行业信息安全保障体系与信息 安全等级保护制度 简介
DESCRIPTION
行业信息安全保障体系与信息 安全等级保护制度 简介. 等级保护制度的提出. 2004 年 9 月 15 日,由公安部、国家保密局、国家密码管理局和国信办联合下发 《 关于信息安全等级保护工作的实施意见 》 ( 66 号文件),明确实施等级保护的基本做法。 2007 年 6 月 22 日又由四部委联合下发 《 信息安全等级保护管理办法 》 ( 43 号文件),规范了信息安全等级保护的管理。. 2007 年 6 月份开始,全国范围内的重要信息系统普遍开展了信息安全等级保护定级工作,到现在为止定级工作基本上已经落实. 推进工作会议. - PowerPoint PPT PresentationTRANSCRIPT
行业信息安全保障体系与信息
安全等级保护制度
简介
等级保护制度的提出
2004年 9 月 15 日,由公安部、国家保密局、国家密码管理局和国信办联合下发《关于信息安全等级保护工作的实施意见》( 66 号文件),明确实施等级保护的基本做法。
2007年 6 月 22 日又由四部委联合下发《信息安全等级保护管理办法》( 43 号文件),规范了信息安全等级保护的管理。
2007年 6 月份开始,全国范围内的重要信息系统普遍开展了信息安全等级保护定级工作,到现在为止定级工作基本上已经落实
2007年 6 月份开始,全国范围内的重要信息系统普遍开展了信息安全等级保护定级工作,到现在为止定级工作基本上已经落实。
推进工作会议
什么是等级保护?
等级保护制度
根据信息系统在国家安全、经济建设、社会生
活中的重要程度;遭到破坏后对国家安全、社会秩序、
公共利益以及公民、法人和其他组织的合法权益的危
害程度;将信息系统划分为不同的安全保护等级并对
其实施不同的保护和监管。
信息安全保护等级
根据等级保护管理办法,安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益
造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益
产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
等级制度的作用
提出信息安全工作的思路
划定信息系统保护的基线
发现信息系统的问题和差距
明确信息系统安全保护的方向
提升信息系统的安全保护能力
等级制度涉及的层面
管理层面:国家制定统一信息安全等级保护管
理规范和技术标准,组织公民、法人和其他组
织对信息系统分等级实行安全保护,对信息安
全产品的使用分等级实行管理,对等级保护工
作的实施进行监督、指导。
用户层面 :公民、法人和其他组织应当按
照国家有关等级保护的管理规范和技术标
准开展等级保护工作,服从国家对信息安
全等级保护工作的监督、指导,保障信息
系统安全。
等级制度涉及的层面
社会层面 :信息安全产品的研制、生产单
位,信息系统的集成、等级测评、风险评
估等安全服务机构,依据国家有关管理规
定和技术标准,开展相应工作,并接受国
家信息安全职能部门的监督管理。
等级制度涉及的层面
原 则
谁拥有谁负责、谁运行谁负责
自主定级、自主保护、监督指导
等级保护工作流程
自主定级和审批
评审
备案
系统建设
等级测评
监督检查
-信息系统运营使用单位按照等级保护管理办法和《信息系统安全等级保护定级指南》,确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。
-在信息系统确定安全保护等级过程中,可以进行必要的业务和技术评估,组织专家进行咨询评审。对拟确定为第四级以上的信息系统的运营、使用单位或主管部门应当邀请国家信息安全等级保护专家评审委员会评审。
-第二级以上信息系统由其运营使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
-信息系统的安全保护等级确定后,运营使用单位应当按照国家信息安全等级保护管理规范和划分准则、基本要求、操作系统、数据库、网络、服务器、终端等技术要求,使用符合本系统安全保护等级要求的信息安全产品,同步建设符合本系统安全保护等级要求的信息安全设施。运营使用单位应当按照安全管理要求、安全工程管理要求等管理规范,建立安全组织,制定并落实符合本系统安全保护等级的安全管理制度。
