信息安全等级保护大体框架

网络安全及其协议 专栏收录该内容
57 篇文章 0 订阅

一:信息安全等级保护概念

信息安全等级保护,是指对国家安全、法人和其它组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件按等级进行相应、处置的综合性工作。

二:信息安全等级保护意义

(1)信息系统安全管理水平明显提高

(2)信息系统安全防范能力明显提高

(3)信息安全隐患和安全事故明显减少

(4)有效保障信息化健康发展

(5)有效维护国家安全、社会秩序和公共利益

  • 实行等级保护,利于平衡成本与安全,既不能保护不足,使系统的使用与运行存在隐患,也不能过度保护,使得安全系统的建设和维护成本过高,要在安全与成本之间找到一个平衡点
  • 实行等级保护,有助于突出重点,加强安全建设和管理,在安全管理建设中,强调“技管并重”,并提出来了具体的指标要求,按照等级保护的标准进行建设,将极大提升信息安全保障体系的广度与深度。 

三:信息安全等级保护工作内容

(1)定级 → 评审和审批

(2)备案 → 公安机关备案

(3)系统建设、整改 → 安全建设整改方案

(4)安全等级测评 → 等保测评---测试报告

(5)信息安全监管部门定期开展监督检查  三级一次/年  四级一次/半年

四:信息系统等级划分

信息系统的安全保护等级是信息系统的客观属性,不以采取的措施或即将采取的措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定和人民群众合法权益遭到破坏的危害程度为依据,确定信息系统安全保护的等级。

受损害的客体                            对客体的损害程度
一般损害严重损害特别严重损害

公民,法人和其它组织

的合法权益

第一级第二级第二级
 
社会秩序和公共利益第二级第二级第三级
 
国家安全第三级第四级第五级

信息等级划分详解

等级                                      定义监管方式
第一级信息系统收到破坏后,会对公民、法人、以及其它组织的合法权益收到损害,但不危害国家安全,社会秩序和公共利益自护保护
第二级信息系统收到破坏后,会对公民。法人和其它组织的合法权益受到严重损害,或者损害社会秩序和公共利益,但不会对国家安全造成损害指导保护,要求备案
第三级信息系统收到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害监督保护,每年至少一次测评
第四级信息系统收到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害强制保护,每半年至少一次测评
第五级信息系统收到破坏后,会对国家安全造成特别严重损害专控保护,根据特殊安全需求进行等级测评

 

五:信息安全等级

(1)测评准备阶段

任务输出文档文档内容
信息收集和分析被测系统基本情况分析报告说明被测系统的范围,安全保护等级、业务情况、保护情况、被测系统的管理模式和相关部门及角色
工具和表单准备选用的测评工具清单,打印的各类表单,现场测评授权书,文档交接单现场测评授权,交接的文档名称

(2)现场测评阶段

任务输出文档文档内容
现场测评准备会议记录,确认的委托授权书,更新后的测评计划和测试工作计划和内容安排,双方人员的协调,被测单位提供的配合
访谈技术安全和管理安全测评的测评结果或录音访谈结果
文档审查管理安全测评的测评结果记录管理制度和管理执行过程文档的符合情况
配置检查技术安全测评的网络、主机、应用测评结果记录表格检查内容的结果
工具测试技术安全测评的网络、主机、应用测评结果记录,工具测试完成后的电子输出记录,备份的测试结果文件漏洞扫描,渗透测试,性能测试,入侵检测和协议分析等内容的技术测试结果
实地查看技术安全测评的物理安全和管理安全测评结果记录检查内容的结果
评测结果确认现场核查中发现的问题汇总、证据和证据源记录、被测单位的书面认可文件测评活动中发现的问题、问题的证据、问题源,每项检查活动中被测单位配合人员的书面认可

 

六:信息系统安全等级保护基本要求

技术类管理类

产品类

信息系统通用安全技术要求信息系统安全管理要求操作系统安全技术要求
信息系统物理安全技术要求信息系统安全工程管理要求数据库管理系统安全技术要求
网络基础安全技术要求其它管理类标准网络和终端设备隔离部件技术要求 
其它技术类标准 其它产品类标准

七:等级要求

(1)物理安全

(2)网络安全

 

 (3)主机安全

(4) 应用安全

(5)安全管理制度

 

