20 元
下载资源

项目五任务6电子政务信息安全等级保护实施指南课件

上传人:9** 文档编号:243125483 上传时间:2024-09-16 格式:PPTX 页数:46 大小:2.30MB
返回 下载 相关 举报
项目五任务6电子政务信息安全等级保护实施指南课件_第1页
第1页 / 共46页
项目五任务6电子政务信息安全等级保护实施指南课件_第2页
第2页 / 共46页
项目五任务6电子政务信息安全等级保护实施指南课件_第3页
第3页 / 共46页
点击查看更多>>
资源描述
,单击此处编辑母版标题样式,电子政务信息安全等级保护实施指南,27,号文件确定未来,3,5,年的信息安全纲领,当前我国信息安全保障工作的九大任务,实行信息安全等级保护,加强以密码技术为基础的信息保护和网络信任体系建设,建设和完善信息安全监控体系,重视信息安全应急处理工作,加强信息安全技术研究开发,推进信息安全产业发展,加强信息安全法制建设标准化建设,加快信息安全人才培养,增强全民信息安全意识,保证信息安全资金,加强对信息安全保障工作的领导,建立健全信息安全管理责任制,安全目标,基础网络,数据业务,等级保护的基本概念,区域,5,区域,4,区域,3,区域,2,区域,1,等级化信息安全体系框架,安全措施,技术,运行,组织,策略,统一终端管理,内网监控,边界保护,策略发布,策略制定,组织建设,运维手册,岗位职责,检查考核,电子政务等级保护的含义,实行信息安全等级保护:信息化发展的不同阶段和不同的信息系统有着不同的安全,需求,,必须从实际出发,综合平衡安全,成本,和,风险,,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。,电子政务等级保护的含义,依据,电子政务系统,的使命与,目标,和系统重要程度,将系统划分为不同的,安全等级,,并综合平衡考虑,系统安全要求,、系统所面临,安全风险,和实施安全保护措施的,成本,,进行,安全措施,的调整和定制,形成不同等级的安全措施进行保护,电子政务等级保护工作的内容,等级保护,管理办法,等级保护,定级指南,基本安全,要求,等级评估,规范,定级,确定安全,保障措施,安全设计,与建设,运行监控,与改进,管理层,用户层,电子政务等级保护的基本原则,重点保护原则:,电子政务等级保护要突出重点,重点保护关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统,集中资源首先确保重点系统安全。,自主保护原则:,电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则,由各主管部门和运营单位依照国家相关法规和标准,自主确定电子政务系统的安全等级并组织实施安全防护。,分区域保护原则:,电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平,分类、分级、分阶段进行实施,通过划分不同安全保护等级的区域,实现不同强度的安全保护。,同步建设、动态调整原则:,电子政务系统在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当重新确定系统的安全保护等级。,电子政务的五个安全等级,安全,等级,等级,名称,基本描述,安全保护要求,第一级,自主保护级,适用于一般的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。,参照国家标准自主进行保护。,第二级,指导保护级,适用于处理日常政务信息和提供一般政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。,在主管部门的指导下,按照国家标准自主进行保护。,第三级,监督保护级,适用于处理重要政务信息和提供重要政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响,对国家安全造成一定程度的损害。,在主管部门的监督下,按国家标准严格落实各项保护措施进行保护。,第四级,强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响,对国家安全造成较大损害。,在主管部门的强制监督和检查下,按国家标准严格落实各项措施进行保护。,第五级,专控保护级,适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响,对国家安全造成严重损害。,根据安全需求,由主管部门和运营单位对电子政务系统进行专门控制和保护。,安全,等级,等级,名称,基本描述,安全保护,要求,第,一,级,自主保护级,适用于一般的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。,参照国家标准自主进行保护。,电子政务的五个安全等级,1,安全,等级,等级,名称,基本描述,安全保护要求,第一级,自主保护级,适用于一般的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。,参照国家标准自主进行保护。,第二级,指导保护级,适用于处理日常政务信息和提供一般政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。