信息安全等級(jí)保護(hù)知識(shí)培訓(xùn).pptx

1、信息安全等級(jí)保護(hù)知識(shí)培訓(xùn),張 青 CISP-注冊(cè)信息安全專家 信息安全等級(jí)測(cè)評(píng)師（中級(jí)） 軟件評(píng)測(cè)工程師 華為認(rèn)證網(wǎng)絡(luò)工程師,太原清眾鑫科技有限公司,1.1 等級(jí)保護(hù)基本概念,1.2 實(shí)行等級(jí)保護(hù)的原因,1 信息安全等級(jí)保護(hù)體系概述,1.4 等級(jí)保護(hù)制度作用,1.5 等級(jí)保護(hù)相關(guān)的政策,1.6等級(jí)保護(hù)相關(guān)的標(biāo)準(zhǔn),1.3 等級(jí)保護(hù)制度目的,1.7等級(jí)保護(hù)推進(jìn)過程,信息系統(tǒng)安全等級(jí)保護(hù)是指對(duì)國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。,1.1

2、 等級(jí)保護(hù)基本概念,1.2 實(shí)行等級(jí)保護(hù)制度原因,1.3 等級(jí)保護(hù)制度目的,1.4 等級(jí)保護(hù)制度作用,1.5 等級(jí)保護(hù)相關(guān)政策,基礎(chǔ)類 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB 17859-1999 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南GB/T 25058-2010 應(yīng)用類 定級(jí)：信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南GB/T 22240-2008 建設(shè)：信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 22239-2008 信息系統(tǒng)通用安全技術(shù)要求GB/T 20271-2006 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求GB/T 25070-2010 測(cè)評(píng)：信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 GB/T 28448-2012 信息系統(tǒng)安全等

3、級(jí)保護(hù)測(cè)評(píng)過程指南 GB/T 28449-2012 管理：信息系統(tǒng)安全管理要求GB/T 20269-2006 信息系統(tǒng)安全工程管理要求GB/T 20282-2006,1.6 等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn),2017年6月1日 中華人民共和國網(wǎng)絡(luò)安全法,1.7 等級(jí)保護(hù)推進(jìn)過程,2.3刑法修正案（九）,2.2中華人民共和國國家安全法,2.1山西省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例,2 信息安全等級(jí)保護(hù)法律法規(guī),2.4中華人民共和國網(wǎng)絡(luò)安全法,2.1山西省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例,山西省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例于2008年9月25日經(jīng)省十一屆人大常委會(huì)第六次會(huì)議表決通過，2009年1月1日起實(shí)施。 第二十條第三級(jí)以

4、上計(jì)算機(jī)信息系統(tǒng)建設(shè)完成后，運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)按照國家規(guī)定，選擇符合國家規(guī)定條件的安全保護(hù)等級(jí)測(cè)評(píng)機(jī)構(gòu)定期對(duì)其計(jì)算機(jī)信息系統(tǒng)安全狀況進(jìn)行等級(jí)測(cè)評(píng)。,2.2中華人民共和國國家安全法,2015年7月1日第十二屆全國人民代表大會(huì)常務(wù)委員會(huì)第十五次會(huì)議通過中華人民共和國國家安全法，其中第二十五條指出，要加強(qiáng)網(wǎng)絡(luò)管理，防范、制止和依法懲治網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密、散布違法有害信息等網(wǎng)絡(luò)違法犯罪行為，維護(hù)國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益。,2.3刑法修正案（九）,第十二屆全國人大常委會(huì)第十六次會(huì)議表決通過了刑法修正案（九），修訂后的刑法自2015年11月1日開始施行。 刑法修正案（九）明

5、確了網(wǎng)絡(luò)服務(wù)提供者履行信息網(wǎng)絡(luò)安全管理的義務(wù)。 第二十八條指出：網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金。,2.4中華人民共和國網(wǎng)絡(luò)安全法,中華人民共和國第十二屆全國人民代表大會(huì)常務(wù)委員會(huì)第二十四次會(huì)議于2016年11月7日通過中華人民共和國網(wǎng)絡(luò)安全法，自2017年6月1日起施行。 第二十一條 國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。 第三十一條 國家對(duì)公共

6、通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。,2.4中華人民共和國網(wǎng)絡(luò)安全法,網(wǎng)絡(luò)運(yùn)營者不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對(duì)

