现《基本要求》中技术要求的方法之一。 * 等级测评是评价信息系统安全保护状况的重要方法，也是等级保护工作的重要环节之一，测评结果可作为向监管机构提交的等级测评报告。 * * * * * * 、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等 * * * * * * * * * * * * * * * * 总体方面的文件有两个，这两个文件确定了等级保护制度的总体内容和要求，对等级保护工作的开展起到宏观指导作用。 具体文件有8个。 * * * 2006年上半年，公安部、国信办联合部署了信息系统安全等级保护基础调查工作， 调查单位：64841家， 信息系统数：114895个 涉及国计民生的电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险，8个重要信息系统2个重点网络， 10大重点行业信息系统总数为40897个，占全部被调查信息系统的35% 2006年6月，公安部、国家保密局、国家密码管理局、国信办联合印发了《关于开展信息安全等级保护试点工作的通知》 在13个省和3个部委的16个单位开展了试点工作，北京市选取了北京银行、北京农村商业银行、中国长城资产管理公司作为试点。 徐州地税 * 对应等级保护工作的具体环节（信息系统定级、备案、安全建设整改、等级测评、监督检查），出台了相应的政策规范： * * * * * * * * 11月15日到总局检查 公安部5个组，检查85个部委机关， 网络安全保卫局，重要信息系统安全监察处 * * * * * * 信息安全等级保护标准