信息安全等级保护测评.pptx

信息安全等级保护测评工作介绍;目录; 信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。 ; 1994年，《中华人民共和国计算机信息系统安全保护条例 》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定” 。 1999年，强制性国家标准－《计算机信息系统安全保护等级划分准则》GB-17859）。 2003年，中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南” 。 2004年，公安部、国家保密局、国家密码管理局、国信办联合印发了《关于信息安全等级保护工作的实施意见》（66号文件） 2006年1月，公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法》（公通字[2006]7号） 2011年9月，国家电监会印发《关于组织开展电力行业重要管理信息安全等级保护测评试点工作的通知》，要求统一组织开展重要管理信息系统试点测评。 同年，《电力行业信息系统安全等级保护基本要求》出台，至今已更新至V11.0;安全保护等级的划分 ;（一）定级原则 坚持“自主定级、自主保护”与国家监管相结合的原则 （二）确定需要定级的系统 （1）省辖市以上党政机关的重要网站和办公信息系统； （2）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统； （3）电力、铁路、银行、海关、税务、民航、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、??度、管理、办公等重要信息系统； （4）涉及国家秘密的信息系统。 ;7;初步确定信息系统等级; 公安机关负责信息安全等级保护工作的监督、检查、指导；国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 ;1、定级与审批； 2、等级评审； 3、备案； 4、备案管理； 5、系统建设； 6、等级测评； 7、自查自纠； 8、监督检查。;11;是系统安全保护、等级测评的一个基本“标尺”，同样级别的系统使用统一的“标尺”来衡量，保证权威性，是一个达标线； 每个级别的信息系统按照基本要求进行保护后，信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态； 是每个级别信息系统进行安全保护工作的一个基本出发点，更加贴切的保护可以通过需求分析对基本要求进行补充，参考其他有关等级保护或安全方面的标准来实现；;《基本要求》的组织方式;三类要求之间的关系;安全要求类;16;等级保护重点要求项例举-物理安全;等级保护重点要求项例举-网络安全;等级保护重点要求项例举-主机安全;等级保护重点要求项例举-应用安全; ;等级保护重点要求项例举-管理要求;目录;24;25;26;27;28;目录;30;31;32;33;34;35;36;37;38;;40;41;42;43;44;45;;47;48;49;50;51;52;53;54;55;56;57;58;59;60;61;62;63;64;65;66;测评报告应包括但不局限于以下内容：概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。其中，概述部分描述被测系统的总体情况、本次测评的主要测评目的和依据；被测系统描述、测评对象、测评指标、测评内容和方法等部分内容编制时可以参考测评方案相关部分内容，有改动的地方应根据实际测评情况进行修改。;68;69;70;目录;;;工作配合: 资料： 网络拓扑图、资产清单（网络设备、安全设备、服务器、数据库等）、设备台账 现有安全措施以及安全设备的配置文档、网络配置文档、系统配置文档 被测评业务系统设计手册（系统包括安全设计）、使用手册、业务流程 信息安全总体策略、方针和战略规划，各种信息安全管理制度、规定、记录表单等 人员配合 信息安全管理人员，信息安全主管部门领导和员工 网络、系统、