等级保护培训.ppt

国家信息安全保障体系与 信息安全等级保护制度实施 公安部信息安全等级保护评估中心 内容摘要内容摘要 o 信息安全等级保护制度是什么 o 信息安全等级保护制度要干什么 o 如何开展信息安全等级保护工作 引言引言 在当今社会中，信息已成为人类宝贵的资 源，并且可以通过Internet为全球人类所使 用与共享。 信息产业随着互联网技术的发展在一个国 家国民经济发展中所占的比重也越来越大。 人类生活对Internet的依赖也越来越大。 引言（续）引言（续） 信息技术发展引发的信息化革命 o 辅助作用 不完全依赖 o 支撑作用 完全依赖 引言（续）引言（续） 由互联网的发展而带来的信息安全问题 正变得突出，网络安全已成为关系国家安 全的重大战略问题。 保障网络与信息系统安全，更好地维护 国家安全、经济命脉和社会稳定，已经成 为信息化发展中迫切需要解决的重大问题 。 我国现状我国现状 近年来，党中央、国务院高度重视，各有 关方面协调配合、共同努力，我国信息安全保 障工作取得了很大进展。但是从总体上看，我 国的信息安全保障工作尚处于起步阶段，基础 薄弱，水平不高，存在以下突出问题： 存在的问题存在的问题 信息安全滞后于信息化发展； 信息安全阻碍了信息化发展。 存在的问题（续）存在的问题（续） 大多数单位虽然采用防火墙作为内外网的边界 防护设备。 重视外部攻击与入侵，忽视内部的非法行为。 偏重产品，忽视体系和管理。 关键技术、产品受制于人。 我们面对的威胁我们面对的威胁 西方发达国家信息技术优势明显，我国面 临信息强国的冲击、挑战和威胁，信息安 全领域始终面临信息战和网络恐怖袭击的 威胁 ； 敌对势力的网上煽动、渗透和破坏活动愈 加突出，针对信息系统进行的破坏活动日 益严重，利用网络实施的违法犯罪案件持 续大幅上升。 面对的威胁（续）面对的威胁（续） 受威胁的对象是操作系统、数据库系统和信息系 统，攻击的目的是使系统瘫痪、信息被窃取、篡改 毁坏。早期是能直接接触计算机系统的人（单机、 多用户终端、局域网），现在攻击者和方式发生了 变化，广域网、因特网使任何信息系统参与人都可 能成为攻击者。在参与人中，有正常使用的人，也 有非正常使用的人，后者称之为“攻击者或黑客”。 “攻击者”分成几类：有着不同目的的。 面对的威胁面对的威胁（续）（续） o一般黑客 o有组织犯罪 o高层次深度打击 安全防护的重点安全防护的重点 o 系统防入侵 o 网络防攻击 o 信息防泄露 o 内容防篡改 o 内部防越权 网络信息战网络信息战 通过利用、改变和瘫痪敌方的信息、信息系统和 以计算机为基础的网络应用，同时保护己方的信 息、信息系统和以计算机为基础的网络应用不被 敌方利用、改变和瘫痪，以获取信息优势，而采 取的各种作战行动。 信息战是现代战争的一种新作战形式。信息战分 为两大类：一是国家级信息战，也称为战略信息 战；二是战场信息战，也称为指挥控制战。 战略信息战战略信息战 战略信息战是利用非杀伤性技术而秘密实施 的，不需要公开宣战。它利用了国家力量的 所有手段在国家战略级形成可竞争的优势， 把“战争”的范围扩大到经济、政治和社会 的各个方面。这种信息战无论在平时、危机 时刻还是在战争状态下都可能发生。这种信 息战必须有组织地进行，并且要受最高政治 机构的严格控制。 新战争理论学说新战争理论学说 新的战略战术思想 新的战场战线特点 新的武器装备形式 新的国防动员体制 新的平战结合模式 新的军民鱼水关系 当前信息安全形势当前信息安全形势 o 外部环境 各国在大力推进Internet与信息技术应 用的同时，抓紧实施国家信息安全保障体 系与国防的信息安全防御体系。 