哎呀小小草

Size: px

Start display at page:

Download "哎呀小小草"

差锋宓
5 years ago
Views:

1 李赫等保服务背景等保测评内容介绍张志强高级测评师工业和信息化部电子第五研究所软件质量工程研究中心

2 目录 CATALOG 01 等级保护工作背景等级保护工作实施内容新形势下等保的发展

3 01 PART 01 第一部分等级保护工作背景

4 信息安全等级保护政策法规国务院 147 号令中华人民共和国计算机信息系统安全保护条例公通字 66 号文关于信息安全等级保护工作的实施意见公信安 861 号文关于开展全国重要信息系统安全等级保护定级工作的通知公信安 736 号文公安机关信息安全等级保护检查工作规范公信安 303 号文关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知中办发 27 号文国家信息化领导小组关于加强信息安全保障工作的意见公通字 43 号文信息安全等级保护管理办法公信安 1360 号文信息安全等级保护备案实施细则公信安 1429 号文关于开展信息安全等级保护安全建设整改工作的指导意见

5 等保回顾信息安全等级保护政策体系图

6 信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则 (GB17859) 信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息安全等级保护安全建设整改工作网络基础安全技术要求网络和终端设备隔离部件技术要求安全等级基线要求状况分析方法指导信息系统安全等级保护实施指南测评类标准设计类标准信息安全等级保护技术体系图

信息安全等级保护分级标准第一级为自主保护级, 适用于一般的信息和信息系统, 其受到破坏后, 会对公民法人和其他组织的权益有一定影响, 但不危害国家安全社会秩序经济建设和公共利益第二级为指导保护级, 适用于一定程度上涉及国家安全社会秩序经济建设和公共利益的一般信息和信息系统, 其受到破坏后, 会对国家安全社会秩序经济建设和公共利益造成一定损害第三级为监督保护级,

7 信息安全等级保护分级标准第一级为自主保护级, 适用于一般的信息和信息系统, 其受到破坏后, 会对公民法人和其他组织的权益有一定影响, 但不危害国家安全社会秩序经济建设和公共利益第二级为指导保护级, 适用于一定程度上涉及国家安全社会秩序经济建设和公共利益的一般信息和信息系统, 其受到破坏后, 会对国家安全社会秩序经济建设和公共利益造成一定损害第三级为监督保护级, 适用于涉及国家安全社会秩序经济建设和公共利益的信息和信息系统, 其受到破坏后, 会对国家安全社会秩序经济建设和公共利益造成较大损害第四级为强制保护级, 适用于涉及国家安全社会秩序经济建设和公共利益的重要信息和信息系统, 其受到破坏后, 会对国家安全社会秩序经济建设和公共利益造成严重损害第五级为专控保护级, 适用于涉及国家安全社会秩序经济建设和公共利益的重要信息和信息系统的核心子系统, 其受到破坏后, 会对国家安全社会秩序经济建设和公共利益造成特别严重损害

8 信息安全等级保护的范围一级系统 : 一般适用于小型私营个体企业中小学乡镇所属信息系公统县级单位中一般的信息系统二级系统 : 一般适用于县级某些单位中的重要信息系统 ; 地市级以上国家机关企事业单位内部一般的部信息系统例如非涉及工作秘密商业秘密敏感信息的办公系统和管理系统等三级系统 : 一般适用于地市级以上国家机关企业事业单位内部公重要的信息系统, 例如涉及工作秘密商业秘密敏感信息的办公系统和管理系统 ; 跨省跨市或全国 ( 省 ) 联网运行的用于生产调度管理作业指挥等方面的信息系统 ; 跨省或全国联网的重要信息系统在省地市的分支系统 ; 中央各部委省 ( 区市 ) 门户网站和重要网站 ; 跨省联接的网络等四级系统 : 一般适用于国家重要领域重要部门中的特别重要系统以及核心系统例如全国铁路民航电力等部门的调度系统, 银行证券保险税务海关等几十个重要行业部门中的涉及国计民生的核心系统五级系统 : 一般适用于国家重要领域重要部门中的极端重要系统, 基本已接近于涉 M 范畴