-信息系统建设完成后,运营使用单位应当选择符合本系统安全保护等级要求的检测机构,依据《信息系统安全等级保护测评指南》等技术标准对信息系统安全等级状况开展技术评测。三级信息系统应当每年至少进行一次等级测评;四级信息系统应当每半年至少进行一次等级测评;五级信息系统应当依据特殊安全需求进行等级测评。
-受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。三级信息系统每年至少检查一次,四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
系统定级
安全规划设计
安全实施/实现
安全运行管理
系统终止
局部调整
重大变更
等级保护的工作流程图
定级是等级保护的首要环节
分等级保护是等级保护的核心,
安全规划、建设整改是等级保
护工作落实的关键
等级测评是评价安全保护状况
的方法
监督检查是保护能力不断提高
的保障
启动阶段
设计开发阶段
实施阶段 运行维护阶段
终止阶段
信息系统生命周期
系统定级
安全规划设计
安全实施
安全运行管理(变更管理/定期安全测评/监督检查)
终止阶段
新建信息系统等级保护实施过程
与信息系统生命周期的关系
等级保护建设流程
等级保护服务目标(满足国家要求、满足业务安全要求、提升整体安全能力、增强人员安全意识)
• 风险评估和差距分析• 等级保护体系设计
规划阶段
• 安全策略体系建设• 安全技术体系建设• 安全运行体系建设• 安全组织体系建设
实施和运维阶段
• 安全调查• 等级保护定级咨询
定级阶段
• 等级保护测评支持与咨询;• 等级保护自评估服务(自查服务)
等级保护建设流程
等保安全整改建设服务信息系统定级咨询服务 等保测评咨询服务
测评阶段
等保风险评估服务
定级咨询
-如何针对各类卫生系统分解出定级对象
-如何对各个系统进行合理的定级-不了解定级工作流程、难点和工
作量-缺少国家及部下发文件的理解-缺少专业技术人员的指导-不清楚提交哪些文档
客户面临的问题
-分析国家、卫生行业等级保护相关政策精神及要求
-分析管理组织架构、业务要求、信息系统等特点,确定分析定级对象
-基于定级指南协助系统负责人确定信息系统的等级,由主管部门的,应当经主管部门的审核批准,编写《定级报告》
-当地同级公安机关提请备案,填写备案登记表,提交相关资料
定级与备案
定级咨询
-目前信息系统中存在哪些风险和威胁,依据基本要求存在哪些差距
-等级保护基本要求普适性较强,但不针对卫生信息系统,如何突出自身行业特点?
客户面临的问题
-分析最新的国家、卫生行业等级保护相关政策精神及要求
-对其信息系统进行资产分析、威胁分析、脆弱性分析、安全措施分析和等保基本要求差距分析
-综合分析,形成等级保护整改方案;
风险评估服务
风险评估
风险评估
等级保护差距分析•以信息系统为单位•以基本要求为依据•业务信息与系统服务关联分析
-根据系统所确定的安全等级从《基本要求》中选择相应等级的基本安全需求
-根据系统所面临的威胁特点调整安全要求,去掉不适用项
-基本要求中某些地方的安全措施不能满足本单位信息系统的保护要求;没有提供所需要的保护措施
-对比信息系统现状和安全要求之间的差距,确定不满足要求的安全项
1、确定信息系统的基本安全需求 2、选择调整基本安全需求
3、明确特殊安全需求 4、根据各项安全要求进行逐项分析
确定不符合安全项现状梳理 明确安全建设需求1 2 3
差距分析
-究竟该怎么进行整改?等级保护的标准该怎么使用?
-国家标准的基本要求普适性较强,但不针对具体行业,如何突出自身行业特点进行整改?
-在整改中如何突出重点?第一级、第二级、第三级、第四级系统的整改工作是否同时进行?
-整改工作如何把握?-对不同级别的系统,整改的措施
是否一样
客户面临的问题
-分析最新的国家等级保护相关政策精神及要求
-分析客户的组织架构、业务要求、信息系统等特点
-按照国家政策文件和标准、卫生部要求制定整改方案;
-协助客户落实安全要求,完成系统整改。
安全整改
等保安全整改
安全整改
测评咨询
-国家测评机构有哪些?测评流程是什么?
-评测人员要对哪些方面进行测评?-针对测评,应提前准备哪些文档
资料?-现场测评过程,需要哪些配合?
