等级保护测评工作宣传-通用模板-RLX-v1.0

中国工程物理研究院计算机应用研究所成都久信网络咨询监理有限公司2020/2/131等级保护概要介绍等级保护流程介绍等级保护定级等级保护基本要求等级保护实施等级保护测评及整改2020/2/132概要-什么是等级保护信息安全等级保护，是指对国家秘密信息及公民、法人和其他组织的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。－－《信息安全等级保护管理办法》2020/2/133概要-等级保护政策发展历程2020/2/1341994年2月28日《中华人民共和国计算机信息系统安全保护条例》国务院令第147号发布199419992004《计算机信息系统安全保护等级划分准则》GB17859-1999发布2003年7月22日，国家信息化领导小组专门讨论通过了《关于加强信息安全保障工作的意见》并经由中央办公厅、国务院办公厅颁布(中办发【2003】27号文件)四部委联合签发了《关于信息安全等级保护工作的实施意见》（公通字【2004】66号）20062003四部委联合签发了《信息系统安全等级保护管理办法（试行）》（公通字【2006】7号)—2006年3月1日执行20072007年，四部委联合发布的《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）2008信息系统安全保护等级定级指南GB/T22239-2008信息系统安全等级保护基本要求GB/T22240-2008信息系统安全等级保护测评准则（试行）信息安全技术信息系统安全等级保护测评要求GB/T28448-2012信息系统安全等级保护实施指南（试行）信息安全技术信息系统安全等级保护实施指南GB/T25058-2010信息安全技术信息系统安全等级保护测评过程指南GB/T28449-201220092009年，四部委联合发布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》概要-等级保护标准体系2020/2/135应用类产品类其他类等保安全建设整改信息系统定级：《定级指南》GB/T22240-2008等级保护实施：《实施指南》信安字[2007]10号GB/T25058-2010信息系统安全建设：《基本要求》GB/T22239-2008《通用安全技术要求》GB/T20271-2006《安全技术设计要求》GB/T24856-2009等10个要求和规范等级测评：《测评要求》GB/T28448-2012/《测评过程指南》GB/T28449-2012风险评估：《信息安全风险评估规范》GB/T20984-2007事件管理：《信息安全事件管理指南》GB/Z20985-2007《信息安全事件分类分级指南》GB/Z20986-2007《信息系统灾难恢复规范》GB/T20988-2007操作系统数据库网络PKI网关服务器入侵检测防火墙路由器交换机其他产品技术要求评估准则测试方法配置指南《计算机信息系统安全保护等级划分准则》概要-标准使用2020/2/136等级确定与备案自查与等级测评等级保护运行与管理基本要求，实施指南、安全产品标准定级指南、实施指南监督管理要求、基本要求、测评要求基本要求，定级指南、实施指南，设计规范、测评要求安全规划与设计安全建设与实现监督管理要求实施指南概要-安全等级划分2020/2/137《计算机信息系统安全保护等级划分准则》GB17859-1999主要内容来源于美国可信计算机系统评价准则TCSEC第一级：用户自主保护级第二级：系统审计保护级第三级：安全标记保护级第四级：结构化保护级第五级：访问验证保护级四级三级二级一级用户自主控制资源访问访问行为需要被审计通过标记实现强制访问控制可信计算基础结构化所有的过程都需要验证等级保护概念介绍等级保护流程介绍等级保护定级等级保护基本要求等级保护实施等级保护测评及整改2020/2/138流程-标准规范与工作流程关系2020/2/139安全控制定级指南过程方法确定系统等级启动采购/开发实施运行/维护废弃确定安全需求设计安全方案安全建设安全测评整改监督管理运行维护暂不考虑特殊需求等级需求基本要求产品使用选型管理监督管理测评要求流程方法监管流程应急预案应急响应设计要求重大变更工程管理等级保护概念介绍等级保护流程介绍等级保护定级等级保护基本要求等级保护实施等级保护测评及整改2020/2/1310定级-法文条规解读2020/2/1311信息系统运营、使用单位应当依据《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。在信息系统建设过程中，应当参照《计算机信息系统安全保护等级划分准则》17859-1999、《信息系统安全等级保护基本要求》22239-2008等技术标准同步建设符合该等级要求的信息安全设施。信息系统建设完成后，应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评。对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。--《信息安全等级保护管理办法》公通字[2007]43号定级-主要步骤2020/2/1312定级是等级保护工作的首要环节，是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。1自评2申报3评审4定级备案客户自行选定系统相应的保护等级报当地公安或信息化行政部门进行审定公安或信息化行政部门组织评审定级报公安部门定级备案定级-主要步骤2020/2/1313定级-主要步骤2020/2/1314分析信息系统管理组织机构、业务应用、物理位置和运行环境等因素，基于科学的系统拆分原则明确定级对象。