網(wǎng)絡(luò)安全法與等級(jí)保護(hù).ppt

《網(wǎng)絡(luò)安全法與等級(jí)保護(hù).ppt》由會(huì)員分享，可在線(xiàn)閱讀，更多相關(guān)《網(wǎng)絡(luò)安全法與等級(jí)保護(hù).ppt（43頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、網(wǎng)絡(luò)安全法與等級(jí)保護(hù) 一、網(wǎng)絡(luò)安全法 二 、 信息安全等級(jí)保護(hù) 目 錄 一、網(wǎng)絡(luò)安全法 制定網(wǎng)絡(luò)安全法的 意義 網(wǎng)絡(luò)安全法 是我國(guó)第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理 方面問(wèn)題的基礎(chǔ)性法律 ， 是我國(guó)網(wǎng)絡(luò)空間法治建設(shè)的重要里 程碑 ， 是依法治網(wǎng) 、 化解網(wǎng)絡(luò)風(fēng)險(xiǎn)的法律重器 ， 是讓互聯(lián)網(wǎng) 在法治軌道上健康運(yùn)行的重要保障 。 網(wǎng)絡(luò)安全法 將近年來(lái)一些成熟的好做法制度化 ， 并為 將來(lái)可能的制度創(chuàng)新做了原則性規(guī)定 ， 為網(wǎng)絡(luò)安全工作提供 切實(shí)法律保障 。 1、總體框架 共 7章 79條。 第一章 總 則 第二章 網(wǎng)絡(luò)安全支持與促進(jìn) 第三章 網(wǎng)絡(luò)運(yùn)行安全

2、 第一節(jié) 一般規(guī)定 第二節(jié) 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全 第四章 網(wǎng)絡(luò)信息安全 第五章 監(jiān)測(cè)預(yù)警與應(yīng)急處置 第六章 法律責(zé)任 第七章 附 則 （一）綜述 2、 定位 是互聯(lián)網(wǎng)領(lǐng)域 、 網(wǎng)絡(luò)安全的 基礎(chǔ)性法律 。 是黨的十八大以來(lái)的又一部重要法律 。 3、 制定過(guò)程 2013年下半年提上日程 ， 2014年形成草案 ， 15年初 形成征求意見(jiàn)稿 ， 15年 6月一審 ， 16年 6月二審 、 10月 31日三審 、 11月 7日人大通過(guò) ， 2017年 6月 1日起施行 。 154票贊成 、 0票反對(duì) 、 1票棄權(quán) 。 確立了網(wǎng)

3、絡(luò)安全法律規(guī)范的基本原則 明確了網(wǎng)絡(luò)安全工作的重點(diǎn) 提出制定網(wǎng)絡(luò)安全戰(zhàn)略，明確網(wǎng)絡(luò)空間治理目標(biāo) 完善了網(wǎng)絡(luò)安全監(jiān)管體制 強(qiáng)化了網(wǎng)絡(luò)運(yùn)行安全，重點(diǎn)保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施 完善了網(wǎng)絡(luò)安全義務(wù)和責(zé)任 將監(jiān)測(cè)預(yù)警與應(yīng)急處置措施制度化、規(guī)范化 制定網(wǎng)絡(luò)安全法的 意義 5、 有關(guān)概念 網(wǎng)絡(luò) ： 是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的 按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集 、 存儲(chǔ) 、 傳輸 、 交換 、 處理的系統(tǒng) 。 網(wǎng)絡(luò)安全 ： 是指通過(guò)采取必要措施 ， 防范對(duì)網(wǎng)絡(luò)的攻擊 、 侵入 、 干擾 、 破壞和非法使用以及意外事故 ， 使網(wǎng)絡(luò)處于穩(wěn) 定可靠運(yùn)行的

4、狀態(tài) ， 以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性 、 保密性 、 可用性的能力 。 網(wǎng)絡(luò)運(yùn)營(yíng)者 ： 是指網(wǎng)絡(luò)的所有者 、 管理者和網(wǎng)絡(luò)服務(wù)提供 者 。 網(wǎng)絡(luò)數(shù)據(jù) ： 是指通過(guò)網(wǎng)絡(luò)收集 、 存儲(chǔ) 、 傳輸 、 處理和產(chǎn)生 的各種電子數(shù)據(jù) 。 個(gè)人信息 ： 是指以電子或者其他方式記錄的能夠單獨(dú)或者 與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息 ， 包括但 不限于自然人的姓名 、 出生日期 、 身份證件號(hào)碼 、 個(gè)人生 物識(shí)別信息 、 住址 、 電話(huà)號(hào)碼等 。 第二十一條 國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度 。 網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按 照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求 ， 履行下列安全保護(hù)義務(wù) 。 第三十一

