1 / 55

行业信息安全保障体系与信息 安全等级保护制度 简介

行业信息安全保障体系与信息 安全等级保护制度 简介. 等级保护制度的提出. 2004 年 9 月 15 日,由公安部、国家保密局、国家密码管理局和国信办联合下发 《 关于信息安全等级保护工作的实施意见 》 ( 66 号文件),明确实施等级保护的基本做法。 2007 年 6 月 22 日又由四部委联合下发 《 信息安全等级保护管理办法 》 ( 43 号文件),规范了信息安全等级保护的管理。. 2007 年 6 月份开始,全国范围内的重要信息系统普遍开展了信息安全等级保护定级工作,到现在为止定级工作基本上已经落实. 推进工作会议.

lilike
Download Presentation

行业信息安全保障体系与信息 安全等级保护制度 简介

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 行业信息安全保障体系与信息 安全等级保护制度 简介

  2. 等级保护制度的提出 • 2004年9月15日,由公安部、国家保密局、国家密码管理局和国信办联合下发《关于信息安全等级保护工作的实施意见》(66号文件),明确实施等级保护的基本做法。 • 2007年6月22日又由四部委联合下发《信息安全等级保护管理办法》(43号文件),规范了信息安全等级保护的管理。

  3. 2007年6月份开始,全国范围内的重要信息系统普遍开展了信息安全等级保护定级工作,到现在为止定级工作基本上已经落实2007年6月份开始,全国范围内的重要信息系统普遍开展了信息安全等级保护定级工作,到现在为止定级工作基本上已经落实 推进工作会议 • 2007年6月份开始,全国范围内的重要信息系统普遍开展了信息安全等级保护定级工作,到现在为止定级工作基本上已经落实。

  4. 什么是等级保护?

  5. 等级保护制度 根据信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。

  6. 信息安全保护等级 根据等级保护管理办法,安全保护等级分为以下五级: • 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 • 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 • 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 • 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 • 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

  7. 等级制度的作用 • 提出信息安全工作的思路 • 划定信息系统保护的基线 • 发现信息系统的问题和差距 • 明确信息系统安全保护的方向 • 提升信息系统的安全保护能力

  8. 等级制度涉及的层面 • 管理层面:国家制定统一信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对信息安全产品的使用分等级实行管理,对等级保护工作的实施进行监督、指导。

  9. 等级制度涉及的层面 • 用户层面 :公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作,服从国家对信息安全等级保护工作的监督、指导,保障信息系统安全。

  10. 等级制度涉及的层面 • 社会层面 :信息安全产品的研制、生产单位,信息系统的集成、等级测评、风险评估等安全服务机构,依据国家有关管理规定和技术标准,开展相应工作,并接受国家信息安全职能部门的监督管理。

  11. 原 则 • 谁拥有谁负责、谁运行谁负责 • 自主定级、自主保护、监督指导

  12. 等级保护工作流程 • 信息系统运营使用单位按照等级保护管理办法和《信息系统安全等级保护定级指南》,确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。 自主定级和审批 • 在信息系统确定安全保护等级过程中,可以进行必要的业务和技术评估,组织专家进行咨询评审。对拟确定为第四级以上的信息系统的运营、使用单位或主管部门应当邀请国家信息安全等级保护专家评审委员会评审。 评审 • 第二级以上信息系统由其运营使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。 备案 • 信息系统的安全保护等级确定后,运营使用单位应当按照国家信息安全等级保护管理规范和划分准则、基本要求、操作系统、数据库、网络、服务器、终端等技术要求,使用符合本系统安全保护等级要求的信息安全产品,同步建设符合本系统安全保护等级要求的信息安全设施。运营使用单位应当按照安全管理要求、安全工程管理要求等管理规范,建立安全组织,制定并落实符合本系统安全保护等级的安全管理制度。 系统建设 • 信息系统建设完成后,运营使用单位应当选择符合本系统安全保护等级要求的检测机构,依据《信息系统安全等级保护测评指南》等技术标准对信息系统安全等级状况开展技术评测。三级信息系统应当每年至少进行一次等级测评;四级信息系统应当每半年至少进行一次等级测评;五级信息系统应当依据特殊安全需求进行等级测评。 等级测评 • 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。三级信息系统每年至少检查一次,四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。 监督检查

