《等级保护标准体系及各个工作环节标准应用-测评师培训.pptx》由会员分享,可在线阅读,更多相关《等级保护标准体系及各个工作环节标准应用-测评师培训.pptx(99页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、安全等安全等级级保保护护政策政策标标准准主要主要工工作作环环节节及相及相关关标标准准应应用用安全等安全等级级保保护护培培训训 中国人民共和国国家安全法中国人民共和国国家安全法已已由由中国中国人人民共民共和国第十二届全国人民代表大会常和国第十二届全国人民代表大会常务务委委员员会会第二第二 十四次会十四次会议议与与2016年年11月月7日通日通过过,现现予公布予公布,自自2017年年6月月1日起施行日起施行。目目录录等等级级保保护护政策体系及政策体系及主主要文件要文件等等级级保保护标护标准体系及准体系及主主要要标标准准等等级级保保护护工作工作过过程及程及标标准准应应用用目目录录等等级级保保护护政策
2、体系及政策体系及主主要文件要文件等等级级保保护标护标准体系及准体系及主主要要标标准准等等级级保保护护工作工作过过程及程及标标准准应应用用国国务务院院147号令号令中国人民共和国中国人民共和国计计算机信息系算机信息系统统安安全保全保护护条例条例(国(国务务院院令令147号)【号)【1994】第九条第九条“计计算机信息系算机信息系统实统实行行安安全等全等级级保保护护。安安 全等全等级级的的划分划分标标准和安准和安全全等等级级保保护护的的具具体体办办法法,由,由公安部会同有公安部会同有关关部部门门制制定定。”中中办办发发200327号文号文国家信息化国家信息化领导领导小小组组关于加关于加强强信信息息
3、安全安全保保障工障工作的意作的意见见(中(中办发办发200327号)号)进进一步明确要求一步明确要求“抓抓紧紧建建立信立信息息安全安全等等级级 保保护护制度制度”公通字公通字200466号文号文关于信息安全等关于信息安全等级级保保护护工作的工作的实实施施意意见见(公通字公通字200466号)号)“加快信息安全等加快信息安全等级级保保护护管理与管理与技技术标术标准准的制定的制定 和完善和完善,其他,其他现现行的相关行的相关标标准准规规范范中中与等与等级级保保 护护管理管理规规范和技范和技术标术标准不相适准不相适应应的的,应应当当进进行行 调调整。整。”公通字公通字200743号文号文信息安全等信
4、息安全等级级保保护护管理管理办办法法公公通通字字200743号)号)规规定了信息安全等定了信息安全等级级保保护护的五个的五个动动作作一是:定一是:定级级。二是:二是:备备案。案。三是:系三是:系统统建建设设、整改。、整改。四是:开展等四是:开展等级测评级测评。五是:信息安全五是:信息安全监监管部管部门门定期开展定期开展监监督督检查检查等级保护制度根根据信息据信息系系统统在国在国家家安全、安全、经经济济建建设设、社社会会生生活活中中的的重重要要程程度度;遭遭到到破破坏坏后后对对国国家家安安全全、社社会会 秩秩序序、公公共共利利益益以以及及公公民民、法法人人和和其其他他组组织织的的合合法法 权权益
5、益的的危危害害程程度度;将将信信息息系系统统划划分分为为不不同同的的安安全全保保 护护等等级级并并对对其其实实施施不不同同的的保保护护和和监监管管。等级保护制度分分级级保保护护信息信息的的重要程度决定重要程度决定级别级别,分三,分三级级。保密局。保密局负责负责。等等级级保保护护业务业务系系统统的重要程度;遭到破坏后的危害程度决定的重要程度;遭到破坏后的危害程度决定级别级别,分五分五级级。公安部。公安部负责负责。等等级级保保护护政政策策体系体系近几年,公安部根据国近几年,公安部根据国务务院院147号令的授号令的授权权,会会同同国国家家保保密密局局、国国家家密密码码管管理理局局、发发改改委委、原原
6、国国务务院院信信息息办办出出台台了了一一些些文文件件,公公安安部部对对有有些些 具具体体工工作作出出台台了了一一些些指指导导意意见见和和规规范范,构构成成了了信信 息安全等息安全等级级保保护护政策体系。政策体系。法律政策体系法律政策体系12级级级级 测测保保 评评护护(工工测测 公作公作评评关关 信的体信的体于于 安通系安通系推推 知建知建动动 设设信信和和息息 开开安安 展展全全 等等等等2010303号号)管理管理办办法法(43号文)号文)规规定的定的等等级级保保护护工作工作一是:定一是:定级级。二是:二是:备备案。案。三是:系三是:系统统建建设设、整改。、整改。四是:开展等四是:开展等级
