等保工作总结 第一篇

等级保护与分级保护

一、信息系统等级保护

1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年,中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。2004年9月17日,_、国家_、国家密码管理委员会办公室、_信息办下发了《关于信息安全等级保护工作的实施意见》,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、_信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。

由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。

信息系统安全等级保护将安全保护的监管级别划分为五个级别:

第一级:用户自主保护级完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。

第二级:系统审计保护级本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题时,可以根据审计记录,分析追查事故责任人,使所有的用户对自己行为的合法性负责。

第三级:安全标记保护级除具有第二级系统审计保护级的所有功能外,还它要求对访问者和访问对象实施强制访问控制,并能够进行记录,以便事后的监督、审计。通过对访问者和访问对象指定不同安全标记,监督、限制访问者的权限,实现对访问对象的强制访问控制。

第四级:结构化保护级将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。其本身构造也是结构化的,将安全保护机制划分为关键部分和非关键部分,对关键部分强制性地直接控制访问者对访问对象的存取,使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。

第五级:访问验证保护级这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动,仲裁访问者能否访问某些对象从而对访问对象实行专控,保护信息不能被非授权获取。因此,本级的安全保护机制不易被攻击、被篡改,具有极强的抗渗透的保护能力。

在等级保护的实际操作中,强调从五个部分进行保护,即:

物理部分:包括周边环境,门禁检查,防火、防水、防潮、防鼠、虫害和防雷,防电磁泄漏和干扰,电源备份和管理,设备的标识、使用、存放和管理等;

等保工作总结 第二篇

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,作为_授权的第三方测评机构,为企事业单位提供免费专业的信息安全等级测评咨询服务。

信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。

第一级:用户自主保护级;

第二级:系统审计保护级;

第三级:安全标记保护级;

第四级:结构化保护级;

第五级:访问验证保护级”

计算机信息系统安全等级保护划分准则(GB 17859-1999)(基础类标准)

信息系统安全等级保护实施指南(GB/T 25058-2010)(基础类标准)

信息系统安全保护等级定级指南(GB/T 22240-2008)(应用类定级标准)

信息系统安全等级保护基本要求(GB/T 22239-2008)(应用类建设标准)

信息系统通用安全技术要求(GB/T 20271-2006)(应用类建设标准)

信息系统等级保护安全设计技术要求(GB/T 25070-2010)(应用类建设标准)信息系统安全等级保护测评要求(GB/T 28448-2012)(应用类测评标准)

信息系统安全等级保护测评过程指南(GB/T 28449-2012)(应用类测评标准)信息系统安全管理要求(GB/T 20269-2006)(应用类管理标准)

信息系统安全工程管理要求(GB/T 20282-2006)(应用类管理标准)

等保工作总结 第三篇

2009年信息安全等级保护工作汇报

2010年1月20日

一、加强领导 2009年,根据部里的总体部署,我厅高度重视非涉密重要信息系统的信息安全保护工作。我厅交通信息安全等级保护工作由厅信息安全领导小组负总责,具体工作由厅信息安全领导小组办公室承担,负责厅机关信息系统等级保护工作,并开展对厅直单位的监督指导。根据安排,我厅自2007年以来就开展了信息系统安全等级保护基础调查工作等相关工作,全面开展信息系统安全等级保护,同时通过组织培训等方式,不断提高技术人员的培养,强化信息安全保护能力。

四、建议 信息系统安全等级保护工作责任重大,技术性强,工作量巨大,我省在该项工作上虽然取得一些进展,但是与部、省要求还有相当的差距,在等级保护意识、宣传力度、技术人才的培养和制度的建立上仍然存在问题。建议部里加强工作指导,通过多种方式的等级保护技术交流和培训,提高交通系统各级单位领导及职工的等级保护意识,进一步推进交通系统的信息系统等级保护工作。

等保工作总结 第四篇

2009年信息安全等级保护工作汇报

福建省交通运输厅 2010年1月20日

一、加强领导

2009年,根据部里的总体部署,我厅高度重视非涉密重要信息系统的信息安全保护工作。我厅交通信息安全等级保护工作由厅信息安全领导小组负总责,具体工作由厅信息安全领导小组办公室承担,负责厅机关信息系统等级保护工作,并开展对厅直单位的监督指导。根据安排,我厅自2007年以来就开展了信息系统安全等级保护基础调查工作等相关工作,全面开展信息系统安全等级保护,同时通过组织培训等方式,不断提高技术人员的培养,强化信息安全保护能力。

二、完善制度

三、信息等级安全保护基本情况

在数据安全方面,数据库通过备份系统定期备份,关键数据库服务器采用双机热备份,保证数据库服务器的可用性和高效性,在出现故障时可以快速恢复;数据库的访问按不同用户身份进行严格的权限控制。

等保工作总结 第五篇

总结下关于等级保护工作的一些基础性知识,对等级保护工作有个快速的认识和了解。

一、什么是等级保护?

解读:等级保护是对专有信息及信息系统进行分等级保护,对其中的信息安全产品进行按等级管理,对发现的安全事件分等级响应和处置。两个对象,三重管理。

二、等级保护工作具体步骤是怎样的?

答:根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:

1)是信息系统定级。

2)是信息系统备案。

3)是系统安全建设。

4)是信息系统开始等级测评。

5)主管单位定期开展监督检查。

解读:系统定级和备案工作是等级保护工作开展的前提,也是等级保护工作最先要做的内容,系统安全建设可以先做也可以在等级测评之后再进行,第三和第四步没有严格意义上的先后顺序之分。

三、开展等级保护工作的相关法律法规或文件要求?

答:《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确要求我国信息安全保障工作实行等级保护制度;

《信息安全等级保护管理办法》的通知(公通字[2007]43号)具体部署了实施信息安全等级保护工作的操作办法;

《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)加快推动了等级保护工作的发展;

注:本文部分文字与图片资源来自于网络,转载此文是出于传递更多信息之目的,若有来源标注错误或侵犯了您的合法权益,请立即后台留言通知我们,情况属实,我们会第一时间予以删除,并同时向您表示歉意

发表评论

评论列表(7人评论 , 39人围观)