5、條 國(guó)家對(duì)公共通信和信息服務(wù) 、 能源 、 交通 、 水利 、 金 融 、 公共服務(wù) 、 電子政務(wù)等重要行業(yè)和領(lǐng)域 ， 以及其他一旦遭到破壞 、 喪失功能或者數(shù)據(jù)泄露 ， 可能?chē)?yán)重危害 國(guó)家安全 、 國(guó)計(jì)民生 、 公共利 益的關(guān)鍵信息基礎(chǔ)設(shè)施 ， 在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上 ， 實(shí)行重 點(diǎn) 保護(hù) 。 第三十八 條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安 全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢 測(cè)評(píng)估 ， 并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè) 施安全保護(hù)工作的部門(mén) 。 （ 等級(jí)測(cè)評(píng) ） 網(wǎng)絡(luò)安全等級(jí)保護(hù)制度（ 上升為法律）

6、 （ 1） 安全風(fēng)險(xiǎn) 評(píng)估要求 具體內(nèi)容：應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安 全性和可能風(fēng)險(xiǎn)每年至少 1次檢測(cè)評(píng)估；檢測(cè)評(píng)估情況和改進(jìn)措 施報(bào)送相關(guān)負(fù)責(zé)部門(mén)。 法律責(zé)任：由有關(guān)主管部門(mén)責(zé)令改正， 給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的， 處 10-100 萬(wàn) 罰款，對(duì) 直接負(fù)責(zé)的主管人員處 1-10萬(wàn) 罰款。 網(wǎng)絡(luò)安全法要求及處罰 （ 2）網(wǎng)絡(luò) 安全等級(jí) 保護(hù)要求 具體內(nèi)容：制度建設(shè)與負(fù)責(zé)人；安全防范技術(shù)措施；不少于 6 個(gè)月的安全日志；數(shù)據(jù)分類(lèi)與備份加密。 法律責(zé)任：責(zé)令改正及警告；警告不改 罰款公司 1-10萬(wàn) ， 主管 5

7、千 -5萬(wàn) 。 網(wǎng)絡(luò)安全法要求及處罰 （ 3） 安全技術(shù)措施 同步要求 具體內(nèi)容：建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn) 定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè) 、同步使用。 法律責(zé)任：由有關(guān)主管部門(mén)責(zé)令改正，給予警告；拒不改正或 者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的， 處 10萬(wàn)元以上 100萬(wàn)元以下 罰款 ，對(duì) 直接負(fù)責(zé)的主管人員處 1萬(wàn)元以上 10萬(wàn)元以下 罰款。 網(wǎng)絡(luò)安全法要求及處罰 （ 4）采購(gòu) 安全保密要求 具體內(nèi)容 :采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂安 全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任。 法律責(zé)任：責(zé)令改正，給予警告；拒不

8、改正或者導(dǎo)致危害網(wǎng)絡(luò)安 全等后果的， 處 10-100萬(wàn) 罰款，對(duì) 直接負(fù)責(zé)的主管人員處 1-10萬(wàn) 罰款。 網(wǎng)絡(luò)安全法要求及處罰 （ 5） 信息與數(shù)據(jù)境內(nèi)存儲(chǔ)及跨境數(shù)據(jù)傳輸?shù)陌踩?評(píng)估要求 具體內(nèi)容 :境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng) 在境內(nèi)存儲(chǔ)；需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù) 院有關(guān)部門(mén)制定的辦法進(jìn)行安全評(píng)估。 法律責(zé)任：責(zé)令改正，給予警告，沒(méi)收違法所得；處 5-50萬(wàn) 罰款 ，并可以責(zé)令 暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷(xiāo)相 關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照 ；對(duì) 直接負(fù)責(zé)主管和直接責(zé)任人 處 1-10萬(wàn) 罰款。 網(wǎng)絡(luò)安全法要求及處罰 （