各国抓紧研究信息安全策略、制订体 系标准、法律法规，实施安全计划。 外部环境（续）外部环境（续） o 2008年5月1日，美国防高级研究计划局（DARPA ）发布关于展开“国家网络靶场”项目研发工 作公告。 o 美国认为，网络空间是美国经济、关键设施和 国家安全的重要基础，对于国家力量的影响至 关重要。为此，美国高度重视研发以网络为中 心的C4ISR系统和网络攻防对抗装备，推进网络 中心战能力建设。 外部环境（续）外部环境（续） o 2009年1月8日，美国总统布什签署第54号国家 安全总统令和第23号国土安全总统令，要求美 国政府所有与安全有关的部门（包括国土安全 部、国家安全局等）都参与实施“国家网络安 全综合计划”。这是一项长期计划，将由多个 部门参加并分步骤实施，其最终目的是保护美 国的网络安全，防止美国遭受敌对的电子攻击 ，并能对敌方展开在线攻击。 外部环境（续）外部环境（续） o 美国总统奥巴马2009年5月29日公布了一份由安 全部门完成的网络安全评估报告，表明来自网 络空间的威胁已经成为美国面临的最严重的经 济和军事威胁之一。 o 奥巴马还表示：网络空间以及它带来的威胁都 是真实的，保护网络基础设施将是维护美国国 家安全的第一要务。 外部环境（续）外部环境（续） o 6月25日英国出台首个国家网络安全战略 o 政府将成立两个网络安全新部门 网络安全办公室和网络安全行动中心 o 计划征召包括黑客在内的网络精英护卫网络安全 o 英国已经具备主动发起网络攻击的能力 外部环境（续）外部环境（续） o 台湾加紧开展信息战的准备 控制进入大陆的微机板卡、硬盘等。 专门搜集大陆民用网络（电信、能源、交通、 金融及政府等）的结构、路由以及设备情报。 积极研究网络渗透与病毒植入和激活技术。 产生问题的原因产生问题的原因 整体信息安全防范意识和能力薄弱; 信息系统安全建设和管理缺乏体系化思想; 信息安全法律法规不完善，标准体系尚待完善； 自主技术产品缺乏，信息技术产业未完全形成。 当前的要求与原则当前的要求与原则 总体要求:坚持积极防御、综合防范的方针 ，全面提高信息安全防护能力，重点保护基 础网络和重要信息系统安全，创建安全健康 的网络环境，保障和促进信息化发展，保护 公众利益，维护国家安全。 主要原则：立足国情，以我为主，坚持管理 与技术并重；正确处理安全与发展的关系， 以安全促发展，在发展中求安全；统筹规划 ，突出重点，强化基础性工作；明确国家、 企业、个人的责任和义务，充分发挥各方面 的积极性，共同构筑国家信息安全保障体系 。 当前的九项任务当前的九项任务 全面实行信息安全等级保护制度 加强以密码技术为基础的信息保护和网络信任体系建设 建设和完善信息安全监控体系 重视信息安全应急处理工作 加强信息安全技术研究开发，推进信息安全产业发展 加强信息安全法制建设标准化建设 加快信息安全人才培养，增强全民信息安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信息安全管 理责任制 摘要摘要 o 等级保护制度是什么 o 等级保护制度要干什么 o 如何开展等级保护工作 等级保护制度等级保护制度 根据信息系统在国家安全、经济建设、社会 生活中的重要程度；遭到破坏后对国家安全、社会 秩序、公共利益以及公民、法人和其他组织的合法 权益的危害程度；将信息系统划分为不同的安全保 护等级并对其实施不同的保护和监管。 第一级第一级 信息系统受到破坏后，会对公民、法人 和其他组织的合法权益产生损害，但不损 害国家安全、社会秩序和公共利益。 