信息系统安全等级保护基本要求培训

公安部信安标委会公安部信息安全等级保护评估中心2019/9/16《信息系统安全等级保护基本要求》使用介绍公安部信安标委会公安部信息安全等级保护评估中心2019/9/16目录使用时机和主要作用保护要求分级描述的主要思想各级系统保护的主要内容公安部信安标委会公安部信息安全等级保护评估中心2019/9/16一、使用时机和主要作用公安部信安标委会公安部信息安全等级保护评估中心2019/9/16《管理办法》”等级划分和保护“第八条信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。公安部信安标委会公安部信息安全等级保护评估中心2019/9/16《管理办法》”等级保护的实施与管理“第十二条在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照……等技术标准同步建设符合该等级要求的信息安全设施。公安部信安标委会公安部信息安全等级保护评估中心2019/9/16《管理办法》”等级保护的实施与管理“第十三条运营、使用单位应当参照《信息安全技术信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。公安部信安标委会公安部信息安全等级保护评估中心2019/9/16《管理办法》”等级保护的实施与管理“第十四条信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。公安部信安标委会公安部信息安全等级保护评估中心2019/9/16《管理办法》”等级保护的实施与管理“第十四条信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。公安部信安标委会公安部信息安全等级保护评估中心2019/9/16《管理办法》”等级保护的实施与管理“第十四条经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。公安部信安标委会公安部信息安全等级保护评估中心2019/9/16技术标准和管理规范的作用技术标准和管理规范信息系统定级信息系统安全建设或改建安全状况达到等级保护要求的信息系统公安部信安标委会公安部信息安全等级保护评估中心2019/9/16涉及的管理规范和技术标准《信息安全等级保护管理办法》公通字[2007]43号《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息安全等级保护实施指南》《信息安全等级保护定级指南》《信息安全等级保护基本要求》《信息安全等级保护测评要求》《信息安全技术网络基础安全技术要求》（GB/T20270-2006）《信息安全技术信息系统通用安全技术要求》GB/T20271-2006）《信息安全技术操作系统安全技术要求》（GB/T20272-2006）《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）公安部信安标委会公安部信息安全等级保护评估中心2019/9/16涉及的管理规范和技术标准《信息安全技术信息系统安全管理要求》（GB/T20269-2006）《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）公安部信安标委会公安部信息安全等级保护评估中心2019/9/16整体要求的管理规范和技术标准《信息安全等级保护管理办法》《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息系统安全等级保护实施指南》《信息系统安全保护等级定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护测评要求》等等公安部信安标委会公安部信息安全等级保护评估中心2019/9/16《基本要求》的作用信息系统安全等级保护基本要求运营、使用单位（安全服务商）主管部门（等级测评机构）安全保护测评检查公安部信安标委会公安部信息安全等级保护评估中心2019/9/16《基本要求》的定位是系统安全保护、等级测评的一个基本“标尺”，同样级别的系统使用统一的“标尺”来衡量，保证权威性，是一个达标线；每个级别的信息系统按照基本要求进行保护后，信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态;是每个级别信息系统进行安全保护工作的一个基本出发点，更加贴切的保护可以通过需求分析对基本要求进行补充，参考其他有关等级保护或安全方面的标准来实现;公安部信安标委会公安部信息安全等级保护评估中心2019/9/16《基本要求》的定位某级信息系统基本保护精确保护基本要求保护基本要求测评补充的安全措施GB17859-1999通用技术要求安全管理要求高级别的基本要求等级保护其他标准安全方面相关标准等等基本保护特殊需求补充措施公安部信安标委会公安部信息安全等级保护评估中心2019/9/16二、保护要求分级描述的主要思想公安部信安标委会公安部信息安全等级保护评估中心2019/9/16《基本要求》基本思路不同级别信息系统重要程度不同应对不同威胁的能力(威胁\弱点)具有不同的安全保护能力不同的基本要求公安部信安标委会公安部信息安全等级保护评估中心2019/9/16不同级别的安全保护能力要求第一级安全保护能力–应能够防护系统免受来自个人的、拥有很少资源（如利用公开可获取的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度弱、持续时间很短等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。