信息系统等级保护实施指南介绍-中国计算机安全.ppt

贯彻27号文件积极推进信息系统等级建设;目录;1、 等级保护是国家基本政策;1、 等级保护是国家基本政策;2、建立国家信息安全等级保护机制;2、建立国家信息安全等级保护机制;2、建立国家信息安全等级保护机制;3、 信息系统安全等级保护制度实施方法;3、 信息系统安全等级保护制度实施方法;3、 信息系统安全等级保护制度实施方法;3、 信息系统安全等级保护制度实施方法;3、 信息系统安全等级保护制度实施方法;4、 等级化系统的建设;等级保护第一级 第一级安全的信息系统具备对信息和系统进行基本保护的能力。 在技术方面，第一级要求设置基本的安全功能，使信息免遭非授权的泄露和破坏，能保证基本安全的系统服务。 在安全管理方面，第一级要求根据机构自身安全需求，为信息系统正常运行提供基本的安全管理保障。;等级保护第二级 第二级安全的信息系统??备对信息和系统进行比较完整的系统化的安全保护能力。 在技术方面，第二级要求采用系统化的设计方法，实现比较完整的安全保护，并通过安全审计机制，使其它安全机制间接地相连接，使信息免遭非授权的泄露和破坏，保证一定安全的系统服务。 在安全管理方面，第二级要求建立必要的信息系统安全管理制度，对安全管理和执行过程进行计划、管理和跟踪。根据实际安全需求，明确机构和人员的相应责任。 ;等级保护第三级 第三级安全的信息系统具备对信息和系统进行基于安全策略强制的安全保护能力。 在技术方面，第三级要求按照完整的安全策略模型 ，实施强制性的安全保护，使数据信息免遭非授权的泄露和破坏，保证较高安全的系统服务。 在安全管理方面，第三级要求建立完整的信息系统安全管理体系，对安全管理过程进行规范化的定义，并对过程执行实施监督和检查。根据实际安全需求，建立安全管理机构，配备专职安全管理人员，落实各级领导及相关人员的责任 。;等级保护第四级 第四级安全的信息系统具备对信息和系统进行基于安全策略强制的整体的安全保护能力。 在技术方面，物理隔离，第四级要求采用结构化设计方法，按照完整的安全策略模型，实现各层面相结合的强制性的安全保护，使数据信息免遭非授权的泄露和破坏，保证高安全的系统服务。 在安全管理方面，第四级要求建立持续改进的信息系统安全管理体系，在对安全管理过程进行规范化定义，并对过程执行实施监督和检查的基础上，具有对缺陷自我发现、纠正和改进的能力。根据实际安全需求，采取安全隔离措施，限定信息系统规模和应用范围。建立安全管理机构，配备专职安全管理人员，落实各级领导及相关人员的责任。 ;等级保护第五级 第五级安全的信息系统提供对信息和系统进行基于可验证安全策略的强制的安全保护能力。 在技术方面，第五级要求按照确定的安全策略，在整体的实施强制性的安全保护的基础上，通过可验证设计增强系统的安全性，使其具有抗渗透能力，使数据信息免遭非授权的泄露和破坏，保证最高安全的系统服务。 在安全管理方面，第五级要求由信息系统的主管部门和使用单位根据安全需求，建立核心部门的专用信息系统安全管理体系，对安全管理过程进行规范化的定义，并对过程执行实施监督和检查，具有对缺陷自我发现、纠正和改进的能力。采取安全隔离措施，限定信息系统规模和应用范围。建立安全管理机构，配备专职安全管理人员，落实各级领导及相关人员的责任。 ;谢谢大家！