等级保护定级方法.ppt
《等级保护定级方法.ppt》由会员分享,可在线阅读,更多相关《等级保护定级方法.ppt(62页珍藏版)》请在冰豆网上搜索。
信息安全等级保护信息安全等级保护电子政务信息系统如何定级电子政务信息系统如何定级陈冠直陈冠直目录信息系统安全保护等级的依据信息系统安全保护等级的确定信息系统安全保护等级的报告信息系统安全保护等级的案例信息系统安全保护等级的依据开展安全等级保护工作依据的开展安全等级保护工作依据的政策和法律依据政策和法律依据国家信息化领导小组关于加强信息安全保障工作的意见国家信息化领导小组关于加强信息安全保障工作的意见(中办(中办发发200327200327号)号)关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见(公通字(公通字200466200466号)号)信息安全等级保护管理办法信息安全等级保护管理办法(公通字(公通字200743200743号)号)关于开展全国重要信息系统安全等级保护定级工作的通知关于开展全国重要信息系统安全等级保护定级工作的通知(公信安(公信安20078612007861号)号)关于印发北京市开展信息安全等级保护工作的实施方案的通知关于印发北京市开展信息安全等级保护工作的实施方案的通知(京公网监字京公网监字20077882007788号号)信息系统安全保护等级的依据开展安全等级保护工作的开展安全等级保护工作的技术依据技术依据基础标准:
基础标准:
计算机信息系统安全等级保护划分准则计算机信息系统安全等级保护划分准则(GB17859GB17859)基线标准:
信息系统安全等级保护基本要求(国标报批稿)基线标准:
信息系统安全等级保护基本要求(国标报批稿)辅助标准:
定级指南、实施指南、测评要求(国标报批稿)辅助标准:
定级指南、实施指南、测评要求(国标报批稿)目标标准:
目标标准:
信息系统通用安全技术要求信息系统通用安全技术要求(GB/T20271GB/T20271)网络基础安全技术要求网络基础安全技术要求(GB/T20270GB/T20270)操作系统安全技术要求操作系统安全技术要求(GB/T20272GB/T20272)数据库管理系统安全技术要求数据库管理系统安全技术要求(GB/T20273GB/T20273)终端计算机系统安全等级技术要求终端计算机系统安全等级技术要求(GA/T671GA/T671)信息系统安全管理要求信息系统安全管理要求(GB/T20269GB/T20269)信息系统安全工程管理要求信息系统安全工程管理要求(GB/T20282GB/T20282)产品标准:
防火墙、入侵检测、终端设备隔离部件等产品标准:
防火墙、入侵检测、终端设备隔离部件等信息系统安全保护等级的依据信息系统安全保护等级的依据等级确定原则和要求等级确定原则和要求“自主定级、自主保护自主定级、自主保护”与与国家监管国家监管相统一原则相统一原则“谁主管谁负责,谁运营谁负责谁主管谁负责,谁运营谁负责”的原则的原则定级工作的要求定级工作的要求加强领导,落实保障加强领导,落实保障明确责任,密切配合明确责任,密切配合动员部署,开展培训动员部署,开展培训及时总结,提出建议及时总结,提出建议信息系统安全保护等级的依据定级要素与安全保护等级的关系定级要素与安全保护等级的关系受侵害的客体受侵害的客体对客体的侵害程度对客体的侵害程度一般一般损害害严重损害严重损害特别严重损害特别严重损害公民、法人和其他组织公民、法人和其他组织的合法权益的合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级目录信息系统安全保护等级的依据信息系统安全保护等级的确定信息系统安全保护等级的报告信息系统安全保护等级的案例信息系统安全保护等级的确定定级工作的主要步骤定级工作的主要步骤第一步,摸底调查,掌握信息系统底数第一步,摸底调查,掌握信息系统底数第二步,确定定级对象第二步,确定定级对象第三步,初步确定信息系统等级第三步,初步确定信息系统等级第四步,信息系统等级评审第四步,信息系统等级评审第五步,信息系统等级的最终确定与审批第五步,信息系统等级的最终确定与审批信息系统安全保护等级的确定第一步,摸底调查,掌握信息系统底数第一步,摸底调查,掌握信息系统底数11按照按照定级工作通知定级工作通知确定的定级范围确定的定级范围各单位、各部门可以组织开展对所属信息系统进行摸底调查,各单位、各部门可以组织开展对所属信息系统进行摸底调查,摸清信息系统底数摸清信息系统底数掌握信息系统(包括信息网络)的业务类型、应用或服务范围、掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况系统结构等基本情况为下一步明确要求、落实责任奠定基础。
为下一步明确要求、落实责任奠定基础。
信息系统安全保护等级的确定第一步,摸底调查,掌握信息系统底数第一步,摸底调查,掌握信息系统底数22识别单位基本信息识别单位基本信息识别管理框架识别管理框架识别业务种类、流程和服务识别业务种类、流程和服务识别信息识别信息识别网络结构和边界识别网络结构和边界识别主要的软硬件设备识别主要的软硬件设备识别用户类型和分布识别用户类型和分布信息系统安全保护等级的确定摸底调查摸底调查11)识别单位基本信息识别单位基本信息调查了解对目标系统负有安全责任的单位的单位性质、隶属关系、所调查了解对目标系统负有安全责任的单位的单位性质、隶属关系、所属行业、业务范围、地理位置等基本情况属行业、业务范围、地理位置等基本情况具有上级主管机构(如果有)的信息具有上级主管机构(如果有)的信息作用:
有助于判断单位的职能特点,单位所在行业及单位在行业所处作用:
