等级保护介绍.ppt

LOGOLOGO信息安全等级保护介绍上海市信息安全测评认证中心上海市信息安全测评认证中心系统安全测评是什么为什么凭什么（资质和依据）怎么做（内容和要求、方法和流程）上海市信息安全测评认证中心信息安全等级保护定义及意义13等级保护工作流程4等级测评5常见问题FAQ2政策和标准定义信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件等等级响应、处置。上海市信息安全测评认证中心信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。上海市信息安全测评认证中心促进信息化发展，维护国家信息安全在信息化建设过程中同步建设信息安全设施。为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务。实行国家对重要信息系统进行重点安全保障优化信息安全资源的配置，体现“适度安全、保护重点”的目的，综合平衡安全成本和风险，提高信息安全工作成效。推动信息安全产业的发展按标准建设安全保护措施，建立安全保护制度，落实安全责任，加强监督检查，有效提高我国信息和信息系统安全建设的整体水平。

等级保护的意义上海市信息安全测评认证中心第一级为自主保护级。第二级为指导保护级。会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级为监督保护级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级为强制保护级。会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级为专控保护级。等级保护五个级别上海市信息安全测评认证中心政策和法规依据1994年国务院发布的《中华人民共和国计算机信息系统安全保护条例》“计算机信息系统实行安全等级保护。安全等级划分标准和安全等级保护的具体办法，由公安部会同有关部分制定”2003年中办27号文“抓紧建设信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”2007年公安部，国信办四部委签发的《信息安全等级保护管理办法》（43号文）对等级划分、保护、实施与管理、密码管理、法制责任等问题做了规定。上海市信息安全测评认证中心技术标准《信息安全等级保护管理办法》《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息系统安全等级保护实施指南》《信息系统安全保护等级定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护测评准测》上海市信息安全测评认证中心3、工作流程一是定级。包括评审与审批。二是备案（二级以上信息系统）。三是系统建设、整改（按条件选择产品）。四是开展等级测评。五是信息安全监管部门定期开展监督检查。上海市信息安全测评认证中心等级保护的定级环节定级要素与安全保护等级关系定级原理上海市信息安全测评认证中心受侵害的客体（业务信息or系统服务）对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级确定等级的一般流程4.业务信息安全等级1.确定定级对象5.确定系统服务安全受到破坏时所侵害的客体3.综合评定对客体的侵害程度6.综合评定对客体的侵害程序2.确定业务信息安全受到破坏时所侵害的客体7.系统服务安全等级8.定级对象的安全保护等级定级是等级保护工作的首要环节，是开展信息系统建设、整改、测评、备案、监督检查等工作的重要基础定级结果上海市信息安全测评认证中心业务信息安全保护等级（S）。系统服务安全保护等级（A）。系统安全保护最终等级＝MAX（S，A）例：一个3级系统,定级结果为S3A2，保护类型应该是S3A2G3等级测评上海市信息安全测评认证中心等级测评是指具有相关资质的、独立的第三方测评服务机构，对信息系统的等级保护落实情况与信息安全等级保护相关标准要求之间的符合程度的测试判定。等级测评是一种标准符合性判定，目前主要基于《基本要求》进行能力符合性判定。等级测评流程上海市信息安全测评认证中心1、根据定级结果选择基本要求，确定测评指标。2、其它和信息系统安全测评流程基本一致