等级保护的基本求-中安威士.pptVIP

具体测评内容控制点及要求项比较多，统计如下：二级系统控制点66个，要求项175；三级系统控制点73个，要求项290个 系统定级主要是填写备案单位情况表、定级系统情况表和定级报告，一共是4个表格（二级系统三个表格，三级系统四个表格），一个定级报告，这些定级信息填写完成之后，打印两份，刻录电子档一份，在纸质文件单位首页处加盖备案单位公章。 * 1、五项安全制度不完善或缺失问题，这个问题如果想简单点解决，可以向测评机构或者做的好的单位借鉴一些成熟的安全制度，然后对这些制度根据自己单位情况进行细化，变为自己的安全制度体系；如果想做地更好更有可执行性需要请测评机构或相关单位进行安全制度体系建设，当然这是需要花一些额外费用的，具体金额需要去具体沟通； 2、漏洞补丁类、安全策略调整类、安全加固类、网络结构调整类等等，这类问题都是通过人工进行整改完成，不需要额外增加任何设备解决，我们简称安全服务整改建设，这些问题可以自己解决，或者找自己的系统集成商，软件开发商协助一起解决，当然你也可以找有实力的测评机构或安全服务商去解决，不过这样肯定也是需要花一笔费用的，具体多少钱也是根据问题多少具体谈；3、设备缺失或不足，举个例子，三级系统要求具有入侵检测手段，如果你没有入侵检测设备或者防火墙里不带有入侵检测功能，那你又想通过等保测评，那么你得增加入侵检测设备，当然增加设备又分为此次整改必须增加的设备和后续再增加的设备，这就要根据情况对设备整改进行一个优先级的划分，来确定当下最急需要购买的设备。 * 产品设计中充分考虑了等保和分保的评测标准。能助力信息系统顺利通过等保评测。 这是等保的2、3、4级对数据库审计的要求，我们全部覆盖。 * 这是等保的2、3、4级对数据库防火墙和数据库加密的要求，我们全部覆盖。 * 戴林 Founder 等级保护简介 * 等级保护的定义 什么是等级保护？ 网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 小结：等级保护是对专有信息及信息系统进行分等级保护，对其中的信息安全产品进行按等级管理，对发现的安全事件分等级响应和处置。两个对象，三重管理。 * 等级保护的对象 国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信 基础信息系统，而不论它是否涉密。如：? (1)?国家事务处理信息系统（党政机关办公系统）； ? (2)?金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统；? (3)?国防工业企业、科研等单位的信息系统；? (4)?公用通信、广播电视传输等基础信息网络中的计算机信息系统； (5)?互联网网络管理中心、关键节点、重要网站以及重要应用系统； ? (6)其他领域的重要信息系统。 * 等级保护工作的具体步骤 等级保护工作的步骤： 根据信息系统等级保护相关标准，等级保护工作总共分五个阶段，分别为： 1）信息系统定级。 2）信息系统备案。 3）系统安全建设。 4）信息系统开始等级测评。 5）主管单位定期开展监督检查。 小结：系统定级和备案工作是等级保护工作开展的前提，也是等级保护工作最先要做的内容，系统安全建设可以先做也可以在等级测评之后再进行，第三和第四步没有严格意义上的先后顺序之分。 * 开展等级保护工作的相关法律法规或文件要求 开展等级保护工作的相关法律法规或文件要求？ 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27?号）明确要求我国信息安全保障工作实行等级保护制度; 《信息安全等级保护管理办法》的通知（公通字[2007]43号）具体部署了实施信息安全等级保护工作的操作办法; 《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）加快推动了等级保护工作的发展； 《中华人民共和国网络安全法》明确了国家实行网络安全等级保护制度。 小结：网络安全法的出台将等级保护工作以法律形式确定下来，等级保护工作至此以法律的形式确定为国家网络安全的基本国策，没有网络安全就没有国家安全。 * 等级保护的配套标准 * 等级保护的等级 等级保护的等级 分为五个等级，系统的重要程度从1-5级逐级升高，分别为： 第一级（自主保护级） 第二级（指导保护级） 第三级（监督保护级） 第四级（强制保护级） 第五级（专控保护级） 小结：我们在日常工作中需要进行等级保护测评的系统是2-4级，经常遇到的是二级和三级信息系统，一级系统要求比较低，不需要进行测评，如果某个系统达到五级系统，那么这个系统很可能就已经涉密了，就不是等级保护范畴了，所