当前位置:首页 >> 动物植物 >>

信息安全等级保护标准体系概述(PPT 96页)_图文

信息安全等级保护标准体系概述

目录
? 信息安全等级保护标准体系 ? 信息安全等级保护工作使用的主要标准
? ? ? ? ? 管理办法 实施指南 定级指南 基本要求 测评要求

目录
? 信息安全等级保护标准体系 ? 信息安全等级保护工作使用的主要标准
? ? ? ? ? 管理办法 实施指南 定级指南 基本要求 测评要求

等级保护标准体系
多年来,在有关部门支持下,在国内有关专 家、企业的共同努力下,全国信息安全标准化技 术委员会和公安部信息系统安全标准化技术委员 会组织制订了信息安全等级保护工作需要的一系 列标准,形成了比较完整的信息安全等级保护标 准体系。汇集成《信息安全等级保护标准汇编》 供有关单位、部门使用。

等 级 保 护 有 关 标 准

在 安 全 建 设 整 改 工 作 中 的 作 用

等级保护标准体系
? 信息安全等级保护标准体系由等级保护工作过程中所需的所有标准组成,整 个标准体系可以从多个角度分析
? 从基本分类角度看
? 基础类标准 ? 技术类标准 ? 管理类标准

? 从对象角度看
? ? ? ? ? 基础标准 系统标准 产品标准 安全服务标准 安全事件标准等

等级保护标准体系
? 从等级保护生命周期看
? ? ? ? ? 通用/基础标准 系统定级用标准 安全建设用标准 等级测评用标准 运行维护用标准等

等级保护主要工作
一是:定级备案 二是:建设整改

三是:等级测评
四是:监督检查

等级保护工作中用到的主要标准
(一)基础 1、《计算机信息系统安全保护等级划分准则》GB17859-1999 2、《信息系统安全等级保护实施指南》GB/T 25058-2010

(二)系统定级环节
3、《信息系统安全保护等级定级指南》GB/T22240-2008 (三)建设整改环节

4、《信息系统安全等级保护基本要求》GB/T22239-2008
(四)等级测评环节 5、《信息系统安全等级保护测评要求》(国标报批稿) 6、《信息系统安全等级保护测评过程指南》(国标报批稿)

小结-等级保护主要政策和标准
? 《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》)
? 《计算机信息安全保护等级划分准则》(GB 17859-1999,简称《划分准则》) ? 《信息系统安全等级保护实施指南》 GB/T 25058-2010 (简称《实施指南》) ? 《信息系统安全保护等级定级指南》(GB/T 22240-2008,简称《定级指南》) ? 《信息系统安全等级保护基本要求》(GB/T 22239-2008,简称《基本要求》) ? 《信息系统安全等级保护测评要求》(简称《测评要求》) ? 《信息系统安全等级保护测评过程指南》 (简称《测评过程指南》)

目录
? 信息安全等级保护制度要干什么 ? 信息安全等级保护工作使用的主要标准
? ? ? ? ? 管理办法 实施指南 定级指南 基本要求 测评要求

具体做法
定级指南、实施指南 基本要求,定级指南、 实施指南,设计规范、测评要求 基本要求,实施指南、 安全产品标准 监督管理要求、 基本要求、测评要求

等级确定与备案 安全规划与设计 安全建设与实现 自查与等级测评

监督管理要求 实施指南

等级保护运行与管理

标准定位和关系
? 管理办法(43文件)(总要求)

? 实施指南(GB/T25058-2010)
? 定级指南(GB/T22240-2008) ? 基本要求(GB/T22239-2008) ? 测评要求 ? 建设指南

目录
? 信息安全等级保护制度要干什么 ? 信息安全等级保护工作使用的主要标准
? ? ? ? ? 管理办法 实施指南 定级指南 基本要求 测评要求

管理办法
? 《管理办法》第八条:

? 信息系统运营、使用单位依据本办法和相关技术标准对信息系统 进行保护,国家有关信息安全职能部门对其信息安全等级保护工 作进行监督管理 。

管理办法
? ? 《管理办法》第九条: 信息系统运营、使用单位应当按照《信息系统安全等级保护 实施指南》具体实施等级保护工作。

管理办法
? 《管理办法》第十条:

?