9 等级保护工作政策背景信息安全等级保护的基本原则明确责任, 共同保护依照标准, 自行保护同步建设, 动态调整指导监督, 重点保护通过等级保护, 组织和动员国家法人和其他组织公民共同参与信息安全保护工作, 各方主体按照规国家运用强制性的规范及标准, 要范和标准分别承担相应的明确的保护职责求信息系统按照相应的建设和管理要求信息系统在新建改建扩建时同, 自行定级自行保护步建设安全设施, 保障信息化与安全建设相适应系统进行重大变更国家建立信息安全监督职能部门,, 其安全保护等级应作出相应的调整通过备案指导检查督促整改等方式, 对重要信息系统的信息安全保护工作进行指导监督

10 等级保护工作的内涵信息安全等级保护的内涵对国家秘密信息法人和其他组织及公民的专有信息以及公开信息和存储传输处理这些信息的信息系统分等级实行安全保护对信息系统中使用的信息安全产品实行按等级管理对信息系统中发生的信息安全事件分等级响应处置

11 等级保护工作的作用信息安全等级保护的作用明确重点突出重点保护重点将有限的财力物力人力投入到重要信息系统安全保护中有效保护基础信息网络和关系国家安全经济命脉社会稳定的重要信息系统的安全, 维护国家信息安全

12 等级保护工作的意义信息安全等级保护产生的意义支撑了国家网络安全保障体系建设提升了众多行业信息系统信息安全防护水平增强了全社会的信息安全意识促进了我国信息安全产业的发展

13 02 PART 02 第二部分等级保护工作实施内容

14 等级保护工作实施的主要内容定级备案安全建设整改等级测评安全检查自主定级专家评审主管部门审批公安机关审核第二级以上信息系统到公安机关办理备案手续, 合格颁备案证明落实安全责任建设安全设施落实安全技术措施落实安全管理制度聘请符合要求的测评机构依据相关国家行业标准开展等级测评工作定期对第三级及以上的信息系统进行安全检查, 接受公安机关监督检查指导

确定定级对象确定信息系统安全保护等级组织专家评审主管部门审批公安机关审核依据标准公信安 2007 861 号

15 等级保护工作实施内容 - 系统定级系统定级要求管理办法第六条指出国家信息安全等级保护坚持自主定级自主保护的原则定级工作主体是信息系统运营使用单位和主管部门定级工作是等保后续工作的重要基础定级工作主要内容确定定级对象确定信息系统安全保护等级组织专家评审主管部门审批公安机关审核依据标准公信安号关于开展全国重要信息系统安全等级保护定级工作的通知 GB/T 信息安全技术信息系统安全保护等级定级指南

16 等级保护工作实施内容 - 系统定级定级要素等级保护对象受到破坏时所侵害的客体对客体造成侵害的程度定级要素与安全保护等级的关系所侵害的客体公民法人和其他组织的合法权益社会秩序公共利益对客体的侵害程度一般损害严重损害特别严重损害第一级第二级第二级第二级第三级第四级国家安全第三级第四级第五级一般损害 : 工作职能受到局部影响, 业务能力有所降低但不影响主要功能的执行, 出现较轻的法律问题, 较低的财产损失, 有限的社会不良影响, 对其他组织和个人造成较低损害严重损害 : 工作职能受到严重影响, 业务能力显著下降且严重影响主要功能执行, 出现较严重的法律问题, 较高的财产损失, 较大范围的社会不良影响, 对其他组织和个人造成较严重损害特别严重损害 : 工作职能受到特别严重影响或丧失行使能力, 业务能力严重下降且或功能无法执行, 出现极其严重的法律问题, 极高的财产损失, 大范围的社会不良影响, 对其他组织和个人造成非常严重损害

