信息安全等级保护测评工作说明.ppt

信息安全等级保护测评工作介绍;目录; 信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。 ; 1994年，《中华人民共和国计算机信息系统安全保护条例 》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定” 。 1999年，强制性国家标准－《计算机信息系统安全保护等级划分准则》GB-17859）。 2003年，中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南” 。 2004年，公安部、国家保密局、国家密码管理局、国信办联合印发了《关于信息安全等级保护工作的实施意见》（66号文件） 2006年1月，公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法》（公通字[2006]7号） 2011年9月，国家电监会印发《关于组织开展电力行业重要管理信息安全等级保护测评试点工作的通知》，要求统一组织开展重要管理信息系统试点测评。 同年，《电力行业信息系统安全等级保护基本要求》出台，至今已更新至V11.0;安全保护等级的划分 ;（一）定级原则 坚持“自主定级、自主保护”与国家监管相结合的原则 （二）确定需要定级的系统 （1）省辖市以上党政机关的重要网站和办公信息系统； （2）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统； （3）电力、铁路、银行、海关、税务、民航、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、???度、管理、办公等重要信息系统； （4）涉及国家秘密的信息系统。 ;电力行业系统定级情况;初步确定信息系统等级; 公安机关负责信息安全等级保护工作的监督、检查、指导；国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 ;1、定级与审批； 2、等级评审； 3、备案； 4、备案管理； 5、系统建设； 6、等级测评； 7、自查自纠； 8、监督检查。;等级保护技术标准;是系统安全保护、等级测评的一个基本“标尺”，同样级别的系统使用统一的“标尺”来衡量，保证权威性，是一个达标线； 每个级别的信息系统按照基本要求进行保护后，信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态； 是每个级别信息系统进行安全保护工作的一个基本出发点，更加贴切的保护可以通过需求分析对基本要求进行补充，参考其他有关等级保护或安全方面的标准来实现；;《基本要求》的组织方式;三类要求之间的关系;安全要求类; 依据《电力行业信息系统安全等级保护基本要求》（征求意见稿）针对物理安全、网络安全、主机安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等10个方面开展测评。三级系统测评指标数283个，二级系统测评指标数186个。;等级保护重点要求项例举-物理安全;等级保护重点要求项例举-网络安全;等级保护重点要求项例举-主机安全;等级保护重点要求项例举-应用安全; ;等级保护重点要求项例举-管理要求;目录; 等级测评是指，测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活劢。 ;执行主体;; 等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。;;目录;三、信息安全等级测评内容介绍; 在项目启动任务中，测评机构组建等级测评项目组，获取测评委托单位及被测系统的基本情况，从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。;;;主要任务;任务;; 方案编制活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并