信息系统运营、使用单位应当依据本办法和《信息系统安全 等级保护定级指南》确定信息系统的安全保护等级。有主管 部门的,应当经主管部门审核批准。

管理办法
?
?

《管理办法》第十二条:
在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安 全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基 本要求》等技术标准,参照……等技术标准同步建设符合该等级要求的信 息安全设施。

管理办法
? 《管理办法》第十三条:
? 运营、使用单位应当参照《信息安全技术信息系统安全管理要求》 (GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》 (GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制 定并落实符合本系统安全保护等级要求的安全管理制度。

管理办法
?
?

《管理办法》第十四条:
信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件 的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统 安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四 级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需 求进行等级测评。

目录
? 信息安全等级保护制度要干什么 ? 信息安全等级保护工作使用的主要标准
? ? ? ? ? 管理办法 实施指南 定级指南 基本要求 测评要求

实施指南
介绍和描述了实施信息系统等级保护过程 中涉及的阶段、过程和需要完成的活动,通过 对过程和活动的介绍,使大家了解对信息系统 实施等级保护的流程方法,以及不同的角色在

不同阶段的作用等。

实施指南
信息系统定级 总体安全规划 安全设计与实施
局部调整

等级变更

安全运行维护
信息系统终止

实施指南的主要思路
? ? ? ? 以信息系统安全等级保护建设为主要线索, 定义信息系统等级保护实施的主要阶段和过程 对每个阶段介绍和描述主要的过程和实施活动 对每个活动说明实施主体、主要活动内容和输入输出等

实施指南标准的结构
? 正文由9个章节1个附录构成
? ? ? ? ? ? ? ? ? ? 1. 范围 2.规范性引用文件 3术语定义 4. 等级保护实施概述 5.信息系统定级 6.总体安全规划 7.安全设计/实施 8.安全运行维护 9.信息系统终止 附录A 主要过程及其输出

实施指南中的主要概念
? 阶段 ? 过程 ? 主要活动 ? 子活动 ? 活动输入 ? 活动输出

实施指南特点
? 阶段
? 过程
?

活动

? 子活动

?

例如: 信息系统定级
?
?

信息系统分析

系统识别和描绘

?

信息系统划分

? 识别信息系统的基本信息 ? 识别信息系统的管理框架 ? …

系统定级阶段-实施流程
主要输入 系统立项文档 系统建设文档 系统管理文档 过程 信息系统分析 主要输出 系统总体描述文件 系统详细描述文件

系统总体描述文件 系统详细描述文件

安全保护等级确定

系统安全保护等级 定级建议书

目录
? 信息安全等级保护制度要干什么 ? 信息安全等级保护工作使用的主要标准
? ? ? ? ? 管理办法 实施指南 定级指南 基本要求 测评要求

定级指南
? 安全保护等级 等级的确定是不依赖于安全保护措施的,具有一定的“客观

性”,即该系统在存在之初便由其自身所实现的使命决定了它的
安全保护等级,而非由“后天”的安全保护措施决定。

<定级指南>标准的结构
? 正文由6个章节构成
? ? ? ? ? ? 1. 范围 2. 规范性引用文件 3. 术语定义 4. 定级原理 5. 定级方法 6. 级别变更

<定级指南>-定级原理
?
? ? ? ? ?

五个等级的定义
第一级, 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社 会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序 和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重 损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

<定级指南>-定级原理
对客体的侵害程度 受侵害的客体 一般损害 严重损害 特别严重损害

公民、法人和其他组织的合法权 益
社会秩序、公共利益

第一级

第二级

第二级

第二级

第三级

第四级

国家安全

第三级

第四级

第五级

<定级指南>-定级方法
? ? ? ? ? 确定定级对象; 确定业务信息安全受到破坏时所侵害的客体; 综合评定业务信息安全被破坏对客体的侵害程度; 得到业务信息安全等级; 确定系统服务安全受到破坏时所侵害的客体;

?
? ?