7、测评级测评。五是:信息安全五是:信息安全监监管部管部门门定期开展定期开展监监督督检查检查监督检查定级备案建设整改等级测评-14-全国公安机关网全国公安机关网络络安全保安全保卫卫部部门门机机构构和和职责职责机构:机构:公安部:网公安部:网络络安全保安全保卫卫局局各省:网各省:网络络警察警察总队总队地市:网地市:网络络警察支警察支队队区区县县:网:网络络警察大警察大队队部分部分职责职责:制定信息安全政策制定信息安全政策打打击击网网络违络违法犯罪法犯罪互互联联网安全管理网安全管理重要信息系重要信息系统统安全安全监监察察网网络络与信息安全信息通与信息安全信息通报报安全等安全等级级保保护护2.0时时代代
8、网网络络安全法安全法网络安全等级保护条例关键信息基础设施保护条例目目录录等等级级保保护护政策体系及政策体系及主主要文件要文件等等级级保保护标护标准体系及准体系及主主要要标标准准等等级级保保护护工作工作过过程及程及标标准准应应用用等等级级保保护标护标准体系准体系 公公安安部部牵牵头头会会同同有有关关部部门门制制定定、梳梳理理和和完完善善了了 信信息息安安全全等等级级保保护护配配套套技技术术标标准准共共100多多个个,有有效效地地支支持持了了信信息息安安全全等等级级保保护护的的系系统统定定级级、安安全全建建设设、等等级级测测评评等等主主要要工工作作,后后续续的的信信息息 安全等安全等级级保保护护相
9、关相关标标准准还还在不断制在不断制定定过过程程中中。技技术术类类管管理理类类信息系信息系统统通用安全通用安全 技技术术要求要求信息系信息系统统安全安全 管理要求管理要求产产品品类类操作系操作系统统安全技安全技术术 要求要求标标准体系准体系信息系信息系统统安全等安全等级级保保护护基本要求基本要求信息系信息系统统安全安全等等级级保保护护定定级级指南指南信息系信息系统统安全安全等等级级保保护护基基本要本要求求的的行行业业细细则则评评信信 过过息息 程程系系 指指统统 南南安安全全 等等 级级 保保护护 测测评评信信 要要息息 求求系系统统 安安 全全 等等 级级 保保 护护 测测信信 息息 系系 统
10、统 等等 级级 保保 护护 安安 全全 设设 计计 技技 术术 要要 求求信息系信息系统统安全安全等等级级保保护护行行业业定定级级细则细则安全等安全等级级基基线线要求要求状状 况况 分分 析析方方 法法 指指 导导信信 息息 系系 统统 安安 全全 等等 级级 保保 护护 实实 施施 指指 南南信息安全等信息安全等级级 保保护护安全建安全建设设 整改工作整改工作等级保护工作中用到的主要标准信息安全等信息安全等级级保保护护管理管理办办法法(43号文号文件件)()(上上位文位文件件)计计算算机信息系机信息系统统安全保安全保护护等等级级划划分准分准则则G B17859-1999(上上位位标标准准)信
11、息系信息系统统安全保安全保护护等等级级定定级级指指南南G B/T22240-2008信息系信息系统统安全等安全等级级保保护护基基本要本要求求G B/T22239-2008信息系信息系统统等等级级保保护护安全安全设设计计要要求求G B/T25070-2010信息系信息系统统安全等安全等级级保保护护测测评评要要求求G B/T28448-2012信息系信息系统统安全等安全等级级保保护护测测评过评过程程指南指南G B/T28449-2012网网络络安全法安全法21 国国家家实实行行网网络络安安全全等等级级保保护护制制度度。应应当当按按 照照网网络络安安全全等等级级保保护护制制度度的的要要求求,履履行行
12、安安 全全保保护护义义务务,保保障障网网络络免免受受干干扰扰、破破环环或或 者者未未经经授授权权的的访访问问,防防止止网网络络数数据据泄泄露露或或 者被窃取、者被窃取、篡篡改。(第改。(第20条)条)网网络络安全法安全法22 国国家家对对一一旦旦遭遭到到破破坏坏、丧丧失失功功能能或或者者数数据据 泄露,可能泄露,可能严严重危害国重危害国家家安全安全、国国计计民民生生、公公共共利利益益的的关关键键信信息息基基础础设设施施,在在网网络络 安安全全等等级级保保护护制制度度的的基基础础上上,实实行行重重点点保保 护护。(第(第29条)条)网网络络安全法安全法第二十一条明确要求第二十一条明确要求:国家国