  13. 等级保护的工作流程图 • 定级是等级保护的首要环节 • 分等级保护是等级保护的核心, • 安全规划、建设整改是等级保护工作落实的关键 • 等级测评是评价安全保护状况的方法 • 监督检查是保护能力不断提高的保障

  14. 与信息系统生命周期的关系

  15. 等级保护建设流程 定级阶段 实施和运维阶段 测评阶段 规划阶段 • 安全调查 • 等级保护定级咨询 • 风险评估和差距分析 • 等级保护体系设计 • 安全策略体系建设 • 安全技术体系建设 • 安全运行体系建设 • 安全组织体系建设 • 等级保护测评支持与咨询; • 等级保护自评估服务(自查服务) 信息系统定级咨询服务 等保测评咨询服务 等保安全整改建设服务 等保风险评估服务 等级保护服务目标 (满足国家要求、满足业务安全要求、提升整体安全能力、增强人员安全意识) 等级保护建设流程

  16. 定级咨询 客户面临的问题 定级与备案 • 如何针对各类卫生系统分解出定级对象 • 如何对各个系统进行合理的定级 • 不了解定级工作流程、难点和工作量 • 缺少国家及部下发文件的理解 • 缺少专业技术人员的指导 • 不清楚提交哪些文档 • 分析国家、卫生行业等级保护相关政策精神及要求 • 分析管理组织架构、业务要求、信息系统等特点,确定分析定级对象 • 基于定级指南协助系统负责人确定信息系统的等级,由主管部门的,应当经主管部门的审核批准,编写《定级报告》 • 当地同级公安机关提请备案,填写备案登记表,提交相关资料 定级咨询

  17. 风险评估 客户面临的问题 风险评估服务 • 目前信息系统中存在哪些风险和威胁,依据基本要求存在哪些差距 • 等级保护基本要求普适性较强,但不针对卫生信息系统,如何突出自身行业特点? • 分析最新的国家、卫生行业等级保护相关政策精神及要求 • 对其信息系统进行资产分析、威胁分析、脆弱性分析、安全措施分析和等保基本要求差距分析 • 综合分析,形成等级保护整改方案; 风险评估

  18. 差距分析 1 2 3 现状梳理 确定不符合安全项 明确安全建设需求 1、确定信息系统的基本安全需求 2、选择调整基本安全需求 • 根据系统所确定的安全等级从《基本要求》中选择相应等级的基本安全需求 • 根据系统所面临的威胁特点调整安全要求,去掉不适用项 • 等级保护差距分析 • 以信息系统为单位 • 以基本要求为依据 • 业务信息与系统服务关联分析 • 基本要求中某些地方的安全措施不能满足本单位信息系统的保护要求;没有提供所需要的保护措施 • 对比信息系统现状和安全要求之间的差距,确定不满足要求的安全项 3、明确特殊安全需求 4、根据各项安全要求进行逐项分析

  19. 安全整改 客户面临的问题 安全整改 • 究竟该怎么进行整改?等级保护的标准该怎么使用? • 国家标准的基本要求普适性较强,但不针对具体行业,如何突出自身行业特点进行整改? • 在整改中如何突出重点?第一级、第二级、第三级、第四级系统的整改工作是否同时进行? • 整改工作如何把握? • 对不同级别的系统,整改的措施是否一样 • 分析最新的国家等级保护相关政策精神及要求 • 分析客户的组织架构、业务要求、信息系统等特点 • 按照国家政策文件和标准、卫生部要求制定整改方案; • 协助客户落实安全要求,完成系统整改。 等保 安全整改