综合评定系统服务安全被破坏对客体的侵害程度;
得到系统服务安全等级; 由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。

可能的系统级别
? 第一级 S1A1G1 ? 第二级 S1A2G2,S2A2G2,S2A1G2 ? 第三级 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3 ? 第四级 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,

S4A2G4,S4A1G4

目录
? 信息安全等级保护制度要干什么 ? 信息安全等级保护工作使用的主要标准
? ? ? ? ? 管理办法 实施指南 定级指南 基本要求 测评要求

标准背景
? 03年,27号文件进一步明确信息安全等级保护制度 ? 04年,66号文件要求“尽快制定、完善法律法规和标准体系” ? 编制历程

? 04年10月,接受公安部的标准编制任务 ? 05年 6月,完成初稿,广泛征求安全领域专家和行业用户意见; ? 05年10月,征求意见稿第一稿,国信办、安标委评审 ? 05年11月,征求意见稿第三稿

? 06年 6月,试点工作
? 07年04月,征求意见稿第四稿,安标委专家评审 ? 07年05月,形成报批稿 ? 08年6月19日,正式发布,08年11月1日正式实施。
37

标准定位
? GB 17859-1999的细化和发展
? 吸收安全机制并扩展到不同层面

? 增加安全管理方面的内容
? 借鉴PDR、CMM、17799

? 关注可操作性
? 最佳实践 ? 当前技术的发展

? 机制?要求(目标/要求)
38

信息系统安全等级保护定级指南

信息系统安全等级保护行业定级细则 信 息 系 统 安 全 等 级 保 护 实 施 指 南 信 息 系 统 等 级 要 保 求 护 安 全 设 计 技 术

护 测 评 过 程 指 南

信 息 系 统 安 全 等 级 保

护 测 评 要 求

信 息 系 统 安 全 等 级 保

安全定级 状 态 分 析

信息系统安全等 级保护建设整改

方 法 指 导

基线要求

信息系统安全等级保护基本要求的行业细则

信息系统安全等级保护基本要求

技术类
信息系统通用安全 技术要求 信息系统物理安全 技术要求

管理类
信息系统安全 管理要求 信息系统安全工程 管理要求

产品类
操作系统安全技术 要求 数据库管理系统安全技术 要求

网络基础安全技术
要求 其他技术类标准

其他管理类标准

网络和终端设备隔离部件
技术要求 其他产品类标准

在 安 全 建 设 整 改 工 作 中 的 作 用

等 级 保 护 有 关 标 准

计算机信息系统安全保护等级划分准则(GB17859)

39

与其他标准的关系
? GB17859-1999是基础性标准,《基本要求》17859基础上 的进一步细化和扩展。 ? 《定级指南》确定出系统等级以及业务信息安全性等级和业 务服务保证性等级后,需要按照相应等级,根据《基本要求》 选择相应等级的安全保护要求进行系统建设实施。 ? 《测评要求》是依据《基本要求》检验系统的各项保护措施 是否达到相应等级的基本要求所规定的保护能力。

40

标准适用范围
? 用户范围
? 信息系统的主管部门及运营使用单位 ? 测评机构 ? 安全服务机构(系统集成商,软件开发商) ? 信息安全监管职能部门

? 适用环节
? 需求分析 ? 方案设计、系统建设与验收 ? 运行维护、等级测评、自查
41

标准的编制思路
? 门槛合理
? 对每个级别的信息系统安全要求设置合理,按照基本要求 建设后,确实达到期望的安全保护能力

? 内容完整
? 综合技术、管理各个方面的要求,安全要求内容考虑全面、 完整,覆盖信息系统生命周期

? 便于使用
? 安全要求分类方式合理,便于安全保护、检测评估、监督 检查实施各方的灵活使用

42

描述模型

系统重要程度不同

不同级别信息系统

不同级别安全威胁

应对

不同级别能力目标

不同级别基本要求
43

基本安全保护能力
? 对抗能力和恢复能力共同构成了信息系统的安全 保护能力。 ? 安全保护能力主要表现为信息系统应对威胁的能 力,称为对抗能力,但当信息系统无法阻挡威胁

对自身的破坏时,信息系统的恢复能力使系统在
一定时间内恢复到原有状态,从而降低负面影响。

44

能力目标
? 第一级安全保护能力
? 应具有能够对抗来自个人的、拥有很少资源(如利用

公开可获取的工具等)的威胁源发起的恶意攻击、一
般的自然灾难(灾难发生的强度弱、持续时间很短、 系统局部范围等)、以及其他相当危害程度的威胁所 造成的关键资源损害,并在威胁发生后,能够恢复部 分功能。
45

