信息安全等级保护及行业案例分析解析.pdfVIP

目录 1 等级保护背景与必要性 2 等级保护安全等级划分 3 等级保护安全建设模型 4 等级保护整改方案设计 5 行业案例分析 等级保护背景与必要性 全球背景  全球网络安全形势严峻，信息安全问题不仅仅是组织自身的事情，也 涉及到国家和社会安全。计算机病毒、黑客攻击、信息泄露、软硬件故 障等信息安全问题给组织单位造成了极大的风险。 互联网空间正日益成为国际竞争的新焦点,在制定本国信息系统安全等 级管理标准之外，美国、英国、德国等欧美发达国家纷纷制定网络安全 国家战略，参与争夺全球网络空间主导权。 美国2009年6月，美军成立网络司令部 ；日本防卫省在2011年度建立 一支专门的“网络空间防卫队”；韩国在2009年宣布组建“网络司令 部”，2011年韩国国防部提升为独立部队。 等级保护背景与必要性 国内背景 国际信息安全环境日趋复杂，西方加紧对我国的网络遏制，并加快利用网络 进行意识形态渗透;另一方面，重要信息系统、工业控制系统的安全风险日益 突出，信息安全网络监管的难度和复杂性持续加大。 网络安全成为关系经济平稳运行和安全的重要因素，国民经济对信息网络和 系统的依赖性增强，我国重要信息系统和工业控制系统多使用国外的技术和产 品，这些技术和产品的漏洞不可控，使网络和系统更易受到攻击，致使敏感信 息泄露、系统停运等重大安全事件多发 ，安全状况堪忧。 信息安全领域存在多头管理现象，相关职能部门涉及多个部委和管理机构， 部门之间职责界定不清晰，管理权限存在交叉，决策权分散，各个相关管理机 构之间缺乏充分的沟通和协调，部门间作用发挥不均。 等级保护背景与必要性 等保发展状况 2007年，四部委联合发布的 《关于开展全国重要信息系统安全等级保 护定级工作的通知》 （公信安[2007]861号 ） 2008年，国家发展和改革委员会、中华人民共和国公安部、国家保密 局 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》 （发改高技[2008]2071号 ） 2009年，四部委联合发布 《关于推动信息安全等级保护测评体系建设 和开展等级测评工作的通知》 ，要求2010年底前完成测评体系建设，完 成30%第三级（含）以上信息系统的测评工作，2012年底之前完成第三 级（含）以上信息系统的安全建设整改工作。 等级保护背景与必要性 《中华人民共和国计算机信息 系统安全保护条例》 （1994年 国务院147号令） 《国家信息化领导小组关于加 网监-网安 强信息安全保障工作的意见》 测评机构认证（100多家） （中办发[2003]27号） 测评师培训认证 政策法规 等保标准体系 测评管理体系 落地实施 1994-2005 2005-2008 2008-2010 2010-- 《计算机信息系统安全保护等级划分准则》GB 17859-1999 《信息系统安全等级保护实施指南》 定级： 《信息系统安全保护等级定级指南》GB/T 22240-2008 建设： 《信息系统安全等级保护基本要求》GB/T 22239-2008 二级系统：5万多个 《信息系统通用安全技术要求》GB/T 20271-2006 三级系统：2万多个 《信息系统等级保护安全设计技术要求》 四级系统：100多个 测评： 《信息系统安全等级保护测评要求》 2011年三级系统增加100% 《信息系统安全等级保护测评过程指南》 管理： 《信息系统安全管理要求》GB/T 20