信息安全等级保护体系概述

　　等级保护基本概念

　　信息系统安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

　　实行等级保护制度原因

　　等级保护制度目的

　　等级保护制度作用

• 　　提出信息安全工作的思路

• 　　划定信息系统保护的基线

• 　　发现信息系统的问题和差距

• 　　明确信息系统安全保护的方向

• 　　提升信息系统的安全保护能力

　　等级保护相关政策

　　等级保护相关标准

　　基础类

　　《计算机信息系统安全保护等级划分准则》GB 17859-1999

　　《信息系统安全等级保护实施指南》GB/T 25058-2010

　　应用类

　　定级：《信息系统安全保护等级定级指南》GB/T 22240-2008

　　建设：《信息系统安全等级保护基本要求》GB/T 22239-2008

　　《信息系统通用安全技术要求》GB/T 20271-2006

　　《信息系统等级保护安全设计技术要求》GB/T 25070-2010

　　测评：《信息系统安全等级保护测评要求》GB/T 28448-2012

　　《信息系统安全等级保护测评过程指南》GB/T 28449-2012

　　管理：《信息系统安全管理要求》GB/T 20269-2006

　　《信息系统安全工程管理要求》GB/T 20282-2006

　　等级保护推进过程

　　信息安全等级保护法律法规

　　山西省计算机信息系统安全保护条例

　　《山西省计算机信息系统安全保护条例》2008年9月25日经省十一届人大常委会第六次会议表决通过，2009年1月1日起实施。

　　第二十条 第三级以上计算机信息系统建设完成后，运营、使用单位或者其主管部门应当按照国家规定，选择符合国家规定条件的安全保护等级测评机构定期对其计算机信息系统安全状况进行等级测评。

　　中华人民共和国国家安全法

　　2015年7月1日第十二届全国人民代表大会常务委员会第十五次会议通过《中华人民共和国国家安全法》，其中第二十五条指出要加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为维护国家网络空间主权、安全和发展利益。

　　刑法修正案(九)

　　第十二届全国人大常委会第十六次会议表决通过了《刑法修正案(九)》，修订后的刑法自2015年11月1日开始施行。

　　《刑法修正案(九)》明确了网络服务提供者履行信息网络安全管理的义务。

　　第二十八条 指出：网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金.

　　中华人民共和国网络安全法

　　中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过《中华人民共和国网络安全法》，自2017年6月1日起施行。

　　第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

　　第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

　　网络运营者不履行网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

　　关键信息基础设施的运营者不履行网络安全保护义务，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

　　信息安全等级保护工作流程

　　定级依据和原则

　　定级依据

　　《信息安全等级保护管理办法》

　　《信息系统安全等级保护定级指南》

　　定级原则

　　谁拥有谁负责、谁运行谁负责。

　　自主定级。因为系统的重要程度以及在遭受破坏后造成多大影响自己最清楚。

　　定级对象确定

　　定级工作是信息系统等级保护工作的起点，定级结果直接决定了后续安全保障工作的开展。在定级之前，首先必须明确定级的对象，即：对哪个信息系统进行定级。《定级指南》中指出，作为定级对象的信息系统应当具备以下三个条件：

　　具有唯一确定的安全责任单位

　　具有信息系统的基本要素

　　承载单一或相对独立的业务应用

　　等级的确定

　　等级的确定是不依赖于安全保护措施的，具有一定的“客观性”，即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级，而非由“后天”的安全保护措施决定。

　　定级方法

　　查表法

　　其他：专家评审、行业部门建议

　　备案

　　备案的作用

　　信息系统备案是国家有关信息安全职能部门了解和掌握重要信息系统的安全保护基本状况、分析总体安全形势的基础资料来源，也是下一步接受备案机关开展各项监督检查工

　　作所必需的基本依据。

　　新建系统

　　已有系统

　　备案的时间

　　根据《信息安全等级保护管理办法》，信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门，应当在安全保护等级确定后30日内，到当地公安机关部门办理备案手续。

　　新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到当地公安机关部门办理备案手续。

　　备案资料

　　信息系统运营、使用单位应当在其系统安全保护等级确定后，向当地同级公安机关提前备案(县级单位应当向市级公安机关备案)，备案时应当到备案机关填写备案登记表并按要求提交相关资料，包括纸质版和电子版。书面填写《信息系统安全等级保护备案表》一式两份。可填WORD文档，再打印输出，附上附件。备案登记表/系统体系/功能结构图/系统安全保护方案或措施/系统安全管理制度等。

　　建设整改

　　实施概述

　　实施过程

　　信息安全等级保护测评

　　等级测评依据

　　依据《信息安全等级保护管理办法》第十四条中规定信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

　　等级测评流程

　　等级测评结果

　　等级测评目的

　　对于企业来说，实施信息安全等级保护测评能够有效地提高单位信息和信息系统安全建设的整体水平，有效控制企业信息安全建设成本;有利于明确国家、法人和其他组织、公民的信息安全责任，加强企业信息安全管理。

    对于信息系统来说，通过等级保护测评可及时发现信息系统安全状况并制定方案进行整改，当信息系统完全达到安全保护能力要求时，信息系统就基本可做到“进不来、拿不走、改不了、看不懂、赖不掉”。

　　监督检查

　　依据《公安机关信息安全等级保护检查工作规范》第二条中规定:

　　公安机关信息安全等级保护检查工作是指公安机关依据有关规定，会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查，督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。

　　信息安全等级保护基本要求

　　基本要求结构

　　不同级别系统的差异(控制点)

　　不同级别系统的差异(要求项)

　　等级保护新标准2.0

　　随着新技术、新业态的出现，原有标准面临挑战。

　　为适应新技术发展，解决云计算、物联网、移动互联和工控领域信息系统等级保护工作的需要，2014年3月-10月，由公安部牵头组织开展了信息技术新领域等级保护标准的申报工作，新标准为匹配网络安全法将信息安全改称为网络安全。

　　定级指南：满足新的等级保护对象的定级需求

　　基本要求：满足新技术领域如云计算、物联网、工控、大数据和移动互联系统等保护需求。

　　测评要求：满足新测评对象和技术实现的测评需求

　　设计要求：满足新系统/平台/网络架构的安全设计和安全建设需求

　　《网络安全等级保护基本/测评要求》

　　第1部分：安全通用要求

　　第2部分：云计算安全扩展要求

　　第3部分：移动互联安全扩展要求

　　第4部分：物联网安全扩展要求

　　第5部分：工业控制安全扩展要求

　　第6部分：大数据安全扩展要求

本文转载自网络，版权归作者所有，转载的目的是为了专递更多信息，如有侵权请联系删除，文章内容和观点不代表本站。