等级保护体系及信息安全管理系统
等级保护体系
-
一、分级保护制度
-
-
第一条 规级保护2.0标准制度
-
第二条 在实施分级保护工作过程中所依据的重要标准
-
- (1)分级类别部分
- (2)系统评估环节
- (3)整改提升环节
- (4)分级审核流程
-
3、等级保护工作过程
-
4、系统定级
-
- (1)“监督管理”等级
- (2)定级工作流程
-
5、系统备案
-
- (1)备案时机
- (2)备案地点
- (3)备案流程
- (4)备案材料
-
-
-
6、在开展安全建设项目整改过程中所采用的主要技术规范
- 7、施工/整改工作实施的具体流程
(1)需求调研:
(2)整体规划方案:
(3)详细设计方案:
(4)工程施工部署:-
8、等级测评
-
-
-
- 等级测评主要参照的标准
-
-
-
9、监督检查
-
二、信息安全管理体系
-
- 1、安全运行与维护阶段
- 2、实施过程
-
三、等级保护管理测评
-
- 1、等级测评实施
-
- (1)单项测评(测评单元)
- (2)整体测评
-
2、测评单元的基本构成
-
3、制度管理措施的实施效果评估
-
4、人员配置方案
-
5、人员配置方案的具体执行情况
-
6、服务供应商的管控体系
-
7、环境治理标准
-
8、网络与系统的安全性保障措施
-
9、异常程序防护机制建设
-
10、突发事件响应策略制定和执行情况
-
11、应急响应预案的有效性验证流程
一、等级保护体系
1、等级保护2.0标准体系
2、等级保护工作中用到的主要标准
(一)基础类
1、《计算机信息系统安全保护分级标准》GB 17859-1999
2、《网络安全等级保护操作规范》GB/T 25058-2019
(二)系统定级环节
3、 《网络安全保护等级定级指南》GB/T22240-2020
(三)建设整改环节
《网络安全等级保护基本要求》GB/T22239-2019
(四)等级测评环节
5、 《网络安全等级保护测评要求》GB/T28448-2019
6、 《网络安全等级保护测评过程指南》GB/T28449-2018
3、等级保护工作过程
(1)系统定级
(2)系统备案
(3)建设整改
(4)等级测评
(5)监督检查
4、系统定级
实质是对国家重要信息资产的识别过程。
(1)“监督管理”等级
第一级:信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。属于自主保护级。
第二级:信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。属于指导保护级。
第三级:信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。属于监督保护级。
第四级:信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。属于强制保护级。
第五级:信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。属于专控保护级。(2)定级工作流程
5、系统备案
(1)备案时机
新旧两类第二级以上信息系统的运营使用单位或新建单位,在安全保护等级确定后自确定之日次日起至三十日内(含三十日),应当向其所在地设区的市级以上公安机关完成备案登记手续。
(2)备案地点
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部备案:其他信息系统向北京市公安局备案。
隶属于中央的非在京单位的信息系统,由当地省级公安机关网络安全保卫部门(或其指定的地市级公安机关网络安全保卫部门)受理备案
隶属于省级的备案单位, 其跨地(市) 联网运行的信息系统,由省级公安机关网络安全保卫部门受理备案。
跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,由所在地地市级以上公安机关网络安全保卫部了受理备案(3)备案流程
(4)备案材料
6、安全建设整改环节用到的主要技术标准
网络安全等级保护具体要求(GB 25058-2019)
网络安全等级保护最低要求(GB/T 22239-2019)
网络安全等级保护技术规范要求(GB/T 25070-2019)
信息系统信息安全通用技术规范(GB/T 20271-2006)
信息系统安全管理规范(GB/T 20269-2006)
信息系统安全工程管理规范(GB/T 20282-2006)
7、建设/整改实施过程
(1)需求分析:
1>系统构成情况分析
2>安全保护需要/现状分析
3>安全需求论证确认
(2)总体规划
1>等保体系架构设计
2>纵深防御架构设计
3>管理体系架构设计
(3)详细设计
- 物理环境的安全性设计;
- 网络信息安全的设计;
- 网络边界的防护策略;
- 计算机系统的安全性保障;
- 应用程序的安全性管理;
- 数据冗余管理方案的设计;
- 其他相关技术方案的设计。
(4)工程实施
1>招投标
2>安全集成
3>工程验收
4>试运行
8、等级测评
在完成信息系统建设之后,在相关部门指导下(包括相关运营主体按照本办法的规定),按照《信息安全等级保护测评要求》等相关技术规范的要求进行定期评估工作。其中规定第三类信息系统的年检频率为每年不少于一次评级任务;第四类信息系统的年检频率为每半年不少于一次评级流程;而对于第五类信息系统,则需根据具体情况来确定评级频率
等级测评主要参照的标准
(1)GB/T 22239-2019《网络安全等级保护基本要求》
(2)GB/T 28448-2019《网络安全等级保护测评要求》
(3)GB/T 28449-2018《网络安全等级保护测评过程指南》
