• 1. 信息安全 等级保护实施过程1
  • 2. 等级保护实施指南 等级保护定级原理 等级保护定级方法 目 录2
  • 3. 等级保护实施指南 等级保护定级原理 等级保护定级方法 目 录3
  • 4. 等级保护实施-基本原则自主保护原则 重点保护原则 同步建设原则 同步规划 同步设计 同步建设 动态调整原则4
  • 5. 角色与职责国家管理部门 公安机关、保密、密码。 信息系统主管部门 信息系统运营、使用单位 信息安全服务机构 信息安全等级测评机构 信息安全产品供应商5
  • 6. 实施基本流程等级变更局部调整信息系统定级总体安全规划安全设计与实施安全运行维护信息系统终止6
  • 7. 信息系统定级7
  • 8. 信息系统分析系统识别与描述 识别信息系统的基本信息 识别信息系统的管理框架 识别信息系统的网络及设备部署 识别信息系统的业务种类和特性 实施业务系统处理的信息资产 识别用户范围和用户类型 信息系统描述8
  • 9. 信息系统分析信息系统划分 划分方法选择 信息系统划分 信息系统详细描述 概述 边界 设备部署 业务应用及处理的信息资产 服务范围和用户类型9
  • 10. 安全保护等级确定信息系统安全等级保护初步确定 定级结果审核后批准10
  • 11. 安全保护等级确定形成定级报告 信息化现状概述 管理模式 信息系统列表 每个信息系统概述 边界 设备部署 业务应用 安全保护等级及保护要求组合 11
  • 12. 总体安全规划12
  • 13. 安全需求分析-基本安全需求确定系统范围和分析对象 形成评价指标和评估方案 管理状况评估表格 网络状况评估表格 网络设备评估表格 主机设备评估表格 主要设备安全测试方案 重要操作作业指导书 现状与评估指标对比13
  • 14. 安全需求分析-特殊安全需求重要资产分析 重要资产安全弱点评估 重要资产威胁评估 综合风险分析 14
  • 15. 形成安全需求分析报告信息系统描述 安全管理状况 安全技术状况 存在不足和可能的风险 安全需求描述15
  • 16. 总体安全设计总体安全策略设计 确定安全方针 制定安全策略 安全技术体系结构设计 骨干网/城域网安全保护技术措施 子系统间互联安全技术措施 不同级别子系统边界保护技术措施 不同级别子系统内部系统平台和业务应用安全保护技术 不同级别信息系统机房安全保护技术 形成信息系统安全技术体系结构 16
  • 17. 总体安全设计整体安全管理体系结构设计 信息安全组织管理体系和对各信息系统安全管理职责 规定各等级信息系统人员安全管理策略 各等级信息系统机房及办公区等物理环境安全管理策略 各等级信息系统介质、设备等安全管理策略 规定各等级信息系统运行安全管理策略 各等级信息系统安全事件处置和应急管理策略 形成信息系统安全管理策略框架 设计结果文档化 形成信息系统总体安全方案17
  • 18. 安全建设项目规划安全建设目标确定 信息化建设中长期发展规划和安全需求调查 提出信息系统安全建设分阶段目标 安全建设内容规划 确定主要安全建设内容 安全基础设施建设 网络安全建设 系统平台和应用平台建设 数据系统安全建设 安全标准体系建设 人才培养体系建设 安全管理体系建设 确定主要安全建设项目18
  • 19. 安全建设项目规划形成安全建设项目计划 规划建设的依据和原则; 规划建设的目标和范围; 信息系统安全现状; 信息化的中长期发展规划; 信息系统安全建设的总体框架; 安全技术体系建设规划; 安全管理与安全保障体系建设规划; 安全建设投资估算; 信息系统安全建设的实施保障等内容。19
  • 20. 安全设计与实施20
  • 21. 安全方案详细设计技术措施实现内容设计 结构框架设计 功能要求设计 性能要求设计 部署方案设计 制定安全策略实现计划 管理措施实现内容设计 设计结果文档化 本期建设目标和建设内容; 技术实现框架; 信息安全产品或组件功能及性能; 信息安全产品或组件部署; 安全策略和配置; 配套的安全管理建设内容; 工程实施计划; 项目投资概算。21
  • 22. 管理措施实现管理机构和人员设置 安全组织确定 角色说明 管理制度的建设和修订 应用范围明确 人员职责定义 行为规范规定 评估与完善 人员安全技能培训 安全实施过程管理22
  • 23. 技术措施实现安全产品采购 制定产品采购说明书 产品选择 安全控制开发 安全措施需求分析 概要设计 详细设计 编码实现 测试 安全控制开发过程文档化 23
  • 24. 技术措施实现安全控制集成 集成实施方案制定 集成准备 集成实施 培训 形成安全控制集成报告 系统验收 系统验收准备 组织系统验收 验收报告 系统交付24
  • 25. 安全运行与维护25
  • 26. 安全运行与维护26
  • 27. 运行管理和控制 运行管理职责确定 划分运行管理角色 授予管理权限 定义人员职责 运行管理过程控制 建立操作规程 操作过程记录27