有助于判断单位的职能特点,单位所在行业及单位在行业所处的地位和所用,由此判断单位主要信息系统的宏观定位的地位和所用,由此判断单位主要信息系统的宏观定位信息系统安全保护等级的确定摸底调查摸底调查22)识别管理框架识别管理框架调查了解定级对象信息系统所在单位的组织管理结构、管理策调查了解定级对象信息系统所在单位的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责略、部门设置和部门在业务运行中的作用、岗位职责了解信息系统的管理、使用、运维的责任部门了解信息系统的管理、使用、运维的责任部门当单位的信息系统存在分布于不同的物理区域的情况时,应了当单位的信息系统存在分布于不同的物理区域的情况时,应了解不同区域系统运行的安全管理责任解不同区域系统运行的安全管理责任安全管理的责任单位就是等级保护备案工作的责任单位安全管理的责任单位就是等级保护备案工作的责任单位作用:
有利于将来对整个单位制定等级保护管理框架及单个定作用:
有利于将来对整个单位制定等级保护管理框架及单个定级对象等级管理策略。
级对象等级管理策略。
信息系统安全保护等级的确定摸底调查摸底调查33)识别业务种类、流程和服务识别业务种类、流程和服务调查了解定级对象信息系统内部处理多少种业务,各项业务具体要完成的工调查了解定级对象信息系统内部处理多少种业务,各项业务具体要完成的工作内容、服务目标和业务流程等,不同信息系统之间的业务关系作内容、服务目标和业务流程等,不同信息系统之间的业务关系了解这些业务与单位职能的关联,单位对定级对象信息系统完成业务使命的了解这些业务与单位职能的关联,单位对定级对象信息系统完成业务使命的期待和依赖程度,由此判断该信息系统在单位的作用和影响程度。
期待和依赖程度,由此判断该信息系统在单位的作用和影响程度。
应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体方式和程度,影响的区域范围、用户人数、业务量的具体数据以能方面具体方式和程度,影响的区域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等方面及对本单位以外机构或个人的影响等方面作用:
这些具体数据即可以为主管部门制定定级指导意见提供参照,也可以作用:
这些具体数据即可以为主管部门制定定级指导意见提供参照,也可以作为主管部门审批定级结果的重要依据作为主管部门审批定级结果的重要依据信息系统安全保护等级的确定摸底调查摸底调查44)识别信息识别信息调查了解定级对象信息系统所处理的信息,及对信息的三个安全属性调查了解定级对象信息系统所处理的信息,及对信息的三个安全属性的需求的需求了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响,对影响程度的描述应尽可能量化成的影响,对影响程度的描述应尽可能量化根据系统不同业务数据可能是用户数据、业务处理数据、业务过程记根据系统不同业务数据可能是用户数据、业务处理数据、业务过程记录(流水)数据、系统控制数据或文件等录(流水)数据、系统控制数据或文件等了解数据信息还应关注信息系统的数据流,以及不同信息系统之间的了解数据信息还应关注信息系统的数据流,以及不同信息系统之间的数据交换或共享关系数据交换或共享关系信息系统安全保护等级的确定摸底调查摸底调查55)识别网络结构和边界识别网络结构和边界调查了解定级对象信息系统所在单位的整体网络状况和安全防护情况,调查了解定级对象信息系统所在单位的整体网络状况和安全防护情况,包括包括网络覆盖范围(全国、全省或本地区)网络覆盖范围(全国、全省或本地区)网络的构成(广域网、城域网或局域网等)网络的构成(广域网、城域网或局域网等)内部网段内部网段/VLAN/VLAN划分,网段划分,网段/VLAN/VLAN划分与系统的关系划分与系统的关系与上级单位、下级单位、外部用户、合作单位等的网络连接方式与上级单位、下级单位、外部用户、合作单位等的网络连接方式与互联网的连接方式与互联网的连接方式作用:
了解定级对象信息系统自身网络在单位整个网络中的位置,该作用:
了解定级对象信息系统自身网络在单位整个网络中的位置,该信息系统所处的单位内部网络环境和外部环境特点,以及该信息系统信息系统所处的单位内部网络环境和外部环境特点,以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系的网络安全保护与单位内部网络环境的安全保护的关系信息系统安全保护等级的确定摸底调查摸底调查66)识别主要的软硬件设备识别主要的软硬件设备调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等以及安全设备等设备所在网段,在系统中的功能和作用设备所在网段,在系统中的功能和作用信息系统定级本应仅与信息系统有关,但由于在划分信息系统时,不信息系统定级本应仅与信息系统有关,但由于在划分信息系统时,不可避免地会涉及到设备共用问题可避免地会涉及到设备共用问题调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度共用程度信息系统安全保护等级的确定摸底调查摸底调查77)识别用户类型和分布识别用户类型和分布调查了解各系统的管理用户和一般用户,内部用户和外部用户,调查了解各系统的管理用户和一般用户,内部用户和外部用户,本地用户和远程用户等类型本地用户和远程用户等类型了解用户或用户群的数量分布,各类用户可访问的数据信息类型了解用户或用户群的数量分布,各类用户可访问的数据信息类型和操作权限和操作权限作用:
了解用户类型和数量,有助于判断系统服务中断或系统信作用:
了解用户类型和数量,有助于判断系统服务中断或系统信息被破坏可能影响的范围和程度息被破坏可能影响的范围和程度信息系统安全保护等级的确定第二步,确定定级对象第二步,确定定级对象11应用系统应按照不同业务类别单独确定为定级对象,不以系统应用系统应按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件是否进行数据交换、是否独享设备为确定定级对象条件起传输作用的基础网络要作为单独的定级对象起传输作用的基础网
升级会员 