信息安全等級保護(hù)知識培訓(xùn)

張青CISP-注冊信息安全專家信息安全等級測評師（中級）軟件評測工程師華為認(rèn)證網(wǎng)絡(luò)工程師太原清眾鑫科技有限公司第一頁，共50頁。信息安全等級保護(hù)工作流程信息安全等級保護(hù)基本要求信息安全等級保護(hù)體系概述信息安全等級保護(hù)法律法規(guī)第二頁，共50頁。1.1等級保護(hù)基本概念1.2實行等級保護(hù)的原因1信息安全等級保護(hù)體系概述1.4等級保護(hù)制度作用1.5等級保護(hù)相關(guān)的政策1.6等級保護(hù)相關(guān)的標(biāo)準(zhǔn)1.3等級保護(hù)制度目的1.7等級保護(hù)推進(jìn)過程第三頁，共50頁。信息系統(tǒng)安全等級保護(hù)是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。1.1等級保護(hù)基本概念第四頁，共50頁。整體信息安全防范意識和能力薄弱網(wǎng)絡(luò)及信息安全問題關(guān)系國家安全信息系統(tǒng)安全建設(shè)和管理缺乏體系化思想信息安全法律法規(guī)不完善，標(biāo)準(zhǔn)體系尚待完善1.2實行等級保護(hù)制度原因第五頁，共50頁。體現(xiàn)國家管理意志構(gòu)建國家信息安全保障體系保障信息化發(fā)展和維護(hù)國家安全1.3等級保護(hù)制度目的第六頁，共50頁。提出信息安全工作的思路劃定信息系統(tǒng)保護(hù)的基線發(fā)現(xiàn)信息系統(tǒng)的問題和差距明確信息系統(tǒng)安全保護(hù)的方向提升信息系統(tǒng)的安全保護(hù)能力1.4等級保護(hù)制度作用第七頁，共50頁。1.5等級保護(hù)相關(guān)政策第八頁，共50頁?；A(chǔ)類《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》GB17859-1999《信息系統(tǒng)安全等級保護(hù)實施指南》GB/T25058-2010應(yīng)用類定級：《信息系統(tǒng)安全保護(hù)等級定級指南》GB/T22240-2008建設(shè)：《信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008《信息系統(tǒng)通用安全技術(shù)要求》GB/T20271-2006《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》GB/T25070-2010測評：《信息系統(tǒng)安全等級保護(hù)測評要求》GB/T28448-2012

《信息系統(tǒng)安全等級保護(hù)測評過程指南》GB/T28449-2012管理：《信息系統(tǒng)安全管理要求》GB/T20269-2006《信息系統(tǒng)安全工程管理要求》GB/T20282-20061.6等級保護(hù)相關(guān)標(biāo)準(zhǔn)第九頁，共50頁。2003年9月中辦國辦頒發(fā)《關(guān)于加強(qiáng)信息安全保障工作的意見》中辦發(fā)[2003]27號2004年11月四部委會簽《關(guān)于信息安全等級保護(hù)工作的實施意見》公通字[2004]66號2006年1月四部委會簽《信息安全等級保護(hù)管理辦法（試行）》（公通字[2006]7號）

2007年6月四部委會簽《信息安全等級保護(hù)管理辦法》公通字[2007]43號1994年國務(wù)院頒布《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》國務(wù)院[1994]147號2017年6月1日中華人民共和國網(wǎng)絡(luò)安全法1.7等級保護(hù)推進(jìn)過程第十頁，共50頁。信息安全等級保護(hù)工作流程信息安全等級保護(hù)基本要求信息安全等級保護(hù)體系概述信息安全等級保護(hù)法律法規(guī)第十一頁，共50頁。

2.3刑法修正案（九）2.2中華人民共和國國家安全法2.1山西省計算機(jī)信息系統(tǒng)安全保護(hù)條例2信息安全等級保護(hù)法律法規(guī)

2.4中華人民共和國網(wǎng)絡(luò)安全法第十二頁，共50頁。2.1山西省計算機(jī)信息系統(tǒng)安全保護(hù)條例《山西省計算機(jī)信息系統(tǒng)安全保護(hù)條例》于2008年9月25日經(jīng)省十一屆人大常委會第六次會議表決通過，2009年1月1日起實施。第二十條第三級以上計算機(jī)信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當(dāng)按照國家規(guī)定，選擇符合國家規(guī)定條件的安全保護(hù)等級測評機(jī)構(gòu)定期對其計算機(jī)信息系統(tǒng)安全狀況進(jìn)行等級測評。第十三頁，共50頁。2.2中華人民共和國國家安全法2015年7月1日第十二屆全國人民代表大會常務(wù)委員會第十五次會議通過《中華人民共和國國家安全法》，其中第二十五條指出，要加強(qiáng)網(wǎng)絡(luò)管理，防范、制止和依法懲治網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密、散布違法有害信息等網(wǎng)絡(luò)違法犯罪行為，維護(hù)國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益。第十四頁，共50頁。2.3刑法修正案（九）第十二屆全國人大常委會第十六次會議表決通過了《刑法修正案（九）》，修訂后的刑法自2015年11月1日開始施行?！缎谭ㄐ拚福ň牛访鞔_了網(wǎng)絡(luò)服務(wù)提供者履行信息網(wǎng)絡(luò)安全管理的義務(wù)。第二十八條指出：網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金。第十五頁，共50頁。2.4中華人民共和國網(wǎng)絡(luò)安全法中華人民共和國第十二屆全國人民代表大會常務(wù)委員會第二十四次會議于2016年11月7日通過《中華人民共和國網(wǎng)絡(luò)安全法》，自2017年6月1日起施行。第二十一條國家實行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。第三十一條國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實行重點保護(hù)。第十六頁，共50頁。2.4中華人民共和國網(wǎng)絡(luò)安全法網(wǎng)絡(luò)運營者不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。