第二级安全保护能力–应能够防护系统免受来自外部小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。公安部信安标委会公安部信息安全等级保护评估中心2019/9/16不同级别的安全保护能力要求第三级安全保护能力–应能够在统一安全策略下防护系统免受来自外部有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广等）以及其他相当危害程度的威胁（内部人员的恶意威胁、无意失误、较严重的技术故障等）所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。第四级安全保护能力–应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难（灾难发生的强度大、持续时间长、覆盖范围广等）以及其他相当危害程度的威胁（内部人员的恶意威胁、无意失误、严重的技术故障等）所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。公安部信安标委会公安部信息安全等级保护评估中心2019/9/16各个要素之间的关系安全保护能力基本安全要求每个等级的信息系统基本技术措施基本管理措施具备包含包含满足满足实现公安部信安标委会公安部信息安全等级保护评估中心2019/9/16《基本要求》核心思路某级系统技术要求管理要求基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统公安部信安标委会公安部信息安全等级保护评估中心2019/9/16各级系统的保护要求差异（宏观）安全保护模型PPDRRProtection防护PolicyDetection策略检测Response响应Recovery恢复公安部信安标委会公安部信息安全等级保护评估中心2019/9/16各级系统的保护要求差异（宏观）一级系统二级系统三级系统四级系统防护防护/监测策略/防护/监测/恢复策略/防护/监测/恢复/响应公安部信安标委会公安部信息安全等级保护评估中心2019/9/16各级系统的保护要求差异（宏观）成功的完成业务信息保障人技术操作防御网络与基础设施防御飞地边界防御计算环境支撑性基础设施安全保护模型IATF公安部信安标委会公安部信息安全等级保护评估中心2019/9/16各级系统的保护要求差异（宏观）一级系统二级系统三级系统四级系统通信/边界（基本）通信/边界/内部（关键设备）通信/边界/内部（主要设备）通信/边界/内部/基础设施（所有设备）公安部信安标委会公安部信息安全等级保护评估中心2019/9/16各级系统的保护要求差异（宏观）一级系统二级系统三级系统四级系统计划和跟踪（主要制度）计划和跟踪（主要制度）良好定义（管理活动制度化）持续改进（管理活动制度化/及时改进）公安部信安标委会公安部信息安全等级保护评估中心2019/9/16各级系统的保护要求差异（微观）某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理公安部信安标委会公安部信息安全等级保护评估中心2019/9/16三、各级系统保护的主要内容公安部信安标委会公安部信息安全等级保护评估中心2019/9/16各级系统的安全保护的核心某级系统技术要求管理要求基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统公安部信安标委会公安部信息安全等级保护评估中心2019/9/16基本要求的主要内容由9个章节2个附录构成–1.适用范围–2.规范性引用文件–3术语定义–4.等级保护概述–5.6.7.8.9基本要求–附录A关于信息系统整体安全保护能力的要求–附录B基本安全要求的选择和使用公安部信安标委会公安部信息安全等级保护评估中心2019/9/16基本要求的组织方式某级系统类技术要求管理要求基本要求类控制点具体要求控制点具体要求………………………………公安部信安标委会公安部信息安全等级保护评估中心2019/9/16基本要求-组织方式某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理公安部信安标委会公安部信息安全等级保护评估中心2019/9/16基本要求-组织方式物理位置选择物理安全(四级)物理访问控制防盗窃和防破坏防雷击防火防水和防潮温湿度控制电力供应电磁防护公安部信安标委会公安部信息安全等级保护评估中心2019/9/16基本要求-组织方式结构安全和网段划分网络安全(四级)网络访问控制拨号访问控制网络安全审计边界完整性检查网络入侵检测恶意代码防护网络设备防护公安部信安标委会公安部信息安全等级保护评估中心2019/9/16基本要求-组织方式身份鉴别主机系统安全(四级)自主访问控制强制访问控制可信路径安全审计剩余信息保护入侵防范恶意代码防范系统资源控制系统自我保护公安部信安标委会公安部信息安全等级保护评估中心2019/9/16基本要求-组织方式身份鉴别应用安全(四级)访问控制通信完整性通信保密性安全审计剩余信息保护抗抵赖软件容错资源控制代码安全公安部信安标委会公安部信息安全等级保护评估中心2019/9/16基本要求-组织方式数据完整性数据安全(四级)数据保密性安全备份公安部信安标委会公安部信息安全等级保护评估中心2019/9/16基本要求-组织方式岗位设置