等级保护知识培训.ppt

等级保护培训

目录等级保护概念介绍等级保护流程介绍等级保护定级等级保护根本要求等级保护实施等级保护测评我公司开展的等级保护效劳

等级保护标准制修订背景2003年9月中办国办颁发?关于加强信息平安保障工作的意见?中办发[2003]27号2005年9月国信办文件?关于转发?电子政务信息平安等级保护实施指南?的通知?国信办[2004]25号2004年11月四部委会签?关于信息平安等级保护工作的实施意见?公通字[2004]66号云南云南省人民政府第130号令浙江浙江省人民政府令北京北京政府第9号令

什么是等级保护？信息系统平安等级保护是指对信息和信息系统划分为五个平安保护和监管等级，实行分等级保护。

为什么实行等级保护？

有利于明确国家、法人和其他组织、公民的平安责任，强化政府监管职能，共同落实各项平安建设和平安管理措施；有利于提高平安保护的科学性、整体性、针对性，推动信息平安产业水平，逐步探索一条适应社会主义市场经济开展的信息平安开展模式。为什么实行等级保护？

为什么实行等级保护？

2003-2007被篡改网站数量我国

为什么实行等级保护？真正的中国工商银行网站假冒的中国工商银行网站

等保的对象及频度系统新建发生过重大事件未进行过测评网络或信息系统重大变更平安事件爆发 监管部门提出要求〔重要时期前，例奥运会，亚运会〕每年〔三级〕进行一次每半年〔四级〕进行一次

目录等级保护概念介绍等级保护流程介绍等级保护定级等级保护根本要求等级保护实施等级保护测评我公司开展的等级保护效劳

等级保护测评流程

等保测评参考标准GB/T22240信息系统平安等级保护定级指南GB/T22239信息系统平安等级保护根本要求信息系统平安等级保护测评过程指南信息系统平安等级保护实施指南等级保护测评准那么〔已根本废弃〕

目录等级保护概念介绍等级保护流程介绍等级保护定级等级保护根本要求等级保护实施等级保护验收测评我公司开展的等级保护支持效劳

等级保护定级维度等级保护对象受到破坏时所侵害的客体对客体造成侵害的程度

定级阶段-关于定级范围

一、定级对象的三个条件具有唯一确定的平安责任单位作为定级对象的信息系统应能够唯一地确定其平安责任单位，这个平安责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。满足信息系统的根本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规那么组合而成的有形实体。应防止将某个单一的系统组件，如单台的效劳器、终端或网络设备等作为定级对象。定级阶段-关于定级对象确定

一、定级对象的三个条件承载相对独立的业务应用定级对象承载“相对独立〞的业务应用是指其中的一个或多个业务应用的主要业务流程、局部业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立〞的业务应用并不意味着整个业务流程，可以是完整的业务流程的一局部。定级阶段-关于定级对象确定

二、定级对象的识别和划分可能使定级要素赋值不同因素可能涉及不同客体的系统。可能对客体造成不同程度损害的系统。处理不同类型业务的系统。本身运行在不同的网络环境中的系统。分不开的系统，按照高级别保护。定级阶段-关于定级对象确定

识别单位根本信息了解单位根本信息有助于判断单位的职能特点，单位所在行业及单位在行业所处的地位和所用，由此判断单位主要信息系统的宏观定位。识别业务种类、流程和效劳应重点了解定级对象信息系统中不同业务系统提供的效劳在影响履行单位职能方面具体方式和程度，影响的区域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等方面。这些具体数据即可以为主管部门制定定级指导意见提供参照，也可以作为主管部门审批定级结果的重要依据。定级阶段-关于定级过程

识别信息调查了解定级对象信息系统所处理的信息，了解单位对信息的三个平安属性的需求，了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身平安等方面可能对国家、社会、本单位造成的影响，对影响程度的描述应尽可能量化。识别网络结构和边界调查了解定级对象信息系统所在单位的整体网络状况、平安防护和外部连接情况，目的是了解信息系统所处的单位内部网络环境和外部环境特点，以及该信息系统的网络平安保护与单位内部网络环境的平安保护的关系。定级阶段-关于定级过程

识别主要的软硬件设备调查了解与定级对象信息系统相关的效劳器、网络、终端、存储设备以及平安设备等，设备所在网段，在系统中的功能和作用。调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度。识别用户类型和分布调查了解各系统的管理用户和一般用户，内部用户和外部用户