等保与安全讲座1027选读.ppt

基本要求中控制点与要求项各级分布： 安全等级 控制点 要求项 第一级 4 7 第二级 7 19 第三级 9 31 第四级 11 36 应用安全 已建系统等级保护建设流程 阶段 责任单位 信息系统定级 总体安全规划 1 .信息系统分析 2 .安全保护等级确定 安全设计与实施 安全运行与维护 信息系统终止 1.风险评估和等保差距分析 2.总体安全规划设计 （1）安全需求分析 （2）总体安全设计 （3）安全建设项目规划 1.安全方案详细设计 2.安全整改建设 （1）编制管理制度、流程等文档 （2）实施技术措施，进行安全设备调试和系统集成 1.安全运维 （1）安全巡检 （2）渗透测试、安全加固 （3）应急响应 （4）安全通告 2.等级测评 1.数据处理 2.销毁处理 3.迁移、废弃处理 待建系统等级保护建设流程 业务系统开发 责任单位 准备阶段 总体设计 1.信息系统分析 2.安全保护等级确定 详细设计 开发 运行维护 1.风险评估 2.总体安全规划设计服务 （1）安全需求分析 （2）总体安全设计 （3）安全建设项目规划 1.安全方案详细设计 2.安全整改建设 （1）编制管理制度、流程等文档 （2）实施技术措施，进行安全设备调试和系统集成 1.安全运维 （1）安全巡检 （2）渗透测试、安全加固 （3）应急响应 （4）安全通告 2.等级测评 1.数据处理 2.销毁处理 3.迁移、废弃处理 准备阶段 总体设计 详细设计与实施 运行与维护 系统终止 信息系统定级 总体安全规划 安全设计与实施 安全运行与维护 信息系统终止 基础网络建设 安全体系建设 信息系统终止 指导 等级保护建设/整改的相关技术 密码技术 标识与认证技术 授权与访问控制技术 系统安全技术 漏洞扫描技术 漏洞分析技术 安全测评技术 入侵检测技术 应急响应技术 备份恢复技术 应当按照《信息安全等级保护管理办法》要求，从全国信息安全等级保护测评机构推荐目录中选择等级测评机构，对第三级（含）以上重要卫生信息系统进行等级测评。 四、等级测评 1、测评申请--系统建设整改工作完成后开展测评 第三级（含）以上重要卫生信息系统至少应每年进行等级测评。对于重要部门的第二级信息系统，可参照上述要求进行等级测评工作。 测评合格后，应当将测评报告向属地公安机关备案，并向属地卫生行政部门报备。 2、测评备案—测评合格后备案 3、测评周期 安全测评 等级测评 测评申请 测评检查 测评整改 测评复查认证 督导检查各地医疗卫生机构信息安全等级保护工作落实情况，并督促部机关重要信息系统责任单位开展信息安全等级保护工作。 五、监督检查 1.卫生部信息化工作领导小组 2.省级卫生行政部门信息化工作领导小组 省级卫生行政部门信息化工作领导小组督导检查本地区卫生行业各单位信息安全等级保护工作落实情况，并督促本单位开展信息安全等级保护工作。 省级卫生行政部门信息化工作领导小组应当于每年年底，向卫生部信息化工作领导小组报送本地区信息系统定级备案、建设整改、等级测评和自查等工作开展情况 等级保护监督检查工作内容 * * * 信息系统安全包括业务信息安全和系统服务安全。信息安全是指确保信息系统内信息的必威体育官网网址性、完整性和可用性等，系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。 具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。 满足信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。 承载相对独立的业务应用 定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以是完整的业务流程的一部分。 * * * * * * * * * * * * * * 防火墙功能 IP包检测 Internet内容过滤 网络地址转换(NAT) 攻击检测 日志审计/报警 应用层控制 用户认证管理 控制网络内容行为（NEW!） 入侵监测系统 * * 防病毒网关的特性 防病毒网关是对病毒等恶意软件进行防御的硬件网络防护设备，具有如下特