等级保护体系

一、等级保护体系
- 1、等级保护2.0标准体系
- 2、等级保护工作中用到的主要标准
- - (一)基础类
  - (二)系统定级环节
  - (三)建设整改环节
  - (四)等级测评环节
- 3、等级保护工作过程
- 4、系统定级
- - （1）“监督管理”等级
  - （2）定级工作流程
- 5、系统备案
- - (1)备案时机
  - (2)备案地点
  - (3)备案流程
  - (4)备案材料
- 6、安全建设整改环节用到的主要技术标准
- 7、建设/整改实施过程
- - （1）需求分析：
  - （2）总体规划
  - （3）详细设计
  - （4）工程实施
- 8、等级测评
- - 等级测评主要参照的标准
- 9、监督检查
二、信息安全管理体系
- 1、安全运行与维护阶段
- 2、实施过程
三、等级保护管理测评
- 1、等级测评实施
- - （1）单项测评（测评单元）
  - (2)整体测评
- 2、测评单元基本结构
- 3、管理制度的测评实施
- 4、岗位设置
- 5、岗位设置的测评实施
- 6、服务供应商管理
- 7、环境管理
- 8、网络和系统安全管理
- 9、恶意代码防范管理
- 10、安全事件处置
- 11、应急预案管理的测评实施

一、等级保护体系

1、等级保护2.0标准体系

2、等级保护工作中用到的主要标准

(一)基础类

1、《计算机信息系统安全保护等级划分准则》GB17859-1999
2、《网络安全等级保护实施指南》GB/T25058-2019

(二)系统定级环节

3、《网络安全保护等级定级指南》GB/T22240-2020

(三)建设整改环节

《网络安全等级保护基本要求》GB/T22239-2019

(四)等级测评环节

5、《网络安全等级保护测评要求》GB/T28448-2019
6、《网络安全等级保护测评过程指南》GB/T28449-2018

3、等级保护工作过程

（1）系统定级
（2）系统备案
（3）建设整改
（4）等级测评
（5）监督检查

4、系统定级

实质是对国家重要信息资产的识别过程。

（1）“监督管理”等级

第一级：信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。属于自主保护级。
第二级：信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。属于指导保护级。
第三级：信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。属于监督保护级。
第四级：信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。属于强制保护级。
第五级：信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。属于专控保护级。

（2）定级工作流程

5、系统备案

(1)备案时机

已运营(运行)或新建的第二级以上信息系统应当在安全保护等级确定后30日内，由其运营使用单位到所在地设x的市级以上公安机关办理备案手续。 (《信息安全等级保护管理办法》第一五条)

(2)备案地点

隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部备案:其他信息系统向北京市公安局备案。
隶属于中央的非在京单位的信息系统，由当地省级公安机关网络安全保卫部门(或其指定的地市级公安机关网络安全保卫部门)受理备案
隶属于省级的备案单位， 其跨地(市) 联网运行的信息系统，由省级公安机关网络安全保卫部门受理备案。
跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，由所在地地市级以上公安机关网络安全保卫部了受理备案

(3)备案流程

(4)备案材料

6、安全建设整改环节用到的主要技术标准

1、网络安全等级保护实施指南(GB25058-2019)
2、网络安全等级保护基本要求(GB/T22239-2019)
3、网络安全等级保护安全设计技术要求(GB/T250702019)
4、信息系统通用安全技术要求(GB/T20271-2006)
5、信息系统安全管理要求(GB/T20269-2006)
6、信息系统安全工程管理要求(GB/T20282-2006)

7、建设/整改实施过程

（1）需求分析：

1>系统构成情况分析
2>安全保护需要/现状分析
3>安全需求论证确认

（2）总体规划

1>等保体系架构设计
2>纵深防御架构设计
3>管理体系架构设计

（3）详细设计

1>物理机房安全设计；2>通信网络安全设计； 3>区域边界安全设计；4>主机系统安全设计；5>应用系统安全设计；6>备份和恢复安全设计； 7>其他安全技术设计

（4）工程实施

1>招投标
2>安全集成
3>工程验收
4>试运行

8、等级测评

信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

等级测评主要参照的标准

（1）GB/T22239-2019《网络安全等级保护基本要求》
（2）GB/T28448-2019《网络安全等级保护测评要求》
（3）GB/T28449-2018《网络安全等级保护测评过程指南》

