深信服信服云_等级保护流程和方案培训V1.0.pptx

信服云_等级保护流程培训版权所有? 2022深信服科技股份有限公司第1页 课程内容课程目标等级保护基础介绍了解等级保护的概念以及政策标准，以及过等保的目的等级保护流程介绍掌握等级保护的定级、备案、建设整改、测评、检查每个模块需要做的事情以及测评项的大概了解版权所有? 2022深信服科技股份有限公司第2页 版权所有? 2022深信服科技股份有限公司第3页1.等级保护基础介绍2.等级保护流程介绍 1.等级保护基础介绍版权所有? 2022深信服科技股份有限公司第4页 等保合规的概念等保合规是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。它是根据《网络安全法》第二十一条规定“国家实行网络安全等级保护制度”所诞生出来的一个名词。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。标志了等级保护制度的法律地位。涉及范围主要分为两个层面：一是覆盖各地区、各单位、各部门、各企业、各机构，即是覆盖全社会。二是覆盖所有保护对象，包括网络、信息系统、信息，以及云平台、物联网、工控系统、大数据、移动互联等各类新技术应用。版权所有? 2022深信服科技股份有限公司第5页 等级保护的政策标准公安部门开展等级保护的依据（1）警察法规定：监督、管理计算机信息系统的安全保护工作。（2）国务院147号令：公安部主管等保工作，等级保护的具体办法由公安部会同有关部门制定。（3）公安部82号令，151号令，网络安全法，2017年6月1日正式实施。等级保护相关部门的职能和义务2007年6月，《信息安全等级保护管理办法》（公通字[2007]43号）明确了公安、保密、密码、信息化部门的职责：（1）公安：牵头、领导、对全国这项工作的开展进行监督指导（2）保密局：负责有关保密工作的监督、检查、指导，并涉及国家秘密信息系统的分析保护工作（注，只是针对涉及国家秘密的信息系统）（3）密码局：负责有关密码工作的监督、检查、指导（4）工业和信息化部：负责各部门间的协调版权所有? 2022深信服科技股份有限公司第6页 为什么要实施等级保护国家信息安全的基本制度，是国策。开展信息安全的基本方法，促进国家信息化的根本保证。目的：（1）明确信息安全重点，干活时突出重点，把钱用在重点建设上。（2）有利于同步建设，协调发展，优化信息安全资源配置，明确信息安全的责任，推动信息安全产业的发展。版权所有? 2022深信服科技股份有限公司第7页 2.等级保护流程介绍版权所有? 2022深信服科技股份有限公司第8页 等级保护测评过程等级保护工作过程分为：系统定级、系统备案、建设整改、等级测评、监督检查。版权所有? 2022深信服科技股份有限公司第9页角色/流程定级备案建设整改等保测评监督检查客户确定系统或者子系统的安全等级，准备定级报告准备备案材料，到当地公安网监递交备案基于等保的安全技术和管理要求进行建设和整改，以符等保要求准备和接受测评机构的测评接受公安网监定期的检查，主动开展每年的定期测评。（二级每两年一次，三级每年一次）托管云管家协调第三方为客户提供辅导服务协调第三方为客户提供辅导服务提供符合等保相关的安全产品和服务提供云平台相关通过等保的证明材料-测评机构提供等级保护指导提供等保备案指导-进行测评并出具测评报告-公安网监-审核受理备案材料--监督检查单位开展等级保护工作情况 等级保护工作流程版权所有? 2022深信服科技股份有限公司第10页监督检查定级备案差评整改等级测评网络安全等级保护五个步骤步骤：确定定级对象，初步确认定级对象，专家评审，主管部门审核、公安机关备案审查定级持定级报告、备案表等材料到当地公安机关网安部门备案备案参照信息系统当前等级要求和标准，对信息系统进行整改加固差距评估 建设整改委托具备测评资质的测评机构对信息系统进行等级测评，形成正式的测评报告等级测评向当地公安机关网监部门提交测评报告，配合完成对信息安全等级保护实施情况的检查监督检查 等保测评-定级流程等保2.0的定级流程包括6个阶段。首先“确定定级对象”，包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。确定定级对象后接着就可以“初步确认等级”包括确定受侵害的客体、侵害对客体的侵害程度以及综合判定侵害程度。确认等级后组织专家进行“专家评审”，这时定级对象的运营、使用单位应组织信息安全专家和业务专家，对初步定级结果的合理性进行评审，出具专家评审意见。完成专家评审后报送“主管部门审核”，这时定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部