信息系统运营、使用单位依照国家有关 管理规范和技术标准进行保护。 第二级第二级 信息系统受到破坏后，会对公民、法人和其他 组织的合法权益产生严重损害,或者对社会秩序和 公共利益造成损害，但不损害国家安全。 信息系统运营、使用单位应当依据国家有关管 理规范和技术标准进行保护。国家信息安全监管部 门对该级信息系统信息安全等级保护工作进行指导 第三级第三级 信息系统受到破坏后，会对社会秩序和公 共利益造成严重损害,或者对国家安全造成损 害。 信息系统运营、使用单位应当依据国家有 关管理规范和技术标准进行保护。国家信息安 全监管部门对该级信息系统信息安全等级保护 工作进行监督、检查。 第四级第四级 信息系统受到破坏后，会对社会秩序和公 共利益造成特别严重损害 ,或者对国家安全 造成严重损害。 信息系统运营、使用单位应当依据国家有 关管理规范、技术标准和业务专门需求进行 保护。国家信息安全监管部门对该级信息系 统信息安全等级保护工作进行强制监督、检 查。 第五级第五级 信息系统受到破坏后,会对国家安全造成特 别严重损害； 信息系统运营、使用单位应当依据国家管 理规范、技术标准和业务特殊安全需求进行保 护。国家指定专门部门对该级信息系统信息安 全等级保护工作进行专门监督、检查。 摘要摘要 o 等级保护制度是什么 o 等级保护制度要干什么 o 如何开展等级保护工作 等级保护制度等级保护制度 o 体现国家管理意志 o 构建国家信息安全保障体系 o 保障信息化发展和维护国家安全 解决什么解决什么 o 信息安全等级保护是手段，是为了构建国 家信息安全保障体系。 o 信息安全保障体系也是手段，是为了业务 应用发展。 o 信息安全等级保护是带有很强技术性的国 家风险控制行为 所谓风险所谓风险 o 安全风险管理的目的并不是保证没有风险，而 是要将信息系统带来的业务风险控制在可接受 的范围内。 o 信息安全等级保护的关键所在正是基于信息系 统所承载应用的重要性，以及该应用损毁后带 来的影响程度来判断风险是否控制在可接受的 范围内。 安全防护的重点安全防护的重点 o 系统防入侵 o 网络防攻击 o 信息防泄露 o 内容防篡改 o 内部防越权 奥运安保的启示奥运安保的启示 1、对奥运的信息系统，开展定级工作 2、第一次按照基本要求测评差距比较大，奥运系统 进行了相应的整改。 3、整改后、测评、再整改，能够达到基本保护要求 的大部分的要求 4、对于奥运系统，达到一个基本安全状态并不够。 因为基本要求是一个底线的要求。 5、奥运是个特殊时期，奥运系统有许多特殊需求 6、针对特殊需求重点进行了外部渗透测试。 奥运安保的启示奥运安保的启示 o 通过整改安全防护状况有较大改进，绝大部分网站 防SQL注入能力增强，能抵御一般黑客攻击；网站 放置在一个虚拟服务器的现象消失，数据库与网站 程序实施了分离；网站管理后台采用了较多的安全 设置。 o 但仍有不少网站存在目录列遍，敏感信息泄露、跨 站被动攻击和跨站请求伪造的漏洞；个别网站子站 防护能力薄弱，无法抵御有组织犯罪攻击，风险等 级仍旧高危。 奥运安保的启示奥运安保的启示 o 通过外部安全测试，能够迅速从外部发现对外暴 露的安全隐患和脆弱性，测试结果直观，能够引 起对安全威胁的警觉和安全保障工作的高度重视 。 o 外部安全测试作为一种方法，虽不能体系性地根 本消除对外暴露的安全隐患，但作为查漏补缺， 急用先上，特别是在特定敏感时期发现主要问题 起到了重要作用。 奥运安保的启示奥运安保的启示 o 大量的政务系统由于建设的时期，背景的不同； 主管运营模式的不同，在安全防护能力上差异很 大。