定级对象的三个条件具有唯一的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。满足信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。承担相对独立的业务应用“相对独立”指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以是完整的业务流程的一部分。定级-确定等级2020/2/1315确定等级：主要依据保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。侵害的客体包括（定级指南5.3确定受侵害客体界定）国家安全社会秩序、公共利益公民、法人和其他组织的合法权益对客体造成侵害的程度（定级指南5.4确定对客体的侵害程度界定）造成一般损害造成严重损害造成特别严重损害受侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级定级-确定等级2020/2/1316侵害国家安全的事项包括影响国家政权稳固和国防实力；影响国家统一、民族团结和社会安定；影响国家对外活动中的政治、经济利益；影响国家重要的安全保卫工作；影响国家经济竞争力和科技实力；其他影响国家安全的事项。侵害社会秩序的事项包括影响国家机关社会管理和公共服务的工作秩序；影响各种类型的经济活动秩序；影响各行业的科研、生产秩序；影响公众在法律约束和道德规范下的正常生活秩序等；其他影响社会秩序的事项。影响公共利益的事项包括影响社会成员使用公共设施；影响社会成员获取公开信息资源；影响社会成员接受公共服务等方面；其他影响公共利益的事项。影响公民、法人和其他组织的合法权益是指法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益（判断“所侵害的客体”，应首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益。）定级-确定等级2020/2/1317对客体的侵害程度包括一般损害工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的不良影响。严重损害工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的不良影响。特别严重损害工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的不良影响。定级-确定等级2020/2/1318根据保护侧重点的不同对安全要求进一步细分业务信息安全（S）保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求系统服务安全（A）保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求通用安全（G）既关注保护业务信息的安全性，同时也关注保护系统的连续可用性的通用安全保护类要求定级-确定等级2020/2/13193、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体(S)6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体(A)7、系统服务安全保护等级4、业务信息安全保护等级8、定级对象的安全保护等级依据表1依据表21、确定定级对象不同安全等级的信息系统，其对业务信息的安全性要求和业务服务的连续性要求是有差异的；即使相同安全等级的信息系统，其对业务信息的安全性要求和业务服务的连续性要求也有差异。信息系统的安全等级由各个业务子系统的业务信息安全性等级和业务服务保证性等级较高者决定（参见《信息系统安全保护等级定级指南》）因此，对某一个定级后的信息系统的保护要求可以有多种组合。（如S3A2G3）SAG=MAX(S,A)定级-确定等级2020/2/1320业务信息安全（S）保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求业务信息安全（S）等级确定（表1）业务信息安全(S)受破坏时侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级数据丢失/篡改，引起工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的不良影响，造成较严重的损害。定级-确定等级2020/2/1321系统服务安全（A）保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求业务信息安全（A）等级确定（表2）系统服务安全(A)受破坏时侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级业务中断，造成工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的不良影响，造成较低的损害。定级-确定等级2020/2/1322安全等级信息系统保护要求的组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4定级-定级备案2020/2/1323备案表模板等级保护概念介绍等级保护流程介绍等级保护定级等级保护基本要求等级保护实施等级保护测评及整改2020/2/1324基本要求-核心思路2020/2/1325类技术要求管理要求基本要求类控制点具