關(guān)鍵信息基礎(chǔ)設(shè)施的運營者不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款。第十七頁，共50頁。信息安全等級保護(hù)工作流程信息安全等級保護(hù)基本要求信息安全等級保護(hù)體系概述信息安全等級保護(hù)法律法規(guī)第十八頁，共50頁。

3信息安全等級保護(hù)工作流程第十九頁，共50頁。

3.1.3等級的確定3.1.2定級對象確定3.1.1定級依據(jù)和原則3.1定級指南

3.1.4定級方法第二十頁，共50頁。3.1.1定級依據(jù)和原則定級依據(jù)《信息安全等級保護(hù)管理辦法》《信息系統(tǒng)安全等級保護(hù)定級指南》定級原則誰擁有誰負(fù)責(zé)、誰運行誰負(fù)責(zé)。自主定級。因為系統(tǒng)的重要程度以及在遭受破壞后造成多大影響自己最清楚。第二十一頁，共50頁。3.1.2定級對象確定

定級工作是信息系統(tǒng)等級保護(hù)工作的起點，定級結(jié)果直接決定了后續(xù)安全保障工作的開展。在定級之前，首先必須明確定級的對象，即：對哪個信息系統(tǒng)進(jìn)行定級?！抖壷改稀分兄赋觯鳛槎墝ο蟮男畔⑾到y(tǒng)應(yīng)當(dāng)具備以下三個條件：具有唯一確定的安全責(zé)任單位具有信息系統(tǒng)的基本要素承載單一或相對獨立的業(yè)務(wù)應(yīng)用第二十二頁，共50頁。3.1.3等級的確定等級的確定是不依賴于安全保護(hù)措施的，具有一定的“客觀性”，即該系統(tǒng)在存在之初便由其自身所實現(xiàn)的使命決定了它的安全保護(hù)等級，而非由“后天”的安全保護(hù)措施決定。第二十三頁，共50頁。3.1.4定級方法查表法其他：專家評審、行業(yè)部門建議第二十四頁，共50頁。3.2.4備案流程

3.2.3備案資料3.2.1備案作用3.2備案3.2.2備案時間第二十五頁，共50頁。3.2.1備案的作用

信息系統(tǒng)備案是國家有關(guān)信息安全職能部門了解和掌握重要信息系統(tǒng)的安全保護(hù)基本狀況、分析總體安全形勢的基礎(chǔ)資料來源，也是下一步接受備案機(jī)關(guān)開展各項監(jiān)督檢查工作所必需的基本依據(jù)。新建系統(tǒng)已有系統(tǒng)第二十六頁，共50頁。3.2.2備案的時間根據(jù)《信息安全等級保護(hù)管理辦法》，信息系統(tǒng)安全保護(hù)等級為第二級以上的信息系統(tǒng)運營使用單位或主管部門，應(yīng)當(dāng)在安全保護(hù)等級確定后30日內(nèi)，到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)。新建第二級以上信息系統(tǒng)，應(yīng)當(dāng)在投入運行后30日內(nèi)，由其運營、使用單位到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)。第二十七頁，共50頁。2.2.3備案資料信息系統(tǒng)運營、使用單位應(yīng)當(dāng)在其系統(tǒng)安全保護(hù)等級確定后，向當(dāng)?shù)赝壒矙C(jī)關(guān)提前備案（縣級單位應(yīng)當(dāng)向市級公安機(jī)關(guān)備案），備案時應(yīng)當(dāng)?shù)絺浒笝C(jī)關(guān)填寫備案登記表并按要求提交相關(guān)資料，包括紙質(zhì)版和電子版。書面填寫《信息系統(tǒng)安全等級保護(hù)備案表》一式兩份?？商頦ORD文檔，再打印輸出，附上附件。備案登記表/系統(tǒng)體系/功能結(jié)構(gòu)圖/系統(tǒng)安全保護(hù)方案或措施/系統(tǒng)安全管理制度等。第二十八頁，共50頁。3.2.4備案流程第二十九頁，共50頁。第三十頁，共50頁。3.3建設(shè)整改

