信息安全等级保护与实施策略.ppt

用一两年，达到第二级基本要求，部分达到第三级要求 逐步完善安全管理制度 运维管理按基本要求实施 充分运用现有安全技术，逐步增加安全产品 在新建信息系统中注意安全要求 信息安全等级保护实施的一些考虑 谢 谢！ * * 信息安全等级保护与实施策略 信息安全现状 日益增长的安全威胁 攻击技术越来越复杂 入侵条件越来越简单 国家互联网应急中心 互联网安全威胁报告 怎么办？ 系统使用单位 工作人员 安全厂商 政府 信息安全等级保护有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施，提高安全水平 信息安全等级保护的发展历程 1994年，国务院颁布《计算机信息系统安全保护条例》明确了计算机信息系统实行安全等级保护 1999年，颁布《计算机信息系统安全保护等级划分准则》，2000年实施 2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确提出“实行信息安全等级保护” 2004年，全国信息安全保障工作会议：专门将信息安全等级保护工作作为信息安全保障工作的一项重要任务来部署 信息安全等级保护的发展历程 2004年9月，四部门出台了《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），构建了等级保护工作的基本框架，标志着信息安全等级保护工作正式启动 1999-2008年，制定了50多个国标和行标，初步形成了信息安全等级保护标准体系：《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》等 信息安全等级保护的发展历程 2006年，下发等级保护管理办法（征求意见稿），并全面组织开展计算机信息系统基础调查 2007年6月，四部门联合发布 《信息安全等级保护管理办法》（公通文[2007]43号）：明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了有关方面的职责、任务，为开展信息安全等级保护工作提供了规范保障 2007年，下发《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通文[2007]861号），全面开展定级备案工作 信息安全等级保护的发展历程 2009年，下发《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信[2009]1429号），部署开展等级测评和建设整改工作。 2010，下发了《关于开展信息安全等级保护专项监督检查工作的通知》（公信[2010]1175号） 2014年10月27日，教育部办公厅印发了《教育行业信息系统安全等级保护定级工作指南（试行）》，对教育行业信息系统等级保护定级工作提供指导 信息安全等级保护政策体系 信息安全等级保护技术体系 信息安全等级保护技术标准 信息安全等级保护实施基本原则 自主保护原则 按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。 重点保护原则 根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。 同步建设原则 信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。 动态调整原则 要跟踪信息系统的变化情况，调整安全保护措施。 信息安全等级保护实施流程 定级 总体安全规划 安全设计与实施 安全运行与维护 等级测评 系统终止 信息安全服务机构 信息安全产品供应商 测评机构实施 运营使用单位配合 信息安全服务机构支持 运营单位自主定级 信息安全服务机构支持 运营单位自主备案 测评机构协助 系统备案 运营单位自查 公安机关检查 信息安全等级保护定级 教育行业信息系统安全等级保护 定级工作指南（试行）—2014年10月 教育行业信息系统安全等级保护 定级工作指南（试行）—2014年10月 教育行业信息系统安全等级保护 定级工作指南（试行）—2014年10月 信息系统应具备的基本安全保护能力 信息安全等级保护基本要求 基本要求 安全技术 物理安全 网络安全 主机安全 应用安全 数据安全及备份恢复 安全管理 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 信息安全等级保护基本要求 项目 要求 第一级 第二级 第三级 物理安全 物理访问控制 机房出入应安排专人负责，控制、鉴别和记录进入的人员 机房出入口应安排专人值守，控制、鉴别和记录进入的人员 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围 应对机房划分区域进行管理 重要区域应配置电子门禁