客户面临的问题
-分析最新的国家等级保护相关政策精神及要求、卫生部等保工作要求
-通过文档审阅、人员访谈、测试等方式,获得客户现有控制措施与等级基本要求之间的差距。
-协助准备测评需要的资料-协助测评工作
BJCA提供测评咨询服务
测评咨询
(一)基础1 、《计算机信息系统安全保护等级划分准则》GB17859-
19992 、《信息系统安全等级保护实施指南》 ( 国标报批稿 )(二)系统定级环节3 、《信息系统安全保护等级定级指南》GB/T22240-2008(三)建设整改环节4 、《信息系统安全等级保护基本要求》GB/T22239-20085 、《信息安全技术信息系统等级保护安全设计技术要求 》
GB/T 25070-2010(四)等级测评环节6 、《信息系统安全等级保护测评要求》 ( 国标报批稿 )7 、《信息系统安全等级保护测评过程指南》 ( 国标报批稿 )
信息系统安全等级保护基本要求
计算机信息系统安全保护等级划分准则( GB17859 )
信息系统通用安全
技术要求信息系统物理安全
技术要求
技术类
其他技术类标准
信息系统安全
管理要求信息系统安全工程
管理要求其他管理类标准
信息系统安全等级保护定级指南
信息系统安全等级保护基本要求的行业细则
信息系统安全等级保
护测评过程指南
信息系统安全等级保
护测评要求
信息系统等级保护安全设计技
术要求
管理类 产品类
数据库管理系统安全技术要求
其他产品类标准
信息系统安全等级保护行业定级细则
操作系统安全技术
要求
信息系统安全等级保护建设整改
网络基础安全技术
要求
网络和终端设备隔离部件技术要求
安全定级
基线要求
状态
分析 方
法指导
信息系统安全等级保护实施指
南
《管理办法》中信息系统重要程度的等级的概念,是信息安全等级保护工作中的系统定级和备案、安全建设整改、等级测评和监督检查等工作的依据。
安全保护等级
等级的确定是不依赖于安全保护措施的,具有一
定的“客观性”,即该系统在存在之初便由其自
身所实现的使命决定了它的安全保护等级,而非
由“后天”的安全保护措施决定。
受侵害的客体
对客体的侵害程度
一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益
第一级 第二级 第二级
社会秩序、公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级
3、综合评定对客体的侵害程度
2 、确定业务信息安全受到破坏时所侵害的客体
6、综合评定对客体的侵害程度
5 、确定系统服务安全受到破坏时所侵害的客体
7、系统服务安全等级4、业务信息安全等级
8、定级对象的安全保护等级
1、确定定级对象
确定定级对象; 确定业务信息安全受到破坏时所侵害的客体; 综合评定业务信息安全被破坏对客体的侵害程度; 得到业务信息安全等级; 确定系统服务安全受到破坏时所侵害的客体; 综合评定系统服务安全被破坏对客体的侵害程度; 得到系统服务安全等级; 由业务信息安全等级和系统服务安全等级的较高
者确定定级对象的安全保护等级。
将信息系统安全分解为业务信息安全和系统服务安全两个方面。这样的区分有利于区别两类信息系统:以信息处理为主的信息系统和以业务流程处理为主的信息系统。这两类系统安全保护的侧重点不同。区别这两类系统,可以使具有相同等级的信息系统可以有不同的保护要求,可以达到重点保护最重要系统资产的目的。
需要分别分析信息系统中的不同类重要信息的安全性受到破坏后所侵害社会秩序、公共利益和国家安全的侵害程度,取其中最高结果作为业务信息安全保护等级
需要分别分析信息系统中的不同类重要系统服务的安全性受到破坏后所侵害社会秩序、公共利益和国家安全的侵害程度取其中最高结果作为系统服务安全保护等级。
关注点 承担社会责任,关系国家安全的信息系统的安危
重点保障 业务信息安全 (S) 系统服务连续 (A)
第一级 S1A1G1
第二级 S1A2G2, S2A2G2, S2A1G2
第三级 S1A3G3, S2A3G3, S3A3G3, S3A2G3,
S3A1G3
第四级 S1A4G4, S2A4G4, S3A4G4, S4A4G4,
S4A3G4, S4A2G4, S4A1G4
落实信息安全等级保护基本要求,确保系统基本安全;
结合系统自身安全需求,力求系统相对安全。
能够抵御来自外部小型组织的、拥有一定资源的攻击,防范一般的自然灾难、内部人员恶意行为、操作失误、技术故障等对重要资源造成的损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复主要功能。
能够在统一安全策略下,抵御来自外部有组织的团体、拥有较为丰富资源的攻击,防范较为严重的自然灾难、内部人员恶意行为、操作失误、技术故障等对主要资源造成的损害,能够及时监测发现安全漏洞和安全事件;具有一定的备份恢复能力,在系统遭到损害后,能够较快恢复绝大部分功能。