,在主管部门的指导下,按照国家标准自主进行保护。,第三级,监督保护级,适用于处理重要政务信息和提供重要政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响,对国家安全造成一定程度的损害。,在主管部门的监督下,按国家标准严格落实各项保护措施进行保护。,第四级,强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响,对国家安全造成较大损害。,在主管部门的强制监督和检查下,按国家标准严格落实各项措施进行保护。,第五级,专控保护级,适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响,对国家安全造成严重损害。,根据安全需求,由主管部门和运营单位对电子政务系统进行专门控制和保护。,安全,等级,等级,名称,基本描述,安全保护,要求,第,二,级,指导保护级,适用于处理日常政务信息和提供一般政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。,在主管部门的指导下,按照国家标准自主进行保护。,电子政务的五个安全等级,2,电子政务的五个安全等级,3,安全,等级,等级,名称,基本描述,安全保护要求,第一级,自主保护级,适用于一般的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。,参照国家标准自主进行保护。,第二级,指导保护级,适用于处理日常政务信息和提供一般政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。,在主管部门的指导下,按照国家标准自主进行保护。,第三级,监督保护级,适用于处理重要政务信息和提供重要政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响,对国家安全造成一定程度的损害。,在主管部门的监督下,按国家标准严格落实各项保护措施进行保护。,第四级,强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响,对国家安全造成较大损害。,在主管部门的强制监督和检查下,按国家标准严格落实各项措施进行保护。,第五级,专控保护级,适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响,对国家安全造成严重损害。,根据安全需求,由主管部门和运营单位对电子政务系统进行专门控制和保护。,安全,等级,等级,名称,基本描述,安全保护,要求,第,三,级,监督保护级,适用于处理重要政务信息和提供重要政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响,对国家安全造成一定程度的损害。,在主管部门的监督下,按国家标准严格落实各项保护措施进行保护。,安全,等级,等级,名称,基本描述,安全保护要求,第一级,自主保护级,适用于一般的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。,参照国家标准自主进行保护。,第二级,指导保护级,适用于处理日常政务信息和提供一般政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。,在主管部门的指导下,按照国家标准自主进行保护。,第三级,监督保护级,适用于处理重要政务信息和提供重要政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响,对国家安全造成一定程度的损害。,在主管部门的监督下,按国家标准严格落实各项保护措施进行保护。,第四级,强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响,对国家安全造成较大损害。,在主管部门的强制监督和检查下,按国家标准严格落实各项措施进行保护。,第五级,专控保护级,适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响,对国家安全造成严重损害。,根据安全需求,由主管部门和运营单位对电子政务系统进行专门控制和保护。,安全,等级,等级,名称,基本描述,安全保护,要求,第,四,级,强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响,对国家安全造成较大损害。,在主管部门的强制监督和检查下,按国家标准严格落实各项措施进行保护。,电子政务的五个安全等级,- 4,安全,等级,等级,名称,基本描述,安全保护要求,第一级,自主保护级,适用于一般的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。,参照国家标准自主进行保护。,第二级,指导保护级,适用于处理日常政务信息和提供一般政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。,在主管部门的指导下,按照国家标准自主进行保护。