文档介绍:信息系统安全�等级保护基本要求
付欲华
目录
等级保护知识回顾
基本要求使用时机和主要作用
基本要求的主要思想
各级系统保护的主要内容
等级保护等级
第五级专控保护
第四级强制保护
第三级监督保护
第二级指导保护
第一级自主保护
等级保护重要标准
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T 22239—2008 信息系统安全等级保护基本要求
GB/T 22240—2008 信息系统安全等级保护定级指南
信息系统安全等级保护测评过程指南(国标报批稿)
信息系统安全等级保护测评要求(国标报批稿)
GB/T 25058-2010信息系统安全等级保护实施指南
GB/T 25070-2010信息系统等级保护安全设计技术要求
等级保护相关标准
GA/T 708-2007 信息系统安全等级保护体系框架
GA/T 709-2007 信息系统安全等级保护基本模型
GA/T 710-2007 信息系统安全等级保护基本配置
GA/T 711-2007 应用软件系统安全等级保护通用技术指南
GA/T 712-2007 应用软件系统安全等级保护通用测试指南
GA/T 713-2007 信息系统安全管理测评
GB/T 18018—2007 路由器安全技术要求
GB/T 20269—2006 信息系统安全管理要求
GB/T 20270—2006 网络基础安全技术要求
GB/T 20271—2006 信息系统安全通用技术要求
GB/T 20272—2006 操作系统安全技术要求
GB/T 20273—2006 数据库管理系统安全技术要求
GB/T 20275—2006 入侵检测系统技术要求和测试评价方法
GB/T 20278—2006 网络脆弱性扫描产品技术要求
GB/T 20279—2006 网络和终端设备隔离部件安全技术要求
GB/T 20281—2006 防火墙技术要求和测试评价方法
GB/T 20282—2006 信息系统安全工程管理要求
GB/T 20979—2007 虹膜识别系统技术要求
GB/T 20984—2007 信息安全风险评估规范
GB/T 20988—2007 信息系统灾难恢复规范
GB/T 21028—2007 服务器安全技术要求
GB/T 21052—2007 信息系统物理安全技术要求
GB/T 21053—2007 公钥基础设施 PKI系统安全等级保护技术要求
GB/Z 20985—2007 信息安全事件管理指南 YD/T
GB/Z 20986—2007 信息安全事件分类分级指南
定级流程
G=MAX(S,A)
S
A
安全保护和系统定级的关系
安全等级
信息系统保护要求的组合
第一级
S1A1G1
第二级
S1A2G2,S2A2G2,S2A1G2
第三级
S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
第四级
S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4
目录
等级保护知识回顾
基本要求的使用时机和主要作用
基本要求的主要思想
各级系统保护的主要内容
等级保护基本要求作用
基本要求
监管机构
检查
测评机构
测评
使用单位
自查
集成厂商
指导建设