信息系统安全等级保护标准体系课件.ppt

信息系统安全等级保护标准体系,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,定级指南,基本要求,测评要求,等级保护标准体系,等级保护标准体系,信息安全等级保护标准体系由等级保护工作过程中所需的所有标准组成，整个标准体系可以从多个角度分析从基本分类角度看基础类标准技术类标准管理类标准从对象角度看基础标准系统标准产品标准安全服务标准安全事件标准等,等级保护标准体系,从等级保护生命周期看通用/基础标准系统定级用标准安全建设用标准等级测评用标准运行维护用标准等,等级保护标准体系,一是：定级备案二是：建设整改三是：等级测评四是：监督检查,等级保护标准体系-主要工作,（一）基础1、计算机信息系统安全保护等级划分准则GB17859-19992、信息系统安全等级保护实施指南GB/T 25058-2010（二）系统定级环节3、信息系统安全保护等级定级指南GB/T22240-2008（三）建设整改环节4、信息系统安全等级保护基本要求GB/T22239-2008（四）等级测评环节5、信息系统安全等级保护测评要求(国标报批稿)6、信息系统安全等级保护测评过程指南(国标报批稿),等级保护标准体系-主要标准,信息安全等级保护管理办法（公通字200743号，以下简称管理办法）计算机信息安全保护等级划分准则（GB 17859-1999，简称划分准则）信息系统安全等级保护实施指南 GB/T 25058-2010 （简称实施指南）信息系统安全保护等级定级指南（GB/T 22240-2008，简称定级指南）信息系统安全等级保护基本要求（GB/T 22239-2008，简称基本要求）信息系统安全等级保护测评要求（简称测评要求）信息系统安全等级保护测评过程指南 （简称测评过程指南）,等级保护标准体系-主要标准和政策,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,定级指南,基本要求,测评要求,具体做法,等级确定与备案,自查与等级测评,等级保护运行与管理,基本要求，实施指南、 安全产品标准,定级指南、实施指南,监督管理要求、 基本要求、测评要求,基本要求，定级指南、实施指南，设计规范、测评要求,安全规划与设计,安全建设与实现,监督管理要求实施指南,标准定位和关系,管理办法(43文件)（总要求）实施指南（GB/T25058-2010）定级指南（GB/T22240-2008）基本要求（GB/T22239-2008）测评要求建设指南,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,定级指南,基本要求,测评要求,管理办法,管理办法第八条:信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理 。,管理办法,管理办法第九条:信息系统运营、使用单位应当按照信息系统安全等级保护实施指南具体实施等级保护工作。,管理办法,管理办法第十条:信息系统运营、使用单位应当依据本办法和信息系统安全等级保护定级指南确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。,管理办法,管理办法第十二条:在信息系统建设过程中，运营、使用单位应当按照计算机信息系统安全保护等级划分准则（GB17859-1999）、信息系统安全等级保护基本要求等技术标准，参照等技术标准同步建设符合该等级要求的信息安全设施。,管理办法,管理办法第十三条:运营、使用单位应当参照信息安全技术信息系统安全管理要求（GB/T20269-2006）、信息安全技术信息系统安全工程管理要求（GB/T20282-2006）、信息系统安全等级保护基本要求等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。,管理办法,管理办法第十四条:信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据信息系统安全等级保护测评要求等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,定级指南,基本要求,测评要求,实施指南,介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动，通过对过程和活动的介绍，使大家了解对信息系统实施等级保护的流程方法，以及不同的角色在不同阶段的作用等。