信息安全等级保护.docx

【最新整理，下载后即可编辑】1. 信息安全等级保护信息安全等级保护是对信息和信息载体按照重要性等级分 级别进行保护的一种工作，在中国、美国等很多国家都存在的一 种信息安全领域的工作。在中国，信息安全等级保护广义上为涉 及到该工作的标准、产品、系统、信息等均依据等级保护思想的 安全工作；狭义上称为的一般指信息系统安全等级保护，是指对 国家安全、法人和其他组织及公民的专有信息以及公开信息和存 储、传输、处理这些信息的信息系统分等级实行安全保护，对信 息系统中使用的信息安全产品实行按等级管理，对信息系统中发 生的信息安全事件分等级响应、处置的综合性工作。国家通过制定统一的信息安全等级保护管理规范和技术标 准，组织公民、法人和其他组织对信息系统分等级实行安全保护， 对等级保护工作的实施进行监督、管理。公安机关负责信息安全等级保护工作的监督、检查、指导。 国家保密工作部门负责等级保护工作中有关保密工作的监督、检 查、指导。国家密码管理部门负责等级保护工作中有关密码工作 的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有 关职能部门依照国家法律法规的规定进行管理。国务院信息化工 作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。2. 信息安全等级保护工作内容信息安全等级保护工作包括定级、备案、安全建设和整改、 信息安全等级测评、信息安全检查五个阶段。如图1所示为具体 流程。系统定级。信息系统运营使用单位按照信息系统信 息安全等级保护定级指南，确定信息系统安全等级。有主管部门的，报主管部门审核批准。在申报系统新建、改建、扩建立项时须同时向立项审批部门提交定级报备案。已运行的系统在安全保护等级确定后30 日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建的系统，在通过立项申材料不福后J0日内办理定级不准公安机关审核 匚二一 材料齐、定级准_颁发证书。公安机关颁发系统等级保护备案证书。I分析安全需求。对照等保有关规定和标准分析系统安全建设整改需求，可委托安全服务机构、等保技术支持 单位分析。对于整改项目，还可委托测评机构通过等保则评、风险评估等方法分析整改需求。建设整改。根据需求制订建设整改方案，按照国家相关规范和技术标准，使用符合国家有关规定，满足系【最新整理，下载后即可编辑产品，开展信息系统安全建设整改。提交报告。系统运营、使用单位向地级以上市公安机 关报测评报告。项目验收文档中也须含有测评报告。国家信息安全等级保护坚持自主定级、自主保护的原则。信 息系统的安全保护等级应当根据信息系统在国家安全、经济建设、 社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会 秩序、公共利益以及公民、法人和其他组织的合法权益的危害程 度等因素确定。信息安全等级保护信息安全等级保护管理办法规定：信 息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织 的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害， 但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造 成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造 成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重 损害。计算机信息系统安全保护等级划分：第一级：用户自主保护级第二级：系统审计保护级第三级：安全标记保护级第四级：结构化保护级第五级：访问验证保护级3. 信息安全等级保护测评基本概念信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。3.1等级测评工作等级测评工作是指测评机构依据国家信息安全等级保护制 度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息 系统安全等级保护状况进行检测评估的活动。通过信息安全等级评测机构对已完成的等级保护建设的信 息系统定期进行等级测评，确保信息系统的安全保护措施符合相 应等级的安全要求。3.2等级测评机构等级测评机构是指具备本规范的基本条件，经能力评估和审 核，由省级以上信息安全等级保护工作协调小组办公室（等保办） 推荐，从事等级测评工作的机构。等级保护测评的执行主体应当是具有相关资质的、独立的 测评服务机构。只有独立的第三方，才能保证测评工作的客观性和公正性。开展等级保护测评机构通常符合GB/T15481，通过计量认 证和实验室认可。通过检查机构认可。3.2等级保护测评流程1）资料审查阶段：对被测用户提交的申请，进行文档的形式化审查，确认符合测评要求。2）核查测试阶段：用户进行充分沟通，指定测评计划和测试方 案，并实施现场测评，形成测评记录。