仅依靠外部安全测试，只能治标，要体系化 地根本解决安全问题，必须标本兼顾，坚持常态 化的、基础性的信息安全等级保护是必由之路。 o 政务系统由于其特殊的政治背景，安全防护标准 不同于一般商业系统，要想保障其安全，应该基 于信息安全等级保护管理办法和信息系统 安全等级保护基本要求制定有针对性的管理规 范和技术标准。 等级保护制度的作用等级保护制度的作用 o提出信息安全工作的思路 o划定信息系统保护的基线 o发现信息系统的问题和差距 o明确信息系统安全保护的方向 o提升信息系统的安全保护能力 涉及层面涉及层面 o 管理层面：国家制定统一信息安全等级保护管 理规范和技术标准，组织公民、法人和其他组 织对信息系统分等级实行安全保护，对信息安 全产品的使用分等级实行管理，对等级保护工 作的实施进行监督、指导。 o 用户层面 ：公民、法人和其他组织应当按 照国家有关等级保护的管理规范和技术标 准开展等级保护工作，服从国家对信息安 全等级保护工作的监督、指导，保障信息 系统安全。 o 社会层面 ：信息安全产品的研制、生产单 位，信息系统的集成、等级测评、风险评 估等安全服务机构，依据国家有关管理规 定和技术标准，开展相应工作，并接受国 家信息安全职能部门的监督管理。 摘要摘要 o 等级保护制度是什么 o 等级保护制度要干什么 o 如何开展等级保护工作 原则原则 o 谁拥有谁负责、谁运行谁负责 o 自主定级、自主保护、监督指导 主要流程主要流程 一是：定级。 二是：备案。 三是：建设、整改。 四是：等级测评。 五是：定期开展监督检查 安全保护等级确定安全保护等级确定 o 信息系统运营、使用单位依据管理办法 和定级指南确定信息系统的安全保 护等级。由主管部门的，应当经主管部门 的审核批准。 o 跨省或者全国统一联网运行的可以由主管 部门统一确定安全保护等级。 o 对拟定为四级以上的应当请国家信息安全 保护等级专家评审委员会评审。 等级保护的备案管理等级保护的备案管理 o 信息系统运营、使用单位应当在其系统安 全保护等级确定后，向当地同级公安机关 提请备案 o 备案时应当到备案机关填写备案登记表并 按要求提交相关资料。 备案登记表/系统体系/功能结构图/系统 安全保护方案或措施/系统安全管理制度等 等级保护的备案管理等级保护的备案管理 信息系统备案信息是国家有关信息安全 职能部门了解和掌握重要信息系统的安全 保护基本状况、分析总体安全形势的基础 资料来源，也是下一步接受备案机关开展 各项监督检查工作所必需的基本依据。 新建系统： 已有系统： 环节间的关系环节间的关系 o定级是等级保护的首要环节 o分等级保护是等级保护的核心， o建设整改是等级保护工作落实的关键 o等级测评是评价安全保护状况的方法 o监督检查是保护能力不断提高的保障 定级指南定级指南 o 安全保护等级 等级的确定是不依赖于安全保护措施的，具有 一定的“客观性”，即该系统在存在之初便由其 自身所实现的使命决定了它的安全保护等级， 而非由“后天”的安全保护措施决定。 等级保护工作核心等级保护工作核心 o关注点 承担社会责任，关系国家安全的信息系统的安危 o重点保障 业务信息安全(S) 系统服务连续(A) 等级保护的推进思想等级保护的推进思想 o落实信息安全等级保护基本要求，确 保系统基本安全； o结合系统自身安全需求，力求系统相 对安全。 第一级信息系统第一级信息系统 o 能够抵御来自个人的、拥有很少资源的攻 击，防范一般的自然灾难、操作失误、技 术故障等对关键资源造成的损害，在系统 遭到损害后，能够恢复主要功能。 