能力目标
? 第二级安全保护能力
? 应具有能够对抗来自小型组织的(如自发的三两人组 成的黑客组织)、拥有少量资源(如个别人员能力、 公开可获或特定开发的工具等)的威胁源发起的恶意 攻击、一般的自然灾难(灾难发生的强度一般、持续 时间短、覆盖范围小(局部性)等)、以及其他相当 危害程度(无意失误、设备故障等)的威胁所造成的 重要资源损害,能够发现重要的安全漏洞和安全事件, 在系统遭到损害后,能够在一段时间内恢复部分功能。
46

能力目标
? 第三级安全保护能力

? 应具有能够对抗来自大型的、有组织的团体(如一个商业情 报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、 计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾 难(灾难发生的强度较大、持续时间较长、覆盖范围较广 (地区性)等)以及其他相当危害程度(内部人员的恶意威 胁、设备的较严重故障等)威胁的能力,并在威胁发生后, 能够较快恢复绝大部分功能。

47

能力目标
? 第四级安全保护能力
? 应具有能够对抗来自国家级别的、敌对组织的、拥有丰 富资源的威胁源发起的恶意攻击、严重的自然灾难(灾 等)以及其他相当危害程度(内部人员的恶意威胁、设 备的严重故障等)威胁的能力,并在威胁发生后,能够 迅速恢复所有功能。
48

难发生的强度大、持续时间长、覆盖范围广(多地区性)

描述模型
防护

技 术 要 求 特 点

一级系统

二级系统

防护/检测

三级系统

策略/防护/检测/恢复

四级系统

策略/防护/检测/恢复/响应

49

描述模型
一般执行(部分活动建制度)

管 理 要 求 特 点

一级系统

二级系统

计划实施(主要过程建制度)

三级系统

统一策略(管理制度体系化)

四级系统

持续改进(管理制度体系化/验证/改进)

50

描述模型
通信/边界(关键资源)

覆 盖 范 围 特 点

一级系统

二级系统

通信/边界/内部(重要设备)

三级系统

通信/边界/内部(主要设备)

四级系统

通信/边界/内部/基础设施(所有设备)

51

描述结构
某级系统 基本要求 技术要求 类 控制点 要求项 …… ……
52

管理要求 …… …… …… …… 类 控制点 要求项

安全类

技术要求

基本要求

管理要求

物 理 安 全

网 络 安 全

主 机 安 全

应 用 安 全

数 据 安 全 及 备 份 恢 复

安 全 管 理 制 度
53

安 全 管 理 机 构

人 员 安 全 管 理

系 统 建 设 管 理

系 统 运 维 管 理

示例
7 7.1 7.1.1 7.1.1.1 第三级基本要求 技术要求 物理安全 物理位置的选择
类 控制点

本项要求包括
a) 机房和办公场地应选择在具有防震、防 风和防雨 等能力的建筑内 b) 机房场地应避免设在建筑物的高层或地下室,以 及用水设备的下层或隔壁。 。。。。。。
54

要求项

控制点标注

? 业务信息安全相关要求(标记为S) ? 系统服务保证相关要求(标记为A)

? 通用安全保护要求(标记为G)
? 技术要求(3种标注) ? 管理要求(统属G)

55

描述模型
? 业务信息安全相关要求(S)
? ? ? ? ? ? ? ? 电磁防护 访问控制 数据完整性 数据保密性 电力供应 软件容错 备份与恢复 资源控制

? 系统服务保证相关要求(A)

? 通用安全保护要求(G) ? 管理要求和大部分技术要求
56

逐级增强的特点
? ? 控制点增加 要求项增加

?

要求项增强

?范围增大 ? 要求细化 ?要求粒度细化

逐级增强的特点-控制点增加
? 三级基本要求:在二级基本要求的基础上,技 术方面,在控制点上增加了网络恶意代码防范、 剩余信息保护、软件容错、抗抵赖等。管理方 面,增加了系统备案、安全测评、监控管理和 安全管理中心等控制点。 ? 四级基本要求:在三级基本要求的基础上,技 术方面,在系统和应用层面控制点上增加了安 全标记、可信路径,
58