,实施指南,等级变更,局部调整,信息系统定级,总体安全规划,安全设计与实施,安全运行维护,信息系统终止,实施指南的主要思路,以信息系统安全等级保护建设为主要线索，定义信息系统等级保护实施的主要阶段和过程对每个阶段介绍和描述主要的过程和实施活动 对每个活动说明实施主体、主要活动内容和输入输出等,实施指南标准的结构,正文由9个章节1个附录构成1. 范围2.规范性引用文件3术语定义4. 等级保护实施概述5.信息系统定级6.总体安全规划7.安全设计/实施8.安全运行维护9.信息系统终止附录A 主要过程及其输出,实施指南中的主要概念,阶段过程主要活动子活动活动输入活动输出,实施指南特点,阶段过程活动子活动例如:信息系统定级信息系统分析系统识别和描绘识别信息系统的基本信息识别信息系统的管理框架信息系统划分,系统定级阶段-实施流程,主要输入,主要输出,过程,系统立项文档系统建设文档系统管理文档,信息系统分析,系统总体描述文件系统详细描述文件,安全保护等级确定,系统总体描述文件系统详细描述文件,系统安全保护等级定级建议书,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,定级指南,基本要求,测评要求,定级指南,安全保护等级 等级的确定是不依赖于安全保护措施的，具有一定的“客观性”，即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级，而非由“后天”的安全保护措施决定。,标准的结构,正文由6个章节构成1. 范围2. 规范性引用文件3. 术语定义4. 定级原理5. 定级方法6. 级别变更,-定级原理,五个等级的定义第一级, 信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。,-定级原理,-定级方法,确定定级对象；确定业务信息安全受到破坏时所侵害的客体；综合评定业务信息安全被破坏对客体的侵害程度；得到业务信息安全等级；确定系统服务安全受到破坏时所侵害的客体；综合评定系统服务安全被破坏对客体的侵害程度；得到系统服务安全等级；由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。,可能的系统级别,第一级 S1A1G1第二级 S1A2G2，S2A2G2，S2A1G2第三级 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,定级指南,基本要求,测评要求,36,标准背景,03年，27号文件进一步明确信息安全等级保护制度04年，66号文件要求“尽快制定、完善法律法规和标准体系”编制历程04年10月，接受公安部的标准编制任务05年 6月，完成初稿，广泛征求安全领域专家和行业用户意见；05年10月，征求意见稿第一稿，国信办、安标委评审05年11月，征求意见稿第三稿06年 6月，试点工作07年04月，征求意见稿第四稿，安标委专家评审07年05月，形成报批稿08年6月19日，正式发布，08年11月1日正式实施。,37,标准定位,GB 17859-1999的细化和发展吸收安全机制并扩展到不同层面增加安全管理方面的内容借鉴PDR、CMM、17799关注可操作性最佳实践当前技术的发展机制要求（目标/要求）,信息系统安全等级保护基本要求,计算机信息系统安全保护等级划分准则（GB17859）,信息系统通用安全技术要求,信息系统物理安全技术要求,技术类,其他技术类标准,信息系统安全管理要求,信息系统安全工程管理要求,其他管理类标准,信息系统安全等级保护定级指南,信息系统安全等级保护基本要求的行业细则,信息系统安全等级保护测评过程指南,信息系统安全等级保护测评要求,信息系统等级保护安全设计技术要求,管理类,产品类,数据库管理系统安全技术要求,其他产品类标准,信息系统安全等级保护行业定级细则,操作系统安全技术要求,信息系统安全等级保护建设整改,网络基础安全技术要求,网络和终端设备隔离部件技术要求,安全定级,基线要求,状态分析,方法指导,信息系统安全等级保护实施指南,等级保护有关标准在安全建设整改工作中的作用,38,39,与其他标准的关系,GB17859-1999是基础性标准，基本要求17859基础上的进一步细化和扩展。定级指南确定出系统等级以及业务信息安全性等级和业务服务保证性等级后，需要按照相应等级，根据基本要求选择相应等级的安全保护要求进行系统建设实施。