《信息安全基础》课件_6.5 信息安全等级保护.pptx

第5节信息安全等级保护第6章

目录01信息安全等级保护概述02信息安全等级保护实施流程03信息安全等级保护实践

01信息安全等级保护概述

什么是信息安全等级保护？信息安全等级保护：是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。01自主保护级02指导保护级03监督保护级0405等级保护对象受到破坏后，会对国家安全造成特别严重损害。等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。信息系统按照重要性和受破坏后的危害性进行分级专控保护级强制保护级概述

为什么要做等级保护？---信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处，可通过安全整改提升系统的安全防护能力，降低被攻击的风险。法律法规要求行业要求---《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求，履行安全保护义务，如果拒不履行，将会受到相应处罚。---在金融、电力、广电、医疗、教育等行业，主管单位明确要求从业机构的信息系统（APP）要开展等级保护工作。企业系统安全的需求

等级保护发展历程发展历程1994年，国务院147号令《中华人民共和国计算机信息系统安全保护条例》公通字66号文《关于信息安全等级保护工作的实施意见通字43号文《信息安全等级保护管理办法》制定了等保的五个动作《信息系统安全等级保护基本要求》标准发布实施，标志着等级保护1.0元年开始《中华人民共和国网络安全法》将等保的开展提升到法律层面信息安全技术网络安全等级保护基本要求》标准发布实施，标志着等级保护2.0元年到来2007200820172019

等保1.0与等保2.0的区别区准名称变化保护对象变化标准内容变化工作内涵变化

02信息安全等级保护实施流程

信息安全等级保护实施流程等级保护实施流程50定级监督检查信息安全等级测评备案差距分析建设整改

定级--确定定级对象（一）基础信息网络对于电信网、广播电视传输网、互联网等基础信息网络，应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象。跨省全国性业务专网可作为一个整体对象定级，也可以分区域划分为若干个定级对象。工业控制系统云计算平台现场设备层、现场控制层和过程监控层应作为一个整体对象定级，各层次要素不单独定级。对于大型工业控制系统，可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。在云计算环境中，应将云服务方侧的云计算平台单独作为定级对象定级，云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台，应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。01.信息安全等级保护实施流程

定级--确定定级对象（二）物联网应作为一个整体对象定级，主要包括感知层、网络传输层和处理应用层等要素。物联网移动互联网采用移动互联技术的等级保护对象应作为一个整体对象定级，移动终端、移动应用和无线网络等要素不单独定级。应将具有统一安全责任单位的大数据作为一个整体对象定级。大数据02.信息安全等级保护实施流程

定级--初步确认等级确定定级对象确定业务信息安全受到破坏时所侵害的客体综合评定对客体的侵害程度业务信息安全等级定级对象的初步安全保护等级确定系统服务安全受到破坏时所侵害的客体综合评定对客体的侵害程度系统服务安全等级受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级03.信息安全等级保护实施流程

评审备案04.专家评审定级对象的运营、使用单位应组织信息安全专家和业务专家等，对初步定级结果的合理性进行评审，出具专家评审意见。主管部门审核定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核。公安机关备案审查定级对象的运营、使用单位应按照相关管理规定，将初步定级结果提交公安机关进行备案审查，审查不通过，其运营使用单位应组织重新定级；审查通过后最终确定定级对象的安全保护等级。信息安全等级保护实施流程

差距分析（一）05.1