文档介绍:1?等级保护概述?等级保护安全等级划分?等级保护整改方案设计目录 CONTENTS 2对比项等级保护分级保护主管部门公安部网络安全局国家保密局网络承载信息非涉密涉密级别划分 1-5 级秘密/机密/绝密测评要求自主性强制性安全产品选型中国信息安全测评中心/认证中心国家保密科技测评中心密码产品选型商用密码普通密码核心标准《定级指南》《基本要求》《实施指南》《测评要求》《技术要求》《管理规范》《设计指南》《测评指南》等级保护与分级保护的区别 3信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法, 是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。重点保护对象为基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。等级保护定义 4基础类产品类运维类等保安全建设整改《计算机信息系统安全保护等级划分准则》信息系统定级:《定级指南》GB/T22240-2008 信息系统安全建设:《基本要求》GB/T22239-2008 等级保护实施: 《实施指南》信安字[2007]10 号等级测评:《测评要求》GA/T713-2007 风险评估: 《信息安全风险评估规范》 GB/T20984-2007 事件管理: 《信息安全事件管理指南》 GB/Z20985-2007 《信息安全事件分类分级指南》 GB/Z20986- 2007 《信息系统灾难恢复规范》GB/T20988-2007 操作系统数据库网络 PKI 网关服务器入侵检测防火墙路由器交换机其他产品技术要求评估准则测试方法配置指南等级保护标准体系 51信息系统定级 2安全总体规划 3安全设计与实施 4安全运行维护 6信息系统终止 5安全等级测评信息系统备案安全整改设计安全要求整改安全等级整改局部调整等级变更等级保护-实施过程 6?等级保护概述?等级保护安全等级划分?等级保护整改方案设计目录 CONTENTS 7等级保护-定级原则自主定级专家评审主管部门审批公安机关审核 8一级二级三级四级?信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。?信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。?信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。?信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。五级?信息系统受到破坏后,会对国家安全造成特别严重损害。《信息安全等级保护管理办法》规定的五级要求等级保护-等级划分 9定级建议参考一级信息系统: 公民个人的单机系统,小型集体、民营企业所属的信息系统,中、小学校的信息系统,乡镇级党政机关、事业单位的信息系统,其他小型组织的信息系统。二级信息系统:县级、地市级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财务、财政、金融、社保、工商、审计、能源、化工、社会服务保障、卫生、交通运输、国土资源、邮政、应急抢险、农业等行业所属独立的信息系统,中型集体、民营企业、小型国有企业所属的信息系统, 县级党政机关、事业单位的信息系统,普通高等院校和科研机构的信息系统,其他中型组织的信息系统。三级信息系统: 省级和副省级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财政、金融、社保、工商、审计、能源、化工、社会服金融、社保、工商、审计、能源、化工、社会服务保障、卫生、交通运输、国土资源、邮政、应急抢险、农业等行业所属独立的重要信息系统,大型集体、民营企业、大中型国有企业所属的重要信息系统, 地市级党政机关、事业单位的重要信息系统, 重点高等院校和科研机构的重要信息系统,其他大中型组织的信息系统。等级保护-定级 10定级建议参考四级信息系统: 国家级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财政、金融、社保、工商、审计、能源、化工、社会服务保障、卫生、交通运输、国土资源、邮政、应急抢险等行业所属全程全网的特大型信息系统,特大型国有企业所属全程全网的特大型信息系统, 省级党政机关、事业单位所属的重要信息系统,重点科研机构的重要信息系统。五级信息系统:国家级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险等重要信息系统中的核心子系统,涉及国防、重大外交、航天航空、核能源、尖端科学技术等重要信息系统中的核心子系统,国家级党政机关重要信息系统中的核心子系统。等级保护-定级