测评要求是依据基本要求检验系统的各项保护措施是否达到相应等级的基本要求所规定的保护能力。,40,标准适用范围,用户范围信息系统的主管部门及运营使用单位测评机构安全服务机构（系统集成商，软件开发商）信息安全监管职能部门适用环节需求分析方案设计、系统建设与验收运行维护、等级测评、自查,标准的编制思路,门槛合理对每个级别的信息系统安全要求设置合理，按照基本要求建设后，确实达到期望的安全保护能力内容完整综合技术、管理各个方面的要求，安全要求内容考虑全面、完整，覆盖信息系统生命周期便于使用安全要求分类方式合理，便于安全保护、检测评估、监督检查实施各方的灵活使用,41,42,描述模型,43,基本安全保护能力,对抗能力和恢复能力共同构成了信息系统的安全保护能力。安全保护能力主要表现为信息系统应对威胁的能力，称为对抗能力，但当信息系统无法阻挡威胁对自身的破坏时，信息系统的恢复能力使系统在一定时间内恢复到原有状态，从而降低负面影响。,44,能力目标,第一级安全保护能力应具有能够对抗来自个人的、拥有很少资源（如利用公开可获取的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度弱、持续时间很短、系统局部范围等）、以及其他相当危害程度的威胁所造成的关键资源损害，并在威胁发生后，能够恢复部分功能。,45,能力目标,第二级安全保护能力应具有能够对抗来自小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小（局部性）等）、以及其他相当危害程度（无意失误、设备故障等）的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。,46,能力目标,第三级安全保护能力应具有能够对抗来自大型的、有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广（地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的较严重故障等）威胁的能力，并在威胁发生后，能够较快恢复绝大部分功能。,47,能力目标,第四级安全保护能力应具有能够对抗来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难（灾难发生的强度大、持续时间长、覆盖范围广（多地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的严重故障等）威胁的能力，并在威胁发生后，能够迅速恢复所有功能。,48,描述模型,一级系统,二级系统,三级系统,防护,防护/检测,策略/防护/检测/恢复,策略/防护/检测/恢复/响应,四级系统,技术要求特点,49,描述模型,一级系统,二级系统,三级系统,四级系统,管理要求特点,一般执行（部分活动建制度）,计划实施（主要过程建制度）,统一策略（管理制度体系化）,持续改进（管理制度体系化/验证/改进）,50,描述模型,一级系统,二级系统,三级系统,四级系统,覆盖范围特点,通信/边界（关键资源）,通信/边界/内部（重要设备）,通信/边界/内部（主要设备）,通信/边界/内部/基础设施（所有设备）,51,描述结构,52,安全类,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全及备份恢复,安全管理制度,安全管理机构,人员安全管理,系统建设管理,系统运维管理,类,53,示例,7 第三级基本要求7.1 技术要求7.1.1 物理安全7.1.1.1 物理位置的选择 本项要求包括 a) 机房和办公场地应选择在具有防震、防 风和防雨等能力的建筑内 b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。 。,类,要求项,控制点,54,控制点标注,业务信息安全相关要求（标记为S）系统服务保证相关要求（标记为A）通用安全保护要求（标记为G） 技术要求（3种标注）管理要求（统属G）,55,描述模型,业务信息安全相关要求（S）电磁防护访问控制数据完整性数据保密性系统服务保证相关要求（A）电力供应软件容错备份与恢复资源控制通用安全保护要求（G）管理要求和大部分技术要求,逐级增强的特点,控制点增加要求项增加要求项增强范围增大 要求细化要求粒度细化,57,逐级增强的特点-控制点增加,三级基本要求：在二级基本要求的基础上，技术方面，在控制点上增加了网络恶意代码防范、剩余信息保护、软件容错、抗抵赖等。