等级保护介绍.ppt
- 文档编号:30799315
- 上传时间:2023-10-15
- 格式:PPT
- 页数:24
- 大小:946KB
等级保护介绍.ppt
《等级保护介绍.ppt》由会员分享,可在线阅读,更多相关《等级保护介绍.ppt(24页珍藏版)》请在冰豆网上搜索。
信息安全等级保护介绍,上海市信息安全测评认证中心,上海市信息安全测评认证中心,上海市信息安全测评认证中心,信息安全等级保护,定义,信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。
上海市信息安全测评认证中心,信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。
开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。
上海市信息安全测评认证中心,促进信息化发展,维护国家信息安全在信息化建设过程中同步建设信息安全设施。
为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务。
实行国家对重要信息系统进行重点安全保障优化信息安全资源的配置,体现“适度安全、保护重点”的目的,综合平衡安全成本和风险,提高信息安全工作成效。
推动信息安全产业的发展按标准建设安全保护措施,建立安全保护制度,落实安全责任,加强监督检查,有效提高我国信息和信息系统安全建设的整体水平。
等级保护的意义,上海市信息安全测评认证中心,第一级为自主保护级。
第二级为指导保护级。
会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级为监督保护级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级为强制保护级。
会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级为专控保护级。
等级保护五个级别,上海市信息安全测评认证中心,政策和法规依据,1994年国务院发布的中华人民共和国计算机信息系统安全保护条例“计算机信息系统实行安全等级保护。
安全等级划分标准和安全等级保护的具体办法,由公安部会同有关部分制定”2003年中办27号文“抓紧建设信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”2007年公安部,国信办四部委签发的信息安全等级保护管理办法(43号文)对等级划分、保护、实施与管理、密码管理、法制责任等问题做了规定。
上海市信息安全测评认证中心,技术标准,信息安全等级保护管理办法计算机信息系统安全保护等级划分准则(GB17859-1999)信息系统安全等级保护实施指南信息系统安全保护等级定级指南信息系统安全等级保护基本要求信息系统安全等级保护测评准测,上海市信息安全测评认证中心,3、工作流程,一是定级。
包括评审与审批。
二是备案(二级以上信息系统)。
三是系统建设、整改(按条件选择产品)。
四是开展等级测评。
五是信息安全监管部门定期开展监督检查。
上海市信息安全测评认证中心,等级保护的定级环节,上海市信息安全测评认证中心,定级是等级保护工作的首要环节,是开展信息系统建设、整改、测评、备案、监督检查等工作的重要基础,定级结果,上海市信息安全测评认证中心,业务信息安全保护等级(S)。
系统服务安全保护等级(A)。
系统安全保护最终等级MAX(S,A)例:
一个3级系统,定级结果为S3A2,保护类型应该是S3A2G3,等级测评,上海市信息安全测评认证中心,等级测评是指具有相关资质的、独立的第三方测评服务机构,对信息系统的等级保护落实情况与信息安全等级保护相关标准要求之间的符合程度的测试判定。
等级测评是一种标准符合性判定,目前主要基于基本要求进行能力符合性判定。
等级测评流程,上海市信息安全测评认证中心,1、根据定级结果选择基本要求,确定测评指标。
2、其它和信息系统安全测评流程基本一致。
等级测评各要素关系,上海市信息安全测评认证中心,具备,等级测评-基本要求核心思路,上海市信息安全测评认证中心,等级测评-基本要求内容,上海市信息安全测评认证中心,等级测评-基本要求选择,上海市信息安全测评认证中心,一个3级系统,定级结果为S3A2,保护类型应该是S3A2G3第1步:
选择标准中3级基本要求的技术要求和管理要求;第2步:
要求中标注为S类和G类的不变;标注为A类的要求可以选用2级基本要求中的A类作为基本要求;,等级测评-各级别控制点对比,上海市信息安全测评认证中心,等级测评-基本要求示例,上海市信息安全测评认证中心,6.1.2.6网络设备防护(G2)(控制点指标)本项要求包括:
应对登录网络设备的用户进行身份鉴别;应对网络设备的管理员登录地址进行限制;网络设备用户的标识应唯一;身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换;应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
等级测评-测评内容,上海市信息安全测评认证中心,单项测评:
安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况整体测评:
主要测评分析信息系统的整体安全性。
其中,安全控制测评是信息系统整体安全测评的基础。
等级测评-测评单元,上海市信息安全测评认证中心,等级测评FAQ,上海市信息安全测评认证中心,Q1等级测评和系统安全测评有什么区别?
概念:
广义上系统测评包括等级测评。
依据:
等级测评依据基本要求。
等级测评是基线。
操作流程:
等级测评的前提一般是必须按照定级要求结果实施。
我们目前所做的系统安全测评方式相对灵活,同时依据多种标准规范实施。
并可根据实际需求对测评要求作出调整。
Q2等级保护和系统安全测评的关系?
等级保护是国家的一种制度,系统安全测评及行政认可是安全等级保护的落脚点。
ThankYou!
上海市信息安全测评认证中心,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 等级 保护 介绍