信息系统等级保护.ppt

* * 需请相应级别、具有资质的测评中心进行风险评估； 流程三：风险评估 风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。风险评估是确定信息安全需求的一个重要途径。 风险评估完成后出具《评估报告》和《整改意见》； 1 整改意见 需求分析 2 总体设计 详细设计 3 应急方案 灾备方案 5 方案与产品 安全性论证 6 项目预算 7 项目实施 方案设计 4 产品选型 技术指标 信息系统等保体系 建设目标 流程四：等保方案设计思路 重视安全 技管兼行 遵循政策 符合标准 需求主导 突出重点 整体规划 分步实施 流程四：等保方案设计原则 全局管理 统一标准 适度安全 减少影响 满足政策要求 满足标准要求 满足用户自身要求 安全现状 差异性分析 基本要求 需求 流程四：需求分析方法 物理 安全 网络 安全 主机安全 应用安全 数据安全与备份恢复 安全现状与《基本要求》的差异分析对照 标准要求 是否满足 相应措施 物理安全 网络安全 主机安全 应用安全 数据安全 流程四：需求分析方法 等级保护建设方案章节： 二、安全需求分析 一、项目背景 流程四：设计方案章节 四、等保技术体系设计 三、方案总体设计 六、等保管理安全设计 五、等保物理安全设计 八、产品选型与技术指标 七、应急与灾备设计 九、方案与产品安全性论证 十一、实施方案设计 十、项目预算 需求背景 政策依据 以《基本要求》中“网络、主机、应用、数据”部分要求为目标，以《设计要求》为方法 以《基本要求》中物理安全部分为依据 以《基本要求》中管理安全部分为依据 经过信息安全等级保护专家论证通过 其它定级系统 安全接入/隔离设备 计算环境 区域边界 通信网络 网站/应用服务器 交换设备 用户 终端 安全管理中心 通信网络 区域边界 计算环境 安全管理中心 流程四：等保体系整体架构 流程五：等保体系部署 统一规划，分步实施 规范管理，责任落实 确保安全，影响最小 专家论证，内部验收 计算环境 区域边界 通信网络 等保体系达标 需请相应级别、具有资质的测评中心进行等保测评； 流程六：等保体系测评 以相应的政策、标准为基准，对等保体系进行风险评测，从面临的威胁、存在的弱点、造成的影响，以及三者综合作用角度，分析信息系统的等保体系是否达标。 等保测评完成后出具《测评报告》和《整改意见》； 等保体系测评 信息等保整改 通过 未通过 构筑由安全管理中心统一管理下的计算环境、区域边界、通信网络三重防御体系。 安全区域边界 安全计算环境 安全管理中心 安全通信网络 流程七：等保体系整改建设完成 内容概要 信息安全与等级保护 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 等级保护的建设流程 等级保护各参与部门的角色定位 等级保护各参与部门的角色定位 《信息安全等级保护管理办法》 公安机关负责信息安全等级保护工作的监督、检查、指导 —— 公安部及地方公安部门、网监部门 国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导 —— 国家保密局及地方保密局 国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导 —— 国密办及地方密码管理局 /办 国务院信息化领导小组负责等级保护工作的部门间协调 —— 国信办、工信部及地方信息办 等级保护测评机构负责按照国家相关技术标准和要求对信息系统进行等级保护的分析测评工作 * * * * * * * * * * * * * * * * * * * 信息系统等级保护 —— 综合篇 内容概要 信息安全与等级保护 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 等级保护的建设流程 等级保护各参与部门的角色定位 信息安全与等级保护 密保（分保）—— 分三级（绝密、机密、秘密） 涉密环境（网络、终端、应用系统及数据）的信息安全 等保 —— 分五级 非涉密环境（网络、终端、应用系统及数据）的信息安全 信息安全的宏观范畴 内容概要 信息安全与等级保护 什么是等级保护 等级保护的国家政策与标准规范 等级保护的工作内容 等级保护的建设流程 等级保护各参与部门的角色定位 什么是等级保护 信息系统等级保护的定义 是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 等级保护的等级划分准则 根据信息和信息系统遭到破坏或泄露后，对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度来进行定级。 1、