信息系统安全等级保护测评樊山PPT推荐.ppt

信息系统安全等级保护测评樊山PPT推荐.ppt

《信息系统安全等级保护测评樊山PPT推荐.ppt》由会员分享，可在线阅读，更多相关《信息系统安全等级保护测评樊山PPT推荐.ppt（42页珍藏版）》请在冰豆网上搜索。

用户自主保护级；

第二级:

系统审计保护级；

第三级:

安全标记保护级；

第四级:

结构化保护级；

第五级:

访问验证保护级；

相关规定,“66号文”对职责分工和工作的要求：

信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准，确定安全保护等级对新建、改建、扩建的信息系统进行信息系统的安全规划设计、安全建设施工按照规范和技术标准的要求，定期进行安全状况检测评估国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求，对其安全等级保护状况进行监督检查,相关规定,1.第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。

2.第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。

3.第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。

相关规定,4.第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。

5.第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。

相关标准,主要的管理规范和技术标准信息安全等级保护管理办法系统定级信息系统安全保护等级定级指南安全保护信息系统安全等级保护基本要求信息系统安全等级保护实施指南检测评估信息系统安全等级保护基本要求信息系统安全等级保护测评准则监督检查信息系统安全等级保护监督检查要求,等级保护体系简介,专用,专用,仅供部门B,保护的核心是信息,等级保护体系简介,管理规范和技术标准的作用,主管部门,监督检查,信息安全监管职能部门,系统定级,安全保护,检测评估,运营/使用单位,安全服务商安全评估机构,技术标准,管理规范,等级保护体系简介,风险分析,基本要求,安全等级定级指南,其他标准要求,等级系统保护方案实施,运行维护管理安全事件管理安全风险管理,安全产品选择安全工程实施系统安全配置,安全状况监控,系统特定需求,等级化要求,事件等级划分,事件响应处置,产品等级划分,风险评估,系统测评准则,监督检查要求,等级系统保护策略与安全方案,实施指南,评估指南,信息系统等级划分,信息系统和业务子系统：

信息系统是指基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统；

业务子系统由信息系统的一部分组件构成，是信息系统中能够承载某项业务工作的子系统。

信息系统等级划分,如果信息系统只承载一项业务，可以直接为该信息系统确定等级。

如果信息系统承载多项业务，应根据各项业务的性质和特点，将信息系统分成若干业务子系统，分别为各业务子系统确定安全保护等级，信息系统的安全保护等级由各业务子系统的最高等级决定。

信息系统是进行等级确定和等级保护管理的最终对象。

决定等级划分的要素,系统所属类型,业务信息类别,系统服务范围,业务依赖程度程度,业务信息安全性,业务服务保证性,决定等级划分的要素,业务信息安全性,业务服务保证性,信息系统安全保护等级,等级确定步骤,信息系统所属类型,业务信息类型,信息系统服务范围,业务依赖程度,业务信息安全性取值,业务服务保证性取值,业务服务保证性等级,1.赋值,选择调节因子,业务子系统安全保护等级,2.确定两个指标等级,业务信息安全性等级,3确定业务子系统等级,信息系统安全保护等级,4.确定信息系统等级,其它业务子系统。