9、6） 應(yīng)急 預(yù)案要求 具體內(nèi)容：制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案；在發(fā)生危害網(wǎng)絡(luò)安全 的事件時(shí)，立即啟動(dòng)應(yīng)急預(yù)案；按照規(guī)定向有關(guān)主管部門(mén)報(bào)告。 法律責(zé)任：責(zé)令改正及警告；警告不改罰款 公司 1-10萬(wàn)，主管 5千 -5萬(wàn) 。 網(wǎng)絡(luò)安全法要求及處罰 根據(jù) 網(wǎng)絡(luò)安全法 第六章 -法律責(zé)任相關(guān)條款解釋?zhuān)罕痉商幜P力度空前嚴(yán)格 ， 處 罰不僅涉及到企業(yè) ， 而且涉及到法人 、 管理人員 、 一般員工等多個(gè)層面；既有經(jīng)濟(jì)處罰 ， 也有行政處罰 。 對(duì)于違法問(wèn)題有關(guān)主管部門(mén)責(zé)令改正 ， 給予警告；拒不改正或者情節(jié)嚴(yán)重的 ， 處一 萬(wàn)元以上一百萬(wàn)元以下罰款 ， 并

10、可以由有關(guān)主管部門(mén)責(zé)令暫停相關(guān)業(yè)務(wù) 、 停業(yè)整頓 、 關(guān) 閉網(wǎng)站 、 吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照 ， 對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé) 任人員處五千元以上十萬(wàn)元以下罰款 。 尚不構(gòu)成犯罪的 ， 由公安機(jī)關(guān)沒(méi)收違法所得 ， 處五日以下拘留 ， 可以并處五萬(wàn)元以 上五十萬(wàn)元以下罰款；情節(jié)較重的 ， 處五日以上十五日以下拘留 ， 可以并處十萬(wàn)元以上 一百萬(wàn)元以下罰款 。 受到治安管理處罰的人員 ， 五年內(nèi)不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營(yíng)關(guān)鍵崗位的工 作；受到刑事處罰的人員 ， 終身不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營(yíng)關(guān)鍵崗位的工作 。 依照有關(guān)法律 、 行政法規(guī)的規(guī)定記入

11、信用檔案 ， 并予以公示 。 網(wǎng)絡(luò)安全法 自 2017年 6月 1日正式實(shí)施 ， 網(wǎng)絡(luò)安全等級(jí)保護(hù)制度已經(jīng)上升為 法律規(guī)定的強(qiáng)制義務(wù) ， 這是我國(guó)自 1994年發(fā)布實(shí)施 中華人民共和國(guó)計(jì)算機(jī)信息 系統(tǒng)保護(hù)條例 將 “ 等級(jí)保護(hù) ” 明確為我國(guó)計(jì)算機(jī)安全保護(hù)的根本制度以來(lái) ， 首 次將其寫(xiě)入法律 。 從實(shí)施以來(lái)已經(jīng)處罰騰訊微信 、 新浪微博 、 百度貼吧 、 boss直聘 、 京東 、 淘寶 網(wǎng) 、 蝦米音樂(lè)網(wǎng) 、 蘑菇街互動(dòng)網(wǎng)等上百家的企事業(yè)單位 。 對(duì)于違反 網(wǎng)絡(luò)安全法 的處罰視情節(jié)嚴(yán)重 ， 處罰措施分為： 1、 責(zé)令改正 ， 給予警告； 2、 拒不改正或者導(dǎo)

12、致危害網(wǎng)絡(luò)安全等后果的 ， 對(duì)企業(yè)處 1-100萬(wàn)罰款 ， 對(duì)直接負(fù) 責(zé)的主管 員和其他直接責(zé)任人員處 1-10萬(wàn)罰款； 3、 并可以責(zé)令暫停相關(guān)業(yè)務(wù) 、 停業(yè)整頓 、 關(guān)閉網(wǎng)站 、 吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊 銷(xiāo)營(yíng)業(yè)執(zhí)照 。 二 、 信息安全等級(jí)保護(hù) 信息安全等級(jí)保護(hù)定義 信息安全等級(jí)保護(hù)管理辦法（試行） ：信息安全等級(jí)保護(hù)是指 對(duì)國(guó)家秘密信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息 和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì) 信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā) 生的信息安全事件分等級(jí)響應(yīng)、處置。 信息安全等級(jí)保護(hù)管理辦法

