当前位置:首页 >> IT/计算机 >>

信息安全等级保护基本要求使用介绍


《信息系统安全等级保护基本要求》

使用介绍

目录
? 使用时机和主要作用 ? 保护要求分级描述的主要思想 ? 各级系统保护的主要内容 ?

一、使用时机和主要作用

《管理办法》”等级划分和保护“第八条

?

信息系统运营、使用单位依据本办法 和相关技术标准对信息系统进行保护, 国家有关信息安全职能部门对其信息 安全等级保护工作进行监督管理。

《管理办法》”等级保护的实施与管理“第十二条

?

在信息系统建设过程中,运营、使用单位 应当按照《计算机信息系统安全保护等级 划分准则》(GB17859-1999)、《信息系 统安全等级保护基本要求》等技术标准, 参照……等技术标准同步建设符合该等级 要求的信息安全设施。

《管理办法》”等级保护的实施与管理“第十三条

? 运营、使用单位应当参照《信息安全技术信 息系统安全管理要求》(GB/T20269-2006)、 《信息安全技术信息系统安全工程管理要求》 (GB/T20282-2006)、《信息系统安全等级 保护基本要求》等管理规范,制定并落实符 合本系统安全保护等级要求的安全管理制度。

《管理办法》”等级保护的实施与管理“第十四条

?

信息系统建设完成后,运营、使用单位或 者其主管部门应当选择符合本办法规定条 件的测评单位,依据《信息系统安全等级 保护测评要求》等技术标准,定期对信息 系统安全等级状况开展等级测评。第三级 信息系统应当每年至少进行一次等级测评, 第四级信息系统应当每半年至少进行一次 等级测评,第五级信息系统应当依据特殊 安全需求进行等级测评。

《管理办法》”等级保护的实施与管理“第十四条

? 信息系统运营、使用单位及其主管部门应当 定期对信息系统安全状况、安全保护制度及 措施的落实情况进行自查。第三级信息系统 应当每年至少进行一次自查,第四级信息系 统应当每半年至少进行一次自查,第五级信 息系统应当依据特殊安全需求进行自查。

《管理办法》”等级保护的实施与管理“第十四条

? 经测评或者自查,信息系统安全状况未达到 安全保护等级要求的,运营、使用单位应当 制定方案进行整改。

技术标准和管理规范的作用
信息系统定级

信息系统安全建设或改建

技术标准和管理规范

安全状况达到等级保护要求的信息系统

涉及的管理规范和技术标准
? ?
? ? ? ? ? ? ? ?

《信息安全等级保护管理办法》公通字[2007]43号 《计算机信息系统安全保护等级划分准则》(GB178591999) 《信息安全等级保护实施指南》 《信息安全等级保护定级指南》 《信息安全等级保护基本要求》 《信息安全等级保护测评要求》 《信息安全技术 网络基础安全技术要求》(GB/T202702006) 《信息安全技术 信息系统通用安全技术要求》 GB/T20271-2006) 《信息安全技术 操作系统安全技术要求》(GB/T202722006) 《信息安全技术 数据库管理系统安全技术要求》 (GB/T20273-2006)

涉及的管理规范和技术标准
? 《信息安全技术 信息系统安全管理要求》 (GB/T20269-2006) ? 《信息安全技术 信息系统安全工程管理要求》 (GB/T20282-2006) ? 《信息安全技术 信息系统安全工程管理要求》 (GB/T20282-2006)

整体要求的管理规范和技术标准
? 《信息安全等级保护管理办法》 ? 《计算机信息系统安全保护等级划分准则》 (GB17859-1999) ? 《信息系统安全等级保护实施指南》 ? 《信息系统安全保护等级定级指南》 ? 《信息系统安全等级保护基本要求》 ? 《信息系统安全等级保护测评要求》 ? 等等

《基本要求》的作用
信息系统安全等级保护基本要求

运营、使用单位 (安全服务商)

主管部门 (等级测评机构)

安全保护

测评检查

《基本要求》的定位
? 是系统安全保护、等级测评的一个基本“标 尺”,同样级别的系统使用统一的“标尺” 来衡量,保证权威性,是一个达标线; ? 每个级别的信息系统按照基本要求进行保护 后,信息系统具有相应等级的基本安全保护 能力,达到一种基本的安全状态; ? 是每个级别信息系统进行安全保护工作的一 个基本出发点,更加贴切的保护可以通过需 求分析对基本要求进行补充,参考其他有关 等级保护或安全方面的标准来实现;

《基本要求》的定位
基本要求 保护 特殊需求 补充措施 基本保护 测评 基本要求

某级信息系统

精确保护 基本保护

补充的安全措施 GB17859-1999 通用技术要求 安全管理要求 高级别的基本要求 等级保护其他标准 安全方面相关标准 等等

二、保护要求分级描述的主要思想

《基本要求》基本思路
应对不同威胁的能力 (威胁\弱点)

