信息安全等级保护培训系列.pptVIP

*关系2一级系统二级系统三级系统四级系统通信/边界（基本）通信/边界/内部（关键设备）通信/边界/内部（主要设备）通信/边界/内部/基础设施（所有设备）*关系3一级系统二级系统三级系统四级系统计划和跟踪（主要制度）计划和跟踪（主要制度）良好定义（管理活动制度化）持续改进（管理活动制度化/及时改进）*标准主要内容由9个章节2个附录构成1.适用范围2.规范性引用文件3术语定义4.等级保护概述5.6.7.8.9基本要求附录A关于信息系统整体安全保护能力的要求附录B基本安全要求的选择和使用管理办法《管理办法》第十四条:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。目录信息安全等级保护制度要干什么如何开展信息安全等级保护工作管理办法实施指南定级指南基本要求测评要求实施指南介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动,通过对过程和活动的介绍,使大家了解对信息系统实施等级保护的流程方法,以及不同的角色在不同阶段的作用等。实施指南等级变更局部调整信息系统定级总体安全规划安全设计与实施安全运行维护信息系统终止实施指南的主要思路以信息系统安全等级保护建设为主要线索,定义信息系统等级保护实施的主要阶段和过程对每个阶段介绍和描述主要的过程和实施活动对每个活动说明实施主体、主要活动内容和输入输出等实施指南标准的结构正文由9个章节1个附录构成1.范围2.规范性引用文件3术语定义4.等级保护实施概述5.信息系统定级6.总体安全规划7.安全设计/实施8.安全运行维护9.信息系统终止附录A主要过程及其输出实施指南中的主要概念阶段过程主要活动子活动活动输入活动输出实施指南特点阶段过程活动子活动例如:信息系统定级信息系统分析系统识别和描绘识别信息系统的基本信息识别信息系统的管理框架…信息系统划分系统定级阶段-实施流程主要输入主要输出过程系统立项文档系统建设文档系统管理文档信息系统分析系统总体描述文件系统详细描述文件安全保护等级确定系统总体描述文件系统详细描述文件系统安全保护等级定级建议书目录信息安全等级保护制度要干什么如何开展信息安全等级保护工作管理办法实施指南定级指南基本要求测评要求定级指南安全保护等级等级的确定是不依赖于安全保护措施的,具有一定的“客观性”,即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级,而非由“后天”的安全保护措施决定。定级指南标准的结构正文由6个章节构成1.范围2.规范性引用文件3.术语定义4.定级原理5.定级方法6.级别变更定级指南-定级原理(2)五个等级的定义第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。定级指南-定级原理(3)定级要素受侵害的客体公民、法人和其他组织的合法权益；社会秩序、公共利益；国家安全。定级指南-定级原理(4)定级要素对客体的侵害程度造成一般损害；造成严重损害；造成特别严重损害。定级指南-定级原理(5)受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级定级指南-定级方法确定定级对象；确定业务信息安全受到破坏时所侵害的客体；综合评定业务信息安全被破坏对客体的侵害程度；得到业务信息安全等级；确定系统服务安全受到破坏时所侵害的客体；综合评定系统服务安全被破坏对客体的侵害程度；得到系统服务安全等级；由业务信息安全等级和系统服务安全等级