3）综合评估阶段：整理测评数据，对用户资料和测评结果进行 综合分析，形成测评报告。召开专家委员会，对测评报告进行评 审，最后由测评中心领导批准，出具等级保护测评报告。具体流程如图2所示。3.2.1测评准备活动测评准备活动的主要任务包括：项目启动、信息收集和分析、 工具和表单准备。这三项任务之间存在工作的先后次序，项目启 动任务完成之后才能开始信息收集和分析任务。可采用如图3所 示的工作流程：3.2.2方案编制活动方案编制活动的主要任务包括：测评对象确定、测评指标确 定、测评内容确定、工具测试方法确定、测评指导书开发及测评 方案编制。其中，测评对象确定与测评指标确定两项任务可以并 行实施，其他四项任务之间存在工作的先后次序，测评内容确定 任务完成之后才能开始后续任务。这六项任务可采用如图4所示 的工作流程：识别澈1系统等级识别祯测系统的整体结 构识别袖删系统的边畀识别被测系统的网络区 撼,识别被测系统的重要节 点和业务应用确定财平对象L项谢舫拓识别祯删系统业务信息 和系曾服务安全保护等 级选择对应等蛆的ASG三 类安全要求作为测评指 标,就高原则调整多个定级 对象共用的某些物理安 全或管理安全测评指标2-刻评肉答识别每个 删评对象 时应的珈 评指标识别每个 珊评对象 对应的每 个圳评指 标的则评 方法i-工具破防确定工具姗试的删评对象送择删试路径,确定删试工具的幡入点4-开发M已有的11 评指导书中 造择与删评 对象对应的 手册针对没有现 成删评指导 书的删评对 象，开发新的 珈评指导书孔则评方案扁 制描述剽评顼 目基本情况 和工作依据描述述被系 统的整体结 构*边界和 网络区域描述被测系 统的重要节 点和业务应 用描述测评指 标插述珈评对,描述刑评内 咨和方法3.2.3现场测评活动现场测评活动的主要任务包括：现场测评准备、现场测评和 结果记录、结果确认和资料归还。这三项任务之间存在工作的先 后次序，现场测评准备任务完成之后才能开始后续任务。可采用 如图5所示的工作流程：3.2.4报告编制活动报告编制活动的主要任务包括：单项测评结果判定、单元测 评结果判定、整体测评、风险分析、等级测评结论形成及测评报 告编制。这六项任务之间存在工作的先后次序，单项测评结果判 定任务完成之后才能开始后续任务。3.3等级保护测评方法3.3.1测评方法测评采用访谈、检查和测试三种方法，测评对象是测评实施 过程中涉及到的信息系统的构成成份，包括人员、文档、机制、 软件、设备。测评的层面涉及物理安全、网络安全、主机安全、 应用系统安全、数据安全以及安全管理。3.3.2测评要求使用测评表进行具体检查时，首先按询问、查验、检测等工 作方式将所有检查项目分类。所有以询问方式检查的项目，在与有关人员的谈话或会议上 进行。所有以查验方式检查的项目，将需要的文档清单在检查现场 提交给被检查方，请被检查方当前提供并进行查验。所有需要以检测方式检查的项目，按检测部门或设备分类后， 根据具体情况选择检测顺序。3.3.3方法要求 “访谈”方法：目的是了解信息系统的全局性。范围一般不 覆盖所有要求内容。 “检查”方法：目的是确认信息系统当前具体安全机制和运 行的配置是否符合要求。范围一般要覆盖所有要求内容。 “测试”方法：目的是验证信息系统安全机制有效性和安全 强度。范围不覆盖所有要求内容。3.3.4管理要求对人员方面的要求，重点通过“访谈”的方式来测评，检查 为辅。对过程方面的要求，通过“访谈”和“检查”的方式来测评。对规范方面的要求，以“检查”文档为主，“访谈”为辅。3.4等级保护测评中的角色和职责关系保护的相关工作，包括确定其信息系统的安全保护等级、进 行安全需求分析、安全总体规划、实施安全建设和安全改造 等。信息安全产品供应商：开发符合等级保护相关要求的信息安 全产品，接受安全测评，按照等级保护相关要求销售信息安 全产品并提供相关服务。应用软件开发机构：将安全控制要求与应用软件结合，负责 软件开发。信息安全等级测评机构：协助信息系统运营、使用单位或国 家管理部门，按照国家信息安全等级保护的管理规范和技术 标准，对已经完成等级保护建设的信息系统进行测评；对信息安全产品供应商提供的信息安全产品进行安全测评。3.5等级保护测评工作实施步骤3.5.1首次会议参加人员：主管领导、技术人员、测评机构人员被测评机构工作汇报3.5.2测评实施被测评单位派人负责测评过程联络和协助。3.5.3末次会议参加人员：主管领导、技术人员、测评机构人员测评机构进行测试情况汇报3.6等级保护测评项目组的构成组长职责：管理测评过程、主持编制测评计划、主持设计测 评方案、负责访谈、检查、组织分析测评结果、主持编制测评总 结报告；访谈和查看组：负责访谈、执行测试，记录和分析测评结果；测试组：执行测试、记录和分析测评结果。3.7等级保护测评内容3.7.1安全技术测评物理安全网络安全主机系统安全应用安全数据安全3.7.2安全管理测评安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理3.7.3系统整体测评安全控制间安全测评层面间安全测评区域间安全测评系统结构安全测评等级保护五级安全控制测评由相应部门或机构另行规范。