- 什么是等级保护
- 1、为什么要实施等级保护
- 国家信息安全形势严峻(敌对势力),针对基础信息系统的违法犯罪持续上升(网上诈骗入侵、网上盗窃)
- 维护国家安全的需求(基础信息网络【互联网、电信网、广电网】及重要信息系统【银行、铁路、电力、海关】已经成为国家的关键基础设施)
- 信息安全是非传统安全
- 2、为什么要实施等级保护
- 国家信息安全的基本制度,是国策。做不做不能商量,怎么做可以商量
- 开展信息安全的基本方法,促进国家信息化的根本保证
- 3、实施等级保护的目的
- 明确信息安全重点,干活时突出重点,把钱用在重点建设上
- 有利于同步建设、协调发展、优化信息安全资源配置、明确信息安全的责任、推动信息安全产业的发展
- 4、公安部门开展信息安全等级保护的依据
- 警察法规定:监督、管理、计算机信息系统的安全保护工作
- 国务院147号令∶公安部主管等保工作,等级保护的具体办法由公安部会同有关部门制定:公安部82号令,151号令,《网络安全法》
- 08年国务院3定方案给公安部新增等级一个职能︰监督、检察、指导信息安全保护工作。网络安全保卫局11局,省网络总队,市支队,区县大队
- 1、为什么要实施等级保护
- 等保的发展历程
- 公安部牵头实施信息安全等级保护制度,开展了如下具体工作:
- 出台了等级保护规范标准。
- 2004年9月,《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
- 2007年6月,《信息安全等级保护管理办法》(公通字[2007]43号)
- 开展了等级保护基础调查工作。
- 2005年底,公安部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号)。
- 开展了等级保护试点工作。
- 2006年6月,公安部、国家保密局、国家密码管理局、国务院信息办联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。
- 部署开展定级工作。
- 2007年7月20日,公安部、国家保密局、国家密码管理局、国务院信息办在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。
- 出台了等级保护规范标准。
- 等级保护相关部门的职能和义务
- 代表国家制定管理规范和管理标准,组织各单位开展实施等级保护工作,开展监督、检查、指导。
- 2007年6月,《信息安全等级保护管理办法》(公通字2007年43号文)明确了公安、保密、密码、信息化部门的职责:
- 公安:牵头、领导、对全国这项工作的开展进行监督指导
- 保密局∶负责有关保密工作的监督、检察、指导,并涉及国家秘密信息系统的分析保护工作。【只是针对涉及国家秘密的信息系统】
- 密码局∶负责有关密码工作的监督、检查、指导
- 工业和信息化部:负责各部门间的协调
- 代表国家制定管理规范和管理标准,组织各单位开展实施等级保护工作,开展监督、检查、指导。
- 公安部牵头实施信息安全等级保护制度,开展了如下具体工作:
- 等级保护级别标准(信息系统按照重要性和受破坏后的危害性进行分级)
- 第一级和第五级基本没人做,一级是个人自主的,基本没人做,五级系统会做分保那一套了。现在大部分都是三级。
- 等级保护项目流程
- 公安局/专家组定级并备案——》网络安全厂商进行规划设计——》建设实施——》公安局/授权测评单位进行等级测评——》运维管理阶段公安局会定期检查——》知道系统废止
-
-
- 定级流程
- ·自主定级,专家评审,主管部门审批,公安机关审核
- -信息系统运营使用单位或主管部门按照如下原则确定定级对象∶
- 起支撑作用的传输网络∶内网、外阙等(分区域、分节点)用于生产、调度、管理、指挥、作业控制、办公等目的的各类业务系统需要单独定级
- 各单位网站要作为独立的定级对象。
- 确认负责定级的单位是否对所定级系统负有主管责任。业务部门应主导对业务信息系统定级,运维部门(如信息中心、托管方)可以协助定级并按照业务部门的要求开展后续安全保护工作。
- 具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而形成的有形实体。应避免将某个单一的系统组建(如服务器、终端、网络设备等)作为定级对象。
- 定级级别
- 管理办法的定级:43号文 5个等级,重要性等级
- 17859里的定级技术保护等级
- 定级参照
- 实际落地定级参照
- ·第一信息系统:一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息系统。
- ·第二级信息系统:一般适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。(区县法院、医院)
- ·第三级信息系统︰一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及以类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站﹔跨省连接的网络系统等。(大部分定级三级)
- ·第四级信息系统:一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。
- ·第五级信息系统:一般适用于国家重要领域、重要部门中的极端重要系统。
- 实际落地定级参照
- 定级流程
-
- 等保技术标准
- 等保基本要求:技术基本要求、管理基本要求
-
- 73大类,288小项
- 等保安全产品
- 二级和三级等保涉及的安全产品
- 等保管理与制度要求
- 共分为5点:安全管理机构、人员安全管理、系统运维管理、系统建设管理、安全管理制度
- 1、安全管理制度(针对各种安管活动的管理制度,管理人员或操作人员的日常操作规范)
-
- 2、安全管理机构(专门负责安全管理的部门)
- 2、安全管理机构(专门负责安全管理的部门)
-
- 3、人员安全管理(针对内部人员的安全管理和外部人员的安全管理)
- 3、人员安全管理(针对内部人员的安全管理和外部人员的安全管理)
-
- 4、系统建设管理
- 4、系统建设管理
-
- 5、系统运维管理
551
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