9、监督检查

（一）等级保护工作组织开展、实施情况。安全责任落实情况，信息系统安全岗位和安全管理人员设置情况;
（二）按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;
（三）信息系统定级备案情况，信息系统变化及定级备案变动情况
（四）信息安全设施建设情况和信息安全整改情况;
（五）信息安全管理制度建设和落实情况
（六）信息安仝保护技术措施建设和落实情况
（七）选择使用信息安全产品情况;
（八）聘请测评杋构按规范要求开展技术测评工作情况，根据测评结果开展整改情况:
（九）自行定期开展自查情况
（十）开展信息安全知识和技能培训情况。

二、信息安全管理体系

1、安全运行与维护阶段

（1）服务商管理和监控
（2）服务能力分析
（3）信息安全风险分析
（4）服务内容互斥分析

2、实施过程

三、等级保护管理测评

1、等级测评实施

（1）单项测评（测评单元）

1>以安全要求项为基本工作单位开展测评。
2>包括测评指标、测评对象、测评实施和单元判定

**单项测评方法**
访谈：通过与相关人员进行有目的的(有针对性的)交流使测评人员理解、澄清或取得证据
核查：通过对文档、设施、配置等进行观察、查验和分析，使测评人员理解、澄清或取得证据
测试：使用预定的方法/工具令设备、安全配置产生特定的结果，将运行结果与预期的结果进行比对的过程

(2)整体测评

整体测评是在单项测评基础上，以整体视角对被测对象某方面安全保护能力做出判断。

2、测评单元基本结构

（1）测评指标：与基本要求的要求项对应
（2）测评对象：访谈、核查、测试等测评方法实施的具体对象;
（3）测评实施：利用某种或某几种测评方式针对某个测评指标展开具体操作的过程;
（4）单元判定：在完成测评实施过程并产生各种测评证据后，依据这些测评证据来判定等级保护对象是否满足测评指标要求的方法和原则。

3、管理制度的测评实施

一级:核查日常管理活动所需的管理制度
二级:核查安全管理制度覆盖范围-机房、网络计算设备、数据、应用、建设和运维等层面，核查是否具有日常管理的操作规程
三级:在二级测评实施基础上，核查总体方针策略文件、管理制度和操作规程、记录表单是否全面且具有关联性
四级:与三级要求相同。

4、岗位设置

一级:要求设立系统管理员、审计管理员、安全管理员等岗位，并定义各个工作岗位的职责。
二级:在一级要求的基础上，增加了设立安全管理职能部门，设立安全主管、安全管理各方面负责人岗位，并定义其职责。
三级:除二级要求外，要求成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权。
四级:与三级要求相同。

5、岗位设置的测评实施

一级:访谈安全主管是否进行了信息安全管理岗位的划分;应核查岗位职责文档是否明确了各岗位职责
二级:在一级实施基础上，了解是否设立安全管理职能部门，核查职责文档中关于职能部门、各负责人的职责定义。
三级:在二级实施基础上，了解是否成立相关工作委员会或领导小组，核查职责文档中对委员会或小组的构成和职责定义，核查其最高领导的任命或授权书。
四级:与三级要求相同。

6、服务供应商管理

一级：要求选择符合国家有关规定的服务供应商并与之签订安全相关协议，约定相关责任。
二级：在一级要求的基础上，增加了整个服务供应链各方需履行的网络安全相关义务的要求。
三级：在二级要求的基础上，增加了定期监视、评审和审核服务供应商提供的服务，并对其变更服务内容加以控制的要求。
四级：与三级要求相同

7、环境管理

一级：要求指定部门或专人负责机房安全，管理机房出入，定期设备维护;要求对机房访问、物品进出和环境安全做出规定。
二级：在一级要求的基础上，增加了不在重要区域接待来访人员和桌面没有包含敏感信息的纸档文件、移动介质等要求。
三级：在二级要求基础上建立机房管理制度。
四级：在三级要求的基础上，要求对出入人员进行相应级别的授权，对进入重要安全区域的人员和活动实时监视等。

8、网络和系统安全管理

一级：要求指定不同的管理员角色，明确其职责，指定专人员进行账户管理和账户操作。
二级：在一级基础上，要求建立网络和系统安全管理制度应制定重要设备的配置和操作手册，详细记录运维操作日志。
三级：在二级基础上，要求指定专人统计分析日志和监测记录；严格控制变更性运维，保证操作审计日志不可更改，及时更新配置信息库；严格控制运维工具的使用，删除产生的敏感数据；严格控制远程运维的开通，操作结束后立即关闭接口或通道；定期检查违规无线上网等
四级：与三级要求相同。

