信息安全等级保护测评.pptx

信息平安等级保护测评工作介绍;目录; 信息平安等级保护是国家信息平安保障的根本制度、根本策略、根本方法。开展信息平安等级保护工作是保护信息化开展、维护国家信息平安的根本保障，是信息平安保障工作中国家意志的表达。;1994年，《中华人民共和国计算机信息系统平安保护条例》规定，“计算机信息系统实行平安等级保护，平安等级的划分标准和平安等级保护的具体方法，由公安部会同有关部门制定”。

1999年，强制性国家标准－《计算机信息系统平安保护等级划分准那么》GB-17859〕。

2003年，中办、国办转发的《国家信息化领导小组关于加强信息平安保障工作的意见》〔中办发[2003]27号〕明确指出“实行信息平安等级保护”。“要重点保护根底信息网络和关系国家平安、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息平安等级保护制度，制定信息平安等级保护的管理方法和技术指南”。

2004年，公安部、国家保密局、国家密码管理局、国信办联合印发了《关于信息平安等级保护工作的实施意见》〔66号文件〕

2006年1月，公安部、国家保密局、国家密码管理局、国信办联合制定了《信息平安等级保护管理方法》〔公通字[2006]7号〕

2011年9月，国家电监会印发《关于组织开展电力行业重要管理信息平安等级保护测评试点工作的通知》，要求统一组织开展重要管理信息系统试点测评。

同年，《电力行业信息系统平安等级保护根本要求》出台，至今已更新至V11.0;平安保护等级的划分;〔一〕定级原那么

坚持“自主定级、自主保护”与国家监管相结合的原那么

〔二〕确定需要定级的系统

〔1〕省辖市以上党政机关的重要网站和办公信息系统；

〔2〕电信、广电行业的公用通信网、播送电视传输网等根底信息网络，经营性公众互联网信息效劳单位、互联网接入效劳单位、数据中心等单位的重要信息系统；

〔3〕电力、铁路、银行、海关、税务、民航、证券、保险、外交、科技、开展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统；

〔4〕涉及国家秘密的信息系统。;7;初步确定信息系统等级;公安机关负责信息平安等级保护工作的监督、检查、指导；国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。;1、定级与审批；

2、等级评审；

3、备案；

4、备案管理；

5、系统建设；

6、等级测评；

7、自查自纠；

8、监督检查。;11;是系统平安保护、等级测评的一个根本“标尺”，同样级别的系统使用统一的“标尺”来衡量，保证权威性，是一个达标线；

每个级别的信息系统按照根本要求进行保护后，信息系统具有相应等级的根本平安保护能力，到达一种根本的平安状态；

是每个级别信息系统进行平安保护工作的一个根本出发点，更加贴切的保护可以通过需求分析对根本要求进行补充，参考其他有关等级保护或平安方面的标准来实现；;《根本要求》的组织方式;三类要求之间的关系;安全要求类;16;等级保护重点要求项例举-物理平安;等级保护重点要求项例举-网络平安;等级保护重点要求项例举-主机平安;等级保护重点要求项例举-应用平安;;等级保护重点要求项例举-管理要求;目录;24;25;26;27;28;目录;30;31;32;33;34;35;36;37;38;;40;41;42;43;44;45;;47;48;49;50;51;52;53;54;55;56;57;58;59;60;61;62;63;64;65;66;测评报告应包括但不局限于以下内容：概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。其中，概述局部描述被测系统的总体情况、本次测评的主要测评目的和依据；被测系统描述、测评对象、测评指标、测评内容和方法等局部内容编制时可以参考测评方案相关局部内容，有改动的地方应根据实际测评情况进行修改。;68;69;70;目录;;;工作配合:

资料：

网络拓扑图、资产清单〔网络设备、平安设备、效劳器、数据库等〕、设备台账

现有平安措施以及平安设备的配置文档、网络配置文档、系统配置文档

被测评业务系统设计手册〔系统包括平安设计〕、使用手册、业务流程

信息平安总体策略、方针和战略规划，各种信息平安管理制度、规定、记录表单等

人员配合

信息平安管理人员，信息平安主管部门领导和员工

网络、系统