等级保护工作中用到的主要标准
(一)基础类
《计算机信息系统安全保护等级划分准则》GB 17859-1999
《信息安全技术 网络安全等级保护实施指南》GB/T 25058-2019
(二)系统定级环节
《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020
(三)建设整改环节
《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019
(四)等级测评环节
《信息安全技术 网络安全等级保护测评要求》GB/T 28448-2019
《信息安全技术 网络安全等级保护测评过程指南》GB/T 28449-2018
等级保护工作过程及标准应用
系统定级
定级
根据信息、信息系统的重要程度和信息系统遭到破环后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,确定信息系统的安全保护等级。系统定级过程实质上是对国家重要信息资产的识别过程。
等级的概念-重要程度等级
在《管理办法》中,明确了“信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定”
等级的概念-安全保护能力等级
《基本要求》给出了安全保护能力的新定义
• 一级安全保护能力
• 二级安全保护能力
• 三级安全保护能力
• 四级安全保护能力
• 五级安全保护能力(未公布)
等级的概念——“监督管理”等级
• 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。属于自主保护级。
• 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。属于指导保护级。
• 第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。属于监督保护级。
• 第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。属于强制保护级。
• 第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。属于专控保护级。
定级原理及流程
1 安全保护等级
根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级∶
a) 第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益
b) 第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;
c) 第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害
d) 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害
e) 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。
2 定级要素
2.1 定级要素概述
等级保护对象的定级要素包括∶
- 受侵害的客体;
- 对客体的侵害程度。
2.2 受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面∶
a) 公民、法人和其他组织的合法权益;
b) 社会秩序、公共利益;
c)国家安全。
2.3 对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由干对客体的侵害是通过对等级保护对象的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种∶
- 造成一般损害;
- 造成严重损害;
- 造成特别严重损害。
3 定级要素与安全保护等级的关系
受侵害的客体 | 对客体的侵害程度 | ||
一般损害 | 严重损害 | 特别严重损害 | |
公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
社会秩序和公共利益 | 第二级 | 第三级 | 第四级 |
国家安全 | 第三级 | 第四级 | 第五级 |
网络安全等级保护定级指南
定级:等级保护对象定级工作一般流程
确定定级对象→初步确定等级→专家评审→主管部门核准→备案审核
1确定定级对象
1.1信息系统
1.1.1定级对象的基本特征
作为定级对象的信息系统应具有如下基本特征∶
- 具有确定的主要安全责任主体;
- 承载相对独立的业务应用;
- 包含相互关联的多个资源。
注1;主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织.
注2∶避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。
在确定定级对象时,云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统在满足以上基本特征的基础上,还需分别遵循1.1.2,1.1.3,1.1.4,1.1.5 的相关要求。
1.1.2 云计算平台/系统
在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。
对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象.
1.1.3 物联网
物联网主要包括感知、网络传输和处理应用等特征要素,需将以上要素作为一个整体对象定级,各要素不单独定级。
1.1.4 工业控制系统
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素宜单独定级。
对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
1.1.5 采用移动互联技术的系统
采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。
1.2 通信网络设施
对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。
跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。
1.3 数据资源
数据资源可独立定级。
当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。
确定安全保护等级
安全保护等级初步确定为第二级及以上的,定级对象的网络运营者需组织信息安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。有行业主管(监管)部门的,还需将定级结果报请行业主管(监管)部门核准,并出具核准意见。最后,定级对象的网络运营者按照相关管理规定,将定级结果提交公安机关进行备案审核。审核不通过,其网络运营者需组织重新定级;审核通过后最终确定定级对象的安全保护等级。
对于通信网络设施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上不低于其承载的等级保护对象的安全保护等级。