9、恶意代码防范管理

一级：要求计算机或存储设备接入系统前进行恶意代码检查，制定恶意代码防范规定
二级：在一级要求的基础上，要求定期检查恶意代码库的升级情况，并及时分析处理。
三级：在二级要求的基础上，要求定期验证防范恶意代码攻击的技术措施的有效性。
四级：与三级要求相同。

10、安全事件处置

一级：要求及时报告漏洞和可疑事件，明确事件报告、处置和恢复流程与职责。
二级：在一级的基础上，要求制定事件报告和处置管理制度，处过程中要分析原因，收集证据记录过程，总结经验教训。
三级：在二级的基础上，要求不同类重大安全事件采用不同的处理和报告程序。
四级：在三级的基础上，要求建立联合防护和应急机制，处置跨单位的重大安全事件。

11、应急预案管理的测评实施

二级:要求访谈了解应急预案培训和演练情况核查培训记录是否明确对象、内容和效果，核查演练记录，时间、内容和结果。
三级:在二级的基础上，核查应急预案框架涵盖的内容是否全面，核查应急预案修订记录，查验修订时间和内容等
四级:在三级的基础上，访谈了解建立了跨单位的应急预案及演练情况，核查跨单位的应急预案和演练记录，查验预案内容、演练时间、演练内容和结果。

等级保护体系及信息安全管理系统相关推荐

一文读懂等级保护二级
什么是网络安全等级保护? 网络安全等级保护是指对国家秘密信息.法人或其他组织及公民专有信息以及公开信息和存储.传输.处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理, ...
关键信息基础设施保护必须以等级保护制度为基础
近年来,有关网络安全的话题从未停歇.随着"棱镜门"事件的曝光,国家间的信息安全对抗日益公开化,网际空间的安全威胁正呈国际化.复杂化.组织化趋势发展. 如今,以云计算.大数据.物联网 ...
基于等级保护梳理服务器安全合规基线
背景作为运维,当对新上架的服务器装完操作系统后,第一步就是对操作系统进行初始化配置来保证配置合规,此时你可能就会有疑问:我们应该初始化哪些参数,有没有相关标准参考呢? 要想真正了解进行初始化配置的目 ...
白帽子-高端信息安全培训（攻防技术、渗透测试、安全产品、安全标准、风险评估、等级保护、项目实战）...
课程名字:白帽子-高端信息安全培训(攻防技术.渗透测试.安全产品.安全标准.风险评估.等级保护.项目实战) 课程讲师:heib0y 课程分类:网络安全适合人群:初级课时数量:100课时用到技术: ...
信息安全政策（等级保护、分级保护）
等级保护 <信息安全等级保护管理办法>将信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民.法人和其他组织的合法权益造成损害,但不损害国家安全.社会秩序和公共利益. ...
等保合规2022系列 | 等级保护技术防护体系该怎样构建（上）
2022等保合规指南第四篇山石网科带你深入走进[等保] 通过<等保合规2022系列 | 今年,关于等保你该了解什么?>.<等保合规2022系列 | 一个中心+三重防护,助力企业等 ...
【信息安全服务】等级保护2.0 服务流程一览
1.前言随着等保2.0的发布,国家网络安全法的发布,网络安全上升到前所未有的高度,本篇博文简述等级保护2.0 服务的全流程. 1.现状调研 1.1 收集资料管理类技术类规划类监管类 1.2 ...
网络安全等级保护等级保护对象的安全保护等级
什么是等保? 2017年6月1号,<中华人民共和国网络安全法>出台,国家实行网络安全等级保护制度.网络安全等级保护以<中华人民共和国网络安全法>为法律依据,以2019年5月发布 ...
什么是等级保护?为什么要开展等级保护?
很多刚入行的小伙伴听到"等级保护"."等保"都是一脸懵,完全不知道是什么,甚至都没有听说过.那么什么是等级保护?等级保护制度的主要内容是什么?为什么要开展等级保 ...
等级保护二、三、四级内容及对比
一.等级保护内容框架技术要求:物理安全.网络安全.主机安全.应用安全.数据安全及备份恢复管理要求:安全管理制度.安全管理机构.人员安全管理.系统建设管理.系统运维管理二.等级保护二.三.四级内容 ...

等级保护体系及信息安全管理系统