不同级别系统控制点的差异汇总
安全要求类 类/层面 物理安全 网络安全 技术要求 主机安全 一级 7 二级 10 三级 10 四级 10

3
4 4 2

6
6 7 3

7
7 9 3

7
9 11 3

应用安全
数据安全及备份恢复 安全管理制度 安全管理机构 管理要求 人员安全管理 系统建设管理 系统运维管理 合计 /

2
4 4 9 9 48

3
5 5 9 12 66

3
5 5 11 13 73

3
5 5 11 13 77
59

逐级增强的特点-要求项增加
? 要求项增多,如,对“身份鉴别”,一级要求 “进行身份标识和鉴别”,二级增加要求“口令 复杂度、登录失败保护等”;而三级则要求“采 用两种或两种以上组合的鉴别技术 ”。 ? 项目增加,要求增强。

60

不同级别系统要求项的差异汇总
安全要求 类/层面
物理安全

一级
9 9 6 7 2 3 4 7 20 18 85

二级
19 18 19 19 4 7 9 11 28 41 175

三级
32 33 32 31 8 11 20 16 45 62 290

四级
33 32 36 36 11 14 20 18 48 70 318

网络安全
技术要求 主机安全 应用安全

数据安全及备份恢复
安全管理制度 安全管理机构 管理要求

人员安全管理
系统建设管理 系统运维管理

合计

/
/

级差

/

90

115

28
61

逐级增强的特点-要求项增强
? 范围增大,如,对物理安全的“防静电”,二级 只要求“关键设备应采用必要的接地防静电措 施”;而三级则在对象的范围上发生了变化,为 “主要设备应采用必要的接地防静电措施”。范

围的扩大,表明了该要求项强度的增强。 。

62

逐级增强的特点-要求项增强
? 要求细化:如,人员安全管理中的“安全意识教 育和培训”,二级要求“应制定安全教育和培训 计划,对信息安全基础知识、岗位操作规程等进 行培训”,而三级在对培训计划进行了进一步的 细化,为“应针对不同岗位制定不同培训计划”, 培训计划有了针对性,更符合各个岗位人员的实 际需要。

63

逐级增强的特点-要求项增强
? 粒度细化:如,网络安全中的“访问控制”,二 级要求“控制粒度为网段级”,而三级要求则将 控制粒度细化,为“控制粒度为端口级”。由 “网段级”到“端口级”,粒度上的细化,同样

也增强了要求的强度。

64

《基本要求》文档结构
? 由9个章节2个附录构成 ? 1.适用范围 ? 2.规范性引用文件 ? 3.术语定义 ? 4.信息系统安全等级保护概述

? 5.6.7.8.9五个等级的基本要求
? 附录A 关于信息系统整体安全保护能力的要求 ? 附录B 基本安全要求的选择和使用
65

各级的要求-物理安全
物理安全

物 理 位 置 选 择

物 理 访 问 控 制

防 盗 窃 和 防 破 坏

防 静 电

防 雷 击

防 火

防 水 和 防 潮
66

温 湿 度 控 制

电 力 供 应

电 磁 防 护

等级要求-物理安全
物理安全要求主要由机房(包括主、辅机 房、介质存放间等)所部署的设备设施和采取 的安全技术措施两方面提供的功能来满足。 部分物理安全要求涉及到终端所在的办公

场地。

67

控制点 物理位置的选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电

一级

二级 *

三级 * * * * * * *

四级 * * * * * * *

* * * * *

* * * * * *

温湿度控制
电力供应 电磁防护

*
*

*
* *

*
* *

*
* *

合计

7

10

10

10
68

各级的要求-网络安全
网络安全

结 构 安 全

网 络 访 问 控 制

网 络 安 全 审 计

边 界 完 整 性 检 查

网 络 入 侵 检 测
69

恶 意 代 码 防 护

网 络 设 备 防 护

等级要求-网络安全
网络安全要求中对广域网络、城域网络等通 信网络的要求由构成通信网络的网络设备、安全

设备等的网络管理机制提供的功能来满足。
对局域网安全的要求主要通过采用、防火墙、

入侵检测系统、恶意代码防范系统、安全管理中
心等设备提供的安全功能来满足。

70

控制点 结构安全(G) 访问控制(G) 安全审计(G) 边界完整性检查(S)