7、直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。,3 信息安全等級(jí)保護(hù)工作流程,3.1.3 等級(jí)的確定,3.1.2 定級(jí)對(duì)象確定,3.1.1 定級(jí)依據(jù)和原則,3.1 定級(jí)指南,3.1.4 定級(jí)方法,3.1.1 定級(jí)依據(jù)和原則,3.1.2 定級(jí)對(duì)象確定,定級(jí)工作是信息系統(tǒng)等級(jí)保護(hù)工作的起點(diǎn)，定級(jí)結(jié)果直接決定了后續(xù)安全保障工作的開展。在定級(jí)之前，首先必須明確定級(jí)的對(duì)象，即：對(duì)哪個(gè)信息系統(tǒng)進(jìn)行定級(jí)。定級(jí)指南中指出，作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)當(dāng)具備以下三個(gè)條件：,3.1.3 等級(jí)的確定,等級(jí)的確定是不依賴于安全保護(hù)措施的，具有一定的“客觀性”，即該系統(tǒng)在存在之初便由其自身所實(shí)現(xiàn)的使命決定了它的安全保護(hù)等級(jí)

8、，而非由“后天”的安全保護(hù)措施決定。,3.1.4 定級(jí)方法,查表法,其他：專家評(píng)審、行業(yè)部門建議,3.2.4 備案流程,3.2.3 備案資料,3.2.1 備案作用,3.2 備案,3.2.2 備案時(shí)間,3.2.1 備案的作用,信息系統(tǒng)備案是國家有關(guān)信息安全職能部門了解和掌握重要信息系統(tǒng)的安全保護(hù)基本狀況、分析總體安全形勢(shì)的基礎(chǔ)資料來源，也是下一步接受備案機(jī)關(guān)開展各項(xiàng)監(jiān)督檢查工作所必需的基本依據(jù)。 新建系統(tǒng) 已有系統(tǒng),3.2.2 備案的時(shí)間,根據(jù)信息安全等級(jí)保護(hù)管理辦法，信息系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)以上的信息系統(tǒng)運(yùn)營使用單位或主管部門，應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)，到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門辦理備

9、案手續(xù)。 新建第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由其運(yùn)營、使用單位到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)。,2.2.3 備案資料,信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)在其系統(tǒng)安全保護(hù)等級(jí)確定后，向當(dāng)?shù)赝?jí)公安機(jī)關(guān)提前備案（縣級(jí)單位應(yīng)當(dāng)向市級(jí)公安機(jī)關(guān)備案），備案時(shí)應(yīng)當(dāng)?shù)絺浒笝C(jī)關(guān)填寫備案登記表并按要求提交相關(guān)資料，包括紙質(zhì)版和電子版。 書面填寫信息系統(tǒng)安全等級(jí)保護(hù)備案表 一式兩份?？商頦ORD文檔，再打印輸出，附上附件。 備案登記表/系統(tǒng)體系/功能結(jié)構(gòu)圖/系統(tǒng)安全保護(hù)方案或措施/系統(tǒng)安全管理制度等。,3.2.4 備案流程,3.3 建設(shè)整改,3.3.1實(shí)施概述,3.3.2實(shí)施過程,3.3.1 實(shí)施概述

10、,信息系統(tǒng)安全管理建設(shè),信息系統(tǒng)安全技術(shù)建設(shè),開展信息系統(tǒng)安全自查和等級(jí)測(cè)評(píng),信息系統(tǒng)安全需求分析/相應(yīng)級(jí)別的要求,確定安全策略，制定安全建設(shè)方案,物 理 安 全,網(wǎng) 絡(luò) 安 全,主 機(jī) 安 全,應(yīng) 用 安 全,數(shù) 據(jù) 安 全,安全管理機(jī)構(gòu),安全管理制度,人員安全管理,系統(tǒng)建設(shè)管理,系統(tǒng)運(yùn)行管理,3.3.2 實(shí)施過程,3.4.1 等級(jí)測(cè)評(píng)依據(jù),3.4 信息安全等級(jí)保護(hù)測(cè)評(píng),3.4.3 等級(jí)測(cè)評(píng)流程,3.4.4 等級(jí)測(cè)評(píng)結(jié)果,3.4.5 等級(jí)測(cè)評(píng)目的,3.4.1 等級(jí)測(cè)評(píng)依據(jù),依據(jù)信息安全等級(jí)保護(hù)管理辦法第十四條中規(guī)定: 信息系統(tǒng)建設(shè)完成后， 運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條