17 等级保护工作实施内容 - 系统定级信息系统安全由以下两方面确定 : 1 业务信息安全等级 2 系统服务安全等级作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定定级一般流程

18 等级保护工作实施内容 - 系统定级定级工作成果物信息系统定级报告专家评审意见主管部门审核意见定级成果物

19 等级保护工作实施内容 - 系统备案系统备案要求已运营 ( 运行 ) 的第二级以上信息系统, 应当在安全保护等级确定后 30 日内, 由其运营使用单位到所在地设区的市级以上公安机关办理备案手续新建第二级以上信息系统, 应当在投入运行后 30 日内, 由其运营使用单位到所在地设区的市级以上公安机关办理备案手续备案受理单位要求地市级以上公安机关公共信息网络安全监察部门受理本辖区内备案单位的备案隶属于省级的备案单位, 其跨地 ( 市 ) 联网运行的信息系统, 由省级公安机关公共信息网络安全监察部门受理备案隶属于中央的非在京单位的信息系统, 由当地省级公安机关公共信息网络安全监察部门 ( 或其指定的地市级公安机关公共信息网络安全监察部门 ) 受理备案跨省或者全国统一联网运行并由主管部门统一定级的信息系统在各地运行应用的分支系统 ( 包括由上级主管部门定级, 在当地有应用的信息系统 ), 由所在地地市级以上公安机关公共信息网络安全监察部门受理备案

20 等级保护工作实施内容 - 系统备案备案材料系统备案需提交的材料办理备案手续时, 应当提价的材料 : 1 信息系统安全等级保护备案表 -- 单位基本信息表 ( 每单位一份 ) -- 备案系统信息表 ( 每系统一份 ) 2 信息系统安全等级保护定级报告单位基本信息表和系统备案表可通过软件自动生成, 软件可在以下地址下载 /zlxz/t _ htm 根据信息安全等级保护管理办法第十六条的规定, 第三级以上信息系统应当同时提供以下材料 : 1 系统拓扑结构及说明 2 系统安全组织机构和管理制度 3 系统安全保护设施设计实施方案或改建实施方案 4 系统使用的信息安全产品清单及其认证销售许可证明 5 系统等级测评报告 6 专家评审意见 7 上级主管部门审批意见

21 等级保护工作实施内容 - 系统备案系统备案实施流程取得备案证明备案工作可以参考 : 信息安全等级保护备案实施细则 ( 公信安号 )

22 等级保护工作实施内容 - 建设整改安全建设整改要求信息系统运营和使用单位根据国家信息安全等级保护管理规范和技术标准, 开展信息系统安全建设和改建工作安全建设整改通常包括两大部分内容 : 1) 安全管理制度建设 2) 安全技术措施建设坚持管理和技术并重的原则信息系统运营使用单位通过开展信息安全等级保护安全建设整改工作, 按照国家有关规定和标准规范要求, 坚持管理和技术并重的原则, 将技术措施和管理措施有机结合, 建立信息系统综合防护体系, 使备案信息系统能够达到相应安全等级的基本保护水平和保护能力

23 等级保护工作实施内容 - 等级测评等级测评要求信息系统建设完成后, 运营使用单位应选择具有相应资质的测评单位, 对信息系统安全等级状况开展测评完成测评后, 将等级测评报告提交公安机关备案第二级信息系统原则上开展一次等级测评第三级信息系统应当每年至少进行一次等级测评, 对于重要部门的第二级信息系统, 可以参照上述要求开展等级测评第四级信息系统应当每半年至少进行一次等级测评安全测评的时机安全建设整改前安全建设整改后差距评估 : 形成安全建设整改的安全需求等级测评 : 评估系统是否具备相应等级的安全保护能力, 出具等级测评报告

