等级保护流程培训V.ppt
《等级保护流程培训V.ppt》由会员分享,可在线阅读,更多相关《等级保护流程培训V.ppt(59页珍藏版)》请在三一办公上搜索。
1、,信息安全等级保护体系与东软网络安全产品介绍,等级保护概述,等级保护工作流程,2,目录,等级保护安全防御设计思路,3,4,东软行业优势及建设案例,等级保护与东软安全产品,5,6,2016年商机前沿快报,等级保护的概述,国家信息安全等级保护制度由国家层面推动并要求遵照执行的信息安全要求。等级保护按照是否涉及国家秘密划分等级保护:适用于政府、央企等非涉密网络的信息安全政策、制度及标准体系。分级保护:适用于政府、军队、兵工厂等涉密网络的信息安全政策、制度及标准体系。是政府、央企信息安全建设的主要依据和主要推动力。,国家信息安全制度,等级保护的第一个法律文件国务院令,中华人民共和国计算机信息系统安全保
2、护条例(1994年2月18日国务院147号令)第九条:计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度;二是明确了公安部的牵头地位;三是提出了需要出台配套的规章和技术标准。,等级保护安全等级定义文件,计算机信息系统安全保护等级划分准则(1999颁发的GB 17859)第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。提出了等级保护在技术防护层面与安全管理层面的建设防护要求。,中央文件,中办200327号
3、文件国家信息化领导小组关于加强信息安全保障工作的意见“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。”中央27号文件的下达标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。,国家四部委文件,2004年9月公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了关于信息安全等级保护工作的实施意见(公通字200466号),明确了信息安全等级保护制度
4、的原则和基本内容,以及信息安全等级保护工作的职责分工、工作实施的要求等。2007年6月公安部会同国家保密局、国家密码管理局和国务院信息办联合信息安全等级保护管理办法(公通字200743号),明确了信息安全等级保护制度的基本内容、流程及工作要求,再进一步明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。,等级保护发展历程,等级保护各方职责,国信办工信部信息安全协调司中网办信息安全协调局,等级保护法律政策体系,等级保护标准体系,等级保护工作流程,等级保护基本框架,等级保护建设四大原则,等级保护建设,等级保护与信息系统生命周
5、期的关系,等级保护实施过程,新建信息系统生命周期,已建信息系统等级保护实施过程,启动,设计开发,实施,运行维护,终止,系统定级,安全规划设计,安全实施,安全运行管理(变更/应急响应/监督检查),终止,终止,系统定级,安全规划设计,安全实施,安全运行管理,等级保护实施过程,局部调整,重大变更,等级保护工作流程总图,应急响应,安全实施/实现阶段,信息系统风险评估,系统自查,配合主管单位安全检查,系统定级与备案,安全定级备案阶段,系统定级与备案,确认具有唯一的安全责任单位一般是使用或运营单位满足信息系统的基本要素单机和纯局域网不定级承载相对独立的业务应用含多个业务应用的综合系统尽量划分,系统定级要素
6、,两个定级要素:等级保护对象受到破坏时客体受到侵害的程度。,受侵害的客体:,公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全。,客体的侵害程度:,一般损害;严重损害;特别严重损害。,等级与侵害客体、侵害程度关系,系统定级矩阵图,信息系统定级,业务信息安全(S)业务信息安全是指:确保业务信息系统内信息的保密性、完整性和可用性等。通俗来讲,承载的信息非常重要。系统服务安全(A)系统服务安全是指:确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。通俗来讲,承载的服务有效性和连续性非常重要。,信息系统定级流程图,S,A,信息系统定级,安全规划与实施,安全规划与实施,基本要求主要内
7、容,基本要求的组织方式,基本要求要求项在各层面的分布,基本技术要求控制点,基本管理要求,等级测评,等级测评,关于等级测评,信息安全等级管理办法(公通字【2007】43号)第十四条规定:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。,对测评机构的要求,三级以上信息系统应当选择使用符合以下条件的等级保护测评机构在中华人民共和国境内注册成立(
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 等级 保护 流程 培训
链接地址:https://www.31ppt.com/p-6482925.html