13、家实实行网行网络络安安全等全等级级保保护护制制度度。中中央央关关于于加加强强社社会会治治安安防防控控体体系系建建设设的的意意见见、公公安安改改革革 若若干干重重大大问问题题的的框框架架意意见见要要求求“健健全全完完善善信信息息安安全全等等级级 保保护护制制度度”。习习近近平平总总书书记记等等中中央央领领导导批批示示要要求求:健健全全完完善善以以保保护护国国 家家关关键键信信息息基基础础设设施施安安全全为为重重点点的的网网络络安安全全等等级级保保护护制制 度。度。国家等国家等级级保保护护制制度度进进入入2.0时时代代23构构建新的建新的法法律、政律、政策策体体系系构构建新的建新的标标准体准体系系
14、构构建新的建新的技技术术支撑支撑体体系系构构建新的建新的人人才才队队伍伍体体系系构构建新的建新的教教育育训练训练体体系系构构建新的建新的保保障体障体系系新新时时期期国家国家等等级级保保护护制度制度需需要开要开展展的工的工作作24安全等安全等级级保保护护的的标标准体系准体系25等等级级保保护护条例(制条例(制订订中中)(总总要求要求/上位文件)上位文件)划分准划分准则则(GB 17859-1999)()(上位上位标标准)准)实实施指南施指南(GB/T25058)()(修修订订)定定级级指南(指南(GB/T22240)()(修修订订)基本要求(基本要求(GB/T22239)()(修修订订)设计设计
15、要求(要求(GB/T25070)()(修修订订)测评测评要求(要求(GB/T28448)()(修修订订)测评过测评过程指南程指南(GB/T28449)()(修修订订)关关键键信息基信息基础设础设施施26 关关键键基基础设础设施,指的是公共通信和信息服施,指的是公共通信和信息服务务、能源、能源、交交通通、水水利利、金金融融、公公共共服服务务、电电子子政政务务等等重重要要 行行业业和和领领域域运运行行的的信信息息系系统统或或工工业业控控制制系系统统。这这些些 系系统统一一旦旦发发生生网网络络安安全全事事故故,可可能能影影响响重重要要行行业业正正 常常运运行行,对对国国家家政政治治、经经济济、科科技
16、技、社社会会、文文化化、国国防防、环环境境及及人人民民生生命命财财产产等等造造成成严严重重损损失失,严严重重 危害国危害国计计民生、公共利益和国家安民生、公共利益和国家安全全。等等级级保保护护对对象象27保保护护对对象象级别级别重要重要性程度性程度监监督督管理管理强强度等度等级级第一第一级级一般一般系系统统自主自主保保护级护级第二第二级级一般一般系系统统指指导导保保护级护级第三第三级级重要重要系系统统/关关键键信息基信息基础础设设施施监监督督保保护级护级第四第四级级关关键键信息信息基基础设础设施施强强制制保保护级护级第五第五级级关关键键信息信息基基础设础设施施专专控控保保护级护级1、新等、新等
17、级级保保护标护标准的准的变变化化-名称的名称的变变化化28原来:原来:信息系信息系统统安全等安全等级级保保护护基本要基本要求求改改为为:信息安全等信息安全等级级保保护护基本要基本要求求再改再改为为:(与网(与网络络安全安全法法保持一致)保持一致)网网络络安全等安全等级级保保护护基本要基本要求求2、新等、新等级级保保护标护标准的准的变变化化-等等级级保保护护对对象象29原来:信息系原来:信息系统统改改为为:等等级级保保护对护对象象(网(网络络和和信息系信息系统统)安全等安全等级级保保护护的的对对象包括通信网象包括通信网络络设设施(广施(广 电电网、网、电电信网、信网、专专用通信网用通信网络络等)
18、等)、云云计计算算 平台平台/系系统统、大数据平、大数据平台台/系系统统、物、物联联网、工网、工 业业控制系控制系统统、采用移、采用移动动互互联联技技术术的系的系统统等等.3、新等、新等级级保保护标护标准准的的变变化化-安安全全要求要求的的变变化化30原来:安全要求原来:安全要求改改为为:安全通用要求和安全:安全通用要求和安全扩扩展要求展要求安安全全通通用用要要求求是是不不管管等等级级保保护护对对象象形形态态如如何何 必必须须满满足足的的要要求求,针针对对云云计计算算、移移动动互互联联、物物联联网网和和工工业业控控制制系系统统提提出出了了特特殊殊要要求求,称称 为为安全安全扩扩展要求展要求.4