管理方面，增加了系统备案、安全测评、监控管理和安全管理中心等控制点。 四级基本要求：在三级基本要求的基础上，技术方面，在系统和应用层面控制点上增加了安全标记、可信路径，,58,不同级别系统控制点的差异汇总,59,逐级增强的特点-要求项增加,要求项增多，如，对“身份鉴别”，一级要求“进行身份标识和鉴别”，二级增加要求“口令复杂度、登录失败保护等”；而三级则要求“采用两种或两种以上组合的鉴别技术 ”。项目增加，要求增强。,60,不同级别系统要求项的差异汇总,61,逐级增强的特点-要求项增强,范围增大，如，对物理安全的“防静电”，二级只要求“关键设备应采用必要的接地防静电措施”；而三级则在对象的范围上发生了变化，为“主要设备应采用必要的接地防静电措施”。范围的扩大，表明了该要求项强度的增强。 。,62,逐级增强的特点-要求项增强,要求细化：如，人员安全管理中的“安全意识教育和培训”，二级要求“应制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训”，而三级在对培训计划进行了进一步的细化，为“应针对不同岗位制定不同培训计划”，培训计划有了针对性，更符合各个岗位人员的实际需要。,63,逐级增强的特点-要求项增强,粒度细化：如，网络安全中的“访问控制”，二级要求“控制粒度为网段级”，而三级要求则将控制粒度细化，为“控制粒度为端口级”。由“网段级”到“端口级”，粒度上的细化，同样也增强了要求的强度。,64,基本要求文档结构,由9个章节2个附录构成1.适用范围2.规范性引用文件3.术语定义4.信息系统安全等级保护概述5.6.7.8.9五个等级的基本要求附录A 关于信息系统整体安全保护能力的要求附录B 基本安全要求的选择和使用,65,各级的要求-物理安全,物理位置选择,物理安全,物理访问控制,防盗窃和防破坏,防雷击,防火,防水和防潮,电力供应,电磁防护,防静电,温湿度控制,66,等级要求-物理安全,物理安全要求主要由机房（包括主、辅机房、介质存放间等）所部署的设备设施和采取的安全技术措施两方面提供的功能来满足。部分物理安全要求涉及到终端所在的办公场地。,67,68,各级的要求-网络安全,网络安全,结构安全,网络访问控制,网络安全审计,边界完整性检查,网络入侵检测,恶意代码防护,网络设备防护,69,等级要求-网络安全,网络安全要求中对广域网络、城域网络等通信网络的要求由构成通信网络的网络设备、安全设备等的网络管理机制提供的功能来满足。对局域网安全的要求主要通过采用、防火墙、入侵检测系统、恶意代码防范系统、安全管理中心等设备提供的安全功能来满足。,70,71,各级的要求-主机安全,主机安全,身份鉴别,访问控制,可信路径,安全审计,剩余信息保护,入侵防范,恶意代码防范,资源控制,安全标记,72,等级要求-主机安全,主机包括应用服务器、数据库服务器、安全软件所安装的服务器及管理终端、业务终端、办公终端等。主机安全要求通过操作系统、数据库管理系统及其他安全软件（包括防病毒、防入侵、木马检测等软件）实现的安全功能来满足。,73,74,各级的要求-应用安全,应用安全,身份鉴别,访问控制,通信完整性,通信保密性,安全审计,剩余信息保护,抗抵赖,软件容错,资源控制,代码安全,75,等级要求-应用安全,应用安全要求通过应用系统、应用平台系统等实现的安全功能来满足。如果应用系统是多层结构的，一般不同层的应用都需要实现同样强度的身份鉴别、访问控制、安全审计、剩余信息保护及资源控制等。通信保密性、完整性一般在一个层面实现。,76,各级的要求-数据安全及备份和恢复,数据安全,数据完整性,数据保密性,备份和恢复,77,78,各级的要求-安全管理,79,各级的要求-安全管理机构,岗位设置,安全管理机构,人员配备,授权和审批,沟通与合作,审核和检查,80,81,各级的要求-安全管理制度,管理制度,安全管理制度,制定和发布,评审和修订,82,83,各级的要求-人员安全管理,人员安全管理,人员录用,人员离岗,人员考核,安全意识教育和培训,外部人员访问管理,84,85,各级的要求-系统建设管理,系统建设管理,系统定级,安全方案设计,产品采购,自行软件开发,外包软件开发,工程实施,测试验收,系统交付,安全服务商选择,系统备案,等级测评,86,87,各级的要求-系统运维管理,88,信息安全等级保护工作使用的主要标准,2,管理方法,4,内容,实施指南,定级指南,基本要求,测评要求,测评要求,在内容上，与基本要求一一对应，直接把基本要求的要求项作为测评要求的测评指标。