信息安全等级保护制度贯彻与实施.ppt

等级保护制度 江苏省公安厅网络安全保卫总队 贯彻与实施 目录 1 2 1 信息网络安全形势 等级保护制度概述 等级保护工作内容 答疑 2 3 4 目录 1 2 2 信息网络安全形势 等级保护制度概述 等级保护工作内容 答疑 1 3 4 信息安全等级保护制度的提出 基本概念 信息安全等级保护是指对国家秘密信息 法人和其他组织及公民的专有信息以及公开信息和存储 传输 处理这些信息的信息系统分等级实行安全保护 对信息系统中使用的信息安全产品实行按等级管理 对信息系统中发生的信息安全事件分等级响应 处置 能够解决什么问题 通过开展等级保护工作 可以充分体现 明确重点 突出重点 保护重点 的目的 将有限的财力 物力 人力投入到重要信息系统安全保护中 按标准建设安全保护措施 建立安全保护制度 落实安全责任 有效保护基础信息网络和关系国家安全 经济命脉 社会稳定的重要信息系统的安全 有效提高我国信息安全保障工作的整体水平 职责分工 信息安全职能部门公安机关国家保密工作部门国家密码管理部门工业和信息化部门信息系统运营使用单位及其主管部门安全服务机构专家组 配套政策体系 配套标准体系 目录 1 2 3 信息网络安全形势 等级保护制度概述 等级保护工作内容 答疑 2 1 4 总体流程 定级 定级 1 确定定级对象具有唯一确定的安全责任单位具有信息系统的基本要素承载单一或相对独立的业务应用 定级 定级对象范围包括 起支撑 传输作用的信息网络 包括专网 内网 外网 网管系统 网络要合理划分区域 用于生产 调度 管理 作业 指挥 办公等目的的各类业务系统 各单位网站 定级 2 确定等级 1 确定定级对象 2 确定业务信息安全受到破坏时所侵害的客体 5 确定系统服务安全受到破坏时所侵害的客体 3 综合评定对客体的侵害程度 6 综合评定对客体的侵害程度 依据表1 依据表2 7 系统服务安全等级 4 业务信息安全等级 8 定级对象的安全保护等级 定级 级别参考 第一级信息系统 适用于小型私营 个体企业 中小学 乡镇所属信息系统 县级单位中一般的信息系统 第二级信息系统 适用于县级某些单位中的重要信息系统 地市级以上国家机关 企事业单位内部一般的信息系统 例如非涉及工作秘密 商业秘密 敏感信息的办公系统和管理系统等 定级 第三级信息系统 一般适用于地市级以上国家机关 企事业单位内部重要的信息系统 例如涉及工作秘密 商业秘密 敏感信息的办公系统和管理系统 跨省或全国联网运行的用于生产 调度 管理 指挥 作业 控制等方面的重要信息系统以及这类系统在省 地市的分支系统 中央各部委 省 区 市 门户网站和重要网站 跨省联接的网络系统等 定级 3 专家评审信息系统运营使用单位在初步确定信息系统安全保护等级后 为了保证定级合理准确 可以聘请专家进行评审 并出具专家评审意见 定级 4 主管部门审批有行业主管部门的报主管部门审批 单位自建的系统 等级确定后是否报上级主管部门审批 由各行业自行决定 备案 备案对象 第二级以上 含 信息系统 备案单位 信息系统运营 使用单位 备案时限 信息系统安全保护等级确定后30日内 备案受理机关 市级以上公安机关网安部门 备案提交材料 备案表 备案文件 备案审核 经审核 符合备案要求的 公安机关在收到备案材料之日起的10个工作日内 将加盖等级保护专用章的 备案表 一份反馈备案单位 一份建档留存 并将及时向备案单位颁发 备案证明 每个信息系统对应一个 备案证明 备案审核 对于定级不准的 公安机关将发送整改通知 并建议信息系统运营使用单位组织专家重新定级评审 报上级主管部门审批 备案单位坚持原定等级的 公安机关可以受理其备案 但将书面告知其承担由此引发的责任和后果 经上级公安机关同意后 同时通报其上级主管部门 安全建设整改 信息系统安全保护等级确定后 运营使用单位按照 管理办法 关于开展信息系统等级保护安全建设整改工作的指导意见 公信安 2009 1429号 等有关管理规范和技术标准 选择 管理办法 要求的信息安全产品 制定并落实安全管理制度 落实安全责任 建设安全设施 落实安全技术措施 安全建设整改 1 基本要求 物理安全 技术要求 管理要求 基本要求 网络安全 主机安全 应用安全 数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 安全建设整改 2 工作流程 安全建设整改 3 安全管理制度建设 安全建设整改 4 安全技术措施建设 等级测评 根据 管理办法 规定 信息系统按照 基本要求 等技术标准建设或改建完成后 运营使用单位应当选择符合条件的测评机构 定期对信息系统安全状况开展等级测评 第三级以上信息系统每年至少进行一次等级测评 对于重要部门的第二级信息系统 可以参照此要求开展等级测评工作 等级测评 选择测评机构 等级测评 开展等级测评的时机可以在信息系统安全建设整改之前进行测评工作 分析信息系统安全现状 排查信息系统安全隐患和薄弱环节 明确信息系统安全建设整改的需求 制定安全建设整改方案 有针对性地进行安全建设整改 信息系统安全建设整改之后必须开展测评工作 检验安全建设整改成效 查找与等级保护标准要求的差距 等级测评 测评管理在测评工作过程中 各单位要对测评活动进行监督管理 与测评机构签订工作协议和保密协议 落实测评过程监管措施 防范对信息系统可能造成新的危害 要监督测评机构是否按照估计标准开展测评工作 测评人员是否有违规行为 完成测评工作30日内 测评报告向受理备案公安机关备案 安全自查和监督检查 备案单位定期自查行业主管部门督导检查公安机关监督检查 安全自查和监督检查 查处违规行为检查时 发现备案单位不符合信息安全等级保护有关管理规范和技术标