信息安全等级保护(中国赛宝)推荐.pptVIP

GB 17859_1999 。。。。。。 信息系统安全保护等级定级指南 信息系统安全等级保护基本要求 信息系统安全等级保护管理监督检查要求 信息系统安全保护等级测评准则 信息系统等级保护实施指南 信息系统等级保护评估指南 。。。。。。 技术标准体系 * 等级保护工作的具体做法 系统定级 等级备案与检测 等级保护运行与管理 基本要求，实施指南、 安全产品标准 定级指南、实施指南 监督管理要求、 测评准则、基本要求 基本要求，定级指南、 实施指南，评估指南 安全规划与设计 安全建设与实现 监督管理要求实施指南 * 系统定级阶段 安全规划设计阶段 安全实施阶段 运行管理和状态监控阶段 等级备案与检测 系统调查和描述 子系统划分 子系统定级 子系统边界设定 定级结果文档化 等级保护工作的具体做法 等级化风险评估 分级保护模型化处理 安全策略规划 安全建设规划 安全建设详细方案设计 安全产品采购 安全控制开发 安全控制集成 验收 等级安全检测 备案 操作管理和控制 配置管理和控制 变更管理和控制 安全状态监控 安全事件处理和应急预案 自主检查和监督检查 持续改进 * 等级确定的原则 自主定级原则 信息系统的运营、使用单位应当根据相关管理办法和技术标准，结合其系统的情况，自行确定安全保护等级。 满足国家管理要求原则 信息系统安全保护等级既不是信息系统安全保障等级，也不是信息系统所能达到的技术能力等级，而是从安全监管需要，从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。 * 等级确定的原则 业务为核心原则 信息系统是为业务应用服务的，信息系统的安全保护等级应当依据信息系统承载业务的重要性、业务对信息系统的依赖度和系统特殊的安全需求确定。 合理性原则 不同于信息安全产品，信息系统千差万别，各具特色，只有在划分安全保护等级的过程中，尽可能反映出信息系统的主要安全特征，合理划分等级，才能做到突出重点，适度保护。 * 等级确定的实施流程 系统调查、标识和描述 子系统划分 子系统定级 子系统边界设定 输入 输出 过程 信息系统描述文件 子系统列表 系统安全保护等级定级结果 边界设定结果 信息系统基本信息、管理框架、业务特性 信息系统描述文件 信息系统/子系统业务特性 安全保护等级定级结果、子系统业务流程，网络拓扑 定级结果文档化 信息系统等级化分析报告 信息系统描述文件 子系统列表、定级及边界设定结果 * 等级保护实施过程与风险管理的关系 信息安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。那么信息系统安全保护等级的确定首先应满足国家管理的要求，然后，根据系统安全级别结合基本保护要求进行系统安全建设。 对信息系统实施等级保护的过程中，等级保护的相关标准对不同级别的信息系统提出了基本保护要求，基本保护要求是系统安全建设的基础，但是不同的信息系统由于其本身的特性，除基本保护要求外，可以通过风险管理中的风险分析方法使得系统的等级保护更加个性化。 * 等级保护实施过程与风险管理的关系 信息安全风险评估是等级保护工作的一种辅助科学手段，它可以帮助导出一个确定信息系统的个性安全需求。 信息安全风险评估是信息系统运行使用单位开展信息安全保护工作，提高信息安全管理水平的一种自我评估、自主保护的方法。 信息安全风险评估与信息安全等级保护职能监管部门依据国家管理要求和相关技术标准对等级化信息系统进行的符合性检测有所区别。 * 等级保护的备案管理 信息系统运营、使用单位应当在其系统安全保护等级确定后，向当地同级公安机关提请备案 备案时应当到备案机关填写备案登记表并按要求提交相关资料。 备案登记表/系统体系/功能结构图/系统安全保护方案或措施/系统安全管理制度等 * 等级保护的备案管理 信息系统备案信息是国家有关信息安全职能部门了解和掌握重要信息系统的安全保护基本状况、分析总体安全形势的基础资料来源，也是下一步接受备案机关开展各项监督检查工作所必需的基本依据。 ——新建系统： ——已有系统： * 自主检查 信息系统运营、使用单位应当依照其系统相应等级的标准要求，自行对信息系统安全保护状况定期开展检查。发现问题的，应当及时整改。 确定系统安全保护等级的因素发生变化的，其运营、使用单位应当根据本办法和有关技术标准的要求，重新确定其安全保护等级，并按照相应等级的安全要求对其安全保护措施进行整改。 * 监督检查 公安机关依据《信息安全等级保护管理办法》和有关技术标准，对三、四级信息系统落实相应等级的管理规范和技术标准要求的情况进行监督检查。 对安全保护等级为三级信