在方法上，涵盖访谈、检查和测试三种基本方法，充分考虑方法实施的可行性。在强度上，与安全等级相适应。在结果上，单点测试，整体评价相结合,主要内容,主体由10个章节构成1.范围2.规范性引用文件 3.术语、定义和符号 4.安全测评概述 5.第1级安全控制测评 6.第2级安全控制测评 7.第3级安全控制测评 8.第4级安全控制测评9.第5级安全控制测评10.系统整体测评附录A 测评强度附录B 关于系统整体测评的进一步说明,测评要求的作用,指导系统运营使用单位进行自查指导测评机构进行等级测评监管职能部门参照进行监督检查规范测评内容和行为,测评要求和基本要求的关系,基本要求规定了信息系统安全等级保护的基本要求，包括基本技术要求和基本管理要求，适用于不同安全等级信息系统的安全保护 。测评要求规定了对信息系统安全控制进行等级测评的基本内容，使用到的测评方法，涉及到的测评对象，实施测评的过程要求，以及对测评结果进行判定的基本规则。内容和结构上，存在一一对应关系。,测评方法,访谈通过与信息系统用户（个人/群体）迚行交流、认论等活劢，获取相关证据证明信息系统安全保护措施是否落实的一种方法。检查通过对测评对象（设备、文档、现场等）迚行观察、查验、分析等活劢，获取相关证据证明信息系统安全保护措施是否有效的一种方法。测试利用预定的方法/工具使测评对象产生特定的行为活劢，查看输出结果与预期结果的差异，以获取证据证明信息系统安全保护措施是否有效的一种方法。,Telematics的产业链（以车厂为主）,fee,fee,fee,fee,Contents,Contents,CRM Data,Monthly Subscription,Mobility Services,Wireless Connections,Connection Fee,Telematics Services,内容采集商,内容整合商,终端厂商,通信运营商,Telematics 服务提供商,汽车厂商,客户,Telematics发展,总体情况介绍-等级保护标准制修订背景,1994年，中华人民共和国计算机信息系统安全保护条例的发布 1999年，计算机信息系统安全保护等级划分准则 GB17859-1999发布 2001年，国家发改委“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台建设项目”（1110）工程实施 2003年，中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见 2004年，四部委联合签发了关于信息安全等级保护工作的实施意见 ,总体情况介绍-等级保护标准制修订背景,定级指南标准编制情况介绍,定级指南标准编制情况介绍,背景介绍等级确定的原则决定等级的主要因素分析等级确定方法等级划分流程,背景介绍,与系统等级相关的国外资料：FIPS 199（美国联邦政府）根据信息系统所处理信息的机密性、完整性和可用性被破坏的影响确定。IATF（NSA） 根据信息价值与威胁确定系统强健度等级。 DITSCAP （DOD） 根据互联模式、处理模式、业务依赖、三性、不可否认性等七个方面确定系统认证级。,背景介绍,上述定级方法存在问题仅由信息重要性确定信息系统的等级，对大型企业和重点行业的重要业务系统不合适。在通过三性影响分析，并根据三者取高的方法中，无法为可用性要求高和保密性要求高两类系统提出统一的技术要求。确定系统等级，与业务无关，不满足等级保护的监管需要。定级范围往往只在局部范围内。,等级确定的原则,全局性原则信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度，信息系统安全保护等级的划分也必须从国家层面考虑，体现全局性。业务为核心原则信息系统是为业务应用服务的，信息系统的安全保护等级应当依据信息系统承载业务的重要性、业务对信息系统的依赖度和系统特殊的安全需求确定。,等级确定的原则,满足监管要求原则信息系统安全保护等级既不是信息系统安全保障等级，也不是信息系统所能达到的技术能力等级，而是从安全监管需要，从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。合理性原则不同于信息安全产品，信息系统千差万别，各具特色，只有在划分安全保护等级的过程中，尽可能反映出信息系统的主要安全特征，合理划分等级，才能做到突出重点，适度保护。