网络安全等级保护详细全面介绍.ppt

网络安全等级保护详细全面介绍时代新威等级保护组 信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护。前 言 目 录0102网络安全等级保护简介网络安全等级测评介绍1.1 什么是网络安全等级保护1.2 为什么要做网络安全等级保护1.3 网络安全等级保护对象范围2.1 什么是等级测评2.2 为什么需要对信息系统进行等级测评2.3 如何开展等级测评2.4 等级测评相关标准2.5 测评实施工作流程 网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构，依据《信息安全技术网络安全等级保护基本要求》等技术标准，定期对信息系统开展测评工作。1.1 什么是网络安全等级保护 政策合规，等级保护是我国关于信息安全的基本政策。《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求，履行安全保护义务，如果拒不履行，将会受到相应处罚。1.2 为什么要做网络安全等级保护第二十一条规定：第三十八条规定： 1.2 为什么要做网络安全等级保护第五十九条规定： 1.2 为什么要做网络安全等级保护行业要求在金融、电力、广电、医疗、教育、交通等行业，主管单位明确要求从业机构的信息系统要开展等级保护工作。企业系统安全的需求信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处，可通过安全整改提升系统的安全防护能力，降低被攻击的风险。 1.3 网络安全等级保护对象范围省辖市以上党政机关的重要网站和办公信息系统；电信、广电行业的公用通信网、广播电规传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统；铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 等级测评是指，测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密的信息系统的安全等级保护状况进行检测评估的活动。2.1 什么是等级测评2.2 为什么需要对信息系统进行等级测评等保内部需求外部驱动机构推动 了解现状 明确整改 国家要求 行业要求 2.2 为什么需要对信息系统进行等级测评外部驱动信息安全等级保护管理办法（公通字【2007】43号）第十四条：信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。 2.2 为什么需要对信息系统进行等级测评公安部/发改委关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技[2008] 2071号）：项目建设单位向审批部门提出项目竣工验收申请时，应提交非涉密信息系统安全保护等级备案证明，以及相应的安全等级测评报告和信息安全风险评估报告等。 2.2 为什么需要对信息系统进行等级测评公安部/国资委关于进一步推进中央企业信息安全等级保护工作的通知（公通字[2010]70号）：各企业要根据企业特点，从《全国信息安全等级保护测评机构推荐目录》中择优选择测评机构，对本企业第三级（含）以上信息系统定期开展等级测评,查找发现信息系统的安全问题、漏洞和安全隐患并及时整改。 2.3 如何开展等级测评规定步骤 2.3 如何开展等级测评执行主体：符合条件的测评机构执行的强制性：管理办法强制周期性执行执行对象：已经定级的信息系统测评依据：依据《基本要求》测评内容：单元测评（技术和管理）和整体测评测评付出：不同级别的测评力度不同测评方式：访谈、检查和测试服务对象：主管部门，运维、使用单位，信息安全监管部门 2.3 如何开展等级测评测评机构是指具备本规范的基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室（以下简称为“等保办”）推荐，从事等级测评工作的机构。机构职责省级以上等保办审核评估中心：技术培训/能力评估省级以上等保办推荐 2.4 等级测评相关标准 2.4 等级测评相关标准 2.4 等级测评相关标准明确测评内容单元和整体单元测评测评指标，测