13、 國(guó)家通過(guò)制定統(tǒng)一的信息安全等級(jí) 保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng) 分等級(jí)實(shí)行安全保護(hù)，對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。 第一級(jí)為自主保護(hù)級(jí)，適用于一般的信息和信息系統(tǒng)，其受到破 壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成一定損害，但不損 害國(guó)家安全、社會(huì)秩序和公共利益。 第二級(jí)為指導(dǎo)保護(hù)級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人 和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造 成損害，但不損害國(guó)家安全。 劃分準(zhǔn)則 --GB 17859-1999 第三級(jí)為監(jiān)督保護(hù)級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公 共利

14、益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。 第四級(jí)為強(qiáng)制保護(hù)級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和 公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。 第五級(jí)為專(zhuān)控保護(hù)級(jí)，適用于涉及國(guó)家安全的重要信息和信息系 統(tǒng)的核心子系統(tǒng)，其受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。 實(shí)施指南 GB/T 25058-2010 等級(jí)保護(hù)實(shí)施過(guò)程 基本原則 主要過(guò)程及其活動(dòng) 角色、職責(zé) 基本流程 等級(jí)變更 局部調(diào)整 信息系統(tǒng)定級(jí) 總體安全規(guī)劃 安全設(shè)計(jì)與實(shí)施 安全運(yùn)行維護(hù) 信息系統(tǒng)終止 國(guó)家管理部門(mén) 信息系統(tǒng)主管部門(mén) 信息系統(tǒng)運(yùn)營(yíng)、使用單位 信息安全服務(wù)機(jī)構(gòu)

15、信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu) 信息安全產(chǎn)品供應(yīng)商 22 等級(jí)保護(hù)之十大標(biāo)準(zhǔn) 基礎(chǔ)類(lèi) 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 GB 17859-1999 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 GB/T 25058-2010 應(yīng)用類(lèi) 定級(jí)： 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 GB/T 22240-2008 建設(shè)： 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB/T 22239-2008 信息系統(tǒng)通用安全技術(shù)要求 GB/T 20271-2006 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求 GB/T 25070-2010 測(cè)評(píng)：

16、 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 GB/T 28448-2012 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南 GB/T 28449-2012 管理： 信息系統(tǒng)安全管理要求 GB/T 20269-2006 信息系統(tǒng)安全工程管理要求 GB/T 20282-2006 23 7、系統(tǒng)服務(wù)安全等級(jí) 等級(jí)保護(hù)定級(jí)指南 GB/T 22240 保護(hù)對(duì)象受到破壞時(shí)受侵害的客體 對(duì)客體的侵害程度 一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益 第一級(jí) 第二級(jí) 第二級(jí) 社會(huì)秩序、公共利益 第二級(jí) 第三級(jí) 第四級(jí) 國(guó)家安全 第三級(jí) 第四級(jí) 第五級(jí) 等級(jí)保護(hù)

17、定級(jí)方法 保護(hù)對(duì)象 對(duì)客體的侵害程度 客體：社會(huì)關(guān)系 受侵害的客體 信息系統(tǒng)安全 系統(tǒng)服務(wù)安全 業(yè)務(wù)信息安全 3、綜合評(píng)定對(duì)客體的侵害程度 2、 確定業(yè)務(wù)信息安全受到破壞 時(shí)所侵害的客體 6、綜合評(píng)定對(duì)客體的侵害程度 5、 確定系統(tǒng)服務(wù)安全受到破壞 時(shí)所侵害的客體 4、業(yè)務(wù)信息安全等級(jí) 8、定級(jí)對(duì)象的安全保護(hù)等級(jí) 8 MAX（ 4， 7） 1、確定定級(jí)對(duì)象 （系統(tǒng)邊界） 一般流程 等級(jí)確定 24 安全保護(hù)等級(jí) 信息系統(tǒng)定級(jí)結(jié)果的組合 第一級(jí) S1A1G1 第二級(jí) S1A2G2， S2A2G2， S2A1G2 第三級(jí) S1A3G3， S2A3G3， S3A

