信息系统安全等级保护基本要求和建设.ppt

白票普科技信息系统安全等级保护基本要求和建设整改引言依据如下相关文件,制定信息系统安全等级保护相关标准《中华人民共和国计算机信息系统安全保护条例》国务院147号令《国家信息化领导小组关于加强信息安全保障工作的意见》中办发[2003]27号《关于信息安全等级保护工作的实施意见》公通字[200466号《信息安全等级保护管理办法》公通字[2007143号本标准是信息安全等级保护相关系列标准之一;相关的系列标准包括-信息安全技术信息系统安全等级保护定级指南;(GBT2240-2008)信息安全技术信息系统安全等级保护基本要求;(GBT22239-2008)信息安全技术信息系统安全等级保护测评准则;(送审稿信息安全技术信息系统安全等级保护实施指南;(GBT25058-2010)-信息安全技术信息系统等级保护级保护安全设计技术要求;(GB/T250702010)在对信息系统实施信息安全等级保护的过程中,在不同的阶段,还应参照其他有关信息安全等级保护的标准、要求开展工作黑普科技信息安全标准◆AS/NZS4360:1999风险管理标准◆ISO/EC13335TT安全管理指南◆ISO/EC17799:2005信息安全管理最佳实践指南◆ISO/EC27001:2005信息安全管理体系规范OISO/IEC15408/◆IATF信息保障技术框架◆SSE-CMM系统安全工程能力成熟度模型◆公安部等级保护指南√《信息系统安全等级保护定级指南》参考ISO13335√《信息系统安全等级保护实施指南》參考ISO13335、IATF、SSE-CMIM√《信息系统安全等级保护基本要求》參考ISO15408、7799参考《信息系统安全等级保护测评准则》黑普科技信息安全等级保护基本要求与建设整改1标准术语与定义2基本要求概述3基本要求的应用要点4基本要求的主要内容5基本要求的级差6基本技术要求及设计指南基本管理要求8系统改建的实施方案设计黑普科技等级保护基本要求的概述◆信息系统安全保护等级信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分成五级。五级定义见GBT22240-2008◆高教系统安全保护等级《教育行政部门及高等院校信息系统安全等级保护症级指南》依据国家信息安全等级保护相关文件,结合教育行政部门及高等院校信息化工作特点制定,适用于为教育行政部门及高等院校相关信息系统安全等级保护的定级工作提供指导。黑普科技信息安全保护定级◆第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益◆第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。◆第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成掼害。◆第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害◆第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。黑普科技不同等级的安全保护能力第一级应能够防护系统免受来自个人的、拥有很少资源(如利用公开可获取的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度弱、持续时间很短等)以及其他相当危害程度的威胁(无意失误、技术故障等)所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能>第二级应能够防护系统免受来自外部小型组织的(如自发的三两人组成的黑客组织)、拥有少量资源(如个别人员能力、公开可获或特定开发的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾难发生的强度一般、持续时间短、瞿盖范围小等)以及其他相当危害程度的威胁(无意失误、技术故障等)所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。黑普科技不同等级的安全保护能力第三级应能够在统一安全策略下防护系统免受来自外部有组织的团体(如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、较严重的技术故障等)所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能第四级应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难(灾难发生的强度大、持续时间长、覆盖范围广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、严重的技术故障等)所造成的资源损害,能够发现安全漏洞和安全事件,