等级保护政策与标准体系课件.ppt

* 信息系统安全等级保护基本要求 计算机信息系统安全保护等级划分准则（GB17859） 信息系统通用安全 技术要求 信息系统物理安全 技术要求 技术类 其他技术类标准 信息系统安全 管理要求 信息系统安全工程 管理要求 其他管理类标准 信息系统安全等级保护定级指南 信息系统安全等级保护基本要求的行业细则 信息系统安全等级保护测评过程指南 信息系统安全等级保护测评要求 信息系统等级保护安全设计技术要求 管理类 产品类 数据库管理系统安全技术要求 其他产品类标准 信息系统安全等级保护行业定级细则 操作系统安全技术 要求 信息系统安全等级保护建设整改 网络基础安全技术 要求 网络和终端设备隔离部件技术要求 安全定级 基本要求 状态分析 方法指导 信息系统安全等级保护实施指南 * 基本要求地位 * 基本要求-与其他标准的关系 GB17859-1999是基础性标准，《基本要求》17859基础上的进一步细化和扩展。 《定级指南》确定出系统等级以及业务信息安全性等级和业务服务保证性等级后，需要按照相应等级，根据《基本要求》选择相应等级的安全保护要求进行系统建设实施。 《测评要求》是依据《基本要求》检验系统的各项保护措施是否达到相应等级的基本要求所规定的保护能力。 * 基本要求-标准适用范围 用户范围 信息系统的主管部门及运营使用单位 测评机构 安全服务机构（系统集成商，软件开发商） 信息安全监管职能部门 适用环节 需求分析 方案设计、系统建设与验收 运行维护、等级测评、自查 * 等级保护标准体系-主要标准 （一）基础 《计算机信息系统安全保护等级划分准则》GB17859-1999 《信息系统安全等级保护实施指南》GB/T 25058-2010 （二）系统定级环节 《信息系统安全保护等级定级指南》GB/T22240-2008 （三）建设整改环节 《信息系统安全等级保护基本要求》GB/T22239-2008 （四）等级测评环节 《信息系统安全等级保护测评要求》GB/T 28448-2012 《信息系统安全等级保护测评过程指南》GB/T 28449-2012 * 培训议程 等级保护主要政策和标准介绍 3 信息安全等级保护概述 1 等级保护政策和标准体系介绍 2 * 管理办法（简称43号文） 《管理办法》第八条: 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理 。 * 管理办法（简称43号文） 《管理办法》第九条: 信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。 * 管理办法（简称43号文） 《管理办法》第十条: 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。 * 管理办法（简称43号文） 《管理办法》第十二条: 在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照……等技术标准同步建设符合该等级要求的信息安全设施。 * 管理办法（简称43号文） 《管理办法》第十三条: 运营、使用单位应当参照《信息安全技术信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。 * 管理办法（简称43号文） 《管理办法》第十四条: 信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。 * 实施指南（GB/T 25058-2010） 介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动，通过对过程和活动的介绍，使大家了解对信息系统实施等级保护的流程方法，以及不同的角色在不同阶段的作用等。 * 实施指南（GB/T 25058-2010） 等级变更 局部调整 信息系统定级 总体安全规划 安全设计与实施 安全运行维护 信息系统终止 * 实施指南的主要思路 以信息系统安全等级保护建设为主要线索， 定义信息系统等级保护实施的主要阶段和过程 对每个阶段介绍和描述主要的过程和实施活动 对每个活动说明实施主体、主要活动内容和输入输出等 * 实施指南标准的结构 正文由9个章节1个附录构成 1. 范围 2. 规范性引用文件 3.