|
一、信息系统安全等级保护介绍
根据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),要求优先重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括:
(1)国家事务处理信息系统(党政机关办公系统);(2)金融、税务、工商、海关、能源、交通运输、社会保障、教育等关系到国计民生的信息系统;(3)国防工业、国家科研等单位的信息系统;(4)公用通信、广播电视传输等基础信息网络中的信息系统;(5)网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。
区别重点,分级进行保护。
二、信息系统安全等级保护系统级别、规定动作、实施级别流程
|
五个安全等级 |
五个规定动作 |
实施基本流程 |
|
l
自主保护
l
指导保护
l
监督保护
l
强制保护
l
专控保护 |
l
定级
l
备案
l
建设整改
l
等级测评
l
监督检查 |
 |
三、等级保护的基本安全要求
对不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导分等级的信息系统的安全建设和监督管理。
|
信息等级保护基本安全要求 |
|
ISO27001控制条款 |
|
条款 |
基本要求 |
|
条款 |
控制目标与控制项 |
|
1.0 |
技术要求 |
|
|
|
|
1.1 |
物理安全 |
|
A9 |
物理和环境安全 |
|
1.2 |
网络安全 |
|
|
|
|
1.3 |
主机安全 |
|
A11.5 |
操作系统访问控制 |
|
1.4 |
应用安全 |
|
|
|
|
1.5 |
数据安全及备份恢复 |
|
A10 |
通信与运维 |
|
2.0 |
管理要求 |
|
|
|
|
2.1 |
安全管理制度 |
|
A5 |
安全方针 |
|
2.2 |
安全管理机构 |
|
A6 |
组织信息安全 |
|
2.3 |
人员安全管理 |
|
A8 |
人力资源安全 |
|
2.4 |
系统建设管理 |
|
A12 |
系统获取、开发 |
|
2.5 |
系统运维管理 |
|
A12 |
系统获取、开发与维护 |
四、主要交付物、示例说明
l
《信息系统安全等级保护定级报告》
l
《信息系统安全等级保护差距测评报告》
l
《信息系统安全等级保护整改与建设方案》
l
《信息系统安全等级保护测评报告》
五、成功案例
|
1.冀中能源集信息系统安全等级保护安全服务 |
|
4.广西投资集团等级保护安全服务 |
|
2.中国海运信息系统安全等级保护安全服务 |
|
5.中国联通集团信息系统安全等级保护安全服务 |
|
3.深圳发展银行信息安全等级保护安全服务 |
|
6、广东电网信息系统安全等级保护安全服务 |
|