  20. 测评咨询 客户面临的问题 BJCA提供测评咨询服务 • 国家测评机构有哪些?测评流程是什么? • 评测人员要对哪些方面进行测评? • 针对测评,应提前准备哪些文档资料? • 现场测评过程,需要哪些配合? • 分析最新的国家等级保护相关政策精神及要求、卫生部等保工作要求 • 通过文档审阅、人员访谈、测试等方式,获得客户现有控制措施与等级基本要求之间的差距。 • 协助准备测评需要的资料 • 协助测评工作 测评咨询

  21. 等级保护工作中用到的主要标准 (一)基础 1、《计算机信息系统安全保护等级划分准则》GB17859-1999 2、《信息系统安全等级保护实施指南》(国标报批稿) (二)系统定级环节 3、《信息系统安全保护等级定级指南》GB/T22240-2008 (三)建设整改环节 4、《信息系统安全等级保护基本要求》GB/T22239-2008 5、《信息安全技术信息系统等级保护安全设计技术要求》 GB/T 25070-2010 (四)等级测评环节 6、《信息系统安全等级保护测评要求》(国标报批稿) 7、《信息系统安全等级保护测评过程指南》(国标报批稿)

  22. 信息系统安全等级保护定级指南 信息系统安全等级保护行业定级细则 信息系统安全等级保护实施指南 信息系统等级保护安全设计技术要求 安全定级 信息系统安全等级保护测评过程指南 信息系统安全等级保护测评要求 信息系统安全等级保护建设整改 状态分析 方法指导 基线要求 信息系统安全等级保护基本要求的行业细则 信息系统安全等级保护基本要求 技术类 管理类 产品类 信息系统通用安全 技术要求 信息系统安全 管理要求 操作系统安全技术 要求 信息系统物理安全 技术要求 信息系统安全工程 管理要求 数据库管理系统安全技术要求 网络基础安全技术 要求 其他管理类标准 网络和终端设备隔离部件技术要求 其他技术类标准 其他产品类标准 计算机信息系统安全保护等级划分准则(GB17859)

  23. 《管理办法》中信息系统重要程度的等级的概念,是信息安全等级保护工作中的系统定级和备案、安全建设整改、等级测评和监督检查等工作的依据。《管理办法》中信息系统重要程度的等级的概念,是信息安全等级保护工作中的系统定级和备案、安全建设整改、等级测评和监督检查等工作的依据。 系统定级-重要性等级是等级的核心

  24. 安全保护等级 等级的确定是不依赖于安全保护措施的,具有一定的“客观性”,即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级,而非由“后天”的安全保护措施决定。 定级指南

  25. <定级指南>-定级原理

  26. 1、确定定级对象 2、确定业务信息安全受到破坏时所侵害的客体 5、确定系统服务安全受到破坏时所侵害的客体 3、综合评定对客体的侵害程度 6、综合评定对客体的侵害程度 4、业务信息安全等级 7、系统服务安全等级 8、定级对象的安全保护等级 <定级指南>-定级流程

  27. 确定定级对象; 确定业务信息安全受到破坏时所侵害的客体; 综合评定业务信息安全被破坏对客体的侵害程度; 得到业务信息安全等级; 确定系统服务安全受到破坏时所侵害的客体; 综合评定系统服务安全被破坏对客体的侵害程度; 得到系统服务安全等级; 由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。 <定级指南>-定级方法