不同级别 信息系统

重要程度不同 具有不同的安全保护能力

不同的基本要求

不同级别的安全保护能力要求
? 第一级安全保护能力
? 应能够防护系统免受来自个人的、拥有很少资源 (如利用公开可获取的工具等)的威胁源发起的恶 意攻击、一般的自然灾难(灾难发生的强度弱、持 续时间很短等)以及其他相当危害程度的威胁(无 意失误、技术故障等)所造成的关键资源损害,在 系统遭到损害后,能够恢复部分功能。

? 第二级安全保护能力
? 应能够防护系统免受来自外部小型组织的(如自发的三两 人组成的黑客组织)、拥有少量资源(如个别人员能力、 公开可获或特定开发的工具等)的威胁源发起的恶意攻击、 一般的自然灾难(灾难发生的强度一般、持续时间短、覆 盖范围小等)以及其他相当危害程度的威胁(无意失误、 技术故障等)所造成的重要资源损害,能够发现重要的安 全漏洞和安全事件,在系统遭到损害后,能够在一段时间 内恢复部分功能。

不同级别的安全保护能力要求
? 第三级安全保护能力 ? 应能够在统一安全策略下防护系统免受来自外部有组织的团体(如 一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员 能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾 难(灾难发生的强度较大、持续时间较长、覆盖范围较广等)以及 其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、较严 重的技术故障等)所造成的主要资源损害,能够发现安全漏洞和安 全事件,在系统遭到损害后,能够较快恢复绝大部分功能。 ? 第四级安全保护能力

? 应能够在统一安全策略下防护系统免受来自国家级别的、 敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、 严重的自然灾难(灾难发生的强度大、持续时间长、覆 盖范围广等)以及其他相当危害程度的威胁(内部人员 的恶意威胁、无意失误、严重的技术故障等)所造成的 资源损害,能够发现安全漏洞和安全事件,在系统遭到 损害后,能够迅速恢复所有功能。

各个要素之间的关系
具备 安全保护能力 每个等级的信息系统 包含 实现 包含

基本技术措施
满足

基本管理措施
满足

基本安全要求

《基本要求》核心思路
某级系统 基本要求 技术要求 管理要求

建立安全技术体系

建立安全管理体系

具有某级安全保护能力的系统

各级系统的保护要求差异(宏观)
? 安全保护模型PPDRR
Protection防护
Recovery

恢复

Policy 策略 Response 响应

Detection

检测

各级系统的保护要求差异(宏观)
防护 一级系统 防护/监测 二级系统 策略/防护/监测/恢复 三级系统 策略/防护/监测/恢复/响应 四级系统

各级系统的保护要求差异(宏观)
?安全保护模型IATF
成功的完成业务 信息保障

人 操作
防御 飞地 边界

技术
防御 计算 环境 支 撑 性 基 础 设 施

防御网络与 基础设施

各级系统的保护要求差异(宏观)
通信/边界(基本) 一级系统 通信/边界/内部(关键设备) 二级系统 通信/边界/内部(主要设备) 三级系统 通信/边界/内部/基础设施(所有设备) 四级系统

各级系统的保护要求差异(宏观)
计划和跟踪(主要制度) 一级系统 计划和跟踪(主要制度) 二级系统 良好定义(管理活动制度化) 三级系统 持续改进(管理活动制度化/及时改进) 四级系统

各级系统的保护要求差异(微观)
某级系统 基本要求 技术要求 管理要求

物 理 安 全

网 络 安 全

主 机 安 全

应 用 安 全

数 据 安 全

安 全 管 理 机 构

安 全 管 理 制 度

人 员 安 全 管 理

系 统 建 设 管 理

系 统 运 维 管 理

三、各级系统保护的主要内容

各级系统的安全保护的核心
某级系统 基本要求 技术要求 管理要求

建立安全技术体系

建立安全管理体系

具有某级安全保护能力的系统

基本要求的主要内容
? 由9个章节2个附录构成
? ? ? ? ? ? ? 1.适用范围 2.规范性引用文件 3术语定义 4.等级保护概述 5. 6.7.8.9基本要求 附录A 关于信息系统整体安全保护能力的要求 附录B 基本安全要求的选择和使用

基本要求的组织方式
某级系统 基本要求 技术要求 管理要求



……

……



控制点

……

……

控制点

具体要求

……

……

具体要求

基本要求-组织方式
某级系统 基本要求 技术要求 管理要求

物 理 安 全

网 络 安 全

主 机 安 全

应 用 安 全

数 据 安 全

安 全 管 理 机 构

安 全 管 理 制 度

人 员 安 全 管 理

系 统 建 设 管 理

系 统 运 维 管 理

基本要求-组织方式
物理安全(四级)

物 理 位 置 选 择

物 理 访 问 控 制

防 盗 窃 和 防 破 坏

防 雷 击

防 火

防 水 和 防 潮

温 湿 度 控 制

电 力 供 应

电 磁 防 护

基本要求-组织方式
网络安全(四级)

