文档介绍：信息安全等级保护建设
了解等保政策与技术要求
我司产品如何与等保要求对应关系
培训目的
等级保护政策介绍和建设思路
等保建设方案统一规划
等保项目注意事项
目录
等级保护政策介绍和建设思路
等级保护政策介绍
等级保护政策解读
等级保护建设思路探讨
等保建设方案统一规划
等保项目注意事项
目录
信息安全等级保护制度
信息安全等级保护(以下简称等保)是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
等保的5个监管等级
对象
等级
合法权益
社会秩序和公共利益
国家安全
损害
严重
损害
损害
严重
损害
特别严重损害
损害
严重
损害
特别严
重损害
一般系统
一级
√
二级
√
√
重要系统
三级
√
√
四级
√
√
极端重要系统
五级
√
等保采用分系统定级的方法,当拥有多个信息系统时,需要分别进行定级,并分别进行保护。
在五个监管等级中,三级与四级系统为监管的重点,也是建设的重点。
决定等级的主要因素分析
信息系统所属类型
业务数据类别
信息系统服务范围
业务处理的自动化程度
业务重要性
业务数据安全性
业务处理连续性
业务依赖性
基于业务的重要性和依赖性分析关键要素,确定业务数据安全性和业务处理连续性要求。
业务数据安全性
业务处理连续性
信息系统安全保护等级
根据业务数据安全性和业务处理连续性要求确定安全保护等级。
从等保的定级要求可以看出,等保关注的重点在于业务的可靠性和信息保密性。
不同级别之间保护能力的区别
总体来看,各级系统应对威胁的能力不同,即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后,系统能够恢复之前的各种状态的能力是不同的。
一级具有15个技术目标,16个管理目标;
二级具有29个技术目标,25个管理目标;
三级具有36个技术目标,27个管理目标;
四级具有41个技术目标,28个管理目标。
技术要求的变化包括:
安全要求的增加
安全要求的增强
管理要求的变化包括:
管理活动控制点的增加,每个控制点具体管理要求的增多
管理活动的能力逐步加强,借鉴能力成熟度模型(CMM)
安全
控制
定级指南
过程
方法
确定系统等级
启动
采购/开发
实施
运行/维护
废弃
确定安全需求
设计安全方案
安全
建设
安全
测评
监督
管理
运行
维护
暂不
考虑
特殊需求
等级需求
基本
要求
产品
使用
选
型
监督
管理
测评
准则
流程
方法
监管
流程
应急
预案
应急
响应
等级保护定义的信息安全建设过程
等级保护工作对应完整的信息安全建设生命周期
等级保护建设的一般过程
整改
评估
定级
评测
确定系统或者子系统的安全等级
依据等级要求,对现有技术和管理手段的进行评估,并给出改进建议
针对评估过程中发现的不满足等保要求的地方进行整改
评测机构依据等级要求,对系统是否满足要求进行评测,并给出结论
监管
对系统进行周期性的检查,以确定系统依然满足等级保护的要求