信息安全等级保护标准体系概述.pptxVIP

信息安全等级保护标准体系概述目录信息安全等级保护标准体系信息安全等级保护工作使用的主要标准管理办法实施指南定级指南基本要求测评要求目录信息安全等级保护标准体系信息安全等级保护工作使用的主要标准管理办法实施指南定级指南基本要求测评要求等级保护标准体系 多年来，在有关部门支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准，形成了比较完整的信息安全等级保护标准体系。汇集成《信息安全等级保护标准汇编》供有关单位、部门使用。 在安全建设整改工作中的作用 等级保护有关标准等级保护标准体系信息安全等级保护标准体系由等级保护工作过程中所需的所有标准组成，整个标准体系可以从多个角度分析从基本分类角度看基础类标准技术类标准管理类标准从对象角度看基础标准系统标准产品标准安全服务标准安全事件标准等等级保护标准体系从等级保护生命周期看通用/基础标准系统定级用标准安全建设用标准等级测评用标准运行维护用标准等等级保护主要工作一是：定级备案二是：建设整改三是：等级测评四是：监督检查等级保护工作中用到的主要标准（一）基础1、《计算机信息系统安全保护等级划分准则》GB17859-19992、《信息系统安全等级保护实施指南》GB/T 25058-2010（二）系统定级环节3、《信息系统安全保护等级定级指南》GB/T22240-2008（三）建设整改环节4、《信息系统安全等级保护基本要求》GB/T22239-2008（四）等级测评环节5、《信息系统安全等级保护测评要求》(国标报批稿)6、《信息系统安全等级保护测评过程指南》(国标报批稿)小结-等级保护主要政策和标准《信息安全等级保护管理办法》（公通字[2007]43号，以下简称《管理办法》）《计算机信息安全保护等级划分准则》（GB 17859-1999，简称《划分准则》）《信息系统安全等级保护实施指南》 GB/T 25058-2010 （简称《实施指南》）《信息系统安全保护等级定级指南》（GB/T 22240-2008，简称《定级指南》）《信息系统安全等级保护基本要求》（GB/T 22239-2008，简称《基本要求》）《信息系统安全等级保护测评要求》（简称《测评要求》）《信息系统安全等级保护测评过程指南》 （简称《测评过程指南》）目录信息安全等级保护制度要干什么信息安全等级保护工作使用的主要标准管理办法实施指南定级指南基本要求测评要求具体做法定级指南、实施指南 等级确定与备案 基本要求，定级指南、实施指南，设计规范、测评要求安全规划与设计 基本要求，实施指南、 安全产品标准 安全建设与实现 监督管理要求、 基本要求、测评要求 自查与等级测评监督管理要求实施指南等级保护运行与管理标准定位和关系管理办法(43文件)（总要求）实施指南（GB/T25058-2010）定级指南（GB/T22240-2008）基本要求（GB/T22239-2008）测评要求建设指南目录信息安全等级保护制度要干什么信息安全等级保护工作使用的主要标准管理办法实施指南定级指南基本要求测评要求管理办法《管理办法》第八条:信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理 。管理办法《管理办法》第九条:信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。管理办法《管理办法》第十条:信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。 管理办法《管理办法》第十二条:在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照……等技术标准同步建设符合该等级要求的信息安全设施。管理办法《管理办法》第十三条:运营、使用单位应当参照《信息安全技术信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。 管理办法《管理办法》第十四条:信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。目录信息安全等级保护制度要干什么信息安全等级保护工作使用的主