结 构 安 全 和 网 段 划 分

网 络 访 问 控 制

拨 号 访 问 控 制

网 络 安 全 审 计

边 界 完 整 性 检 查

网 络 入 侵 检 测

恶 意 代 码 防 护

网 络 设 备 防 护

基本要求-组织方式
主机系统安全(四级)

身 份 鉴 别

自 主 访 问 控 制

强 制 访 问 控 制

可 信 路 径

安 全 审 计

剩 余 信 息 保 护

入 侵 防 范

恶 意 代 码 防 范

系 统 资 源 控 制

系 统 自 我 保 护

基本要求-组织方式
应用安全(四级)

身 份 鉴 别

访 问 控 制

通 信 完 整 性

通 信 保 密 性

安 全 审 计

剩 余 信 息 保 护

抗 抵 赖

软 件 容 错

资 源 控 制

代 码 安 全

基本要求-组织方式
数据安全(四级)

数据完整性

数据保密性

安全备份

基本要求-组织方式
安全管理机构(四级)

岗 位 设 置

人 员 配 备

授 权 和 审 批

沟 通 与 合 作

审 核 和 检 查

基本要求-组织方式
安全管理制度(四级)

管理制度

制订和发布

评审和修订

基本要求-组织方式
人员安全管理(四级)

人 员 录 用

人 员 离 岗

人 员 考 核

安 全 意 识 教 育 和 培 训

第 三 方 人 员 访 问 管 理

基本要求-组织方式
系统建设管理(四级)

系 统 定 级

安 全 风 险 评 估

安 全 方 案 设 计

产 品 采 购

自 行 软 件 开 发

外 包 软 件 开 发

工 程 实 施

测 试 验 收

系 统 交 付

安 全 服 务 商 选 择

系 统 备 案

基本要求-组织方式
系统运维管理(四级)

环 境 管 理

资 产 管 理

设 备 管 理

介 质 管 理

运 行 维 护 和 监 控 管 理

网 络 安 全 管 理

系 统 安 全 管 理

恶 意 代 码 防 范 管 理

变 更 管 理

密 码 管 理

系 统 备 案

备 份 和 恢 复 管 理

安 全 事 件 处 置

应 急 计 划 管 理

基本要求标注方式
? 基本要求
? 技术要求 ? 管理要求

? 要求标注
? 业务信息安全类要求(标记为S类) ? 系统服务保证类要求(标记为A类) ? 通用安全保护类要求(标记为G类)

三类要求之间的关系
业 务 信 息 安 全 类 ( S ) 通用安全保护类要求(G) 安全要求 系 统 服 务 保 证 类 ( A

基本要求的选择和使用
? 一个3级系统,定级结果为S3A2,保护类型应 该是S3A2G3
? 第1步:
? 选择标准中3级基本要求的技术要求和管理要求;

? 第2步:
? 要求中标注为S类和G类的不变; ? 标注为A类的要求可以选用2级基本要求中的A类 作为基本要求;

安全保护和系统定级的关系
? 定级指南要求按照“业务信息”和“系统服务” 的需求确定整个系统的安全保护等级 ? 定级过程反映了信息系统的保护要求

安全等级 第一级 第二级 S1A1G1

信息系统保护要求的组合

S1A2G2,S2A2G2,S2A1G2

第三级
第四级

S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4, S4A1G4

不同级别系统控制点的差异
安全要求类 技术要求 层面 物理安全 网络安全 主机安全 一级 7 3 4 二级 10 6 6 三级 10 7 7 四级 10 7 9

应用安全
数据安全及备 份恢复 管理要求 安全管理制度

4
2 2

7
3 3

9
3 3

11
3 3

安全管理机构
人员安全管理 系统建设管理 系统运维管理 合计 级差 / /

4
4 9 9 48 /

5
5 9 12 66 18

5
5 11 13 73 7

5
5 11 13 77 4

不同级别系统要求项的差异
安全要求类 技术要求 层面 物理安全 网络安全 主机安全 一级 9 9 6 二级 19 18 19 三级 32 33 32 四级 33 32 36

应用安全
数据安全及备份 恢复 管理要求 安全管理制度 安全管理机构 人员安全管理 系统建设管理

7
2 3 4 7 20

19
4 7 9 11 28

31
8 11 20 16 45

36
11 14 20 18 48

系统运维管理
合计 /

18
85

41
175

62
290

70
318

级差

/

/

90

115

28

各级系统安全保护要求-物理安全
? 物理安全主要涉及的方面包括环境安全(防 火、防水、防雷击等)设备和介质的防盗窃 防破坏等方面。 ? 具体包括:物理位置的选择、物理访问控制、 防盗窃和防破坏、防雷击、防火、防水和防 潮、防静电、温湿度控制、电力供应和电磁 防护等十个控制点。