能够在统一安全策略下,抵御来自敌对组织的、拥有丰富资源的攻击,防范严重的自然灾难、内部人员恶意行为、操作失误、技术故障等对资源造成的损害,能够及时监测发现安全漏洞、跟踪处置安全事件;具有较强的备份恢复能力,在系统遭到损害后,能够迅速恢复所有功能。
基本要求是什么?1 、安全保护能力的一个基本“标尺”,是一个达标
线;2 、满足基本要求意味着信息系统具有相应等级的基
本安全保护能力,达到了一种基本的安全状态。3 、基本要求是安全保护的出发点,不是终点。
《信息系统安全等级保护基本要求》
《基本要求》中相应等级的要求是根据各等级系统需要对抗的威胁和应具备的能力而确定的。判断基本要求是否达到应按此原则分析。
《基本要求》给出了各级信息系统每一保护方面需达到的要求,但不是具体的安全建设整改方案或作业指导书,实现基本要求的措施或方式并不局限于《基本要求》给出的内容,要结合系统自身的特点综合考虑采取的措施来达到基本要求提出的保护能力
内容与作用 为信息系统主管和运营、使用单位提供技术指导
为测评机构提供测评依据
为监管职能部门提供监督检查依据
适用环节 建设整改、验收、测评、运维、检查
控制点标注 业务信息安全相关要求(标记为 S) 系统服务保证相关要求(标记为 A )
通用安全保护要求(标记为 G )
技术要求( 3 种标注) 管理要求(统属 G )
第一级 S1A1G1
第二级 S1A2G2, S2A2G2, S2A1G2
第三级 S1A3G3, S2A3G3, S3A3G3, S3A2G3,
S3A1G3
第四级 S1A4G4, S2A4G4, S3A4G4, S4A4G4,
S4A3G4, S4A2G4, S4A1G4
落实信息安全等级保护基本要求,确保系统基本安全;
结合系统自身安全需求,力求系统相对安全。
物理安全
技术要求 管理要求
基本要求
网络安全
主机安全
应用安全
数据安全及备份恢
复
安全管理制度
安全管理机构
人员安全管理
系统建设管理
系统运维管理
类
身份鉴别 访问控制 安全审计 数据完整性 数据保密性 数据可用性
病毒防范
入侵检测
安全监控
备份与恢复
密码使用
等
确定安全策略
落实信息安全责任制
建立安全组织机构
加强人员管理
加强系统建设的安全管理
加强运行维护的安全管理
详细的工作流程和工作内容说明可参见公安部印发的《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安 [2009]1429 号)及其附件:《信息安全等级保护安全建设整改工作指南》
信息系统安全管理建设 信息系统安全技术建设
开展信息系统安全自查和等级测评
信息系统安全保护现状分析
信息系统安全建设整改工作规划和工作部署
确定安全策略,制定安全建设整改方案
物
理
安
全
网
络
安
全
主
机
安
全
应
用
安
全
数
据
安
全
安全管理机构
安全管理制度
人员安全管理
系统建设管理
系统运行管理
明确主管领导、落实责任部门
落实安全岗位和人员
信息系统安全管理现状分析
确定安全管理策略、制定安全管理制度
安全自查和调整
系统建设管理
落实安全管理措施
人员安全管理
环境和资产管理
设备和介质管理
日常运行维护
集中安全管理
事件处置和应急响应
灾难备份
安全监测
。。。。
系统运维管理
信息系统安全保护技术现状分析
开展建设整改技术方案详细设计
工程实施及验收
等级测评不符合标准要求
开展建设整改技术方案论证和评审
确定安全策略,开展建设整改技术方案总体设计
通信网络安全
物理安全
。。。
应用系统安全
区域边界安全
主机系统安全
备份和恢复
建设并落实安全技术措施
信息系统安全技术体系设计
物理安全设计 数据安全设计
备份与恢复
应用系统
应用平台
其他安全设计
机房
办公环境
设备和介质
网络安全设计
通信网络
区网边界
主机安全设计 应用安全设计
服务器
工作站
其他安全设计
其他安全设计
其他安全设计
开展信息系统安全现状分析(安全需求分析)
在信息系统安全建设整改之前,通过开展信息系统安全现
状分析(安全需求分析),查找信息系统安全建设整改需
要解决的问题,明确信息系统安全建设整改的需求,是等
级保护安全建设整改的一个重要技术环节
可采取对照检查、风险评估、等级测评等方法,分
析判断目前所采取的安全措施与等级保护标准要求
之间的差距,分析系统已发生的事件或事故,分析
安全方面存在的问题,形成安全建设整改的基本安
全需求
进行安全建设整改方案设计(安全方案设计)
完成系统定级并确定安全需求后,从技术上将进入安全
建设整改实施前的设计过程,设计过程通常分为总体设
计和详细设计,安全总体设计和安全详细设计的内容构
成安全建设整改技术方案
在进行信息系统安全建设整改技术方案设计时 , 可以采
取不同的技术思路,最终达到等级保护基本要求。具体
操作时,既可以针对安全现状分析发现的问题进行加固
改造,缺什么补什么;也可以进行总体的安全技术设计,
将不同区域、不同层面的安全保护措施形成有机的安全
保护体系,最大程度发挥安全措施的保护能力
谢谢谢谢 !!
可信规范的运行可信规范的运行
随需应变的服务 随需应变的服务