  28. 将信息系统安全分解为业务信息安全和系统服务安全两个方面。这样的区分有利于区别两类信息系统:以信息处理为主的信息系统和以业务流程处理为主的信息系统。这两类系统安全保护的侧重点不同。区别这两类系统,可以使具有相同等级的信息系统可以有不同的保护要求,可以达到重点保护最重要系统资产的目的。将信息系统安全分解为业务信息安全和系统服务安全两个方面。这样的区分有利于区别两类信息系统:以信息处理为主的信息系统和以业务流程处理为主的信息系统。这两类系统安全保护的侧重点不同。区别这两类系统,可以使具有相同等级的信息系统可以有不同的保护要求,可以达到重点保护最重要系统资产的目的。 <定级指南>-定级方法-定级技术要点

  29. 需要分别分析信息系统中的不同类重要信息的安全性受到破坏后所侵害社会秩序、公共利益和国家安全的侵害程度,取其中最高结果作为业务信息安全保护等级需要分别分析信息系统中的不同类重要信息的安全性受到破坏后所侵害社会秩序、公共利益和国家安全的侵害程度,取其中最高结果作为业务信息安全保护等级 需要分别分析信息系统中的不同类重要系统服务的安全性受到破坏后所侵害社会秩序、公共利益和国家安全的侵害程度取其中最高结果作为系统服务安全保护等级。 <定级指南>-定级方法-定级技术要点

  30. 关注点 承担社会责任,关系国家安全的信息系统的安危 重点保障 业务信息安全(S)系统服务连续(A) 等级保护工作核心

  31. 第一级 S1A1G1 第二级 S1A2G2,S2A2G2,S2A1G2 第三级 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3 第四级 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4 可能的系统级别

  32. 落实信息安全等级保护基本要求,确保系统基本安全;落实信息安全等级保护基本要求,确保系统基本安全; 结合系统自身安全需求,力求系统相对安全。 等级保护的推进思想

  33. 能够抵御来自外部小型组织的、拥有一定资源的攻击,防范一般的自然灾难、内部人员恶意行为、操作失误、技术故障等对重要资源造成的损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复主要功能。能够抵御来自外部小型组织的、拥有一定资源的攻击,防范一般的自然灾难、内部人员恶意行为、操作失误、技术故障等对重要资源造成的损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复主要功能。 第二级信息系统

  34. 能够在统一安全策略下,抵御来自外部有组织的团体、拥有较为丰富资源的攻击,防范较为严重的自然灾难、内部人员恶意行为、操作失误、技术故障等对主要资源造成的损害,能够及时监测发现安全漏洞和安全事件;具有一定的备份恢复能力,在系统遭到损害后,能够较快恢复绝大部分功能。能够在统一安全策略下,抵御来自外部有组织的团体、拥有较为丰富资源的攻击,防范较为严重的自然灾难、内部人员恶意行为、操作失误、技术故障等对主要资源造成的损害,能够及时监测发现安全漏洞和安全事件;具有一定的备份恢复能力,在系统遭到损害后,能够较快恢复绝大部分功能。 第三级信息系统

  35. 能够在统一安全策略下,抵御来自敌对组织的、拥有丰富资源的攻击,防范严重的自然灾难、内部人员恶意行为、操作失误、技术故障等对资源造成的损害,能够及时监测发现安全漏洞、跟踪处置安全事件;具有较强的备份恢复能力,在系统遭到损害后,能够迅速恢复所有功能。能够在统一安全策略下,抵御来自敌对组织的、拥有丰富资源的攻击,防范严重的自然灾难、内部人员恶意行为、操作失误、技术故障等对资源造成的损害,能够及时监测发现安全漏洞、跟踪处置安全事件;具有较强的备份恢复能力,在系统遭到损害后,能够迅速恢复所有功能。 第四级信息系统

  36. 基本要求是什么? 1、安全保护能力的一个基本“标尺”,是一个达标线; 2、满足基本要求意味着信息系统具有相应等级的基本安全保护能力,达到了一种基本的安全状态。 3、基本要求是安全保护的出发点,不是终点。 等级保护的基本要求

