公安部信息安全等级保护评估中心.ppt

等级保护技术标准简介朱建平公安部信息安全等级保护评估中心2005年7月
报告内容
第一部分、总体情况介绍
第二部分、有关标准编制内容介绍
总体情况介绍
机构背景
等级保护标准制修订背景
总体情况介绍----机构背景
公安部第三研究所
公安部计算机信息系统安全产品质量监督检验中心
公安部信息安全产品检测中心
公安部信息安全等级保护评估中心
总体情况介绍----等级保护标准制修订背景
1994年,《中华人民共和国计算机信息系统安全保护条例》的发布
1999年,《计算机信息系统安全保护等级划分准则》 GB17859-1999发布
2001年,国家发改委“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台建设项目”(1110)工程实施
2003年,中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》
2004年,四部委联合签发了《关于信息安全等级保护工作的实施意见》
总体情况介绍----等级保护标准制修订背景
安全
控制
定级指南
过程
方法
确定系统等级
启动
采购/开发
实施
运行/维护
废弃
确定安全需求
设计安全方案
安全
建设
安全
测评
监督
管理
运行
维护
暂不
考虑
特殊需求
等级需求
基本
要求
产品
使用
选
型
监督
管理
测评
准则
流程
方法
监管
流程
应急
预案
应急
响应
有关标准编制内容介绍
定级指南
基本要求
实施指南
定级指南标准编制情况介绍
定级指南标准编制情况介绍
背景介绍
等级确定的原则
决定等级的主要因素分析
等级确定方法
等级划分流程
背景介绍
与系统等级相关的国外资料:
FIPS 199(美国联邦政府)
根据信息系统所处理信息的机密性、完整性和可用性被破坏的影响确定。
IATF(NSA)
根据信息价值与威胁确定系统强健度等级。
DITSCAP (DOD)
根据互联模式、处理模式、业务依赖、三性、不可否认性等七个方面确定系统认证级。