19、、新等、新等级级保保护标护标准的准的变变化化-章章节节结结构构的的变变化化318 第三第三级级安全要求安全要求8.1 安全通用要求安全通用要求8.2 云云计计算安全算安全扩扩展要求展要求8.3 移移动动互互联联安全安全扩扩展要求展要求8.4 物物联联网安全网安全扩扩展要求展要求8.5 工工业业控制系控制系统统安全安全扩扩展要求展要求5.调调整整了控制措施的分了控制措施的分类结类结构构32结结构和分构和分类调类调整整为为:技术部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和 数据安全;管理部分:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理5.再次再次调调整控制措
20、施的分整控制措施的分类结类结构构33技术部分:安全物理环境、安全通信网络、安全区域边界、安全计 算环境、安全管理中心管理部分:安全管理制度、安全管理机构、安全管理人员、安全建 设管理、安全运维管理6.增加了云增加了云计计算安全算安全扩扩展要求展要求34 云云计计算安全算安全扩扩展要求章展要求章节针对节针对云云计计算的特点提出特算的特点提出特殊殊保保护护要要求求。对对云云计计算算环环境境主主要要增增加加的的内内容容包包括括“基基础础设设施施的的位位置置”、“虚虚拟拟化化安安全全保保护护”、“镜镜像像 和快照保和快照保护护”、“云服云服务务商商选择选择”和和“云云计计算算环环境境管理管理”等方面等
21、方面。7.增加了移增加了移动动互互联联安全安全扩扩展要求展要求35 移移动动互互联联安全安全扩扩展要求章展要求章节针对节针对移移动动互互联联的特点提的特点提出出特特殊殊保保护护要要求求。对对移移动动互互联联环环境境主主要要增增加加的的内内容容 包包括括“无无线线接接入入点点的的物物理理位位置置”、“移移动动终终端端管管控控 ”、“移移动应动应用管控用管控”、“移移动应动应用用软软件采件采购购”和和“移移动应动应用用软软件开件开发发”等方面。等方面。8.增加了物增加了物联联网安全网安全扩扩展要求展要求36 物物联联网安全网安全扩扩展要求章展要求章节针对节针对物物联联网的特点提出特网的特点提出特殊
22、殊保保护护要要求求。对对物物联联网网环环境境主主要要增增加加的的内内容容包包括括“感感知知节节点点的的物物理理防防护护”、“感感知知节节点点设设备备安安全全”、“感知网关感知网关节节点点设备设备安全安全”、“感知感知节节点的管理点的管理”和和“数据融合数据融合处处理理”等方面。等方面。9.增加了工增加了工业业控制系控制系统统安全安全扩扩展要求展要求37工工业业控制系控制系统统安全安全扩扩展展要要求章求章节节针对针对工工业业控控制制系系统统的的特点特点提提出出特特殊殊保保护护要要求求。对对工工业业控控制制系系统统主主要要增增加加的的内内容容包包括括“室室外外控控 制制设设备备防防护护”、“工工业
23、业控控制制系系统统网网络络架架构构安安全全”、“拨拨号号使使用用 控制控制”、“无无线线使用控使用控制制”和和“控制控制设设备备安安全全”等等方方面,面,针针对对工工业业控制系控制系统实时统实时性要性要求求高的高的特特点点调调整整了了“漏漏洞和洞和风风险险管管理理”和和“恶恶意代意代码码防范管理防范管理”方面方面的的要求。要求。10.增加了增加了应应用用场场景的景的说说明明38 增加附增加附录录C 描述等描述等级级保保护护安全框架和关安全框架和关键键技技术术,增,增加加附附录录D描描述述云云计计算算应应用用场场景景,附附录录E描描述述移移动动互互联联 应应用用场场景景,附附录录F描描述述物物联
24、联网网应应用用场场景景,附附录录G描描述述 工工业业控制系控制系统应统应用用场场景。景。关关键键信息基信息基础设础设施保施保护标护标准体系准体系39关关键键信息基信息基础设础设施保施保护护条条例例(征求意(征求意见见稿稿)(总总要求要求/上位文件)上位文件)关关键键信息基信息基础设础设施安全保施安全保护护要要求求(征求意(征求意见见稿)稿)关关键键信息基信息基础设础设施安全控制要施安全控制要求求(征求意(征求意见见稿)稿)关关键键信息基信息基础设础设施安全控制施安全控制评评估方估方法法(征求意(征求意见见稿)稿)关关键键信息基信息基础设础设施的保施的保护护要求要求40关关键键信信息息基基础础设
25、设施施,在在网网络络安安全全等等级级保保护护 制制度度的的基基础础上上,实实行行重重点点保保护护。(网网络络安安 全法)全法)关关键键信信息息基基础础设设施施,在在实实现现网网络络安安全全等等级级 保保护护相相关关要要求求的的基基础础上上,增增加加实实现现更更强强的的 要求要求。41目录等等级级保保护护工工作的作的实实施施定定级级备备案案建建设设整改整改等等级测评级测评监监督督检查检查监督检查定级备案建设整改等级测评-43-定定级级使用的使用的标标准准信息系信息系统统安全等安全等级级保保护护定定级级指南指南 GB/T22240-2008网网络络安全等安全等级级保保护护定定级级指指南南GB/T2