第二级信息系统第二级信息系统 o 能够抵御来自外部小型组织的、拥有一定 资源的攻击，防范一般的自然灾难、内部 人员恶意行为、操作失误、技术故障等对 重要资源造成的损害，能够发现重要的安 全漏洞和安全事件，在系统遭到损害后， 能够在一段时间内恢复主要功能。 第三级信息系统第三级信息系统 o 能够在统一安全策略下，抵御来自外部有 组织的团体、拥有较为丰富资源的攻击， 防范较为严重的自然灾难、内部人员恶意 行为、操作失误、技术故障等对主要资源 造成的损害，能够及时监测发现安全漏洞 和安全事件；具有一定的备份恢复能力， 在系统遭到损害后，能够较快恢复绝大部 分功能。 第四级信息系统第四级信息系统 o 能够在统一安全策略下，抵御来自敌对组织 的、拥有丰富资源的攻击，防范严重的自然 灾难、内部人员恶意行为、操作失误、技术 故障等对资源造成的损害，能够及时监测发 现安全漏洞、跟踪处置安全事件；具有较强 的备份恢复能力，在系统遭到损害后，能够 迅速恢复所有功能。 等级保护的基本要求等级保护的基本要求 基本要求是什么？ 1、安全保护能力的一个基本“标尺”，是一个达 标线； 2、满足基本要求意味着信息系统具有相应等级的 基本安全保护能力，达到了一种基本的安全状 态。 3、基本要求是安全保护的出发点，不是终点。 GB/T22239-2008GB/T22239-2008 o信息系统安全等级保护基本要求 贯彻落实党中央、国务院关于节能减 排工作部署，以实现重点污染物减排 的目标指标为紧要任务 ，为实现节能 减排和环境保护工作目标奠定基础 统计统计基础础 能力 数据传输传输能 力 数据共享能力 数据应应用能力 指标标体系 监测监测体系 考核体系 业务应业务应用支撑能力 总总体目标标项项目目的 分省建设目标分省建设目标 （1）在项目实施过程中贯彻落实工程标准规范； （2）建设省环境保护厅（局）到地市环境保护局，地市环境保护局到 区县环境保护局，以及省环境保护厅（局）到省直属机构、市环境保 护局到市直属机构的网络系统，并通过国家电子政务外网实现与环境 保护部的连通；（直辖市为市、区县两级网络）； （3）组织落实本省（直辖市、自治区）范围内网络安全体系的建设和 省级 CA系统的建设； （4）组织所辖各级机构接收部里统一下发的环境统计专项设备，保证 专项专用； （5）准备机房环境，组织所辖各级机构接收并配合部署部里统一采购 的服务器、存储、网络、安全等设备和系统软件； 分省建设目标分省建设目标 （6）部署部里统一下发的省级综合数据库平台和地理信息系统平台； 组织所辖市、区县部署部里统一下发的数据传输与交换平台，建立数 据交换传输体系，实现国家、省、下辖市、区县的数据交换与共享； （7）部署部里统一下发的省级减排应用系统支撑平台；在省级集中部 署环境统计业务系统、建设项目管理系统、减排数据管理与综合分析 系统，按照需要集成已有六个应用系统；组织所辖市、区县相关业务 部门推广应用环境统计业务系统和建设项目管理系统。 （8）组织建立省及所辖市、区县运维组织机构，健全运维制度，明确 运维人员，部署部里统一下发的运行维护管理系统，建立省级运维管 理平台。 省、自治区直辖辖市 基本要求的定位基本要求的定位 o基本要求中相应等级的要求是根据各等级系统需 要对抗的威胁和应具备的能力而确定的。判断基本要 求是否达到应按此原则分析。 