,第三级,监督保护级,适用于处理重要政务信息和提供重要政务服务的电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响,对国家安全造成一定程度的损害。,在主管部门的监督下,按国家标准严格落实各项保护措施进行保护。,第四级,强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响,对国家安全造成较大损害。,在主管部门的强制监督和检查下,按国家标准严格落实各项措施进行保护。,第五级,专控保护级,适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响,对国家安全造成严重损害。,根据安全需求,由主管部门和运营单位对电子政务系统进行专门控制和保护。,安全,等级,等级,名称,基本描述,安全保护,要求,第,五,级,专控保护级,适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统,系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响,对国家安全造成严重损害。,根据安全需求,由主管部门和运营单位对电子政务系统进行专门控制和保护。,电子政务的五个安全等级,- 5,电子政务安全措施的等级指标,电子政务安全措施等级指标是满足不同等级电子政务系统基本安全要求的安全措施集合。,电子政务安全措施指标体系包括五个级别,从第一级至第五级,对应第,1,5,级的电子政务系统。,电子政务的安全措施指标体系可以分解为,安全策略、安全组织、安全技术和安全运行,四个方面的安全指标。,2,级要求:,采用设备提供的多级用户管理授权,对每,一个不同的用户授予不同的设备管理权限。,信息安全等级化指标库举例,安全体系指标框架,技术框架,网络基础设施,网络设备管理,网络设备管理授权,1,级要求:,采用网络设备自身提供的普通,/,特权两级,授权管理机制管理设备。,对应措施:,网络设备配置规范,网络设备管理流程,网络设备配置检查流程,3,级要求:,采用集中统一设备管理授权,通过中心服务,器实现对各个设备的用户管理、用户授权。,例如,TACACS+,、,RADIOUS,等。,量化了安全要求,量化了安全措施,电子政务等级保护的基本要素,电子政务系统,使命与目标,信息安全等级,安全保护要求,安全风险,安全保护措施,安全保护成本,等级保护各要素之间的关系,根本关系是不同,等级,的,电子政务系统,对应不同,等级,的,安全措施,核心问题是,安全措施,的确定,安全措施需要满足,系统保护要求,,对抗系统所面临的,风险,系统保护要求,的确定:不同电子政务系统的使命和业务,目标,的差异性,业务和,系统,本身的特性(所属信息资产特性、实际运行情况和所处环境等)的差异性,决定了,系统保护要求,特性(安全保护要求的类型和强度)的差异性。,安全措施,的确定:,系统保护要求,类型和强度的差异性,安全,风险,的差异性,决定了选择不同类型和强度的,安全措施,;,安全措施,的选择需要符合,系统保护要求,的满足程度,面临,风险,的控制和降低程度和实施安全措施的,成本,三者之间的平衡,在适度成本下实现适度安全,电子政务等级保护是以等级化的电子政务保护对象和电子政务安全措施等级指标为参照系,以风险管理过程为主线,建立并实施电子政务等级保护体系的过程。,电子政务等级保护的实现原理,电子政务等级保护实施过程,等级保护过程与新建和已建系统生命周期对应关系,系统间互联互通的等级保护要求,同等级电子政务系统之间的互联互通:,由系统的拥有单位参照该等级的安全措施等级指标对访问控制的要求,协商确定边界防护措施,保障互联互通电子政务系统的安全,不同等级电子政务系统间的互联互通:,各系统要按照自身相应的安全等级要求进行保护,在此基础上协商对相互连接的保护。同时,高安全等级的系统要充分考虑引入低安全等级系统后带来的风险,采取有效措施进行控制。,涉密系统与其它系统的互联互通,按照国家保密部门的有关规定执行。,电子政务系统互联互通中的密码配置按照国家密码管理部门的要求执行。,定级的方式与过程,电子政务系统定级可以采用以下两种方式进行:,对系统整体定级:系统整体定级是在识别出政务机构所拥有的电子政务系统后,针对系统整体确定其安全等级。,将系统分解为子系统后分别定级:若规模庞大、系统复杂,则可以将系统分解为多层次的多个子系统后,对所分解的每个子系统分别确定其安全等级。,定级原则,依据电子政务五个安全等级的基本要求,从信息安全的保密性、完整性、可用性三个基本属性在遭到破坏时对政务机构履行其政务职能、机构财产、人员造成的影响来定义安全级别,并划分为五个等级。安全级别的确定应在单位层面和国家层面的整体环境下进行考虑。