9、监督检查
(一)组织开展并实施等级保护工作的情况包括:责任落实情况、信息系统安全岗位人员配置及管理人员配备状况;
(二)依据相关法律法规及规范要求制定具体实施方案并落实;
(三)完成信息系统定级备案工作及因系统变化导致定级备案变更的相关事项;
(四)完成信息安全设施建设及 corresponding 整改工作;
(五)建立健全并切实执行信息安全管理制度;
(六)完善信息安全技术保障措施;
(七)选择性部署信息安全产品并完成采购事宜;
(八)按规范要求委托专业机构进行技术测评并对测评结果进行相应整改;
(九)定期自主进行内部自查活动;
(十)开展信息安全知识普及与技能培训工作。
二、信息安全管理体系
1、安全运行与维护阶段
(1)服务商管理和监控
(2)服务能力分析
(3)信息安全风险分析
(4)服务内容互斥分析
2、实施过程
三、等级保护管理测评
1、等级测评实施
(1)单项测评(测评单元)
基于安全要求项作为核心单元来进行测评。
**单项测评方法**
访谈:通过与相关人员进行有目的的(有针对性的)交流使测评人员理解、澄清或取得证据
核查:通过对文档、设施、配置等进行观察、查验和分析,使测评人员理解、澄清或取得证据
测试:使用预定的方法/工具令设备、安全配置产生特定的结果,将运行结果与预期的结果进行比对的过程(2)整体测评
整体评估基于单项测评结果,并从全局角度评估被测对象在某一方面的安全防护能力。
2、测评单元基本结构
(1)测评指标:与基本要求中的各项要求相匹配
(2)测评对象:作为访谈、核查或测试等方法执行者的具体对象;
(3)测评实施:通过采用某种或多种特定方式对某一特定指标进行操作的过程;
(4)单元判定:在完成上述操作流程并获得相关证据后,依据这些证据来判断等级保护对象是否符合各单项标准所设定的要求的标准和程序。
3、管理制度的测评实施
一级:核查日常管理活动所需的管理制度
二级:核查安全管理制度覆盖范围-机房、网络计算设备、数据、应用、建设和运维等层面,核查是否具有日常管理的操作规程
三级:在二级测评实施基础上,核查总体方针策略文件、管理制度和操作规程、记录表单是否全面且具有关联性
四级:与三级要求相同。4、岗位设置
一级:要求设立系统管理员、审计管理员、安全管理员等岗位,并定义各个工作岗位的职责。
二级:在一级要求的基础上,增加了设立安全管理职能部门,设立安全主管、安全管理各方面负责人岗位,并定义其职责。
三级:除二级要求外,要求成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。
四级:与三级要求相同。5、岗位设置的测评实施
一级:访谈安全主管是否进行了信息安全管理岗位的划分;应核查岗位职责文档是否明确了各岗位职责
二级:在一级实施基础上,了解是否设立安全管理职能部门,核查职责文档中关于职能部门、各负责人的职责定义。
三级:在二级实施基础上,了解是否成立相关工作委员会或领导小组,核查职责文档中对委员会或小组的构成和职责定义,核查其最高领导的任命或授权书。
四级:与三级要求相同。6、服务供应商管理
一级:要求选择符合国家有关规定的服务供应商并与之签订安全相关协议,约定相关责任。
二级:在一级要求的基础上,增加了整个服务供应链各方需履行的网络安全相关义务的要求。
三级:在二级要求的基础上,增加了定期监视、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制的要求。
四级:与三级要求相同7、环境管理
一级:要求指定部门或专人负责机房安全,管理机房出入,定期设备维护;要求对机房访问、物品进出和环境安全做出规定。
二级:在一级要求的基础上,增加了不在重要区域接待来访人员和桌面没有包含敏感信息的纸档文件、移动介质等要求。
三级:在二级要求基础上建立机房管理制度。
四级:在三级要求的基础上,要求对出入人员进行相应级别的授权,对进入重要安全区域的人员和活动实时监视等。8、网络和系统安全管理
一级:要求指定不同的管理员角色,明确其职责,指定专人员进行账户管理和账户操作。
二级:在一级基础上,要求建立网络和系统安全管理制度应制定重要设备的配置和操作手册,详细记录运维操作日志。
三级:在二级基础上,要求指定专人统计分析日志和监测记录;严格控制变更性运维,保证操作审计日志不可更改,及时更新配置信息库;严格控制运维工具的使用,删除产生的敏感数据;严格控制远程运维的开通,操作结束后立即关闭接口或通道;定期检查违规无线上网等
四级:与三级要求相同。9、恶意代码防范管理
一级:要求计算机或存储设备接入系统前进行恶意代码检查,制定恶意代码防范规定
二级:在一级要求的基础上,要求定期检查恶意代码库的升级情况,并及时分析处理。
三级:在二级要求的基础上,要求定期验证防范恶意代码攻击的技术措施的有效性。
四级:与三级要求相同。10、安全事件处置
一级:要求及时报告漏洞和可疑事件,明确事件报告、处置和恢复流程与职责。
二级:在一级的基础上,要求制定事件报告和处置管理制度,处过程中要分析原因,收集证据记录过程,总结经验教训。
三级:在二级的基础上,要求不同类重大安全事件采用不同的处理和报告程序。
四级:在三级的基础上,要求建立联合防护和应急机制,处置跨单位的重大安全事件。11、应急预案管理的测评实施
二级:要求访谈了解应急预案培训和演练情况核查培训记录是否明确对象、内容和效果,核查演练记录,时间、内容和结果。
三级:在二级的基础上,核查应急预案框架涵盖的内容是否全面,核查应急预案修订记录,查验修订时间和内容等
四级:在三级的基础上,访谈了解建立了跨单位的应急预案及演练情况,核查跨单位的应急预案和演练记录,查验预案内容、演练时间、演练内容和结果。