一级 * *

二级 * * * *

三级 * * * *

四级 * * * *

入侵防范(G)
恶意代码防范(G) 网络设备防护(G) 合计 * 3

*

*
*

*
* * 7
71

* 6

* 7

各级的要求-主机安全
主机安全

身 份 鉴 别

访 问 控 制

可 信 路 径

安 全 审 计

剩 余 信 息 保 护

入 侵 防 范

恶 意 代 码 防 范
72

资 源 控 制

安 全 标 记

等级要求-主机安全
主机包括应用服务器、数据库服务器、安全软

件所安装的服务器及管理终端、业务终端、办公终
端等。

主机安全要求通过操作系统、数据库管理系统
及其他安全软件(包括防病毒、防入侵、木马检测 等软件)实现的安全功能来满足。

73

控制点
身份鉴别(S) 安全标记(S) 访问控制(S) 可信路径(S) 安全审计(G) 剩余信息保护(S)

一级
*
*

二级
*
* *

三级
*
* * *

四级
* *
*

*
* *

入侵防范(G)
恶意代码防范(G)

*
* 4

*
* * 6

*
* * 7

*
* * 9
74

资源控制(A)
合计

各级的要求-应用安全
应用安全

身 份 鉴 别

访 问 控 制

通 信 完 整 性

通 信 保 密 性

安 全 审 计

剩 余 信 息 保 护

抗 抵 赖

软 件 容 错

资 源 控 制

代 码 安 全

75

等级要求-应用安全
应用安全要求通过应用系统、应用平台系统

等实现的安全功能来满足。
如果应用系统是多层结构的,一般不同层的

应用都需要实现同样强度的身份鉴别、访问控制、
安全审计、剩余信息保护及资源控制等。 通信保密性、完整性一般在一个层面实现。

76

各级的要求-数据安全及备份和恢复
数据安全

数 据 完 整 性

数 据 保 密 性

备 份 和 恢 复
77

控制点 数据完整性

一级 *

二级 *

三级 *

四级 *

数据保密性
备份和恢复 合计 * 2

*
* 3

*
* 3

*
* 3

78

各级的要求-安全管理
管理要求

安 全 管 理 机 构

安 全 管 理 制 度

人 员 安 全 管 理

系 统 建 设 管 理
79

系 统 运 维 管 理

各级的要求-安全管理机构
安全管理机构

岗位 设 置

人 员 配 备

授 权 和 审 批

沟通 与 合 作
80

审 核 和 检 查

控制点 岗位设置 人员配备

一级 * *

二级 * *

三级 * *

四级 * *

授权和审批
沟通和合作 审核和检查 合计

*
*

*
* *

*
* * 5

*
* * 5
81

4

5

各级的要求-安全管理制度
安全管理制度

管 理 制 度

制 定 和 发 布

评 审 和 修 订
82

控制点
管理制度 制定和发布 评审和修订 合计

一级
* *

二级
* * *

三级
* * * 3

四级
* * * 3

2

3

83

各级的要求-人员安全管理
人员安全管理

人 员 录 用 岗

人 员 离

人 员 考 核

安 全 意 识 教 育 和 培 训

外 部 人 员 访 问 管 理

84

控制点 人员录用 人员离岗

一级 * *

二级 * *

三级 * *

四级 * *

人员考核
安全意识教育和培训 外部人员访问管理 合计 * * 4

*
* * 5

*
* * 5

*
* * 5

85

各级的要求-系统建设管理
系统建设管理

系 统 定 级

安 全 方 案 设 计

产 品 采 购

自 行 软 件 开 发

外 包 软 件 开 发

工 程 实 施

测 试 验 收
86

系 统 交 付

等 级 测 评

安 全 服 务 商 选 择

系 统 备 案

控制点
系统定级 安全方案设计 产品采购和使用 自行软件开发 外包软件开发

一级
* * * * *

二级
* * * * *

三级
* * * * *

四级
* * * * *

工程实施
测试验收 系统交付 系统备案 等级测评 安全服务商选择

*
* *

*
* * *

*
* * * * *

*
* * * * *

*

*

合计

9

9

11

11
87

各级的要求-系统运维管理
系统运维管理

环 境 管 理

资 产 管 理

设 备 管 理

介 质 管 理

监 控 管 理 和 管 理 中

网 络 安 全 管 理

系 统 安 全 管 理

恶 意 代 码 防 范 管 理

变 更 管 理

密 码 管 理

备 份 和 恢 复 管 理

安 全 事 件 处 置

应 急 预 案 管 理

88

控制点
环境管理 资产管理 介质管理 设备管理 监控管理和安全管理中心 网络安全管理 系统安全管理