,安全级别第一级,对政务机构自身造成较小的负面影响,包括:,对政务机构履行其政务职能带来较小的负面影响,政务机构还可以履行其基本的政务职能,但效率有较小程度的降低;,对政务机构、相关单位、人员造成较小经济损失;,对政务机构、相关单位、人员的形象或名誉造成较小影响;,不会造成人身伤害;,不会造成犯罪或防碍对犯罪行为的调查;,安全级别第,二,级,对政务机构自身造成中等程度的负面影响,包括:,对政务机构运行带来中等程度的负面影响,政务机构还可以履行其基本的政务职能,但效率有较大程度的降低;,对政务机构、相关单位、人员造成一定程度的经济损失;,对政务机构、相关单位、人员的形象或名誉造成一定程度的负面影响;,造成轻微的人身伤害;,不会造成犯罪或防碍对犯罪行为的调查;,安全级别第,三,级,对政务机构自身造成较大的负面影响,对国家安全造成一定程度的损害,包括:,对政务机构运行带来较大的负面影响,政务机构的一项或多项政务职能无法履行;,对政务机构、相关单位、人员造成较大经济损失;,对政务机构、相关单位、人员的形象或名誉造成较大的负面影响;,导致严重的人身伤害;,导致犯罪或防碍对犯罪行为的调查;,安全级别第,四,级,对政务机构自身造成严重的负面影响,对国家安全造成较大损害,包括:,对政务机构运行带来严重的负面影响,政务机构的多项政务职能无法履行,并在省级行政区域范围内造成严重影响;,对国家造成严重的经济损失;,对国家形象造成严重影响;,导致较多的人员伤亡;,导致危害国家安全的犯罪行为;,安全级别第,五,级,对政务机构自身造成极其严重的负面影响,对国家安全造成严重损害,包括:,对政务机构运行带来较小的负面影响,中央政务机构的一项或多项政务职能无法履行,并在全国范围内造成极其严重的影响;,对国家造成极大的经济损失;,对国家形象造成极大影响;,导致大量人员伤亡;,导致危害国家安全的严重犯罪行为;,定级方法,考虑信息和服务两个因素,通过对每一类信息和服务安全级别的分析,得到系统三性的级别,最终确定系统的安全等级。,安全级别可以根据实际情况进行调整。,系统定级公式:,系统安全等级,(A),Max (,系统保密性级别,) ,(,系统完整性级别,),(,系统可用性级别,),系统保密性级别,Max (,各信息或服务的保密性级别,) ,系统完整性级别,Max (,各信息或服务的完整性级别,) ,系统可用性级别,Max (,各信息或服务的可用性级别,) ,安全规划与设计的过程,安全域划分原则,功能应用相似性原则,安全属性相似性原则,资产价值,安全要求,安全威胁,保护对象分类,建立系统分域保护框架的方法,充分覆盖,互不重叠,无需细分,如何构建系统分域保护框架,选择和调整安全措施的过程,安全措施调整因素和调整方式,序号,调整因素,调整方式,1,三性等级中的,1,2,项低于系统安全等级,降低对应控制项的等级,2,出现基本安全要求之外的特定安全要求,增加控制项,3,不存在基本安全要求所要控制的安全风险,删减控制项,4,风险评估识别出的风险在基本安全要求中,没有控制项,增加控制项,5,与相应基本安全要求提供的安全强度相,比,风险较低,降低控制项的强度等级,6,与对应基本安全要求提供的安全强度相,比,风险较高,提高控制项的强度等级,7,相应基本安全要求中某些措施成本太高,,无法承受,通过其他措施进行弥补,安全规划与方案设计,安全需求分析,安全现状和等级要求之间的差距,安全项目规划,对安全项目的相关性、紧迫性、难易程度和预期效果等因素进行分析,确定实施的先后顺序,安全工作规划,确定安全工作的宗旨、远期安全工作目标和当年目标、关键和重点的工作,并分析潜在的风险和障碍、所需的资源和预算 ,进行实施策略选择,确定当年的安全工作计划和等级保护项目建设计划,安全方案设计,技术解决方案、管理解决方案,实施、等级评估与运行,安全管理措施建设,安全技术措施建设,等级评估与验收,运行监控与改进,交付成果,简介,安全评估报告,通过调查资产、分析网络、系统和业务等方式,全面了解安全组织、策略、运作和技术等安全现状。,安全体系总体框架,确定信息系统安全等级、安全建设的目标以及总体安全笼廓和框架。,安全规划,对比安全现状和目标之间的差距,分析并明确安全重点工作。,安全策略,为客户指定不同层面和类型的安全策略,包括制度、流程、规范和运行维护计划等。,安全解决方案,根据现有安全问题和安全规划,制定各类详细的安全解决方案。,等级化安全体系管理软件,(定制),通过管理软件对等级化安全体系进行管理和维护。,等级化安全体系试点交付成果,等级化安全体系的设计成果,安全组织,主管领导(主管安全),领导小组组长,Xx,部门负责人,成员,Xx,部门负责人,成员,Xx,部门负责人,成员,Xx,部门负责人,工作组组长,Xx,部门负责人,成员,Xx,系统管理员,成员,Xx,系统管理员,成员,Xx,系统管理员,成员,Xx,系统管理员,办公室负责人,Xx,系统管理员,成员,安全管理员,安全技术员,信息安全办公室,等级化安全体系的设计成果,安全技术,防病毒,监控,审计,认证,第三方,统一接入,安全域,访问,控制,访问,控制,访问,控制,主机,安全,边界,隔离,数据库,安全,应用,安全,安全域,边界,隔离,表现:解决方案,等级化安全体系的设计成果,安全运行,项目工程,建设,安全风险,管理,安全运行,维护,安全体系,建设,建设期间,运行维护期间,等级化安全体系的设计成果,安全策略,信息安全方针,xx,管理规定,工作流程,xx,组织人员职责,xx,安全技术规范,信息安全体系,xx,层面,xx,信息安全工作管理办法,xx,组织人员职责,xx,层面,工作表单,运行维护计划,应急响应计划,xx,层面,等级化安全体系的设计成果,-,指标库,谢 谢 !,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 教学培训


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!