26、2240-XXXX等级的概念信息信息系系统统重重要要程程度度等等级级安全安全保保护护能能力力等等级级等级的概念-重要程度等级 在在管管理理办办法法中中,明明确确了了“信信息息系系统统的的安安全全 保保护护等等级级应应当当根根据据信信息息系系统统在在国国家家安安全全、经经济济 建建设设、社社会会生生活活中中的的重重要要程程度度,信信息息系系统统遭遭到到 破破坏坏后后对对国国家家安安全全、社社会会秩秩序序、公公共共利利益益以以及及 公公民民、法法人人和和其其他他组组织织的的合合法法权权益益的的危危害害程程度度 等等因素确因素确定定”等级的概念-重要程度等级第二第二级级信息系信息系统统信信息息系系统
27、统受受到到破破坏坏后后,会会对对公公民民、法法人人和和其其他他组组织织的的 合合法法权权益益产产生生严严重重损损害害,或或者者对对社社会会秩秩序序和和公公共共利利益益 造成造成损损害,但不害,但不损损害国家安全。害国家安全。第三第三级级信息系信息系统统信信息息系系统统受受到到破破坏坏后后,会会对对公公民民、法法人人和和其其他他组组织织的的 合合法法权权益益产产生生特特别别严严重重损损害害,或或对对社社会会秩秩序序和和公公共共利利 益造成益造成严严重重损损害,或者害,或者对对国家安全造成国家安全造成损损害害等级的概念-安全保护能力等级基本要基本要求求给给出出了了安全保安全保护护能力的能力的新新定
28、定义义一一级级安全安全保保护护能能力力二二级级安全安全保保护护能力能力三三级级安全安全保保护护能能力力四四级级安全安全保保护护能能力力等级的概念-安全保护能力等级 第第三三级级安安全全保保护护能能力力:信信息息系系统统在在统统一一的的安安全全保保护护策策略略下下具具有有抵抵 御御大大规规模模、较较强强恶恶意意攻攻击击的的能能力力,抵抵抗抗较较为为严严重重的的自自然然灾灾害害的的能能 力力,防防范范计计算算机机病病毒毒和和恶恶意意代代码码危危害害的的能能力力;具具有有检检测测、发发现现、报报警警、记记录录入入侵侵行行为为的的能能力力;具具有有对对安安全全事事件件进进行行响响应应处处置置,并并 能
29、能够够追追踪踪安安全全责责任任的的能能力力;在在系系统统遭遭到到损损害害后后,具具有有能能够够较较快快恢恢 复复正正常常运运行行状状态态的的能能力力;对对于于服服务务保保障障性性要要求求高高的的系系统统,应应能能快快 速速恢恢复复正正常常运运行行状状态态;具具有有对对系系统统资资源源、用用户户、安安全全机机制制等等进进行行 集中控管集中控管的能力的能力等级的概念-相互之间的关系信息信息系系统统级级别别信息信息系系统统重重要性要性安全安全保保护护能能力力级别级别管理管理强强度度第一第一级级一般一般信息系信息系统统一一级级安全安全保保护护能力能力自主自主保保护护第二第二级级一般一般信息系信息系统统
30、二二级级安全安全保保护护能力能力指指导导保保护护第三第三级级重要信息系重要信息系统统/关关键键信信息基息基础设础设施施三三级级安全安全保保护护能力能力监监督督保保护护第四第四级级关关键键信信息基息基础设础设施施四四级级安全安全保保护护能力能力强强制制保保护护第五第五级级关关键键信信息基息基础设础设施施未公布未公布专专控控保保护护定定级级五个等五个等级级的定的定义义第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生 严重损害,或者对社会秩序和公共利益造成损害,但不损害国家
31、安全。第三级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生 特别严重损害,或对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。定定级级原原理理-原来原来受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权 益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级定定级级原原理理-最新最新受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的
