文档介绍:三级等保系统整改解决方案
世博前后的等保目标
杜绝由信息安全造成的群体事件
关键信息系统不能中断
防止办公系统信息泄露等负面事件
世博前后的等保对策
常态化的信息安全保障,提高自身免疫能力
规定动作结合自选动作,全面进行整改加固和应急演练
技术要在服务上深化,管理要在细节上落实
建立全市层面的专家团队及技术保障队伍
等级保护--世博信息安全保障
Before 2005
《中华人民共和国计算机信息系统安全保护条例》(1994年国务院147号令)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
2007
《信息安全等级保护管理办法》(公通字[2007]43号)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)---上海市:沪公发[2007]319号
《上海市迎世博信息安全保障两年行动计划》
2009
《2009年信息安全等级保护工作内容及具体要求》(公信安[2009]232号)
《关于组织开展2009年度本市重要信息系统等级保护工作的通知》(沪公发[2009]187号)---沪公发[2009]173号、沪密局[2009]39号、。。。
等级保护--政策推进过程
基础类
《计算机信息系统安全保护等级划分准则》GB 17859-1999
《信息系统安全等级保护实施指南》GB/CC 报批稿
应用类
定级:《信息系统安全保护等级定级指南》GB/T 22240-2008
建设:《信息系统安全等级保护基本要求》GB/T 22239-2008
《信息系统通用安全技术要求》GB/T 20271-2006
《信息系统等级保护安全设计技术要求》
测评:《信息系统安全等级保护测评要求》 GB/T DDDD-DDDD 报批稿
《信息系统安全等级保护测评过程指南》
管理:《信息系统安全管理要求》GB/T 20269-2006
《信息系统安全工程管理要求》GB/T 20282-2006
等级保护--十大核心标准
等级保护--完全实施过程
信息系统定级
安全总体规划
安全设计与实施
安全运行维护
信息系统终止
安全等级测评
信息系统备案
安全整改设计
等级符合性检查
应急预案及演练
安全要求整改
安全等级整改
局部调整
等级变更
能力、措施和要求
安全保护能力
基本安全要求
等保3级的信息系统
基本技术措施
基本管理措施
具备
包含
包含
满足
满足
实现
等级保护基本安全要求
某级系统
物理安全
技术要求
管理要求
基本要求
网络安全
主机安全
应用安全
数据安全
安全管理机构
安全管理制度
人员安全管理
系统建设管理
系统运维管理
三级系统的控制类及控制项
指标类
技术/管理
层面
类数量
项数量
S类
(3级)
A类
(3级)
G类
(3级)
小计
小计
安全技术
物理安全
1
1
8
10
32
网络安全
1
0
6
7
33
主机安全
3
1
3
7
32
应用安全
5
2
2
9
31
数据安全
2
1
0
3
8
安全管理
安全管理制度
N/A
3
11
安全管理机构
5
20
人员安全管理
5
16
系统建设管理
11
45
系统运维管理
13
60
合计
73(类)
290(项)
三级系统安全保护要求—物理安全
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。
物理安全具体包括:10个控制点
物理位置的选择(G)、物理访问控制(G)、
防盗窃和防破坏(G)、防雷击(G)、
防火(G)、防水和防潮(G) 、防静电(G) 、温湿度控制(G)、电力供应(A)、
电磁防护(S)
物理位置的选择
基本防护能力
高层、地下室
物理访问控制
基本出入控制
分区域管理
在机房中的活动
电子门禁
防盗窃和防破坏
存放位置、标记标识
监控报警系统
防雷击
建筑防雷、机房接地
设备防雷
防火
灭火设备、自动报警
自动消防系统
区域隔离措施
防静电
关键设备
主要设备
防静电地板
电力供应
稳定电压、短期供应
主要设备
冗余/并行线路
备用供电系统
电磁防护
线缆隔离
接地防干扰
电磁屏蔽
防水和防潮
温湿度控制
物理安全的整改要点