24 等级保护工作实施内容 - 等级测评等级测评的内容

25 等级保护工作实施内容 - 等级测评等级测评的方法访谈 : 测评人员通过与信息系统有关人员 ( 个人 / 群体 ) 进行交流讨论等活动, 获取证据以证明信息系统安全保护措施是否有效的一种方法检查 : 测评人员通过对测评对象进行观察查验分析等活动, 获取证据以证明信息系统安全保护措施是否有效的一种方法测试 : 测评人员使用预定的方法 / 工具使测评对象产生特定的行为, 通过查看分析这些行为的结果, 获取证据以证明信息系统安全保护措施是否有效的一种方法

26 等级保护工作实施内容 - 监督检查安全自查信息系统运营使用单位及其主管部门应当定期对信息系统安全状况安全保护制度及措施的落实情况进行自查第三级信息系统应当每年至少进行一次自查, 第四级信息系统应当每半年至少进行一次自查经自查, 信息系统安全状况未达到安全保护等级要求的, 运营使用单位应进一步进行安全整改自查参考指南基本要求测评要求监督检查公安机关网络安全保卫部门定期对备案单位等级保护工作开展和实施情况进行监督检查每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次检查工作采取询问情况, 查阅核对材料, 调看记录资料, 现场查验等方式监督检查指南公安机关信息安全等级保护检查工作规范 ( 试行 )

27 03 PART 03 第三部分新形势下等保的发展

28 等保面临的挑战随着云计算移动互联网大数据物联网人工智能区块链等新技术的不断涌现, 新的系统形态新业态下的应用新模式背后的服务以及重要数据和资源统统等对等保工作提出了新的挑战!

29 等保面临的挑战新技术发展给安全的内涵带来新的变化基础信息网络和重要信息系统安全隐患严重面临的国内外网络安全形势越来越严峻传统互联网威胁向工控系统扩散移动设备和支付安全问题凸显云端安全事件将大量增加智能技术应用安全问题更突出黑客和网络恐怖组织破坏力加大泄露窃密性攻击步入高发期网络空间国际话语权角逐激烈全球网络空间军备竞赛风险加剧

30 新形势下等保的发展新形势下, 等级保护空前重要新形势下, 等级保护制度上升为法律新形势下的等保新形势下, 等级保护对象大扩展新形势下, 等级保护体系大升级新形势下, 等级保护内容大不同

31 新形势下, 等级保护空前重要当前我们国家正面临经济社会结构调整和转型, 信息技术已经成为新的引擎, 可以预见, 网络和信息系统作为新兴动力的承载者, 必将构建起整个经济社会的神经中枢重要性带来的必然是安全保障的紧迫性, 因此, 等级保护将继续扮演不可替代的重要角色海洋陆地天空网络空间已经成为与陆地海洋天空太空同等重要的人类活动新领域网络空间主权成为了国家主权的一个新维度维护网络空间主权的重心在网络空间安全网络空间太空

新形势下, 等级保护制度上升为法律中华人民共和国网络安全法已于 6 月 1 日正式施行, 作为网络安全基础性法律, 在第 21 条明确规定了国家实行网络安全等级保护制度, 要求网络运营者应当按照网络安全等级保护制度要求, 履行安全保护义务 ; 第 31 条规定对于国家关键信息基础设施, 在网络安全等级保护制度的基础上, 实行重点保护等级保护制度在今天已上升为法律,

32 新形势下, 等级保护制度上升为法律中华人民共和国网络安全法已于 6 月 1 日正式施行, 作为网络安全基础性法律, 在第 21 条明确规定了国家实行网络安全等级保护制度, 要求网络运营者应当按照网络安全等级保护制度要求, 履行安全保护义务 ; 第 31 条规定对于国家关键信息基础设施, 在网络安全等级保护制度的基础上, 实行重点保护等级保护制度在今天已上升为法律, 并在法律层面确立了其在网络安全领域的基础核心地位, 正如业内所言, 不做等保就是违法了事件一 : 腾讯微信新浪微博百度贴吧涉嫌违反网络安全法被立案调查 ; 事件二 :BOSS 直聘被网信办责令整改 ; 事件三 : 汕头某公司未及时履行网络安全义务, 网警依据网安法责令改正 ; 事件四 : 重庆一网络公司未留存用户登录日志被网安查处 ; 事件五 : 四川一网站因高危漏洞遭入侵被罚 ; 事件六 : 宿迁网警成功查处全省首例违反网络安全法接入违规网站案 ; 事件七 : 山西忻州市某省直事业单位网站不履行网络安全保护义务被处罚 ; 事件八 : 淘宝网同花顺金融网蘑菇街互动网等 5 家网站被责令限期整 ;