定级指标,等级调整,提升级别的主要参考因素：

上级主管部门在政策和管理方面的特殊要求。

预测业务信息可能会随着时间的变化从量变转化为质变。

业务依赖程度在将来会进一步提高，或随着信息系统所承载的业务不断完善和稳定，与信息系统并行的手工处理（或老的系统）的业务将有可能取消。

信息系统服务范围随着业务的发展，将会有较大的变化。

实施流程,重大变更,安全规划设计,安全实施/实现,安全运行管理,系统定级,局部调整,系统终止,等级保护各阶段的工作-定级,主要输入,主要输出,阶段主要活动,子系统识别和描述,系统立项文档系统建设文档系统管理文档,系统详细描述文件,系统识别与划分,系统总体描述文件,系统总体描述文件,安全等级确定,系统总体描述文件系统详细描述文件,系统安全保护等级定级建议书,等级保护各阶段的工作-规划设计,安全评估和需求分析,安全总体设计,安全建设规划,主要输入,系统详细描述文件系统定级建议书等级保护基本要求,安全评估报告安全需求分析报告等级保护基本要求,总体安全策略/框架单位信息化的中长期规划,阶段主要活动,安全评估报告安全需求分析报告,安全总体方案书技术防护框架管理策略框架,信息系统安全建设方案,主要输出,等级保护各阶段的工作-评估和需求分析,确定评估范围,获得信息系统的信息,确定具体的评估对象,确定评估工作的方法,制定评估工作计划,系统详细描述文件系统定级建议书用户文档,输入,输出,过程的工作内容,评估工作方案,等级保护各阶段的工作-实施,主要输入,主要输出,阶段主要活动,安全详细方案设计,安全总体方案书系统安全建设方案安全产品技术白皮书,安全详细设计方案,安全技术实施,安全测评报告,等级化安全测评,安全详细设计方案,系统验收报告,安全管理实施,安全详细设计方案,角色与职责说明书管理制度/操作规范,系统定级建议书系统验收报告,等级保护各阶段的工作-安全运行管理,主要输入,主要输出,阶段主要活动,操作管理和控制,安全详细设计方案安全组织机构表,操作人员角色/职责表各类操作规程,变更管理和控制,变更需求,变更结果报告,安全状态监控,安全详细设计方案系统验收报告等,安全状态分析报告,安全事件处置和应急预案,安全详细设计方案安全组织机构表,安全事件报告程序各类应急预案安全事件处置报告,等级保护各阶段的工作-安全运行管理,主要输入,主要输出,阶段主要活动,安全评估和持续改进,安全评估报告安全改进方案,等级化安全测评,安全详细设计方案系统验收报告等,安全等级保护测评报告,监督检查,安全详细设计方案系统验收报告等,监督检查结果报告,变更需求,第二部分信息安全等级保护售前技巧,什么是等级保护测评,等级测评是指测评机构、信息系统的主管部门及运营使用单位针对信息系统的安全保护情况进行的信息安全等级保护相关标准要求的符合性测试评定工作。

测评单元是指安全控制测评的最小工作单位，由测评项、测评方式、测评对象、测评实施和结果判定等组成，分别描述测评目的和内容、测评使用的方式方法、测试过程中涉及的测评对象、具体测试实施取证过程要求和测评证据的结果判定规则与方法。

测评强度是指测评的广度和深度，体现测评工作的实际投入程度。

信息安全等级保护测评依据,依据信息安全等级保护管理办法（公通字200743号），信息系统运营、使用单位在进行信息系统备案后，都应当选择测评机构进行等级测评。

等级测评是测评机构依据信息系统安全等级保护测评要求等管理规范和技术标准，检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程，是落实信息安全等级保护制度的重要环节。

在信息系统建设、整改时，信息系统运营、使用单位通过等级测评进行现状分析，确定系统的安全保护现状和存在的安全问题，并在此基础上确定系统的整改安全需求。

信息安全等级保护测评依据,在信息系统运维过程中，信息系统运营、使用单位定期委托测评机构开展等级测评，对信息系统安全等级保护状况进行安全测试，对信息安全管控能力进行考察和评价，从而判定信息系统是否具备GB/T22239-2008中相应等级安全保护能力。

而且，等级测评报告是信息系统开展整改加固的重要指导性文件，也是信息系统备案的重要附件材料。

等级测评结论为信息系统未达到相应等级的基本安全保护能力的，运营、使用单位应当根据等级测评报告，制定方案进行整改，尽快达到相应等级的安全保护能力。

信息安全等级保护测评过程,测评准备活动本活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。

测评准备工作是否充分直接关系到后续工作能否顺利开展。

本活动的主要任务是掌握被测系统的详细情况，准备测试工具，为编制测评方案做好准备。

方案编制活动本活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。

本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评指导书测评指导书，形成测评方案。

信息安全等级保护测评过程,现场测评活动本活动是开展等级测评工作的核心活动。

本活动的主要任务是按照测评方案的总体要求，严格执行测评指导书测评指导书，分步实施所有测评项目，包括单元测评和整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。

分析与报告编制活动本活动是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。

本活动的主要任务是根据现场测评结果和GB/TDDDD-DDDD的有关要求，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。

信息安全等级保护测评内容,某级系统,物理安全,基本技术要求,基本管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,信息安全等级保护测评内容,技术要求业务信息安全类要求（标记为S类）业务服务保证类要求（标记为C类）通用安全保护类要求（标记为G类）,信息安全等级保护测评内容,信息安全等级保护测评内容,测评售前工作,1、了解定级状况2、了解业务需求3、了解测评范围4、估算测评周期,整改售前工作,1、事前分析测评报告2、了解不合格项3、制定整改售前方案,第三部分案例分析,案例一：

等级保护综合项目,1、定级2、测评3、整改,案例二：

等级保护测评,1、测评范围2、测评方式3、测评工作量核算4、测评方式5、测评输出和售后,案例三：

整改,1、测评报告分析2、控制组合分析3、如何合理分配费用4、技术整改手段和措施5、管理整个手段和措施,讨论,E-Mail：