一:信息安全等級保護概念
信息安全等級保護,是指對國家安全、法人和其它組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件按等級進行相應、處置的綜合性工作。
二:信息安全等級保護意義
(1)信息系統安全管理水平明顯提高
(2)信息系統安全防範能力明顯提高
(3)信息安全隱患和安全事故明顯減少
(4)有效保障信息化健康發展
(5)有效維護國家安全、社會秩序和公共利益
- 實行等級保護,利於平衡成本與安全,既不能保護不足,使系統的使用與運行存在隱患,也不能過度保護,使得安全系統的建設和維護成本過高,要在安全與成本之間找到一個平衡點
- 實行等級保護,有助於突出重點,加強安全建設和管理,在安全管理建設中,強調“技管並重”,並提出來了具體的指標要求,按照等級保護的標準進行建設,將極大提升信息安全保障體系的廣度與深度。
三:信息安全等級保護工作內容
(1)定級 → 評審和審批
(2)備案 → 公安機關備案
(3)系統建設、整改 → 安全建設整改方案
(4)安全等級測評 → 等保測評---測試報告
(5)信息安全監管部門定期開展監督檢查 三級一次/年 四級一次/半年
四:信息系統等級劃分
信息系統的安全保護等級是信息系統的客觀屬性,不以採取的措施或即將採取的措施爲依據,而是以信息系統的重要性和信息系統遭到破壞後對國家安全、社會穩定和人民羣衆合法權益遭到破壞的危害程度爲依據,確定信息系統安全保護的等級。
受損害的客體 | 對客體的損害程度 | ||
一般損害 | 嚴重損害 | 特別嚴重損害 | |
公民,法人和其它組織 的合法權益 |
第一級 | 第二級 | 第二級 |
社會秩序和公共利益 | 第二級 | 第二級 | 第三級 |
國家安全 | 第三級 | 第四級 | 第五級 |
信息等級劃分詳解
等級 | 定義 | 監管方式 |
第一級 | 信息系統收到破壞後,會對公民、法人、以及其它組織的合法權益收到損害,但不危害國家安全,社會秩序和公共利益 | 自護保護 |
第二級 | 信息系統收到破壞後,會對公民。法人和其它組織的合法權益受到嚴重損害,或者損害社會秩序和公共利益,但不會對國家安全造成損害 | 指導保護,要求備案 |
第三級 | 信息系統收到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害 | 監督保護,每年至少一次測評 |
第四級 | 信息系統收到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害 | 強制保護,每半年至少一次測評 |
第五級 | 信息系統收到破壞後,會對國家安全造成特別嚴重損害 | 專控保護,根據特殊安全需求進行等級測評 |
五:信息安全等級
(1)測評準備階段
任務 | 輸出文檔 | 文檔內容 |
信息收集和分析 | 被測系統基本情況分析報告 | 說明被測系統的範圍,安全保護等級、業務情況、保護情況、被測系統的管理模式和相關部門及角色 |
工具和表單準備 | 選用的測評工具清單,打印的各類表單,現場測評授權書,文檔交接單 | 現場測評授權,交接的文檔名稱 |
(2)現場測評階段
任務 | 輸出文檔 | 文檔內容 |
現場測評準備 | 會議記錄,確認的委託授權書,更新後的測評計劃和測試 | 工作計劃和內容安排,雙方人員的協調,被測單位提供的配合 |
訪談 | 技術安全和管理安全測評的測評結果或錄音 | 訪談結果 |
文檔審查 | 管理安全測評的測評結果記錄 | 管理制度和管理執行過程文檔的符合情況 |
配置檢查 | 技術安全測評的網絡、主機、應用測評結果記錄表格 | 檢查內容的結果 |
工具測試 | 技術安全測評的網絡、主機、應用測評結果記錄,工具測試完成後的電子輸出記錄,備份的測試結果文件 | 漏洞掃描,滲透測試,性能測試,入侵檢測和協議分析等內容的技術測試結果 |
實地查看 | 技術安全測評的物理安全和管理安全測評結果記錄 | 檢查內容的結果 |
評測結果確認 | 現場覈查中發現的問題彙總、證據和證據源記錄、被測單位的書面認可文件 | 測評活動中發現的問題、問題的證據、問題源,每項檢查活動中被測單位配合人員的書面認可 |
六:信息系統安全等級保護基本要求
技術類 | 管理類 |
產品類 |
信息系統通用安全技術要求 | 信息系統安全管理要求 | 操作系統安全技術要求 |
信息系統物理安全技術要求 | 信息系統安全工程管理要求 | 數據庫管理系統安全技術要求 |
網絡基礎安全技術要求 | 其它管理類標準 | 網絡和終端設備隔離部件技術要求 |
其它技術類標準 | 其它產品類標準 |
七:等級要求
(1)物理安全
(2)網絡安全
(3)主機安全
(4) 應用安全
(5)安全管理制度
(6)人員安全管理
(7)系統建設管理
(8)系統運維管理
八:測評方案
(1)訪談 通過與信息系統用戶(個人/羣體)進行交流、認論等活動,獲取相關證據證明信息系統安全保護措施是否落實的一種方法。
(2)檢查 通過對測評對象(設備、文檔、現場等)進行觀察、查驗、分析等活動,獲取相關證據證明信息系統安全保護措施是否有效的一種方法、
(3)測試 利用預定的方法或工具使測評對象產生特定的行爲活動,查看輸出結果與預期結果的差異,獲取相關證據證明信息系統安全保護措施是否有效的一種方法、