11、件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。,3.4.2 等級(jí)測(cè)評(píng)流程,符合性判別依據(jù)是: 1、信息系統(tǒng)中是否存在高風(fēng)險(xiǎn)，如果有，一票否決。 2、信息系統(tǒng)中沒有高風(fēng)險(xiǎn)，且測(cè)評(píng)項(xiàng)綜合得分為60分以上100分以下為基本符合。 注：100分為符合。,3.4.3 等級(jí)測(cè)評(píng)結(jié)果,3.4.4 等級(jí)測(cè)評(píng)目的,對(duì)于企業(yè)來說，實(shí)施信息安全等級(jí)保護(hù)測(cè)評(píng)能夠有效地提高單位信息和信息系統(tǒng)安全建設(shè)的整體水平，有效控制企業(yè)信息安全

12、建設(shè)成本；有利于明確國家、法人和其他組織、公民的信息安全責(zé)任，加強(qiáng)企業(yè)信息安全管理。 對(duì)于信息系統(tǒng)來說，通過等級(jí)保護(hù)測(cè)評(píng)可及時(shí)發(fā)現(xiàn)信息系統(tǒng)安全狀況并制定方案進(jìn)行整改，當(dāng)信息系統(tǒng)完全達(dá)到安全保護(hù)能力要求時(shí)，信息系統(tǒng)就基本可做到“進(jìn)不來、拿不走、改不了、看不懂、賴不掉”。,3.5 監(jiān)督檢查,依據(jù)公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范第二條中規(guī)定: 公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作是指公安機(jī)關(guān)依據(jù)有關(guān)規(guī)定，會(huì)同主管部門對(duì)非涉密重要信息系統(tǒng)運(yùn)營使用單位等級(jí)保護(hù)工作開展和落實(shí)情況進(jìn)行檢查，督促、檢查其建設(shè)安全設(shè)施、落實(shí)安全措施、建立并落實(shí)安全管理制度、落實(shí)安全責(zé)任、落實(shí)責(zé)任部門和人員。,4.2 不同級(jí)別系

13、統(tǒng)的差異,4.1 基本要求結(jié)構(gòu),4 信息安全等級(jí)保護(hù)基本要求,4.3 等級(jí)測(cè)評(píng)技術(shù)要求,4.4 等級(jí)測(cè)評(píng)管理要求,4.5 等級(jí)保護(hù)新標(biāo)準(zhǔn),4.1基本要求結(jié)構(gòu),4.2不同級(jí)別系統(tǒng)的差異(控制點(diǎn)),4.2不同級(jí)別系統(tǒng)的差異(要求項(xiàng)),4.3等級(jí)測(cè)評(píng)技術(shù)要求(三級(jí)為黑色字體),安全審計(jì),防火,防水防潮,防靜電,溫濕度控制,電力供應(yīng),電磁防護(hù),網(wǎng)絡(luò)設(shè)備 防護(hù),入侵防范,惡意代碼 防范,剩余信息 保護(hù),系統(tǒng)資源 控制,資源控制,剩余信息保護(hù),4.4等級(jí)測(cè)評(píng)管理要求(三級(jí)為黑色字體),等級(jí)測(cè)評(píng),備份和恢復(fù)管理,安全事件處置,應(yīng)急預(yù)案管理,4.5等級(jí)保護(hù)新標(biāo)準(zhǔn)（2.0）,隨著新技術(shù)、新業(yè)態(tài)的出現(xiàn)，原有標(biāo)準(zhǔn)面臨挑戰(zhàn)。 為適應(yīng)新技術(shù)發(fā)展，解決云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工控領(lǐng)域信息系統(tǒng)等級(jí)保護(hù)工作的需要，2014年3月-10月，由公安部牽頭組織開展了信息技術(shù)新領(lǐng)域等級(jí)保護(hù)標(biāo)準(zhǔn)的申報(bào)工作，新標(biāo)準(zhǔn)為匹配網(wǎng)絡(luò)安全法將信息安全改稱為網(wǎng)絡(luò)安全。 定級(jí)指南：滿足新的等級(jí)保護(hù)對(duì)象的定級(jí)需求 基本要求：滿足新技術(shù)領(lǐng)域如云計(jì)算、物聯(lián)網(wǎng)、工控、大數(shù)據(jù)和移動(dòng)互聯(lián)系統(tǒng)等保護(hù)需求 測(cè)評(píng)要求：滿足新測(cè)評(píng)對(duì)象和技術(shù)實(shí)現(xiàn)的測(cè)