,决定等级的主要因素分析,从目前的资料上看，已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括：单位业务在国家事务中的重要性（实施意见）；资产（包括有形资产和无形资产）（FIPS199，IATF，DITSCAP，NIST800-37）；威胁（IATF）；信息被破坏后对国家、社会公共利益和单位或个人的影响（FIPS199，通用要求，实施指南）；单位业务对信息系统的依赖程度（DITSCAP）,决定等级的主要因素分析,经分析，除排除威胁因素外，划分等级时应考虑以下因素：信息系统所属类型，即信息系统的安全利益主体。信息系统主要处理的业务数据类别。信息系统服务范围，包括服务对象和服务网络覆盖范围。业务处理的自动化程度，或以手工作业替代信息系统处理业务的程度。,决定等级的主要因素分析,信息系统所属类型,业务数据类别,信息系统服务范围,业务处理的自动化程度,业务重要性,业务数据安全性,业务处理连续性,业务依赖性,决定等级的主要因素分析,业务数据安全性,业务处理连续性,信息系统安全保护等级,等级确定方法,具体步骤：通过对信息系统类型和业务数据类型赋值，确定信息系统的业务数据安全性等级；通过对信息系统服务范围和业务处理自动化程度赋值，确定信息系统的业务处理连续性等级；通过业务数据安全性等级和业务处理连续性等级确定信息系统安全保护等级。等级调整,信息系统类型赋值,信息系统所属类型赋值表,信息系统类型举例,典型的信息系统所属类型,确定业务数据安全性,业务数据安全性等级矩阵,确定信息系统安全保护等级,信息系统的安全保护等级由业务数据安全性等级和业务处理连续性等级较高者决定。,组合形式,信息系统安全保护等级对应的业务数据安全性要求级别（Sx）和业务处理连续性要求级别(Cy)的组合。,等级划分流程,划分信息系统/子系统,分析承载的业务重要性和依赖度,确定信息系统/子系统安全保护等级,调整信息系统/子系统安全保护等级,基本要求标准编制情况介绍,基本要求标准编制的主要思路,根据6号文件描述的5个监管等级对象，确定保护对象；根据保护对象所可能面临的威胁，确定系统的整体保护能力；根据所应具有的整体保护能力，确定系统的安全目标；提出满足安全目标的安全要求。,5个监管等级对象,第一级：信息系统所承载业务涉及公民、法人和其他组织的权益，受到破坏后对公民、法人和其他组织的权益造成一定损害；该业务的开展在一定程度上依托于信息系统，系统受到破坏后对业务正常开展产生一定影响。第二级：信息系统所承载的业务直接关系到公民、法人和其他组织的权益，受到破坏后会对公民、法人和其他组织的权益造成严重损害；该业务的开展主要依托于信息系统，系统受到破坏后影响业务正常开展。第三级：信息系统所承载的业务涉及国家、社会和公共利益，受到破坏后会对国家、社会和公共利益造成损害的；该业务的开展主要依托于信息系统，系统受到破坏后影响业务正常开展。,5个监管等级对象,第四级：信息系统所承载的业务直接关系到国家、社会和公共利益，受到破坏后会对国家、社会和公共利益造成严重损害的；该业务的开展完全依托于信息系统，系统受到破坏后业务无法开展。第五级：信息系统所承载的业务受到破坏后，会直接对国家安全造成严重损害。,整体保护能力,各级系统应对威胁的能力是不同的，即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后，系统能够恢复之前的各种状态的能力是不同的。系统的整体保护能力就是由威胁对抗能力和恢复能力的组合而成。,整体保护能力-威胁分类,整体保护能力-威胁分级描述,不同级别对抗的威胁的种类不同对于同类威胁，不同级别对抗的具体威胁的破坏能力也不同。,安全目标,每一级的安全目标与威胁之间存在对应关系，每个威胁至少被一个安全目标所覆盖；反过来，每个安全目标至少覆盖一个威胁。 一级具有15个技术目标，16个管理目标；二级具有29个技术目标，25个管理目标；三级具有36个技术目标，27个管理目标；四级具有41个技术目标，28个管理目标。,安全要求的选择,信息系统的安全要求包括安全技术要求和安全管理要求两类。根据信息系统的业务数据安全性等级（S）和业务处理连续性等级（C），分别选择S类技术要求、C类技术要求和G类技术要求。 信息系统的安全等级与技术要求组合是一对多的关系。