o基本要求给出了各级信息系统每一保护方面需达 到的要求，但不是具体的安全建设整改方案或作业指 导书，实现基本要求的措施或方式并不局限于基本 要求给出的内容，要结合系统自身的特点综合考虑 采取的措施来达到基本要求提出的保护能力 基本要求基本要求定位举例定位举例 oA点B点，500KM 5H o 飞机 OK o 火车 OK o 汽车 OK o 自行车 NO 等级保护的基本要求等级保护的基本要求 o 内容与作用 n为信息系统主管和运营、使用单位提供技术指导 n为测评机构提供测评依据 n为监管职能部门提供监督检查依据 o 适用环节 n建设整改、验收、测评、运维、检查 基本要求的描述模型基本要求的描述模型 o 控制点标注 n 业务信息安全相关要求（标记为S） n 系统服务保证相关要求（标记为A） n 通用安全保护要求（标记为G） n 技术要求（3种标注） n 管理要求（统属G） 系统基本保护要求的组合系统基本保护要求的组合 o 第一级 S1A1G1 o 第二级 S1A2G2，S2A2G2，S2A1G2 o 第三级 S1A3G3，S2A3G3，S3A3G3，S3A2G3， S3A1G3 o 第四级 S1A4G4，S2A4G4，S3A4G4，S4A4G4， S4A3G4，S4A2G4，S4A1G4 如何实现如何实现 o落实信息安全等级保护基本要求，确 保系统基本安全； o结合系统自身安全需求，力求系统相 对安全。 基本要求基本要求的文档结构的文档结构 物理安全 技术要求管理要求 基本要求 网络安全 主机安全 应用安全 数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 类 安安 全全 建建 设设 基基 本本 流流 程程 信息系统安全管理建设信息系统安全技术建设 开展信息系统安全自查和等级测评 信息系统安全需求分析/相应级别的要求 确定安全策略，制定安全建设方案 物 理 安 全 网 络 安 全 主 机 安 全 应 用 安 全 数 据 安 全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运行管理 信息系统安全技术体系设计 物理安全设计数据安全设计 备份与恢复 应用系统 应用平台 其他安全设计 机房 办公环境 设备和介质 网络安全设计 通信网络 区网边界 主机安全设计应用安全设计 服务器 工作站 其他安全设计 其他安全设计 其他安全设计 基本要求基本要求中的安全保护技术中的安全保护技术 o 身份鉴别 o 访问控制 o 安全审计 o 数据完整性 o 数据保密性 o 数据可用性 o 病毒防范 o 入侵检测 o 安全监控 o 备份与恢复 o 密码使用 o 等等 基本要求基本要求中的安全保护技术中的安全保护技术 o 确定安全策略 o 落实信息安全责任制 o 建立安全组织机构 o 加强人员管理 o 加强系统建设的安全管理 o 加强运行维护的安全管理 安全技术要求安全技术要求- -物理安全物理安全 o 物理安全是指对信息系统所涉及到的主机房、 辅助机房、办公环境等进行物理安全保护。具 体关注内容包括：物理位置的选择、物理访问 控制、防盗窃和防破坏、防雷击、防火、防水 和防潮、防静电、温湿度控制、电力供应和电 磁防护等方面 安全技术要求安全技术要求- -物理安全物理安全 序号安全关注点一级二级三级四级 1物理位置的选择0122 2物理访问控制1244+ 3防盗窃和防破坏256+6 4防雷击1233 5防火11+3+3 6防水和防潮2344 7防静电0123 8温湿度控制11+11 9电力供应1244 10电磁防护0133+ 合计9193233 安全技术要求安全技术要求- -网络安全网络安全 o 网络安全是指对信息系统所涉及的通信网络、网络 边界、网络区域和网络设备等进行安全保护。