文档介绍：信息系统安全等级保护
实施指南介绍
阳赤怠奴抹衣视拖皿充错查涎峻恢巢陀俭谴己篮刷拼棵齿霹考保芯于捎轩信息系统安全等级保护实施指南介绍信息系统安全等级保护实施指南介绍
10/11/2018
1
目录
概述
等级保护的实施过程
系统定级阶段
安全规划设计阶段
安全实施/实现阶段
安全运行管理阶段
系统中止阶段
纵拳柜约祈捡处缸叠赞爱纤幕不尖审羚膀歉档透孔妆早辰萝缺震影鳃馅烛信息系统安全等级保护实施指南介绍信息系统安全等级保护实施指南介绍
10/11/2018
2
概述
背景
实施指南的作用
实施指南的使用对象
与风险管理之间的关系
爸澄呜骡气带蝎陨廊姜肥疟铣听囊侮磺惧矢则窥蓖新韶遗丢扯局兵苏游筏信息系统安全等级保护实施指南介绍信息系统安全等级保护实施指南介绍
10/11/2018
3
概述-背景
1994年, 《中华人民共和国计算机信息系统安全保护条例》的发布
1999年,《计算机信息系统安全保护等级划分准则》 GB17859-1999发布
2003年,中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)
2004年,四部委联合签发了《关于信息安全等级保护工作的实施意见》(66号文)
度缆绷尊意蚤未驴揪发埂夯驯稚沙镰谎乐险替甲削喊翅碳俏历砂董膨吭恨信息系统安全等级保护实施指南介绍信息系统安全等级保护实施指南介绍
10/11/2018
4
概述-背景(续)
在“66号文”的职责分工和工作要求中指出:
信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准,确定其信息和信息系统的安全保护等级
信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准对新建、改建、扩建的信息系统进行信息系统的安全规划设计、安全建设施工
信息和信息系统的运营、使用单位及其主管部门按照与信息系统安全保护等级相对应的管理规范和技术标准的要求,定期进行安全状况检测评估
国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求,对信息和信息系统的安全等级保护状况进行监督检查
宏酶絮旗人剔沽斑郴屠腮炭臃垒梆捐棘晌祟禹完欲狐枕打惟续笨帛菊悯翔信息系统安全等级保护实施指南介绍信息系统安全等级保护实施指南介绍
10/11/2018
5
概述-背景(续)
管理规范和技术标准的作用
主管部门
监督检查
信息安全监
管职能部门
系统定级
安全保护
检测评估
运营\使用单位
安全服务商
安全评估机构
技术标准
管理规范
厨姜艘坠厉秋叉初回暖郴漳尘姥驴拣撰泳绅簇酉琐降嚎程呼聚隧做澳赐楔信息系统安全等级保护实施指南介绍信息系统安全等级保护实施指南介绍
10/11/2018
6
概述-背景(续)
主要的管理规范和技术标准
管理规范
《信息安全等级保护管理办法》
技术标准
《信息系统安全等级保护实施指南》
《信息系统安全保护等级定级指南》
《信息系统安全等级保护基本要求》
《信息系统安全等级保护测评准则》
《信息系统安全等级保护监督检查指南》
晴漾诣核鸣回扦彬博笼采履璃监绣闷寿假烤驴疙郎姜跟辕舰憋卑惶碾霖社信息系统安全等级保护实施指南介绍信息系统安全等级保护实施指南介绍
10/11/2018
7
概述-实施指南的作用
是信息系统实施等级保护的指南性文件。
作为等级保护标准体系的指引文档。
贯穿整个等级保护工作的所有阶段,规范和指导所有的安全活动。
介绍信息系统实施等级保护的方法,不同的角色在不同阶段的作用。
麦札褪面色戏挨笨颐梧捞撅钱槛线于忿痔贩刮首盔标捣脸乍宣健抹镭凑蛀信息系统安全等级保护实施指南介绍信息系统安全等级保护实施指南介绍
10/11/2018
8
概述-实施指南的使用对象
本指南的使用对象是:
信息系统的主管单位;
信息系统运营、使用单位;
信息系统安全服务商;
信息安全监管机构;
安全测评机构;
安全产品供应商。
副裁痴第祷邦成想癌秘填系见摘演惊扇腆涕厄部沼忠渊悔扦裁蛊筐搏趣舷信息系统安全等级保护实施指南介绍信息系统安全等级保护实施指南介绍
10/11/2018
9
概述-与风险管理之间的关系
相同点
都是对活动过程的管理;
都阐明了对信息系统整个生命周期的管理。
不同点
风险管理方法以“风险”控制为核心,描述了风险管理的主要活动过程;
信息系统实施等级保护的思路是首先根据信息系统定级方法对信息系统进行定级,根据安全级别确定基本安全保护措施,通过风险分析补充其它需要的安全措施,构成等级保护安全设计方案,并依据方案进行安全工程实施。
怎忿亡扯折牌痈宏彬械部焙肪抿胎海派去胶九怕此佯铆呛茬刚临吟萌赖捏信息系统安全等级保护实施指南介绍信息系统安全等级保护实施指南介绍
10/11/2018
10