文档介绍:信息安全等级保护建设了解等保政策与技术要求我司产品如何与等保要求对应关系培训目的等级保护政策介绍和建设思路等保建设方案统一规划等保项目注意事项目录等级保护政策介绍和建设思路等级保护政策介绍等级保护政策解读等级保护建设思路探讨等保建设方案统一规划等保项目注意事项目录信息安全等级保护制度信息安全等级保护(以下简称等保)是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。等保的5个监管等级对象等级合法权益社会秩序和�公共利益国家安全损害严重损害损害严重损害特别严�重损害损害严重损害特别严重损害一般�系统一级√二级√√重要�系统三级√√四级√√极端重�要系统五级√等保采用分系统定级的方法,当拥有多个信息系统时,需要分别进行定级,并分别进行保护。在五个监管等级中,三级与四级系统为监管的重点,也是建设的重点。决定等级的主要因素分析信息系统所属类型业务数据类别信息系统服务范围业务处理的自动化程度业务重要性业务数据安全性业务处理连续性业务依赖性基于业务的重要性和依赖性分析关键要素,确定业务数据安全性和业务处理连续性要求。业务数据安全性业务处理连续性信息系统安全保护等级根据业务数据安全性和业务处理连续性要求确定安全保护等级。从等保的定级要求可以看出,等保关注的重点在于业务的可靠性和信息保密性。不同级别之间保护能力的区别总体来看,各级系统应对威胁的能力不同,即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后,系统能够恢复之前的各种状态的能力是不同的。一级具有15个技术目标,16个管理目标;二级具有29个技术目标,25个管理目标;三级具有36个技术目标,27个管理目标;四级具有41个技术目标,28个管理目标。技术要求的变化包括:安全要求的增加安全要求的增强管理要求的变化包括:管理活动控制点的增加,每个控制点具体管理要求的增多管理活动的能力逐步加强,借鉴能力成熟度模型(CMM)安全控制定级指南过程方法确定系统等级启动采购/开发实施运行/维护废弃确定安全需求设计安全方案安全建设安全测评监督管理运行维护暂不考虑特殊需求等级需求基本要求产品使用选型监督管理测评准则流程方法监管流程应急预案应急响应等级保护定义的信息安全建设过程等级保护工作对应完整的信息安全建设生命周期等级保护建设的一般过程整改评估定级评测确定系统或者子系统的安全等级依据等级要求,对现有技术和管理手段的进行评估,并给出改进建议针对评估过程中发现的不满足等保要求的地方进行整改评测机构依据等级要求,对系统是否满足要求进行评测,并给出结论监管对系统进行周期性的检查,以确定系统依然满足等级保护的要求