各级系统安全保护要求-物理安全
控制点 物理位置的选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 温湿度控制 电力供应 电磁防护 * * * * * * * 一级 二级 * * * * * * * * * * 三级 * * * * * * * * * * 四级 * * * * * * * * * *

合计

7

10

10

10

各级系统安全保护要求-物理安全
? 一级物理安全要求:主要要求对物理环境进行基本的防护, 对出入进行基本控制,环境安全能够对自然威胁进行基本的 防护,电力则要求提供供电电压的正常。 ? 二级物理安全要求:对物理安全进行了进一步的防护,不仅 对出入进行基本的控制,对进入后的活动也要进行控制;物 理环境方面,则加强了各方面的防护,采取更细的要求来多 方面进行防护。 ? 三级物理安全要求:对出入加强了控制,做到人、电子设备 共同监控;物理环境方面,进一步采取各种控制措施来进行 防护。如,防火要求,不仅要求自动消防系统,而且要求区 域隔离防火,建筑材料防火等方面,将防火的范围增大,从 而使火灾发生的几率和损失降低。 ? 四级物理安全要求:对机房出入的要求进一步增强,要求多 道电子设备监控;物理环境方面,要求采用一定的防护设备

各级系统安全保护要求-网络安全
? 网络安全主要关注的方面包括:网络结构、 网络边界以及网络设备自身安全等。 ? 具体的控制点包括:结构安全、访问控制、 安全审计、边界完整性检查、入侵防范、恶 意代码防范、网络设备防护等七个控制点。

各级系统安全保护要求-网络安全
控制点 结构安全 访问控制 安全审计 边界完整性检查 入侵防范 一级 * * 二级 * * * 三级 * * * 四级 * * *

*

*

*

*

*

*

恶意代码防范
网络设备防护 合计

*

*

* 3

* 6

* 7

* 7

各级系统安全保护要求-网络安全
? 一级网络安全要求:主要提供网络安全运行的基本保障,包 括网络结构能够基本满足业务运行需要,网络边界处对进出 的数据包头进行基本过滤等访问控制措施。 ? 二级网络安全要求:不仅要满足网络安全运行的基本保障, 同时还要考虑网络处理能力要满足业务极限时的需要。对网 络边界的访问控制粒度进一步增强。同时,加强了网络边界 的防护,增加了安全审计、边界完整性检查、入侵防范等控 制点。对网络设备的防护不仅局限于简单的身份鉴别,同时 对标识和鉴别信息都有了相应的要求。 ? 三级网络安全要求:对网络处理能力增加了“优先级”考虑, 保证重要主机能够在网络拥堵时仍能够正常运行;网络边界 的访问控制扩展到应用层,网络边界的其他防护措施进一步 增强,不仅能够被动的“防”,还应能够主动发出一些动作, 如报警、阻断等。网络设备的防护手段要求两种身份鉴别技 术综合使用。 ? 四级网络安全要求:对网络边界的访问控制做出了更为严格

各级系统安全保护要求-主机安全
? 主机系统安全是包括服务器、终端/工作站等 在内的计算机设备在操作系统及数据库系统 层面的安全。终端/工作站是带外设的台式机 与笔记本计算机,服务器则包括应用程序、 网络、web、文件与通信等服务器。主机系 统是构成信息系统的主要部分,其上承载着 各种应用。因此,主机系统安全是保护信息 系统安全的中坚力量。 ? 主机系统安全涉及的控制点包括:身份鉴别、 安全标记、访问控制、可信路径、安全审计、 剩余信息保护、入侵防范、恶意代码防范和

各级系统安全保护要求-主机安全
控制点 身份鉴别 安全标记 访问控制 可信路径 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制 * * * * * * * * * * * * * * 一级 * 二级 * 三级 * 四级 * * * * * * * * *

各级系统安全保护要求-主机安全
? 一级主机系统安全要求:对主机进行基本的防护,要求主机 做到简单的身份鉴别,粗粒度的访问控制以及重要主机能够 进行恶意代码防范。 ? 二级主机系统安全要求:在控制点上增加了安全审计和资源 控制等。同时,对身份鉴别和访问控制都进一步加强,鉴别 的标识、信息等都提出了具体的要求;访问控制的粒度进行 了细化等,恶意代码增加了统一管理等。 ? 三级主机系统安全要求:在控制点上增加了剩余信息保护, 即,访问控制增加了设置敏感标记等,力度变强。同样,身 份鉴别的力度进一步增强,要求两种以上鉴别技术同时使用。 安全审计已不满足于对安全事件的记录,而要进行分析、生 成报表。对恶意代码的防范综合考虑网络上的防范措施,做 到二者相互补充。对资源控制的增加了对服务器的监视和最 小服务水平的监测和报警等。 ? 四级主机系统安全要求:在控制点上增加了安全标记和可信 路径,其他控制点在强度上也分别增强,如,身份鉴别要求