18、3G3， S3A2G3， S3A1G3 第四級(jí) S1A4G4， S2A4G4， S3A4G4， S4A4G4， S4A3G4， S4A2G4， S4A1G4 第五級(jí) S1A5G5， S2A5G5， S3A5G5， S4A5G5， S5A4G5， S5A3G5， S5A2G5， S5A1G5 基本保護(hù)要求（最低） 保護(hù)能力 對(duì)抗能力 恢復(fù)能力 技術(shù)要求管理要求 物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù) 制度、機(jī)構(gòu)、人員、建設(shè)、運(yùn)維 縱深防御、互補(bǔ)關(guān)聯(lián)、強(qiáng)度一致、 平臺(tái)統(tǒng)一、 集中安管 業(yè)務(wù)信息安全類(lèi)要求 S 系統(tǒng)服務(wù)保證類(lèi)要求 A 通用安全保護(hù)類(lèi)要求 G 整體安全保護(hù)能力 關(guān)鍵控制點(diǎn)

19、安全類(lèi) 具體要求項(xiàng) 控制強(qiáng)度 基本要求 GB/T 22239 基本保護(hù)要求（最低） 保護(hù)能力 對(duì)抗能力恢復(fù)能力 物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù) 制度、機(jī)構(gòu)、人員、建設(shè)、運(yùn)維 縱深防御、互補(bǔ)關(guān)聯(lián)、強(qiáng)度一致、 平臺(tái)統(tǒng)一、 集中安管 通用安全保護(hù)類(lèi)要求 關(guān)鍵控制點(diǎn) 安全類(lèi) 等級(jí) 保護(hù) 的內(nèi)容十個(gè)方面 業(yè)務(wù)安全 物 理 安 全 技術(shù)要求 管理要求 基本要求 網(wǎng) 絡(luò) 安 全 主 機(jī) 安 全 應(yīng) 用 安 全 數(shù) 據(jù) 安 全 安 全 管 理 機(jī) 構(gòu) 安 全 管 理 制 度 人 員 安 全 管 理 系 統(tǒng) 建 設(shè) 管 理 系 統(tǒng) 運(yùn) 維 管 理 安全要求類(lèi) 層面 一級(jí) 二級(jí)

20、三級(jí) 四級(jí) 技術(shù)要求 物理安全 9 19 32 33 網(wǎng)絡(luò)安全 9 18 33 32 主機(jī)安全 6 19 32 36 應(yīng)用安全 7 19 31 36 數(shù)據(jù)安全及備份恢復(fù) 2 4 8 11 管理要求 安全管理制度 3 7 11 14 安全管理機(jī)構(gòu) 4 9 20 20 人員安全管理 7 11 16 18 系統(tǒng)建設(shè)管理 20 28 45 48 系統(tǒng)運(yùn)維管理 18 41 62 70 合計(jì) / 85 175 290 318 級(jí)差 / / 90 115 28 控 制 項(xiàng) 28 基本要求 GB/T 22239 物理位置的選擇 基本防護(hù)能力 高層、地下室 物理訪(fǎng)問(wèn)控制 基本出入控制 分區(qū)域管理

21、在機(jī)房中的活動(dòng) 電子門(mén)禁 防盜竊和防破壞 存放位置、標(biāo)記標(biāo)識(shí) 監(jiān)控報(bào)警系統(tǒng) 防雷擊 建筑防雷、機(jī)房接地 設(shè)備防雷 防火 滅火設(shè)備、自動(dòng)報(bào)警 自動(dòng)消防系統(tǒng) 區(qū)域隔離措施 防 靜電 關(guān)鍵設(shè)備 主要設(shè)備 防靜電地板 電力供應(yīng) 穩(wěn)定電壓、短期供應(yīng) 主要設(shè)備 冗余 /并行線(xiàn)路 備用供電系統(tǒng) 電磁防護(hù) 線(xiàn)纜隔離 接地防干擾 電磁屏蔽 防水和防潮 溫濕度控制 物理安全的整改要點(diǎn) 結(jié)構(gòu)安全 關(guān)鍵設(shè)備冗余空間 主要設(shè)備冗余空間 訪(fǎng)問(wèn)控制 訪(fǎng)問(wèn)控制設(shè)備（用戶(hù)、網(wǎng)段） 應(yīng)用層協(xié)議過(guò)濾 撥號(hào)訪(fǎng)問(wèn)限制 會(huì)話(huà)終止 安全審計(jì) 日志記錄 審計(jì)報(bào)表 邊界完整性檢查

