等保基础知识
一、什么是等级保护
1.为什么要实施等级保护 :
国家信息安全形势严峻(敌对势力),针对基础信息系统的违法犯罪持续上升(网上诈骗入网上)海关]维护国家安全的需求(基础信息网络【互联网、电信网、广电网】及重要信息系统【银行、铁路、电力、海关】已经成为国家的关键基础设施) 信息安全是非传统安全
2.为什么要实施等级保护:
国家信息安全的基本制度,是国策。做不做不能商量,怎么做可以商量开展信息安全的基本方法,促进国家信息化的根本保证
3.实施等级保护的目的:
明确信息安全重点 千活时突出重点 把钱用在重点建设上有利于同步建设、协调发展、优化信息安全资源配置、明确信息安全的责任、推动信息安全产业的发展
4.公安部门开展信息安全等级保护的依据
- 警察法规定:监督、管理、计算机信息系统的安全保护工作
- 国务院147号令:公安部主管等保工作,等级保护的具体办法由公安部会同有关部门制定
- 公安部82号令,151号令,《网络安全法》
- 08年国务院3定方案给公安部新增等级一个职能:监督、检察、指导信息安全保护工作
- 网络安全保卫局11局,省网络总队,市支队,区县大队
二、信息安全等级保护发展历程
公安部牵头实施信息安全等级保护制度,开展了如下具体工作:
1.出台了等级保护规范标准
2004年9月,《关于信息安全等级保护工作的实施意见》( 公通字【2004】66号 2007年6月,《信息安全等级保护管理办法》(公通字【2007】43号)。
2.开展了等级保护基础调查工作
2005年底,公安部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安【2005】1431号)。
3.开展了等级保护试点工作
2006年6月,公安部、国家保密局、国家密码管理局、国务院信息办联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安【2006】1573号)。
4.部署开展定级工作
2007年7月20日,公安部、国家保密局、国家密码管理局、国务院信息办在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。
三、等级保护级别标准
大部分落地的都是等保三级,第一级不做(上面不检查),第四、五级不做(偏向涉密系统,一般做分保,不做等保)
四、等级保护项目过程
前辈说,整个流程非常的水 0.0
实际落地定级参照:
一级信息系统: 于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息系统。
二级信息系统: 般适用于县级某些单位中的重要信息系统,地市级以上国家机关企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。(区县法院、医院)
三级信息系统: 般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站,跨省连接的网络系统等。(大部分定级三级 )
四级信息系统: 般适用于国家重要领域重要部门中的特别重要系统以及核心系统例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。
五级信息系统: 般适用于国家重要领域、重要部门中的极端重要系统
五、等级保护基本要求
信息系统安全等级保护基本要求(GB/T 22239-2008)
等级保护三级系统的控制类及控制项
网络安全风险
六、等保安全产品解析
七、三级系统安全管理能力
1.安全管理制度:
包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。
整改要点:
形成信息安全管理制度体系、统一发布、定期修订等。
2.安全管理机构:
在单位的内部结构上,建立一整套从单位最高管理层到执行管理层以及业务运营层的管理结构,来约束和保证各项安全管理措施的执行。
专职安全员整改要点:
信息安全领导小组与职能部门定期全面安全检查、定期协调会议、外部沟通与合作等
3.人员安全管理:
人员安全管理,主要涉及两方面:对内部人员的安全管理和对外部人员的安全管理
整改要点:
全员保密协议、关键岗位人员管理、针对不同岗位的培训计划、外部人员访问管理
4.系统建设管理
分别从定级、设计建设实施、验收交付、测评等方面考虑 关注各项安全管理活动
5.系统运维管理
系统运维管理涉及日常管理、变更管理、制度化管理、安全事件处置、应急预案管理和安管中心
等