各级系统安全保护要求-应用安全
? 通过网络、主机系统的安全防护,最终应用安全成 为信息系统整体防御的最后一道防线。在应用层面 运行着信息系统的基于网络的应用以及特定业务应 用。基于网络的应用是形成其他应用的基础,包括 消息发送、web浏览等,可以说是基本的应用。业 务应用采纳基本应用的功能以满足特定业务的要求, 如电子商务、电子政务等。由于各种基本应用最终 是为业务应用服务的,因此对应用系统的安全保护 最终就是如何保护系统的各种业务应用程序安全运 行。 ? 应用安全主要涉及的安全控制点包括:身份鉴别、 安全标记、访问控制、可信路径、安全审计、剩余 信息保护、通信完整性、通信保密性、抗抵赖、软

各级系统安全保护要求-应用安全
控制点 身份鉴别 一级 * 二级 * 三级 * 四级 *

安全标记
访问控制 可信路经 安全审计 剩余信息保护 * * * * * *

*
* * * *

通信完整性
通信保密性 抗抵赖 软件容错 资源控制

*

*
*

*
* *

*
* * * *

*

* *

* *

各级系统安全保护要求-应用安全
? 一级应用安全要求:对应用进行基本的防护,要求做到简单 的身份鉴别,粗粒度的访问控制以及数据有效性检验等基本 防护。 ? 二级应用安全要求:在控制点上增加了安全审计、通信保密 性和资源控制等。同时,对身份鉴别和访问控制都进一步加 强,鉴别的标识、信息等都提出了具体的要求。访问控制的 粒度进行了细化,对通信过程的完整性保护提出了特定的校 验码技术。应用软件自身的安全要求进一步增强,软件容错 能力增强。 ? 三级应用安全要求:在控制点上增加了剩余信息保护和抗抵 赖等。同时,身份鉴别的力度进一步增强,要求组合鉴别技 术,访问控制增加了敏感标记功能,安全审计已不满足于对 安全事件的记录,而要进行分析等。对通信过程的完整性保 护提出了特定的密码技术。应用软件自身的安全要求进一步 增强,软件容错能力增强,增加了自动保护功能。 ? 四级应用安全要求:在控制点上增加了安全标记和可信路径

各级系统安全保护要求-数据安全及备份恢复
? 信息系统处理的各种数据(用户数据、系统数据、业务数据 等)在维持系统正常运行上起着至关重要的作用。一旦数据 遭到破坏(泄漏、修改、毁坏),都会在不同程度上造成影 响,从而危害到系统的正常运行。由于信息系统的各个层面 (网络、主机、应用等)都对各类数据进行传输、存储和处 理等,因此,对数据的保护需要物理环境、网络、数据库和 操作系统、应用程序等提供支持。各个“关口”把好了,数 据本身再具有一些防御和修复手段,必然将对数据造成的损 害降至最小。 ? 另外,数据备份也是防止数据被破坏后无法恢复的重要手段, 而硬件备份等更是保证系统可用的重要内容,在高级别的信 息系统中采用异地适时备份会有效的防治灾难发生时可能造 成的系统危害。 ? 保证数据安全和备份恢复主要从:数据完整性、数据保密性、 备份和恢复等三个控制点考虑。

各级系统安全保护要求-数据安全及备份恢复
控制点 数据完整性 数据保密性 一级 二级 三级 四级

*

*

*

*

*

*

*

备份和恢复 合计

*

*

*

*

2

3

3

3

各级系统安全保护要求-数据安全及备份恢复
? 一级数据安全及备份恢复要求:对数据完整性用户数据在传 输过程提出要求,能够检测出数据完整性受到破坏;同时能 够对重要信息进行备份。 ? 二级数据及备份恢复安全要求:对数据完整性的要求增强, 范围扩大,要求鉴别信息和重要业务数据在传输过程中都要 保证其完整性。对数据保密性要求实现鉴别信息存储保密性, 数据备份增强,要求一定的硬件冗余。 ? 三级数据及备份恢复安全要求:对数据完整性的要求增强, 范围扩大,增加了系统管理数据的传输完整性,不仅能够检 测出数据受到破坏,并能进行恢复。对数据保密性要求范围 扩大到实现系统管理数据、鉴别信息和重要业务数据的传输 和存储的保密性,数据的备份不仅要求本地完全数据备份, 还要求异地备份和冗余网络拓扑。 ? 四级数据及备份恢复安全要求:为进一步保证数据的完整性 和保密性,提出使用专有的安全协议的要求。同时,备份方 式增加了建立异地适时灾难备份中心,在灾难发生后系统能

各级系统安全保护要求-安全管理制度

? 在信息安全中,最活跃的因素是人,对人的 管理包括法律、法规与政策的约束、安全指 南的帮助、安全意识的提高、安全技能的培 训、人力资源管理措施以及企业文化的熏陶, 这些功能的实现都是以完备的安全管理政策 和制度为前提。这里所说的安全管理制度包 括信息安全工作的总体方针、策略、规范各 种安全管理活动的管理制度以及管理人员或 操作人员日常操作的操作规程。 ? 安全管理制度主要包括:管理制度、制定和