33 新形势下, 等级保护对象大扩展早在 2003 年, 中办国办转发的国家信息化领导小组关于加强信息安全保障工作的意见中指出, 要重点保护基础信息网络和关系国家安全经济命脉社会稳定等方面的重要信息系统, 这个定义就是网络安全法中的关键信息基础设施大型互联网企业基础网络重要信息系统大数据中心等保对象不再局限于计算机信息系统移动互联网工业控制系统公众服务平台云计算平台

34 新形势下, 等级保护内容大不同风险评估安全监测通报预警等保五大规定动作 : 定级综治考核案事件调查备案建设整改等级测评监督检查效果评价等保的内涵将大为丰富和完善主动控制数据防护被动防御供应链安全自主可控应急处置灾难备份

35 新形势下, 等级保护体系大升级安全监测通报预警快速处置等级保护政策体系技术体系标准体系服务体系测评体系关键技术研究体系态势感知精确打击教育训练体系等级保护体系国家关键信息基础设施安全保卫体系安全防范

36 等级保护标准体系发展信息安全技术信息系统安全等级保护基本要求 (GB/T ) 扩展网络安全等级保护基本要求第 1 部分 : 安全通用要求网络安全等级保护基本要求第 2 部分 : 云计算安全扩展要求网络安全等级保护基本要求第 3 部分 : 移动互联安全扩展要求网络安全等级保护基本要求第 4 部分 : 物联网安全扩展要求网络安全等级保护基本要求第 5 部分 : 工业控制系统安全扩展要求网络安全等级保护基本要求第 6 部分 : 大数据安全扩展要求信息安全技术信息系统等级保护安全设计技术要求 (GB/T ) 扩展网络安全等级保护设计技术要求第 1 部分 : 安全通用要求网络安全等级保护设计技术要求第 2 部分 : 云计算安全扩展要求网络安全等级保护设计技术要求第 3 部分 : 移动互联安全扩展要求网络安全等级保护设计技术要求第 4 部分 : 物联网安全扩展要求网络安全等级保护设计技术要求第 5 部分 : 工业控制系统安全扩展要求网络安全等级保护设计技术要求第 6 部分 : 大数据安全扩展要求信息安全技术信息系统安全等级保护测评要求 (GB/T ) 扩展网络安全等级保护测评要求第 1 部分 : 安全通用要求网络安全等级保护测评要求第 2 部分 : 云计算安全扩展要求网络安全等级保护测评要求第 3 部分 : 移动互联安全扩展要求网络安全等级保护测评要求第 4 部分 : 物联网安全扩展要求网络安全等级保护测评要求第 5 部分 : 工业控制系统安全扩展要求网络安全等级保护测评要求第 6 部分 : 大数据安全扩展要求

37 李赫报告完毕谢谢大家的聆听张志强工业和信息化部电子第五研究所软件质量工程研究中心

???????????????????

中华人民共和国信息安全等级保护管理办法公安部国家保密局国家密码管理局国务院信息工作办公室第一章总则第一条为规范信息安全等级保护管理, 提高信息安全保障能力和水平, 维护国家安全社会稳定和公共利益, 保障和促进信息化建设, 根据中华人民共和国计算机信息系统安全保护条例等有关法律法规, 制定本办法第二条国家通过制定统一的信息安全等级保护管理规范和技术标准, 组织公民法人和其他组织对信息系统分等级实行安全保护,