  • 28. 变更管理和控制变更需求和影响分析 变更需求分析 变更影响分析 明确变更的类别 制定变更方案 变更过程控制 变更内容审核和审批 建立变更过程日志 形成变更结果报告28
  • 29. 安全状态监控监控对象确定 安全关键点分析 形成监控对象列表 监控对象状态信息收集 选择监控工具 状态信息收集 监控状态分析和报告 状态分析 影响分析 形成安全状态分析报告29
  • 30. 安全事件处置和应急预案安全事件分级 安全事件调查和分析 安全事件等级划分 应急预案制定 确定应急预案对象 确定和认可各项职责 制定应急预案程序及其执行条件 安全事件处置 安全事件上报 安全事件处置 安全事件总结和报告30
  • 31. 安全检查和持续改进安全状态检查 确定检查对象和检查方法 制定检查计划和检查方案 安全检查实施 安全检查结果和报告 改进方案制定 安全改进的立项 制定安全改进方案 安全改进实施31
  • 32. 信息系统终止32
  • 33. 信息转移、暂存和清除 识别要转移、暂存和清除的信息资产 信息资产转移、暂存和清除 处理过程记录 设备迁移或废弃 软硬件设备识别 制定硬件设备处理方案 处理方案审批 设备处理和记录 存储介质的清除或销毁 识别要清除或销毁的介质 确定存储介质处理方法和流程 处理方案审批 存储介质处理和记录33
  • 34. 与信息系统生命周期之间的关系新建信息系统新建信息系统等级保护实施过程信息系统生命周期安全运行管理 (变更管理/定期安全测评/监督检查)系统 定级安全规 划设计安全 实施系统 终止设计开发阶段运行维护阶段启动阶段实施 阶段终止 阶段34
  • 35. 等级保护实施指南 等级保护定级原理 等级保护定级方法 目 录35
  • 36. 等级确定的原则满足国家管理要求原则 信息系统安全保护等级既不是信息系统安全保障等级,也不是信息系统所能达到的技术能力等级,而是从国家管理的需要出发,从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。 全局性原则 信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度,信息系统安全保护等级的划分也必须从国家层面考虑,体现全局性。36
  • 37. 等级确定的原则业务为核心原则 信息系统是为业务应用服务的,信息系统的安全保护等级应当依据信息系统承载业务的重要性、业务对信息系统的依赖度和系统特殊的安全需求确定。 合理性原则 不同于信息安全产品,信息系统千差万别,各具特色,只有在划分安全保护等级的过程中,尽可能反映出信息系统的主要安全特征,合理划分等级,才能做到突出重点,适度保护。37
  • 38. 定级原理受侵害的客体 公民、法人和其他组织的合法权益; 社会秩序、公共利益; 国家安全。38
  • 39. 定级原理对客体的侵害程度 造成一般损害; 造成严重损害; 造成特别严重损害。39
  • 40. 定级要素与等级的关系受侵害的客体 对客体的侵害程度 一般损害 严重损害特别严重损害公民、法人和其他组织的合法权益 第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级40
  • 41. 定级指南介绍业务信息安全保护等级业务信息安全被破坏时所侵害的客体对客体的侵害程度 一般损害严重损害特别严重损害公民、法人和其他组织的合法权益 第一级第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级国家安全 第三级第四级第五级 41
  • 42. 定级指南介绍系统服务安全保护等级 系统服务安全被破坏时所侵害的客体对客体的侵害程度 一般损害严重损害特别严重损害公民、法人和其他组织的合法权益 第一级第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级国家安全 第三级第四级第五级 42
  • 43. 等级保护实施指南 等级保护定级原理 等级保护定级方法 目 录43
  • 44. 定级一般流程确定定级对象综合评定对客体的侵害程度业务信息安全等级系统服务安全等级定级对象的安全保护等级确定业务信息安全受到破坏时所侵害的客体确定系统服务安全受到破坏时所侵害的客体综合评定对客体的侵害程序44
  • 45. 确定定级对象 具有唯一确定的安全责任单位 具有信息系统的基本要素 承载单一或相对独立的业务应用45
  • 46. 定级指南介绍--信息系统划分定级对象的简明判别条件是: 第一,信息系统所在单位必须能够对该信息系统承担相应的领导、建设、使用和运行等安全责任; 第二,是一个信息系统; “信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。” 第三,应当承载着相对独立的或单一的业务应用。 46