各级系统安全保护要求-安全管理制度
控制点
管理制度 制定和发 布 评审和修 订

一级
* *

二级
* * *

三级
* * *

四级
* * *

合计

2

3

3

3

各级系统安全保护要求-安全管理制度
? 一级安全管理制度要求:主要明确了制定日常常用 的管理制度,并对管理制度的制定和发布提出基本 要求。 ? 二级安全管理制度要求:在控制点上增加了评审和 修订,管理制度增加了总体方针和安全策略,和对 各类重要操作建立规程的要求,并且管理制度的制 定和发布要求组织论证。 ? 三级安全管理制度要求:在二级要求的基础上,要 求机构形成信息安全管理制度体系,对管理制度的 制定要求和发布过程进一步严格和规范。对安全制 度的评审和修订要求领导小组的负责。 ? 四级安全管理制度要求:在三级要求的基础上,主 要考虑了对带有密级的管理制度的管理和管理制度 的日常维护等。

各级系统安全保护要求-安全管理机构
? 安全管理,首先要建立一个健全、务实、有效、统 一指挥、统一步调的完善的安全管理机构,明确机 构成员的安全职责,这是信息安全管理得以实施、 推广的基础。在单位的内部结构上必须建立一整套 从单位最高管理层(董事会)到执行管理层以及业 务运营层的管理结构来约束和保证各项安全管理措 施的执行。其主要工作内容包括对机构内重要的信 息安全工作进行授权和审批、内部相关业务部门和 安全管理部门之间的沟通协调以及与机构外部各类 单位的合作、定期对系统的安全措施落实情况进行 检查,以发现问题进行改进。 ? 安全管理机构主要包括:岗位设置、人员配备、授 权和审批、沟通和合作以及审核和检查等五个控制

各级系统安全保护要求-安全管理机构
控制点 一级 二级 三级 四级

岗位设置
人员配备 授权和审批 沟通和合作

*
* * *

*
* * *

*
* * *

*
* * *

审核和检查

*

*

*

合计

4

5

5

5

各级系统安全保护要求-安全管理机构
? 一级安全管理机构要求:主要要求对开展信息安全 工作的基本工作岗位进行配备,对机构重要的安全 活动进行审批,加强对外的沟通和合作。 ? 二级安全管理机构要求:在控制点上增加了审核和 检查,同时,在一级基础上,明确要求设立安全主 管等重要岗位;人员配备方面提出安全管理员不可 兼任其它岗位原则;沟通与合作的范围增加与机构 内部及与其他部门的合作和沟通。 ? 三级安全管理机构要求:对于岗位设置,不仅要求 设置信息安全的职能部门,而且机构上层应有一定 的领导小组全面负责机构的信息安全全局工作。授 权审批方面加强了授权流程控制以及阶段性审查。 沟通与合作方面加强了与外部组织的沟通和合作, 并聘用安全顾问。同时对审核和检查工作进一步规

各级系统安全保护要求-人员安全管理
? 人,是信息安全中最关键的因素,同时也是信息安 全中最薄弱的环节。很多重要的信息系统安全问题 都涉及到用户、设计人员、实施人员以及管理人员。 如果这些与人员有关的安全问题没有得到很好的解 决,任何一个信息系统都不可能达到真正的安全。 只有对人员进行了正确完善的管理,才有可能降低 人为错误、盗窃、诈骗和误用设备的风险,从而减 小了信息系统遭受人员错误造成损失的概率。 ? 对人员安全的管理,主要涉及两方面:对内部人员 的安全管理和对外部人员的安全管理。具体包括: 人员录用、人员离岗、人员考核、安全意识教育和

各级系统安全保护要求-人员安全管理
控制点 一级 二级 三级 四级

人员录用
人员离岗 人员考核

*
*

*
* *

*
* *

*
* *

安全意识教育和培训

*

*

*

*

外部人员访问管理
合计

*
4

*
5

*
5

*
5

各级系统安全保护要求-人员安全管理
? 一级人员安全管理要求:对人员在机构的工作周期 (即,录用、日常培训、离岗)的活动提出基本的 管理要求。同时,对外部人员访问要求得到授权和 审批。 ? 二级人员安全管理要求:在控制点上增加了人员考 核,对人员的录用和离岗要求进一步增强,过程性 要求增加,安全教育培训更正规化,对外部人员的 访问活动约束其访问行为。 ? 三级人员安全管理要求:在二级要求的基础上,增 强了对关键岗位人员的录用、离岗和考核要求,对 人员的培训教育更具有针对性,外部人员访问要求 更具体。 ? 四级人员安全管理要求:在三级要求的基础上,提 出了保密要求和关键区域禁止外部人员访问的要求。