  37. 《信息系统安全等级保护基本要求》 GB/T22239-2008

  38. 《基本要求》中相应等级的要求是根据各等级系统需要对抗的威胁和应具备的能力而确定的。判断基本要求是否达到应按此原则分析。《基本要求》中相应等级的要求是根据各等级系统需要对抗的威胁和应具备的能力而确定的。判断基本要求是否达到应按此原则分析。 《基本要求》给出了各级信息系统每一保护方面需达到的要求,但不是具体的安全建设整改方案或作业指导书,实现基本要求的措施或方式并不局限于《基本要求》给出的内容,要结合系统自身的特点综合考虑采取的措施来达到基本要求提出的保护能力 基本要求的定位

  39. 内容与作用 • 为信息系统主管和运营、使用单位提供技术指导 • 为测评机构提供测评依据 • 为监管职能部门提供监督检查依据 • 适用环节 • 建设整改、验收、测评、运维、检查 等级保护的基本要求

  40. 控制点标注 • 业务信息安全相关要求(标记为S) • 系统服务保证相关要求(标记为A) • 通用安全保护要求(标记为G) • 技术要求(3种标注) • 管理要求(统属G) 基本要求的描述模型

  41. 第一级 S1A1G1 第二级 S1A2G2,S2A2G2,S2A1G2 第三级 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3 第四级 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4 系统基本保护要求的组合

  42. 落实信息安全等级保护基本要求,确保系统基本安全;落实信息安全等级保护基本要求,确保系统基本安全; 结合系统自身安全需求,力求系统相对安全。 如何实现?

  43. 《基本要求》的文档结构 类 基本要求 技术要求 管理要求 物理安全 网络安全 主机安全 应用安全 数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理

  44. 身份鉴别 访问控制 安全审计 数据完整性 数据保密性 数据可用性 《基本要求》中的安全保护技术 • 病毒防范 • 入侵检测 • 安全监控 • 备份与恢复 • 密码使用 • 等

  45. 确定安全策略 落实信息安全责任制 建立安全组织机构 加强人员管理 加强系统建设的安全管理 加强运行维护的安全管理 《基本要求》中的安全保护技术

  46. 详细的工作流程和工作内容说明可参见公安部印发的《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)及其附件:《信息安全等级保护安全建设整改工作指南》详细的工作流程和工作内容说明可参见公安部印发的《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)及其附件:《信息安全等级保护安全建设整改工作指南》 安全建设整改技术

  47. 信息系统安全建设整改工作规划和工作部署 安全建设整改基本流程 信息系统安全保护现状分析 确定安全策略,制定安全建设整改方案 信息系统安全管理建设 信息系统安全技术建设 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运行管理 物 理 安 全 网 络 安 全 主 机 安 全 应 用 安 全 数 据 安 全 • 开展信息系统安全自查和等级测评

  48. 明确主管领导、落实责任部门 安全管理建设整改基本流程 落实安全岗位和人员 • 信息系统安全管理现状分析 确定安全管理策略、制定安全管理制度 落实安全管理措施 系统运维管理 系统建设管理 人员安全管理 环境和资产管理 事件处置和应急响应 设备和介质管理 灾难备份 日常运行维护 安全监测 集中安全管理 。。。。 安全自查和调整

  49. 信息系统安全保护技术现状分析 安全技术建设整改基本流程 确定安全策略,开展建设整改技术方案总体设计 • 开展建设整改技术方案详细设计 • 开展建设整改技术方案论证和评审 • 建设并落实安全技术措施 区域边界安全 主机系统安全 应用系统安全 物理安全 通信网络安全 备份和恢复 。。。 • 工程实施及验收 • 不符合标准要求 等级测评

  50. 信息系统安全技术体系设计 物理安全设计 网络安全设计 主机安全设计 应用安全设计 数据安全设计 备份与恢复 机房 通信网络 服务器 应用系统 办公环境 区网边界 工作站 应用平台 其他安全设计 设备和介质 其他安全设计 其他安全设计 其他安全设计

More Related