等级保护实施技术细节说明.ppt

等级保护实施技术环节说明
2007年7月
根据《管理办法》,信息安全等级保护的实施工作包括信息系统定级与评审、信息系统安全建设或者改建、对信息系统定期的等级测评与安全自查、办理备案手续并提供相关材料、接受公安机关、国家指定的专门部门监督检查、选择使用符合条件的信息安全产品、选择符合条件的等级保护测评机构等,其中涉及信息系统运营使用单位/主管部门需要作较多技术工作的环节是系统定级和系统建设或改建。
《实施指南》从系统的生命周期角度对等级保护实施过程提供了具体的操作指导。
前言
实施指南概述
实施指南介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动,通过对过程和活动的介绍,使读者了解对信息系统实施等级保护的流程方法,以及不同的角色在不同阶段的作用等。
实施阶段
等级变更
局部调整
信息系统定级
总体安全规划
安全设计与实施
安全运行维护
信息系统终止
实施指南描述特点
为了便于用户使用,《实施指南》分章介绍5个实施阶段,以不同的节介绍和描述本阶段所要进行的主要安全过程,以及该过程所包含的活动,包括活动目标、参与角色,活动中包含的子活动,活动过程参照的等级保护对应标准,活动的输入和输出等内容。在每个实施阶段中,如果过程具有顺序性,将用流程图的形式表述过程的执行方式,如果没有顺序性,则用框图分别表述每一个阶段的过程。
实施指南描述特点
阶段
过程
活动
子活动
例如:
信息系统定级
信息系统分析
系统识别和描绘
识别信息系统的基本信息
识别信息系统的管理框架
…
信息系统划分
定级阶段相关技术环节
行业定级指导意见
定级对象确定
定级过程
定级阶段
根据《管理办法》第十条:信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
根据《关于开展全国重要信息系统安全等级保护定级工作的通知》(以下简称《定级通知》)要求:各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的指导意见。
定级阶段-关于行业定级指导意见
为什么需要行业对定级提出指导意见
行业的职能不同
信息系统在行业内所发挥的作用不同
信息系统被破坏后对国家和社会的危害后果不同
行业主管部门比运营使用单位具有更高的站位、更宏观的视野
定级阶段-关于行业定级指导意见
行业定级指导意见的意义:
贯彻四部委会签的《管理办法》
阐明本行业实施等级保护工作的政策和方针
制定本行业定级工作的阶段计划
统一本行业对定级要素赋值规范
定级阶段-关于行业定级指导意见