各级系统安全保护要求-系统建设管理
? 信息系统的安全管理贯穿系统的整个生命周 期,系统建设管理主要关注的是生命周期中 的前三个阶段(即,初始、采购、实施)中 各项安全管理活动。 ? 系统建设管理分别从工程实施建设前、建设 过程以及建设完毕交付等三方面考虑,具体 包括:系统定级、安全方案设计、产品采购 和使用、自行软件开发、外包软件开发、工 程实施、测试验收、系统交付、系统备案、 等级测评和安全服务商选择等十一个控制点。

各级系统安全保护要求-系统建设管理
控制点 系统定级 安全方案设计 产品采购和使用 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 系统备案 等级测评 安全服务商选择 合计 * 9 一级 * * * * * * * * 二级 * * * * * * * * * * * 9 三级 * * * * * * * * * * * 11 四级 * * * * * * * * * * * 11

各级系统安全保护要求-系统建设管理
? 一级系统建设管理要求:对系统建设整体过程所涉及的各项 活动进行基本的规范,如,先定级,方案准备、安全产品按 要求采购,软件开发(自行、外包)的基本安全,实施的基 本管理,建设后的安全性验收、交付等都进行要求。 ? 二级系统建设管理要求:在控制点上增加了系统备案和安全 测评,增加了某些活动的文档化要求,如软件开发管理制度, 工程实施应有实施方案要求等。同时,对安全方案、验收报 告等增加了审定要求,产品的采购增加了密码产品的采购要 求等。 ? 三级系统建设管理要求:对建设过程的各项活动都要求进行 制度化规范,按照制度要求进行活动的开展。对建设前的安 全方案设计提出体系化要求,并加强了对其的论证工作。 ? 四级系统建设管理要求:主要对软件开发活动进一步加强了 要求,以保证软件开发的安全性。对工程实施过程提出了监

各级系统安全保护要求-系统运维管理
? 信息系统建设完成投入运行之后,接下来就是如何 维护和管理信息系统了。系统运行涉及到很多管理 方面,例如对环境的管理、介质的管理、资产的管 理等。同时,还要监控系统由于一些原因发生的重 大变化,安全措施也要进行相应的修改,以维护系 统始终处于相应安全保护等级的安全状态中。 ? 系统运维管理主要包括:环境管理、资产管理、介 质管理、设备管理、监控管理和安全管理中心、网 络安全管理、系统安全管理、恶意代码防范管理、 密码管理、变更管理、备份与恢复管理、安全事件 处置、应急预案管理等十三个控制点。

各级系统安全保护要求-系统运维管理
控制点 环境管理 一级 * 二级 * 三级 * 四级 *

资产管理
介质管理 设备管理 监控管理和安全管 理中心 网络安全管理 系统安全管理 恶意代码防范管理 密码管理 变更管理 备份与恢复管理 安全事件处置 应急预案管理 合计

*
* * * * * *

*
* * * * * * * *

*
* * * * * * * * * * * 13

*
* * * * * * * * * * * 13

* *

* * *

10

13

各级系统安全保护要求-系统运维管理
? 一级系统运维管理要求:主要对机房运行环境、资产的隶属 管理、介质的保存、设备维护使用管理等方面提出基本管理 要求,使得系统在这些方面的管理下能够基本运行正常。 ? 二级系统运维管理要求:在控制点上增加了密码管理、变更 管理、应急预案管理,同时加强了其他各方面的要求,主要 表现在:对环境的关注扩展到办公环境的保密性管理;同时 提出资产标识管理;对介质和设备的出入使用加强控制;网 络和系统安全方面进行制度化管理;对系统内发生的安全事 件进行分类、分级等。 ? 三级系统运维管理要求:在控制点上增加了监控管理和安全 管理中心,对介质、设备、密码、变更、备份与恢复等都采 用制度化管理,并更加注意过程管理的控制,其中对介质的 管理重点关注了介质保密性和可用性管理;安全事件根据等 级分级响应,同时加强了对应急预案的演练和审查等。 ? 四级系统运维管理要求:将机房环境管理和办公环境管理提 到同等重要的程度,二者统一管理;对介质的管理主要关注

使用基本要求的方式
? 运营、使用单位/安全服务商
? 安全规划设计
? 技术体系设计 ? 管理体系设计

? 分期/分步安全实施
? 物理环境安全建设 ? 机房、办公环境安全建设 ? 网络安全建设 ? 安全域划分、边界设备设置、边界访问控制、边界数据过
滤 ? 网络传输加密、网络协议保护、网络防病毒等

? 主机安全防护 ? 操作系统配置和加固、桌面保护等 ? 应用系统安全开发或改造 ? 身份鉴别、访问控制、安全审计、传输加密等

使用基本要求的方式
? 检查单位(主管部门、监管机构)
? 全面检查
? 技术检查 ? 管理检查

? 部分检查
? 技术检查 ? 网络安全
? ? ? ? ? 安全域划分、IP地址规划、网关设置 边界设备设置、边界访问控制、边界数据过滤 网络传输加密、网络协议保护、网络防病毒 交换机、路由器等网络设备的保护 等等

谢 谢!


