第一节 政策体系

发布于 2022-07-12  16 次阅读


概念

等级保护概念

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息的存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

法律依据

《中华人民共和国网络安全法》第21条和第31条

“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全等级制度要求,履行安全保护义务”

“对于国家关键信息基础设施,在网络安全等级保护制度的基础桑拿,实行重点保护”

五个规定动作以及延伸

五个动作是最基本的要求

定级、备案、安全建设整改、等级测评和监督检查。

等级保护工作内涵

是否对国家?

是否对社会公共?

是否对公民利益?

等级保护测评参与方

国家部门主要负责指导监督国家等保工作开展、推进;

公安信安等保部门负责修订、培训测评单位

国家测评机构,地方测评机构的区分

政策

《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)规定了开展等保的定级范围。

以及

《信息系统安全等级保护定级报告》和《信息安全等级保护备案表》是备案的最基本要求的文件,不同等级的系统定级报告要求不同。

系统定级

定级工作原则

“自主定级、专家评审、主管部门审批、公安机关审核监督”

定级对象具备的基本特征

谁承担的信息安全建设:“具有唯一确定的安全责任单位”

具有哪些基本网络系统:“具有信息系统的基本要素”

业务关联性:“承载单一或相对独立的业务应用”

定级流程

  1. 确定定级对象 (基础信息网络、云计算平台、物联网?)
  2. 初步确定等级 (根据保护对象的数据规模因素等判定)
  3. 专家评审
  4. 主管部门审核
  5. 公安机关备案审查(不通过则重新确认等级) 参考: 《信息安全等级保护备案实施细则》(公信安【2007】1360号) 《网络安全等级保护条例》(征求意见稿)第十七、十八、十九条 实际根据公安机关当地要求
  6. 最终确定等级

安全建设整改

流程

  1. 建设整改工作计划部署
  2. 安全保护现状分析
  3. 确定安全策略、指定安全建设整改方案 包括安全技术建设(物理、网络、主机等等)和安全管理建设(安全管理制度、安全管理机构等等)

等级测评/差距分析

频率:第三级以上信息系统每年一次

等级测评主要是对于等级测评机构

差距分析主要是对于等级保护服务安全建设机构及安全产品/服务商

模板

《信息安全等级保护测评报告模板2015年版》

《等级测评报告模板2019版》(试用版)

监督检查

《网络安全法》

等级保护主要准则

分为:通用基础标准、系统定级标准、安全建设标准、等级测评标准

(理想化)唯一强制标准:GB17859-1999

定级指南: GA/T 1389-2017

设计技术要求:GB/T 25070-2019

实施指南:GB/T 25058-2010

最低)基本要求:GB/T 22239-2019

定级要素与安全保护等级的关系


间桐桜のお菓子屋さん