,安全要求等级区别,安全要求的增加安全要求的增强,安全技术要求的组成,安全技术要求-物理,安全技术要求-网络,安全技术要求-主机,安全技术要求-应用,安全技术要求-数据,安全管理要求,管理部分形成的基本思路,管理部分的覆盖范围,信息系统的生命周期,系统规划(定级规划等),系统设计(设计开发采购等),系统实施(安装配置测试等),系统运维,系统废弃,管理人员,管理制度,组织的使命目标战略政策,系统变更,管理机构,不同级别之间的区别,管理活动控制点的增加每个控制点具体管理要求的增多管理活动的能力逐步加强借鉴能力成熟度模型（CMM）一级 非正式执行二级 计划和跟踪三级 良好定义四级 持续改进,安全管理机构,岗位设置人员配备授权和审批沟通和合作审核和检查,安全管理制度,管理制度制定和发布评审和修订,安全管理人员,人员录用人员离岗人员考核安全意识教育和培训第三方人员管理,系统建设管理,系统定级安全风险评估安全方案设计产品采购自行开发设计外包开发设计,工程实施测试验收系统交付安全测评系统备案安全服务商选择,系统运维管理,环境管理资产管理介质管理设备使用管理运行维护和监控管理网络安全管理,系统安全管理恶意代码防护管理密码管理变更管理备份和恢复管理安全事件处置应急计划管理,实施指南标准编制情况介绍,实施指南标准编制目标,实施指南作为一个对信息系统实施等级保护的指南性文件，其目标是介绍和描述实施信息系统等级保护过程中应该涉及的阶段和从事的活动，包括：活动的内容和控制方法；活动的主要参与者；活动中将要使用的等级保护相关标准；活动的主要工作产品等通过过程和活动的介绍，使读者了解和知晓对信息系统实施等级保护的方法，不同的角色在不同阶段的作用等等。,实施指南标准编制的主要思路,以信息系统等级保护建设为主要线索 定义信息系统等级保护实施的生命周期 对每个阶段介绍和描述主要的实施活动 对每个活动说明实施主体、主要内容和输入输出,实施指南内容介绍-角色和职责,信息系统等级保护的实施过程中涉及到各类组织和人员，他们将会参与不同的或相同的活动，比如信息系统的主管单位和信息系统的运营单位将参与系统定级活动，如果委托安全服务商进行定级，则安全服务商也会参与定级活动；又如信息系统的运营单位可以自己完成风险分析活动，也可以委托安全服务商完成风险分析活动。,实施指南内容介绍-角色和职责,本指南将面临的使用对象将是：信息系统的主管单位；运营单位；建设单位；安全服务商；安全测评机构；监督管理机构等。为了保证实施指南的描述有一个清晰的思路，各类使用人员都能够理解和较好地使用，实施指南并不以某个特定单位的活动为主线进行描述，而是以信息系统等级保护建设所要从事的活动为主线，有些活动可能是这个单位执行的，另一些活动可能是另一个单位执行的。本指南的读者根据自己的角色和从事的活动选择相应的内容作为指导。,实施指南内容介绍-实施的生命周期,本指南将根据信息系统等级保护实施的特点，结合风险管理和安全工程方法提出信息系统等级保护实施的生命周期，将等级保护实施过程划分为4个不同的阶段，然后分章节介绍和描述不同阶段的安全活动，同时也将表述信息系统等级保护实施的生命周期和信息系统生命周期的关系，指导系统建设者和系统运营者在系统建设和运营期间更好地同步进行等级保护建设。将通过信息系统等级保护实施生命周期的提出，更好地描述信息系统等级保护实施的不断循环过程；系统变更可能导致系统的等级变化从而触发另一个等级保护实施过程的执行过程；风险评估和安全测评可能导致的等级保护实施过程局部活动的重复执行过程等。,实施指南内容介绍-主要阶段和主要过程,实施指南内容介绍-系统定级过程,系统调查、标识和描述,子系统划分,子系统定级,子系统边界设定,输入,输出,过程,信息系统描述文件,子系统列表,系统安全保护等级定级结果,边界设定结果,信息系统基本信息、管理框架、业务特性,信息系统描述文件,子系统列表，信息系统/子系统业务特性,安全保护等级定级结果、子系统业务流程，网络拓扑,定级结果文档化,信息系统等级化分析报告,信息系统描述文件、子系统列表、定级及边界设定结果,实施指南内容介绍-系统调查和描述过程,为了能够进行信息系统子系统划分、确定安全等级以及后续的安全规划设计等工作，要了解和知道信息系统的各种特性，应通过查询相关文档、填写调查表、有关人员询问、现场实地观察等等方式收集信息系统相关信息，对收集到的信息系统相关信息进行分析和整理，并根据分析和整理的内容准确描述信息系统，形成信息系统的描述性文档。参与角色： 系统运营部门、安全服务机构。过程输入： 信息系统基本信息、管理框架、业务特性过程描述： 略过程输出： 信息系统描述文件,Telematics的产业链（以TSP为主）,TSP,内容提供商,内容采集商,设备提供商,用户,电信运营商,fee,fee,fee,Contents,Contents,Telematics发展,