相关文章:
信息安全等级保护基本要求使用介绍_图文.ppt
信息安全等级保护基本要求使用介绍 - 《信息系统安全等级保护基本要求》 使用介绍
信息安全等级保护标准介绍--任卫红_图文.pdf
主管部门 运营使用单位 安全服务商 安全评估机构 信息安全监 管职能部门 系统...要保 求护 安全 信息系统安全等级保护基本要求的行业细则 信息系统安全等级保护...
信息系统安全等级保护基本要求..doc
信息系统安全等级保护基本要求. - 蓝色部分是操作系统安全等级划分, 红色部 分是四级操作系统关于网络部分的要求:) 《信息系统安全等级保护基本要求》 中华人民共和...
信息系统安全等级保护基本要求-二级.doc
信息系统安全等级保护基本要求-二级 - 等保第二级要求: 技术要求 物理安全 物
4-信息安全等级保护基本要求解读.ppt
信息系统安全等级保护基本要求 主要内容一.概述 二.描述模型 三.逐级增强的特点四.各级的要求 五.标准的使用 信息系统安全等级保护基本要求 概述 ? 内容与作用 ?...
信息系统安全等级保护基本要求.doc
蓝色部分是操作系统安全等级划分, 红色部 分是四级操作系统关于网络部分的要求:)《信息系统安全等级保护基本要求》中华人民共和国国家标准 GB/T 22239-2008 引言 ...
信息系统安全等级保护基本要求和建设_图文.ppt
信息系统安全等级保护基本要求和建设整改石家庄鼎普信息技术有限公司 张海波 ...和使用 自行软件 开发 外包软件 开发 工程实践 测试验收 系统交付 系统备案 ...
信息安全-信息系统安全等级保护基本要求.pdf
信息安全-信息系统安全等级保护基本要求_IT/计算机_专业资料。关于信息安全保护的...本标准中对基本安全要求使用了标记, 其中的字母表示安全要求的类型, 数字表示...
信息系统安全等级保护基本要求(三级要求).doc
信息系统安全等级保护基本要求(三级要求) - 信息系统安全等级保护基本要求 1
信息系统安全等级保护基本要求培训.ppt
《信息系统安全等级保护基本要求》公安部 信息安全 等级保护 公安部 评估中心 信安标委会 使用介绍 2016/6/28 目录 ? 使用时机和主要作用公安部 信息安全 等级...
信息安全等级保护基本要求解析_图文.ppt
信息安全等级保护基本要求解析 - 信息安全等级保护 基本要求解读 广州华南信息安全测评中心 信息系统安全等级保护基本要求 目标 通过学习,能够了解标准的结构特点、描述...
《信息系统安全等级保护基本要求》培训资料.doc
信息安全等级 工作, 介绍信息系统安全建设和改造过程中使用的主要标准之一 《信息系统安全等级保护基 本要求》 (以下简称《基本要求》,描述《基本要求》的技术要求...
信息系统安全等级保护(四级)基本要求.xls
信息系统安全等级保护(四级)基本要求 - 信息系统安全等级保护(四级)基本要求 序 1 要求类别 要求项目 子项描述 备注 技术要求 物理安全 物理位置的选择 a) 机房...
信息系统安全等级保护第三级基本要求.doc
信息系统安全等级保护第三级基本要求 - 7 第三级基本要求 7.1 技术要求 7
信息系统安全保护等级基本要求.doc
信息系统安全保护等级基本要求 - 中华人民共和国国家标准 ××× GB/T ×××××× 信息安全技术 信息系统安全等级保护基本要求 Information security ...
信息系统安全等级保护(二级)基本要求_图文.xls
信息系统安全等级保护(二级)基本要求 - 信息系统安全等级保护(二级)基本要求 序号 要求类别 要求项目 1 技术要求 物理安全 物理位置的 选择(G2) 2 物理访问控 ...
等级保护标准体系简介_图文.ppt
信息安全等级保护工作使用的主要标准 ? 管理办法 ? 实施指南 ? 定级指南 ? 基本要求 ? 测评要求 目录 ? 信息安全等级保护标准体系 ? 信息安全等级保护工作使用的...
电力行业信息系统安全等级保护基本要求(二级).doc
电力行业信息系统安全等级保护基本要求(二级) - 电力行业信息系统安全等级保护基本要求 目 录 1 第二级基本要求......
信息安全一级等级保护基本要求.doc
信息安全一级等级保护基本要求_互联网_IT/计算机_专业资料。申请信息安全等级保护的朋友来看看简要介绍--等级保护基本要求 GB/T 22239-2008 信息安全技术 信息系统安...
信息安全等级测评机构能力要求使用说明.pdf
18 1 信息安全等级测评机构能力要求使用说明 前 言 公安部颁布 《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》公( 信安[2010]303 号) ,决定...
更多相关标签: