信息安全之等保三级总结.pptVIP

等级保护综述 信息条统等级保护综述 信息糸统安全测评:等级保护与分级保护 分级保护 公安机关 国家保密工作部门 国家标准 国家保密标准 (GB、GB/T) (BMB,强制执行) 各种信息系统 国家涉密信息系统 第一级:自主保护级 第二级:指导保护级 秘密级 级别划分不同 第三级:监督保护级 机密级 第四级:强制保护级 绝密级 第五级:专控保护级 测评中心、 评估队伍不同 各级等级保护测评机构技术检查中心、 和部门 资质单位、自身力量 信息条统等级保护综述 信息糸统的测评标准选择 信息网络糸统应根据信息安全等级保护标准,取 相应等级的信息安全保障措施进行安全防护 对于集中处理工作秘密的信息糸统,可参照秘密 级信息糸统保护的要求进行保护和管理。 适用的方法 电子政务外网:等级保护标准 电子政务内网(涉密):分级保护要求 信息条统等级保护综述 等级保护之十大标准 基础奏 《计算机信息糸统安全保护等级划分准则》GB17859-1999 《信息糸统安全等级保护实施指南》GB/T25058-2010 应用粪 定級:《信息糸统安全保护等级定级指南》GB/T22240-2008 建设:《信息糸统安妥全等级保护基本要求》GB/T22239-200 《信息糸统通用安全技术要求》GB/T20271-2006 《信息糸统等级保护安全谩计技术要求》GB/T25070-2010 测评:《信息糸统安全等级保护测评要求 《信息糸统安全等级保护测评过程指南》 管理:《信息糸统安全管理要求》GB/T20269-2006 《信息糸统安全工程笞理要求》GB/T20282-2006 信息条统等级保护综述 等级保护之相关标准 技术类 GB/T21052-2007信息安全技术信息糸统物理安全技术要求 GB/T20270-2006信息安全技术网络基础安全技术要求 GB/T20271-2006信息安全技术信息糸统通用安全技术要求 GB/T20272-2006信息安金技术操作亲统安金技术要求 GB/T20273-206信息安全技水数据库答理糸统安全技术要求 其他信息产品,信息安全产品等。。 其他类 GB/T20984-2007信息安全技术信息安全风险评估规范 GB/T20285-2007信息安全技术信息安全事件管理指南 GB/Z20986-2007信息安全技术信息安全事件分类分级指南 GB/T20988-2007信息安全技术信息条统灾唯恢复规苋 信息条统等级保护综述 等级保护标准亲列的逻辑关亲 划分准则 GBT20269安全管理 定级指南 GB720282安全工程 GBT20270网络基础 实施指南 基本要求 技术设计要痢 GBT20271通用安全技术 GBT20272操作系统 测评要求 GBT20273数据库 测评过程指 GBT20984风险评估 信息条统等级保护综述 实施指南--GB/250582010 等级保护实施过程 基本原则 角色、职责 基本流程 主要过程及其活动 信息系统定级 国家管理部门(4家) 信息系统主管部门 总体安全规划 级变更 息系统运营、使用单 安全设计与实施 局部调整 信息安全服务机构 安全运行维护 信息安全等级测评机构 信息系统终止 信息安全产品供应 信息条统等级保护综述 等级保护定级指南-一GB/T22240 等级保护定级方法 业务信息安全 信息系统安全 保护对象 系统服务安全 般流程客体:社会关系受侵害的客体 对客体的侵害程度 确定定级对象(统边界) 等级确定 2、确定业务伯息安全受到破坏 确定系鉄腹务安全受到破坏 对客体的侵害程度 保护对象受到破坏时受慢害的客体 一般损害严重损害特别严重损害 3、综合评定对客体的侵害程度 6、综合评定对客体的侵害程度 公民、法人和其他组织的合法权益第一级 第二级 社会秩序、公共利益 第三级 第四级 4、业务信息安全等级 7、系统服务安全等级 国家安全 第三级第四级 第五级 8,定级对象的安全保护等级 8=MAX(4,7) 信息条统等级保护综述 基本要求一-GB/T22239 基本保护要求(最低) 对抗能力◆恢复能力 物理、网络、主机、应用、数据 保护能力技术要求*管理要求 制度、机构、人员、建设、 〖整体安全保护能力 纵深防御、互补关联、强度一致、 台统一、集中安管 业务信息安全类要求S系统服务保证类要求A通用安全保护类要求G 安全保护等级 盲总系统定级结果的组合 安全类 SIAIGI 第二级 61A3G3, SZA3G3, S3.3G3, S3A2G3, S3A1G3 第四级 SIA4G4, S2A4G4, S3A4G4, S4A4G4, S4A3G4, S4A2G4, S4AIG4 具体要求项 第五级 A5G5,S24505,A5G5,S44505,554465,s5A3G5,S5A2G5