对于数据资源,综合考虑其规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。
等级变更
当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需根据本标准重新确定定级对象和安全保护等级。
定级方法流程:
确定受到破坏时所侵害的客体➡确定对客体的侵害程度➡确定安全保护等级➡确定定级保护对象的安全保护等级。
系统备案
《信息安全等级保护备案实施细则》
备案时机:
已运营(运行)或新建的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。(《信息安全等级保护管理办法》第十五条)
备案地点:
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部备案;其他信息系统向北京市公安局备案。
• 隶属于中央的非在京单位的信息系统,由当地省级公安机关网络安全保卫部门(或其指定的地市级公安机关网络安全保卫部门)受理备案
•隶属于省级的备案单位,其跨地(市)联网运行的信息系统,由省级公安机关网络安全保卫部门受理备案。
• 跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,由所在地地市级以上公安机关网络安全保卫部门受理备案。
•各部委统一定级信息系统在各地的分支系统,即使是上级主管部门定级的,也要到当地公安网络安全保卫部门备案。
备案审核:
审核通过:
• 《信息系统安全等级保护备案证明》
审核不通过:
• 通知备案单位进行整改,并出具《信息系统安全等级保护备案审核结果通知》。
• 对定级不准的,建议重新定级评审审批;仍然坚持则书面告知其承担的责任和后果,同时报其上级主管部门。
备案材料:
《信息系统安全等级保护备案表》(表一、表二、表三;第三级以上提交表四)
建设整改
安全建设整改环节用到的主要技术标准
1、《信息安全技术 网络安全等级保护实施指南》GB/T 25058-2019
2、《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019
3、《信息安全技术 网络安全等级保护安全设计技术要求》 GB/T 25070-2019
4、《信息安全技术 信息系统安全通用技术要求》GB/T 20271-2016
5、《信息安全技术 信息系统安全管理要求》GB/T 20269-2006
6、《信息安全技术 信息系统安全工程管理要求》GB/T 20282-2006
网络安全等级保护基本要求V2.0
章节结构的变化
• 8 第三级安全要求
• 8.1 安全通用要求
• 8.2 云计算安全扩展要求
• 8.3 移动互联安全扩展要求
• 8.4 物联网安全扩展要求
• 8.5 工业控制系统安全扩展要求
安全要求的变化
• 原来:安全要求
• 改为:安全通用要求和安全扩展要求
• 安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求.
控制点标注:
• 业务信息安全类(S类)——关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。例如身份鉴别、访问控制、数据完整性、数据保密性。
• 系统服务安全类(A类)——关注的是保护系统连续正常的运行,避免因对系统的未授权修改、破坏而导致系统不可用。例如电力供应、软件容错、备份与恢复、资源控制。
• 通用安全保护类(G类)——既关注保护业务信息的安全性,同时也关注保护系统的连续可用性。例如管理要求和大部分技术要求。
建设/整改实施过程
需求分析:系统构成情况分析 安全保护需要/现状分析 安全需求论证确认
总体规划: 等保体系架构设计 纵深防御架构设计 管理体系架构设计
信息安全管理体系:
第一层:安全方针政策
信息安全方针政策,总体安全,说明机构安全工作的总体目标、范围、原则和安全框架等
第二层:安全管理制度
对安全管理活动中的各类管理内容建立安全管理制度,约束管理行为
第三层:技术标准、规范
规范安全管理制度的具体技术实现细节,对管理人员或操作人员执行的日常管理操作建立操作规程
第四层:流程、表单、记录
安全制度、规范实施时所需履行的流程,及需填写的表单,用于记录数据、监控实施
详细设计:
物理机房安全设计
通信网络安全设计
区域边界安全设计
主机系统安全设计
应用系统安全设计
备份和恢复安全设计
其他安全技术设计
工程实施: 招投标
安全集成
工程验收
试运行
安全运行与维护阶段
• 服务商管理和监控
• 服务能力分析
• 信息安全风险分析
• 服务内容互斥分析
等级测评:
等级测评是测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
管理办法要求 《管理办法》第十四条:
• 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
等级测评主要参照的标准:
• GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》
• GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》
• GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》
监督检查:
• 公安机关依据有关规定会同主管部门进行。
• 由市(地)级以上公安机关公共信息网络安全监察部门负责实施。
• 每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次,每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。
主要检查内容:
(一)等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;
(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;
(三)信息系统定级备案情况,信息系统变化及定级备案变动情况;
(四)信息安全设施建设情况和信息安全整改情况;
(五)信息安全管理制度建设和落实情况;
(六) 信息安全保护技术措施建设和落实情况;
(七) 选择使用信息安全产品情况;
(八) 聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;
(九) 自行定期开展自查情况;
(十) 开展信息安全知识和技能培训情况。
各级公安机关按照“谁受理备案,谁负责检查”的原则开展检查工作。具体要求是:
• 对跨省或者全国联网运行、跨市或者全省联网运行等跨地域的信息系统,由部、省、市级公安机关分别对所受理备案的信息系统进行检查。
• 对辖区内独自运行的信息系统,由受理备案的公安机关独自进行检查。
• 检查时,发现不符合信息安全等级保护有关管理规范和技术标准要求,应当通知其运营使用单位限期整改,并发送《信息系统安全等级保护限期整改通知书》。逾期不改正的,给予警告,并向其上级主管部门通报。
• 信息系统运营使用单位整改完成后,应当将整改情况报公安机关,公安机关应当对整改情况进行检查。