32、合法权 益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级定定级过级过程中的程中的“S”、“A”信息系信息系统统安全包括安全包括业务业务信息安全和信息安全和系系统统服服务务安全安全S:业务业务信息安全信息安全A:系:系统统服服务务安全安全3、综综合合评评定定对对客体的侵害程度客体的侵害程度2、确定、确定业务业务信息安全受到破坏信息安全受到破坏时时所侵害所侵害 的客体的客体6、综综合合评评定定对对客体的侵害程度客体的侵害程度5、确定系、确定系统统服服务务安全受到破坏安全受到破坏时时所侵害所侵害的客体的客体7、系、系统统服服务务安全等安全等级级4、业务业务信息安全等
33、信息安全等级级8、定、定级对级对象的安全保象的安全保护护等等级级1、确定定、确定定级对级对象象可能的系统级别第一第一级级 S1A1第二第二级级 S1A2,S2A2,S2A1 第三第三级级 S1A3,S2A3,S3A3,S3A2,S3A1 第四第四级级 S1A4,S2A4,S3A4,S4A4,S4A3,S4A2,S4A1目录等等级级保保护护工工作作过过程程及及标标准准应应用用定定级级备备案案建建设设整改整改等等级测评级测评监监督督检查检查监督检查定级备案建设整改等级测评-57-备备案依据的文件案依据的文件 信息安全等信息安全等级级保保护备护备案案实实施施细细则则(公信(公信安安【2007】136
34、0号)号)备备案案 第第二二级级以以上上信信息息系系统统,由由信信息息系系统统运运营营使使 用用单单位位(备备案案单单位位)到到地地市市级级以以上上公公安安机机 关关网网络络安安全保全保卫卫部部门门办办理理备备案案手手续续,填写,填写信息系信息系统统安全等安全等级级保保护护备备案案表表。备备案案 跨省或者全国跨省或者全国统统一一联联网网运运行的行的信信息系息系统统在在各各地地运运行行、应应用用的的分分支支系系统统,由由所所在在地地地地 市市级级以以上上公公安安机机关关网网络络安安全全保保卫卫部部门门受受理理 备备案。案。备备案案 各部委各部委统统一定一定级级信息系信息系统统在各在各地地的分的分
35、支支系系统统,即使是上,即使是上级级主管部主管部门门定定级级的的,也,也要要到到 当地公安网当地公安网络络安全保安全保卫卫部部门备门备案案。备备案案信息系信息系统统安全等安全等级级保保护备护备案案表表:1、单单位基本情况位基本情况2、信息系、信息系统统情况情况3、信息系信息系统统定定级级情况情况4、第三、第三级级以上信息系以上信息系统统提交材料情况提交材料情况备备案案接收接收备备案材料后,案材料后,对对下列内容下列内容进进行行审审核:核:(一)一)备备案材料案材料填填写是否写是否完完整整,是,是否否符合符合要要求求,其其纸质纸质材料和材料和电电子文档是否一致;子文档是否一致;(二)二)信息系信
36、息系统统所定安全保所定安全保护护等等级级是是否准否准确确。备备案案公公安安机机关关受受理理备备案案,按按照照信信息息安安全全等等 级级保保护护备备案案实实施施细细则则要要求求,对对备备案案材材料料 进进行行审审核核,定定级级准准确确、材材料料符符合合要要求求的的颁颁 发发由公安部由公安部统统一一监监制的制的备备案案证证明明。总结总结-定定级备级备案基本流程案基本流程1、用、用户户初步定初步定级级2、编编写定写定级报级报告告3、专专家定家定级评审级评审4、填写填写备备案表案表5、提交、提交备备案材料案材料6、收到收到备备案案证证明明目录等等级级保保护护工工作作过过程程及及标标准准应应用用定定级级
37、备备案案建建设设整改整改等等级测评级测评监监督督检查检查监督检查定级备案建设整改等级测评-67-建建设设整改使用的整改使用的标标准准信息系信息系统统安全等安全等级级保保护护基本要基本要求求GB/T22239-2008网网络络安全等安全等级级保保护护基本要基本要求求GB/T22239-XXXX安全建安全建设设整改的目的整改的目的使确定了等使确定了等级级的信息系的信息系统统能能够够达到达到相相应应等等级级的的基本的保基本的保护护水平和水平和满满足自身需求的足自身需求的安安全保全保护护能力。能力。第一级信息系统安全保护能力 经过经过安全建安全建设设整改,信息系整改,信息系统统具有具有抵御抵御一般一般