具体 关注内容包括通信过程数据完整性、通信过程数据 保密性、保证通信可靠性的设备和线路冗余、区域 网络的边界保护、区域划分、身份认证、访问控制 、安全审计、入侵防范、恶意代码防范、网络设备 自身保护和网络的网络管理等方面 安全技术要求安全技术要求- -网络安全网络安全 序号安全关注点一级二级三级四级 1网络结构安全34+77 2网络访问控制34+84 3网络安全审计0246 4边界完整性检查0122 5网络入侵防范0122+ 6恶意代码防范0022 7网络设备防护3689 合计9183332 安全技术要求安全技术要求- -主机安全主机安全 o 主机安全是指对信息系统涉及到的服务器和工 作站进行主机系统安全保护。具体关注内容包 括操作系统或数据库管理系统的选择、安装和 安全配置、主机入侵防范、恶意代码防范、资 源使用和运行情况监控等。其中，安全配置细 分为身份鉴别、访问控制、安全审计等方面的 配置内容 安全技术要求安全技术要求- -主机安全主机安全 序号安全关注点一级二级三级四级 1身份鉴别1567 2安全标记0001 3访问控制3476 4可信路径0002 5安全审计046+7+ 6剩余信息保护0022 7入侵防范1133 8恶意代码防范1233 9资源控制0355 合计6193236 安全技术要求安全技术要求- -应用安全应用安全 o 应用安全是指对信息系统涉及到的应用系统进 行安全保护。具体关注内容包括应用系统实现 身份鉴别、访问控制、安全审计、剩余信息保 护、通信完整性、通信保密性、抗抵赖、软件 容错和资源控制等功能方面 安全技术要求安全技术要求- -应用安全应用安全 序号安全关注点一级二级三级四级 1身份鉴别3455 2安全标记0001 3访问控制2465 4可信路径0002 5安全审计0345 6剩余信息保护0022 7通信完整性11+1+1 8通信保密性022+3 9抗抵赖0022 10软件容错1223 11资源控制0377 合计7193136 安全技术要求安全技术要求- -数据安全数据安全 o 数据安全是指对信息系统中业务数据的传输、 存储和备份恢复进行安全保护。具体关注内容 包括数据备份系统、冗余备用设备以及备份恢 复相关技术设施等方面 安全技术要求安全技术要求- -数据安全数据安全 序号安全关注点一级二级三级四级 1数据完整性1123 2数据保密性0123 3数据备份与恢复1245 合计24811 安全管理要求安全管理要求- -安全管理机构安全管理机构 o 安全管理结构是指明确领导机构和责任部门。 设立或明确信息安全领导机构，明确主管领导 ，落实责任部门，建立岗位和人员管理制度， 根据职责分工，分别设置安全管理机构和岗位 ，明确每个岗位的职责与任务，落实安全管理 责任制 安全管理要求安全管理要求 - -安全管理机构安全管理机构 序号安全关注点一级二级三级四级 1岗位设置1244 2人员配备1233 3授权和审批1244 4沟通和合作1255 5审核和检查0144 合计492020 安全管理要求安全管理要求- -安全管理制度安全管理制度 o 安全管理制度是指确定安全管理策略，制定安 全管理制度。确定安全管理目标和安全策略， 针对信息系统的各类管理活动，制定人员安全 管理制度、系统建设管理制度、系统运维管理 制度、定期检查制度等，规范安全管理人员或 操作人员的操作规程等，形成安全管理体系 安全管理要求安全管理要求 - -安全管理制度安全管理制度 序号安全关注点一级二级三级四级 1管理制度1344 2制定和发布2356 3评审和修订0124 合计371114 安全管理要求安全管理要求- -人员安全管理人员安全管理 o 人员安全管理是指加强人员的安全管理。规范人 员录用、离岗过程，关键岗位签署保密协议，对 各类人员进行安全意识教育、岗位技能培训和相 关安全技术培训，对关键岗位的人员进行全面、