3.3.1實施概述3.3.2實施過程第三十一頁，共50頁。信息系統(tǒng)定級總體安全規(guī)劃安全設(shè)計與實施安全運行與維護(hù)等級變更局部調(diào)整信息系統(tǒng)終止3.3.1實施概述第三十二頁，共50頁。信息系統(tǒng)安全管理建設(shè)信息系統(tǒng)安全技術(shù)建設(shè)開展信息系統(tǒng)安全自查和等級測評信息系統(tǒng)安全需求分析/相應(yīng)級別的要求確定安全策略，制定安全建設(shè)方案物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運行管理3.3.2實施過程第三十三頁，共50頁。3.4.1等級測評依據(jù)3.4信息安全等級保護(hù)測評3.4.3等級測評流程3.4.4等級測評結(jié)果3.4.5等級測評目的第三十四頁，共50頁。3.4.1等級測評依據(jù)依據(jù)《信息安全等級保護(hù)管理辦法》第十四條中規(guī)定:信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。第三十五頁，共50頁。3.4.2等級測評流程第三十六頁，共50頁。符合性判別依據(jù)是:1、信息系統(tǒng)中是否存在高風(fēng)險，如果有，一票否決。2、信息系統(tǒng)中沒有高風(fēng)險，且測評項綜合得分為60分以上100分以下為基本符合。注：100分為符合。3.4.3等級測評結(jié)果測評結(jié)論符合性判別依據(jù)綜合得分符合信息系統(tǒng)中未發(fā)現(xiàn)安全問題，等級測評結(jié)果中所有測評項得分均為5分。100分基本符合信息系統(tǒng)中存在安全問題，但不會導(dǎo)致信息系統(tǒng)面臨高等級安全風(fēng)險。介于60到100分之間不符合信息系統(tǒng)中存在安全問題，而且會導(dǎo)致信息系統(tǒng)面臨高等級安全風(fēng)險。低于60分第三十七頁，共50頁。3.4.4等級測評目的對于企業(yè)來說，實施信息安全等級保護(hù)測評能夠有效地提高單位信息和信息系統(tǒng)安全建設(shè)的整體水平，有效控制企業(yè)信息安全建設(shè)成本；有利于明確國家、法人和其他組織、公民的信息安全責(zé)任，加強(qiáng)企業(yè)信息安全管理。對于信息系統(tǒng)來說，通過等級保護(hù)測評可及時發(fā)現(xiàn)信息系統(tǒng)安全狀況并制定方案進(jìn)行整改，當(dāng)信息系統(tǒng)完全達(dá)到安全保護(hù)能力要求時，信息系統(tǒng)就基本可做到“進(jìn)不來、拿不走、改不了、看不懂、賴不掉”。第三十八頁，共50頁。第三十九頁，共50頁。3.5監(jiān)督檢查依據(jù)《公安機(jī)關(guān)信息安全等級保護(hù)檢查工作規(guī)范》第二條中規(guī)定:公安機(jī)關(guān)信息安全等級保護(hù)檢查工作是指公安機(jī)關(guān)依據(jù)有關(guān)規(guī)定，會同主管部門對非涉密重要信息系統(tǒng)運營使用單位等級保護(hù)工作開展和落實情況進(jìn)行檢查，督促、檢查其建設(shè)安全設(shè)施、落實安全措施、建立并落實安全管理制度、落實安全責(zé)任、落實責(zé)任部門和人員。第四十頁，共50頁。信息安全等級保護(hù)工作流程信息安全等級保護(hù)基本要求信息安全等級保護(hù)體系概述信息安全等級保護(hù)法律法規(guī)第四十一頁，共50頁。4.2不同級別系統(tǒng)的差異4.1基本要求結(jié)構(gòu)4信息安全等級保護(hù)基本要求4.3等級測評技術(shù)要求4.4等級測評管理要求4.5等級保護(hù)新標(biāo)準(zhǔn)第四十二頁，共50頁。某級系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理4.1基本要求結(jié)構(gòu)第四十三頁，共50頁。4.2不同級別系統(tǒng)的差異(控制點)安全要求類層面一級二級三級四級技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機(jī)構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運維管理9121313合計/48667377級差//1874第四十四頁，共50頁。4.2不同級別系統(tǒng)的差異(要求項)安全要求類層面一級二級三級四級技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機(jī)安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機(jī)構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運維管理18416270合計/85175290318級差//9011528第四十五頁，共50頁。4.3等級測評技術(shù)要求(三級為黑色字體)物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)位置選擇訪問控制防盜防破壞結(jié)構(gòu)安全邊界完整性入侵防范惡意代碼防范訪問控制身份鑒別訪問控制安全審計身份鑒別訪問控制安全審計通信完整性通信保密性抗抵賴軟件容錯數(shù)據(jù)完整性數(shù)據(jù)保密性備份和恢復(fù)防雷擊安全審計防火防水防潮防靜電溫濕度控制電力供應(yīng)電磁防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù)入侵防范惡意代碼防范剩余信息保護(hù)系統(tǒng)資源控制資源控制剩余信息保護(hù)第四十六頁，共50頁。4.4等級測評管理要求(三級為黑色字體)安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理管理制度制訂發(fā)布評審修訂崗位設(shè)置