等级保护制度.pptx

等级保护制度
信息安全等级保护工作概述
(一)基本概念
信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法。开展信息安全等级保护工作室保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。
信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力,不同安全保护等级的信息系统要求具有不同的安全保护能力。
信息安全等级保护工作概述
(二)相关政策和法律依据
多年来,在有关部门支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系,如下:
信息安全等级保护工作概述
(三)基本原则
1、明确责任,共同保护
2、依照标准,自行保护
3、同步建设,动态调整
4、监督指导,重点保护
信息安全等级保护工作概述
(四)主要流程
1、定级与审批
2、等级评审
3、备案
4、备案管理
5、系统建设
6、等级测评
7、自查自纠
8、监督检查
信息安全等级保护定级工作
(一)定级原则
坚持“自主定级、自主保护”与国家监管相结合的原则
(二)等级划分
第一级:用户自主保护级
第二级:系统审计保护级
第三级:安全标记保护级
第四级:结构化保护级
第五级:访问验证保护级
信息系统安全等级保护测评准则
(一)测评原则
1、客观性和公正性原则
2、经济性和可重用性原则
3、可重复性和可再现性原则
4、结果完善性原则
(二)测评内容
对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
对安全控制测评的描述,使用工作单元方式组织。工作单元分为安全技术测评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。因此,全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息系统的具体情况,结合本标准要求,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。
信息系统安全等级保护测评准则
(三) 工作单元
工作单元是安全测评的基本工作单位,对应一组相对独立和完整的测评内容。工作单元由测评项、测评对象、测评方式、测评实施和结果判定组成;如图:
工作单元
测评项
测评方式
测评对象
测评实施
结果判定
具体技术和管理要求
访谈/检查/测试
人员/文档/机制/设备
测评方式+对象+操作
是否符合测评项要求
信息系统安全等级保护测评准则
(四)测评强度
测评强度是在测评过程中,对测评内容实施测评的工作强度,体现为测评工作的实际投入程度,反映出测评的广度和深度。测评广度越大,测评实施的范围越大,测评实施包含的测评对象就越多,测评的深度越深,越需要在细节上展开,因此就越需要更多的投入。投入越多就越能为测评提供更好的保证,体现测评强度越强。测评的广度和深度落实到访谈、检查和测试等三种基本测评方式上,其含义有所不同,体现出测评实施过程中访谈、检查和测试的投入程度不同。可以通过测评广度和深度来描述访谈、检查和测试三种测评方式的测评强度。
信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,满足相应安全等级的保护要求。测评验证不同安全等级的信息系统是否达具有相应安全等级的安全保护能力,是否满足相应安全等级的保护要求,需要实施与其安全等级相适应的测评评估,付出相应的工作投入,达到应有的测评强度。信息安全等级保护要求第一级到第四级信息系统的测评强度在总体上可以反映在访谈、检查和测试等三种基本测评方式的测评广度和深度上,体现在具体的测评实施过程中
绿盟科技信息安全等级保护方案概述
多年来,绿盟科技凭借自身的从业经验、,第一批经国家认可的安全服务试点企业,第