38、性性攻攻击击的的能能力力,防防范范常常见见计计算算机机病病毒毒和和恶恶意意 代代码码危危害害的的能能力力;系系统统遭遭到到损损害害后后,具具有有恢恢 复系复系统统主要功能的能力主要功能的能力。第二级信息系统安全保护能力 经过经过安安全全建建设设整整改改,信息,信息系系统统具有具有抵抵御御小小规规模模、较较弱弱强强度度恶恶意攻意攻击击的能力,抵抗一的能力,抵抗一般般的自的自然然灾灾 害的能力,防范害的能力,防范一般性一般性计计算机病毒算机病毒和和恶恶意意代代码码 危害的能力;具有危害的能力;具有检测检测常常见见的攻的攻击击行行为为,并并对对 安全事件安全事件进进行行记录记录的能力;系的能力;系统
39、统遭遭到到损损害害后后,具有恢复系具有恢复系统统正常运行状正常运行状态态的能力。的能力。第三级信息系统安全保护能力 经经过过安安全全建建设设整整改改,信信息息系系统统在在统统一一的的安安全全保保护护策策略略下下 具具有有抵抵御御大大规规模模、较较强强恶恶意意攻攻击击的的能能力力,抵抵抗抗较较为为严严重重 的的自自然然灾灾害害的的能能力力,防防范范计计算算机机病病毒毒和和恶恶意意代代码码危危害害的的 能能力力;具具有有检检测测、发发现现、报报警警、记记录录入入侵侵行行为为的的能能力力;具具有有对对安安全全事事件件进进行行响响应应处处置置,并并能能够够追追踪踪安安全全责责任任的的 能能力力;在在系
40、系统统遭遭到到损损害害后后,具具有有能能够够较较快快恢恢复复正正常常运运行行 状状态态的的能能力力;对对于于服服务务保保障障性性要要求求高高的的系系统统,应应能能快快速速 恢恢复复正正常常运运行行状状态态;具具有有对对系系统统资资源源、用用户户、安安全全机机制制 等等进进行行集中控管集中控管的能力。的能力。第四级信息系统安全保护能力 经过经过安全建安全建设设整改,信息系整改,信息系统统在在统统一的安全保一的安全保护护策略下策略下 具有抵御具有抵御敌对势敌对势力有力有组织组织的大的大规规模模攻攻击击的能力,抵抗的能力,抵抗严严 重的自然灾害的能力,防范重的自然灾害的能力,防范计计算机病毒和算机病
41、毒和恶恶意代意代码码危害危害 的能力;具有的能力;具有检测检测、发现发现、报报警、警、记录记录入侵行入侵行为为的能力;的能力;具有具有对对安全事件安全事件进进行行快速响快速响应处应处置置,并能,并能够够追踪安全追踪安全责责 任的能力;在系任的能力;在系统统遭到遭到损损害后,具有能害后,具有能够较够较快恢复正常快恢复正常 运行状运行状态态的能力;的能力;对对于服于服务务保障性要求高的系保障性要求高的系统统,应应能能 立即恢立即恢复复正常运行状正常运行状态态;具有;具有对对系系统资统资源、用源、用户户、安全、安全 机制等机制等进进行集中控管的能力行集中控管的能力建建设设整改整改-安全保安全保护护等
42、等级级和安全保和安全保护护能力等能力等级级信息系统级别重要性安全保护能力级别第一级一般信息系统一级安全保护能力第二级一般信息系统二级安全保护能力第三级重要信息系重要信息系统统/关关键键信信息基息基础设础设施施三级安全保护能力第四级重要信息系重要信息系统统/关关键键信信息基息基础设础设施施四级安全保护能力第五级重要信息系重要信息系统统/关关键键信信息基息基础设础设施施未公布信息系信息系统统安全等安全等级级保保护护基基本要求本要求基本要求文档基本要求文档结结构构物物 理理 安安 全全技技术术要求要求管理要求管理要求基本要求基本要求数数份份据据网网 主主 应应络络 机机 用用 恢恢安安 安安 安安
43、安安全全 全全 全全 全全 复复及及备备安安 全全 管管 理理 制制 度度安安人人系系全全员员统统管管安安建建理理全全设设机机管管管管构构理理理理系系 统统 运运 维维 管管 理理-76-新新标标准准结结构构771范范围围2规规范性引用文件范性引用文件3术语术语和定和定义义4缩缩略略语语5网网络络安全等安全等级级保保护护概述概述5.1等等级级保保护对护对象象5.2不同不同级别级别的安全保的安全保护护能力能力5.3安全通用要求和安全安全通用要求和安全扩扩展要求展要求6 第三第三级级安全要求安全要求6.1 安全通用要求安全通用要求6.2 云云计计算安全算安全扩扩展要求展要求6.3 移移动动互互联联
44、安全安全扩扩展要求展要求6.4 物物联联网安全网安全扩扩展要求展要求6.5 工工业业控制系控制系统统安全安全扩扩展要求展要求新新标标准准结结构构78安全通用要求分安全通用要求分类类物物 理理 和和 环环 境境 安安 全全技技术术要求要求管理要求管理要求基本要求基本要求网网设设应应络络备备用用和和和和和和通通计计数数信信算算据据安安安安安安全全全全全全安安安安全全全全策策管管略略理理和和机机管管构构理理和和制制人人度度员员安安 全全 建建 设设 管管 理理安安 全全 运运 维维 管管 理理-79-最新安全要求分最新安全要求分类类安安 全全 物物 理理 环环 境境技技术术要求要求管理要求管理要求安