(6)人员安全管理 

(7)系统建设管理 

 (8)系统运维管理

八:测评方案

(1)访谈  通过与信息系统用户(个人/群体)进行交流、认论等活动,获取相关证据证明信息系统安全保护措施是否落实的一种方法。

(2)检查   通过对测评对象(设备、文档、现场等)进行观察、查验、分析等活动,获取相关证据证明信息系统安全保护措施是否有效的一种方法、

(3)测试  利用预定的方法或工具使测评对象产生特定的行为活动,查看输出结果与预期结果的差异,获取相关证据证明信息系统安全保护措施是否有效的一种方法、

  • 1
    点赞
  • 0
    评论
  • 3
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

相关推荐
1、网络安全等级保护基本要求 1~5部分 2、GBT 28449-2018信息安全技术网络安全等级保护测评过程指南 3、GBT 22239-2019 信息安全技术网络安全等级保护基本要求 4、GBT 25070-2019 信息安全技术网络安全等级保护安全设计技术要求 5、GBT 28448-2019 信息安全技术网络安全等级保护测评要求 6、GAT 671-2006 信息安全技术 终端计算机系统安全等级技术要求 7、GAT 1346-2017 信息安全技术 云操作系统安全技术要求 8、GAT 1350-2017信息安全技术工业控制系统安全管理平台安全技术要求 9、GAT 1390 信息安全技术 网络安全等级保护基本要求 第2、3、5部分 10、GAT 1393-2017 信息安全技术 主机安全加固系统安全技术要求 11、GBT 20272-2019 信息安全技术 操作系统安全技术要求 12、GBT 22240-2008 信息安全技术 信息系统安全等级保护定级指南 13、GBT 25058-2010 信息安全技术 信息系统安全等级保护实施指南 14、GBT 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求 15、GBT 28448-2019 信息安全技术 网络安全等级保护测评要求 16、GBT 28449-2018 信息安全技术 网络安全等级保护测评过程指南 17、GBT 30976.1-2014 工业控制系统信息安全第1部分:评估规范 18、GBT 30976.2-2014 工业控制系统信息安全第2部分:验收规范 19、GBT 32919-2016 信息安全技术工业控制系统安全控制应用指南 20、GBT 33008.1-2016 工业自动化和控制系统网络安全 可编程序控制器(PLC) 第1部分:系统要求 21、GBT 33009-2016 工业自动化和控制系统网络安全 集散控制系统(DCS) 第1,2,3,4部分 22、GBT 34978-2017 信息安全技术 移动智能终端个人信息保护技术要求 23、GBT 35278-2017 信息安全技术移动终端安全保护技术要求 24、GBT 35317-2017 公安物联网系统信息安全等级保护要求 25、GBT 35673-2017 工业通信网络 网络和系统安全 系统安全要求和安全等级 26、GBT 36047-2018 电力信息系统安全检查规范 27、GBT 36323-2018 信息安全技术工业控制系统安全管理基本要求 28、GBT 36324-2018 信息安全技术工业控制系统信息安全分级规范 29、GBT 36466-2018 信息安全技术工业控制系统风险评估实施指南 30、GBT 36470-2018 信息安全技术工业控制系统现场测控设备通用安全功能要求 31、GBT 36572-2018 电力监控系统网络安全防护导则 32、GBT 37971-2019 信息安全技术 智慧城市安全体系框架 33、GBT 20272-2019 信息安全技术 操作系统安全技术要求 34、GBT 26333-2010 工业控制网络安全风险评估规范 35、GBT 29829-2013 信息安全技术 可信计算密码支撑平台功能与接口规范 36、GBT 30372-2013 火力发电厂分散控制系统验收导则 37、GBT 30976.1-2014 工业控制系统信息安全 第1部分:评估规范 38、GBT 30976.2-2014 工业控制系统信息安全 评估规范 39、GBT 32919-2016 信息安全技术 工业控制系统安全控制应用指南 40、GBT 36293-2018 火力发电厂分散控制系统技术条件 41、GBT 37933-2019信息安全技术 工业控制系统专用防火墙技术要求 42、GBT 37934-2019信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求 43、GBT 37935-2019 信息安全技术 可信计算规范 可信软件基 44、GBT 37941-2019信息安全技术 工业控制系统网络审计产品安全技术要求 45、GBT 38318-2019 电力监控系统网络安全评估指南 46、GBT 37973-2019 信息安全技术 大数据安全管理指南 47、GBT 37980-2019信息安全技术 工业控制系统安全检查指南 48、GBT 37988-2019信息安全技术 数据安全能力成熟度模型 49、GBT 12504-90计算机软件质量保证计划规范 50、GBT 24363-2009 信息安全技术 信息安全应急响应计划规范 51、GBT 25058-2019 信息安全
©️2020 CSDN 皮肤主题: Age of Ai 设计师:meimeiellie 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值