22、內(nèi)部的非法聯(lián)出 非授權(quán)設(shè)備私自外聯(lián) 網(wǎng)絡(luò)安全的整改要點(diǎn) 子網(wǎng) /網(wǎng)段控制 核心網(wǎng)絡(luò)帶寬 整體網(wǎng)絡(luò)帶寬 重要網(wǎng)段部署 路由控制 帶寬分配優(yōu)先級(jí) 端口控制 最大流量數(shù)及最大連接數(shù) 防止地址欺騙 審計(jì)記錄的保護(hù) 定位及阻斷 入侵防范 檢測(cè)常見(jiàn)攻擊 記錄、報(bào)警 惡意代碼防范 網(wǎng)絡(luò)邊界處防范 網(wǎng)絡(luò)設(shè)備防護(hù) 基本的登錄鑒別 組合鑒別技術(shù) 特權(quán)用戶(hù)的權(quán)限分離 身份鑒別 基本的身份鑒別 訪(fǎng)問(wèn)控制 安全策略 管理用戶(hù)的權(quán)限分離 特權(quán)用戶(hù)的權(quán)限分離 安全審計(jì) 服務(wù)器基本運(yùn)行情況審計(jì) 審計(jì)報(bào)表 剩余信息保護(hù) 空間釋放及信息清除 主機(jī)安全的整改要點(diǎn) 組合鑒別

23、技術(shù) 敏感標(biāo)記的設(shè)置及操作 審計(jì)記錄的保護(hù) 入侵防范 最小安裝原則 重要服務(wù)器：檢測(cè)、記錄、報(bào)警 惡意代碼防范 主機(jī)與網(wǎng)絡(luò)的防范產(chǎn)品不同 資源控制 監(jiān)視重要服務(wù)器 最小服務(wù)水平的檢測(cè)及報(bào)警 重要客戶(hù)端的審計(jì) 升級(jí)服務(wù)器 重要程序完整性 防惡意代碼軟件、代碼庫(kù)統(tǒng)一管理 對(duì)用戶(hù)會(huì)話(huà)數(shù)及終端登錄的限制 身份鑒別 基本的身份鑒別 訪(fǎng)問(wèn)控制 安全策略 最小授權(quán)原則 安全審計(jì) 運(yùn)行情況審計(jì)（用戶(hù)級(jí)） 審計(jì)報(bào)表 剩余信息保護(hù) 空間釋放及信息清除 應(yīng)用安全的整改要點(diǎn) 組合鑒別技術(shù) 敏感標(biāo)記的設(shè)置及操作 審計(jì)過(guò)程的保護(hù) 通信完整性 校驗(yàn)碼技術(shù) 密碼技術(shù) 軟

24、件容錯(cuò) 自動(dòng)保護(hù)功能 資源控制 資源分配限制、資源分配優(yōu)先級(jí) 最小服務(wù)水平的檢測(cè)及報(bào)警 數(shù)據(jù)有效性檢驗(yàn)、部分運(yùn)行保護(hù) 對(duì)用戶(hù)會(huì)話(huà)數(shù)及 系統(tǒng)最大并發(fā)會(huì)話(huà)數(shù)的限制 審計(jì)記錄的保護(hù) 通信保密性 初始化驗(yàn)證 整個(gè)報(bào)文及會(huì)話(huà)過(guò)程加密 敏感信息加密 抗抵賴(lài) 數(shù)據(jù)完整性 鑒別數(shù)據(jù)傳輸?shù)耐暾? 備份和恢復(fù) 重要數(shù)據(jù)的備份 數(shù)據(jù)安全及備份恢復(fù)的整改要點(diǎn) 各類(lèi)數(shù)據(jù)傳輸及存儲(chǔ) 異地備份 網(wǎng)絡(luò)冗余、硬件冗余 本地完全備份 硬件冗余 檢測(cè)和恢復(fù) 數(shù)據(jù)保密性 鑒別數(shù)據(jù)存儲(chǔ)的保密性 各類(lèi)數(shù)據(jù)的傳輸及存儲(chǔ) 每天 1次 備份介質(zhì)場(chǎng)外存放 合理分域