45、安安安安安全全全全全全通通区区计计信信域域算算网网边边环环络络界界境境安安 安安 安安 安安 全全 全全 全全 全全 管管 管管 建建 运运 理理 理理 设设 维维 机机 人人 管管 管管 构构 员员 理理 理理-80-基本要求基本要求安安 全全 管管 理理 中中 心心安安 全全 管管 理理 制制 度度物理和物理和环环境安全境安全分分类类原有控制点原有控制点新的控制点新的控制点1物理安全物理安全物理位置物理位置选择选择1物理和物理和环环境安全境安全物理位置的物理位置的选择选择2物理物理访问访问控制控制2物理物理访问访问控制控制3防盗窃和防破坏防盗窃和防破坏3防盗窃和防破坏防盗窃和防破坏4防雷防
46、雷击击4防雷防雷击击5防火防火5防火防火6防水和防潮防水和防潮6防水和防潮防水和防潮7防静防静电电7防静防静电电8温湿度控制温湿度控制8温湿度控制温湿度控制9电电力供力供应应9电电力供力供应应10电电磁防磁防护护10电电磁防磁防护护安全物理安全物理环环境(最新)境(最新)分分类类原有控制点原有控制点新的控制点新的控制点1物理和物理和环环境安全境安全物理位置物理位置选择选择1安全物理安全物理环环境境物理位置的物理位置的选择选择2物理物理访问访问控制控制2物理物理访问访问控制控制3防盗窃和防破坏防盗窃和防破坏3防盗窃和防破坏防盗窃和防破坏4防雷防雷击击4防雷防雷击击5防火防火5防火防火6防水和防潮
47、防水和防潮6防水和防潮防水和防潮7防静防静电电7防静防静电电8温湿度控制温湿度控制8温湿度控制温湿度控制9电电力供力供应应9电电力供力供应应10电电磁防磁防护护10电电磁防磁防护护网网络络和通信安全和通信安全分分类类原有控制点原有控制点新的控制点新的控制点1网网络络安全安全结结构安全构安全1网网络络和通信安全和通信安全网网络络架构架构2访问访问控制控制2通信通信传输传输3安全安全审计审计3边边界防界防护护4边边界完整性界完整性检查检查4访问访问控制控制5入侵防范入侵防范5入侵防范入侵防范6恶恶意代意代码码防范防范6恶恶意代意代码码防范防范7网网络设备络设备防防护护7安全安全审计审计8集中管控集
48、中管控安全通信网安全通信网络络(最新)(最新)分分类类原有控制点原有控制点新的控制点新的控制点1网网络络和通信安全和通信安全网网络络架构架构1安全通信网安全通信网络络网网络络架构架构2通信通信传输传输2通信通信传输传输3边边界防界防护护4访问访问控制控制5入侵防范入侵防范6恶恶意代意代码码防范防范7安全安全审计审计8集中管控集中管控3安全区域安全区域边边界(最新)界(最新)分分类类原有控制点原有控制点新的控制点新的控制点1网网络络和通信安全和通信安全网网络络架构架构安全区域安全区域边边界界2通信通信传输传输3边边界防界防护护1边边界防界防护护4访问访问控制控制2访问访问控制控制5入侵防范入侵防
49、范3入侵防范入侵防范6恶恶意代意代码码防范防范4恶恶意代意代码码防范防范7安全安全审计审计5安全安全审计审计8集中管控集中管控6安全管理中心(最新)安全管理中心(最新)分分类类原有控制点原有控制点新的控制点新的控制点1网网络络和通信安全和通信安全网网络络架构架构1安全管理中心安全管理中心系系统统管理管理2通信通信传输传输2审计审计管理管理3边边界防界防护护3安全管理安全管理4访问访问控制控制5入侵防范入侵防范6恶恶意代意代码码防范防范7安全安全审计审计8集中管控集中管控4集中管控集中管控设备设备和和计计算安全算安全分分类类原有控制点原有控制点新的控制点新的控制点1主机安全主机安全身份身份鉴别鉴
50、别1设备设备和和计计算安全算安全身份身份鉴别鉴别2安全安全标记标记2访问访问控制控制3访问访问控制控制3安全安全审计审计4可信路径可信路径4入侵防范入侵防范5安全安全审计审计5恶恶意代意代码码防范防范6剩余信息保剩余信息保护护6资资源控制源控制7入侵防范入侵防范8恶恶意代意代码码防范防范9系系统资统资源控制源控制应应用和数据安全用和数据安全分分类类原有控制点原有控制点新的控制点新的控制点1应应用安全用安全身份身份鉴别鉴别1应应用和数据安全用和数据安全身份身份鉴别鉴别2安全安全标记标记2访问访问控制控制3访问访问控制控制3安全安全审计审计4可信路径可信路径4软软件容件容错错5安全安全审计审计5资