一级
* * * * * *

二级
* * * * * *

三级
* * * * * * *

四级
* * * * * * *

恶意代码防范管理
密码管理 变更管理 备份与恢复管理 安全事件处置

*

*
* *

*
* * * *

*
* * * *

* * 10

* *

应急预案管理
合计

*
12

*
13

*
13
89

目录
? 信息安全等级保护制度要干什么 ? 信息安全等级保护工作使用的主要标准
? ? ? ? ? 管理办法 实施指南 定级指南 基本要求 测评要求

测评要求
? 在内容上,与《基本要求》一一对应,直接把《基本要求》的要

求项作为《测评要求》的测评指标。
? 在方法上,涵盖访谈、检查和测试三种基本方法,充分考虑方法

实施的可行性。
? 在强度上,与安全等级相适应。

? 在结果上,单点测试,整体评价相结合

主要内容
? 主体由10个章节构成
? ? ? ? ? ? ? ? ? ? ? ? 1.范围 2.规范性引用文件 3.术语、定义和符号 4.安全测评概述 5.第1级安全控制测评 6.第2级安全控制测评 7.第3级安全控制测评 8.第4级安全控制测评 9.第5级安全控制测评 10.系统整体测评 附录A 测评强度 附录B 关于系统整体测评的进一步说明

测评要求的作用
? 指导系统运营使用单位进行自查 ? 指导测评机构进行等级测评 ? 监管职能部门参照进行监督检查 ? 规范测评内容和行为

《测评要求》和《基本要求》的关系
? 《基本要求》规定了信息系统安全等级保护的基本要求,包括基本技术要 求和基本管理要求,适用于不同安全等级信息系统的安全保护 。 ? 《测评要求》规定了对信息系统安全控制进行等级测评的基本内容,使用 到的测评方法,涉及到的测评对象,实施测评的过程要求,以及对测评结 果进行判定的基本规则。 ? 内容和结构上,存在一一对应关系。

测评方法
? 访谈-通过与信息系统用户(个人/群体)迚行交流、认论等活劢,获取相
关证据证明信息系统安全保护措施是否落实的一种方法。

? 检查-通过对测评对象(设备、文档、现场等)迚行观察、查验、分析等
活劢,获取相关证据证明信息系统安全保护措施是否有效的一种方法。

? 测试-利用预定的方法/工具使测评对象产生特定的行为活劢,查看输出结
果与预期结果的差异,以获取证据证明信息系统安全保护措施是否有效的一 种方法。





1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达· 芬奇 4、与肝胆人共事,无字句处读书。——周恩来 5、一个人即使已登上顶峰,也仍要自强不息。——罗素· 贝克 6、一切节省,归根到底都归结为时间的节省。——马克思 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂,怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法。——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿 11、有勇气承担命运这才是英雄好汉。——黑塞 12、只有把抱怨环境的心情,化为上进的力量,才是成功的保证。——罗曼· 罗兰 13、知人者智,自知者明。胜人者有力,自胜者强。——老子 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。——歌德 15、最具挑战性的挑战莫过于提升自我。——迈克尔· F· 斯特利 16、业余生活要有意义,不要越轨。——华盛顿 17、意志是一个强壮的盲人,倚靠在明眼的跛子肩上。——叔本华 18、最大的挑战和突破在于用人,而用人最大的突破在于信任人。——马云 19、我这个人走得很慢,但是我从不后退。——亚伯拉罕· 林肯 20、要掌握书,莫被书掌握;要为生而读,莫为读而生。——布尔沃 21、要知道对好事的称颂过于夸大,也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤,荒于嬉;行成于思,毁于随。——韩愈 23、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 24、知之者不如好之者,好之者不如乐之者。——孔子 25、学习是劳动,是充满思想的劳动。——乌申斯基 26、要使整个人生都过得舒适、愉快,这是不可能的,因为人类必须具备一种能应付逆境的态度。——卢梭 27、越是无能的人,越喜欢挑剔别人的错儿。——爱尔兰 28、意志命运往往背道而驰,决心到最后会全部推倒。——莎士比亚 29、越是没有本领的就越加自命不凡。——邓拓 30、阅读使人充实,会谈使人敏捷,写作使人精确。——培根


更多相关标签: