信息系统安全等级保护.pptVIP

各级系统的保护要求差异（宏观） 一级系统 二级系统 三级系统 四级系统 通信/边界（基本） 通信/边界/内部（关键设备） 通信/边界/内部（主要设备） 通信/边界/内部/基础设施（所有设备） 各级系统的保护要求差异（宏观） 一级系统 二级系统 三级系统 四级系统 计划和跟踪（主要制度） 计划和跟踪（主要制度） 良好定义（管理活动制度化） 持续改进（管理活动制度化/及时改进） 各级系统的保护要求差异（微观） 某级系统 物理安全 技术要求 管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 三、各级系统保护的主要内容 各级系统的安全保护的核心 某级系统 技术要求 管理要求 基本要求 建立安全技术体系 建立安全管理体系 具有某级安全保护能力的系统 基本要求的主要内容 由9个章节2个附录构成 1.适用范围 2.规范性引用文件 3术语定义 4.等级保护概述 基本要求 附录A 关于信息系统整体安全保护能力的要求 附录B 基本安全要求的选择和使用 基本要求的组织方式 某级系统 类 技术要求 管理要求 基本要求 类 控制点 具体要求 控制点 具体要求 …… …… …… …… …… …… 基本要求-组织方式 某级系统 物理安全 技术要求 管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 基本要求-组织方式 物理位置选择 物理安全(四级) 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 温湿度控制 电力供应 电磁防护 基本要求-组织方式 结构安全和网段划分 网络安全(四级) 网络访问控制 拨号访问控制 网络安全审计 边界完整性检查 网络入侵检测 恶意代码防护 网络设备防护 基本要求-组织方式 身份鉴别 主机系统安全(四级) 自主访问控制 强制访问控制 可信路径 安全审计 剩余信息保护 入侵防范 恶意代码防范 系统资源控制 系统自我保护 基本要求-组织方式 身份鉴别 应用安全(四级) 访问控制 通信完整性 通信保密性 安全审计 剩余信息保护 抗抵赖 软件容错 资源控制 代码安全 基本要求-组织方式 数据完整性 数据安全(四级) 数据保密性 安全备份 基本要求-组织方式 岗位设置 安全管理机构(四级) 人员配备 授权和审批 沟通与合作 审核和检查 基本要求-组织方式 管理制度 安全管理制度(四级) 制订和发布 评审和修订 基本要求-组织方式 人员录用 人员安全管理(四级) 人员离岗 人员考核 安全意识教育和培训 第三方人员访问管理 基本要求-组织方式 系统定级 系统建设管理(四级) 安全风险评估 安全方案设计 产品采购 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 安全服务商选择 系统备案 基本要求-组织方式 环境管理 系统运维管理(四级) 资产管理 设备管理 介质管理 运行维护和监控管理 网络安全管理 系统安全管理 恶意代码防范管理 变更管理 密码管理 系统备案 备份和恢复管理 安全事件处置 应急计划管理 基本要求标注方式 基本要求 技术要求 管理要求 要求标注 业务信息安全类要求（标记为S类） 系统服务保证类要求（标记为A类） 通用安全保护类要求（标记为G类） 三类要求之间的关系 通用安全保护类要求（G） 业务信息安全类（S） 系统服务保证类（A 安全要求 基本要求的选择和使用 一个3级系统,定级结果为S3A2，保护类型应该是S3A2G3 第1步: 选择标准中3级基本要求的技术要求和管理要求; 第2步: 要求中标注为S类和G类的不变; 标注为A类的要求可以选用2级基本要求中的A类作为基本要求; 安全保护和系统定级的关系 安全等级 信息系统保护要求的组合 第一级 S1A1G1 第二级 S1A2G2，S2A2G2，S2A1G2 第三级 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3 第四级 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4 定级指南要求按照“业务信息”和“系统服务”的需求确定整个系统的安全保护等级 定级过程反映了信息系统的保护要求 不同级别系统控制点的差异 安全要求类 层面 一级 二级 三级 四级 技术要求 物理安全 7 10 10 10 网络安全 3 6 7 7 主机安全 4 6 7 9 应用安全 4 7 9 11 数据安全及备份恢复 2 3 3 3 管理要求 安全管理制度 2 3 3 3 安全管理机构 4 5 5 5 人员安全管理 4 5 5 5 系统建设管理 9 9 11 11 系统运维管理 9 12 13 13 合计 / 48 66 73 77 级差 / / 18