  • 47. 决定等级的主要因素分析 已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括: 业务系统在国家事务中的重要性(实施意见); 资产(包括有形资产和无形资产)(FIPS199,IATF,DITSCAP,NIST800-37); 威胁(IATF); 信息被破坏后对国家、社会公共利益和单位或个人的影响(FIPS199,通用要求,实施指南); 业务对信息系统的依赖程度(DITSCAP) 47
  • 48. 决定等级的主要因素分析划分等级时应考虑以下因素: 系统所属类型,即信息系统的安全利益主体。 信息系统主要处理的业务信息类别。 系统服务范围,包括服务对象和服务网络覆盖范围。 业务依赖程度程度,或以手工作业替代信息系统处理业务的程度 其中第1、2个要素决定信息系统内信息资产的重要性,第3、4个要素决定信息系统所提供服务的重要性,而信息资产及信息系统服务的重要性决定了信息系统的重要性。 48
  • 49. 定级指南等级保护对象 target of classified security 是指信息安全等级保护工作直接作用的具体的信息和信息系统(包括信息网络)。 客体 object 在信息系统安全等级保护中特指受法律保护的,等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或者其他组织的合法权益。49
  • 50. 定级--信息系统划分 如果信息系统只承载一项业务,可以直接为该信息系统确定等级。 如果信息系统承载多项业务,那些业务应存在依赖或继承关系,不能再细分,应根据各项业务的性质和特点,分别为各业务依据定级指南取值,信息系统的安全保护等级由各业务取值的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。承载的业务是量化取值的对象。50
  • 51. 定级-基本概念业务信息安全 是指确保信息系统内业务信息的保密性、完整性和可用性等 系统服务安全 是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标 51
  • 52. 信息系统重要程度可以从信息系统所处理的信息和信息系统所提供的服务两方面来体现,对信息系统的破坏也应从对业务信息安全的破坏和对系统服务安全的破坏两方面来考虑。 定级52
  • 53. 业务信息安全受到破坏对客体的侵害程度业务信息安全受到破坏时所侵害的客体系统服务安全受到破坏对客体的侵害程度系统服务安全受到破坏时所侵害的客体系统服务安全保护等级业务信息安全保护等级信息系统安全保护等级定级53
  • 54. 定级指南受侵害的客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面: 公民、法人和其他组织的合法权益。 社会秩序、公共利益。 国家安全。54
  • 55. 三种受侵害的客体体现了三种不同层次、不同覆盖范围的社会关系。 国家安全利益体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全和资源环境安全等方面利益。 社会秩序包括社会的政治、经济、生产、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社会成员所共同享有的,维持其生产、生活、教育、卫生等方面的利益。 合法权益是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益, 定级指南55
  • 56. 定级指南影响国家安全的相关事项: 影响国家政权稳固和国防实力; 影响国家统一、民族团结和社会安定; 影响国家对外活动中的政治、经济利益; 影响国家重要的安全保卫工作; 影响国家经济竞争力和科技实力; 其他影响国家安全的事项。56
  • 57. 关于国家安全 重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统;广播、电视、网络等重要新闻媒体的发布或播出系统,其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件;处理国家对外活动信息的信息系统;处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统;尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统,以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。定级指南57