25、，準(zhǔn)確定級(jí) 信息系統(tǒng)等級(jí)保護(hù)以系統(tǒng)所處理信息的最高重要程度來(lái)確定 安全等級(jí) 在合理劃分安全域邊界安全可控的情況下，各安全域可根據(jù) 信息的最高重要程度單獨(dú)定級(jí)，實(shí)施“分域分級(jí)防護(hù)”的策略 ，從而降低系統(tǒng)建設(shè)成本和管理風(fēng)險(xiǎn) 信息系統(tǒng)安全域之間的邊界應(yīng)劃分明確，安全域與安全域之 間的所有數(shù)據(jù)通信都應(yīng)安全可控 對(duì)于不同等級(jí)的安全域間通信，應(yīng)實(shí)施有效的訪(fǎng)問(wèn)控制策略 和機(jī)制，控制高密級(jí)信息由高等級(jí)安全域流向低等級(jí)安全域。 安全域 （第 3級(jí)） 安全域 （第 2級(jí)） 監(jiān)督保護(hù)級(jí)網(wǎng)絡(luò) 安全域 （第 3級(jí)） 安全域 （第 2級(jí)） 安全域 （第 2級(jí)） 禁止高敏感級(jí)信息由

26、高等級(jí)安全域流向低等級(jí)安全域 分域分級(jí)防護(hù)示意 等級(jí)保護(hù)相關(guān)的 體系架構(gòu) 3 第一層 安全方針策略 第二層 安全管理制度 第三層 技術(shù)標(biāo)準(zhǔn)、規(guī)范 第四層 流程、表單、記錄 信息安全方針策略，總體安全，說(shuō)明機(jī)構(gòu)安全 工作的總體目標(biāo)、范圍、原則和安全框架等。 對(duì)安全管理活動(dòng)中的各類(lèi)管理內(nèi)容建立安全管 理制度，約束管理行為。 規(guī)范安全管理制度的具體技術(shù)實(shí)現(xiàn)細(xì)節(jié)，對(duì)管 理人員或操作人員執(zhí)行的日常管理操作建立操 作規(guī)程。 安全制度、規(guī)范實(shí)施時(shí)所需履行的流程，及需 填寫(xiě)的表單，用于記錄數(shù)據(jù)、監(jiān)控實(shí)施。 安全管理測(cè)評(píng)實(shí)施 -安全管理制度 3 安全管理制度（三級(jí)） 管理制度

27、 制定和發(fā)布 評(píng)審和修訂 安全管理測(cè)評(píng)實(shí)施 -安全管理機(jī)構(gòu) 安全管理機(jī)構(gòu)（三級(jí)） 崗 位 設(shè) 置 人 員 配 備 授 權(quán) 和 審 批 溝 通 和 合 作 審 核 和 檢 查 人員安全管理（三級(jí)） 人 員 考 核 安 全 意 識(shí) 教 育 和 培 訓(xùn) 外 部 人 員 訪(fǎng) 問(wèn) 管 理 人 員 離 崗 人 員 錄 用 系統(tǒng)建設(shè)管理（三級(jí)） 系 統(tǒng) 交 付 系 統(tǒng) 備 案 等 級(jí) 測(cè) 評(píng) 安 全 服 務(wù) 商 選 擇 測(cè) 試 驗(yàn) 收 工 程 實(shí) 施

28、 外 包 軟 件 開(kāi) 發(fā) 自 行 軟 件 開(kāi) 發(fā) 產(chǎn) 品 采 購(gòu) 安 全 方 案 設(shè) 計(jì) 系 統(tǒng) 定 級(jí) 系統(tǒng)運(yùn)維管理（三級(jí)） 環(huán) 境 管 理 資 產(chǎn) 管 理 介 質(zhì) 管 理 設(shè) 備 管 理 監(jiān) 控 和 管 理 中 心 網(wǎng) 絡(luò) 安 全 管 理 系 統(tǒng) 安 全 管 理 惡 意 代 碼 防 范 管 理 密 碼 管 理 變 更 管 理 備 份 與 恢 復(fù) 管 理 安 全 事 件 處 置 應(yīng) 急 預(yù) 案 管 理 介紹完畢