  • 58. 定级指南影响社会秩序的相关事项: 影响国家机关社会管理和公共服务的工作秩序; 影响各种类型的经济活动秩序; 影响各行业的科研、生产秩序; 影响公众在法律约束和道德规范下的正常生活秩序等; 其他影响社会秩序的事项。58
  • 59. 关于社会秩序 各级政府机构的社会管理和公共服务系统,如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统,也包括教育、科研机构的工作系统,以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。 定级指南59
  • 60. 定级指南影响公共利益的相关事项: 影响社会成员使用公共设施; 影响社会成员获取公开信息资源; 影响社会成员接受公共服务等方面; 其他影响公共利益的事项。60
  • 61. 关于公共利益 借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面,例如:公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。 公共利益与社会秩序密切相关,社会秩序的破坏一般会造成对公共利益的损害。 定级指南61
  • 62. 定级指南对客体的侵害程度 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种: 造成一般损害 造成严重损害 造成特别严重损害 。62
  • 63. 威胁直接作用的结果不是客体,而是等级保护对象——信息系统,通过对信息系统的破坏而导致对客体的侵害。因此确定对客体侵害的程度时,必须考虑对等级保护对象所造成破坏的不同客观表现形态以及不同程度的结果,也就是侵害的客观方面。定级指南63
  • 64. 关于危害后果的表现形式 影响行使工作职能,工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能。 导致业务能力下降,下降的表现形式可能包括业务范围的减少、业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指标的下降,每个行业务都有本行业关注的业务指标。例如电力行业关注发电量和用电量,税务行业关注税费收入,银行业关注存款额、贷款额、交易量等,证券经纪行业关注股民数和交易额。定级指南64
  • 65. 关于危害后果 引起法律纠纷是比较严重的影响,在较轻的程度时可能表现为投诉、索赔、媒体曝光等形式。 导致财产损失,包括系统资产被破坏的直接损失、业务量下降带来的损失、直接的资金损失、为客户索赔所支付的资金等,以及由于信誉下降、单位形象降低、客户关系损失等导致的间接经济损失。 直接造成人员伤亡,例如医疗服务系统,公安行业的某些系统等。 造成社会不良影响,包括在社会风气、执政信心等方面的影响。定级指南65
  • 66. 定级指南判断侵害程度 侵害程度是客观方面的不同外在表现的综合体现,不同的受侵害客体、不同危害后果,判断侵害程度所采取的方法和所考虑的角度可能不同。 各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出对不同客体造成损害、严重损害、特别严重损害的具体含义 。 66
  • 67. 直接的结果和间接的影响: 威胁直接作用的结果信息系统的破坏,但是确定对客体侵害的程度时,必须考虑间接的对客体产生的侵害和影响。 按照国家安全—社会秩序和公共利益---公民、法人和组织的合法利益的顺序考虑定级指南67
  • 68. 定级指南一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的资产损失,有限的社会不良影响,对其他组织和个人造成较低损害。 严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的资产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。 特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的资产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。68
  • 69. 四个主要因素决定等级系统所属类型业务信息类别系统服务范围业务依赖程度业务信息安全性业务服务保证性信息系统安全保护等级侵害的程度如何?(对客体造成侵害的程度) 一般损害 严重损害 特别严重损害受到破坏时侵害了什么?(客体) 公民、法人 社会秩序、公共利益 国家安全69
  • 70. 等级保护实施指南 等级保护定级原理 等级保护定级方法 目 录70
  • 71. Q & A71
  • 72. 谢谢!72