单位信息安全等级保护PPT幻灯片课件

单位名称 我们毕业啦其实是答辩的标题地方 信息安全等级保护工作汇报 2016 01 18 1 当前 我国信息化发展正进入全面深化的新阶段 新型信息技术发展应用 给我国网络与信息安全保障工作提出了新任务 前言 2 法律法规 信息安全等级保护管理办法 公通字 2007 43号 中华人民共和国计算机信息系统安全保护条例 广东省计算机信息系统安全保护条例 最高人民法院 最高人民检察院2015年10月30日联合发布 关于执行 中华人民共和国刑法 确定罪名的补充规定 六 对适用刑法的部分罪名进行了补充或修改 其中增加了拒不履行信息网络安全管理义务罪 非法利用信息网络罪 帮助信息网络犯罪活动罪 3 一 等级保护背景二 等级保护概念三 等保评定内容四 推进等保工作的一些探讨五 本单位的问题和建议 目录 4 一 等级保护背景 5 等保背景 中央网信办 2016年第1期网络安全信息与动态周报 12月28日 01月03日 6 等保背景 当前面临的安全威胁 独立黑客 黑客攻击越来越频繁 影响企事业正常的业务运作 内部员工 1 信息安全意识薄弱的员工误用 滥用等 2 管理员权限过大 如 系统管理员越权访问数据 3 不稳定 情绪不满的员工 如 员工离职带走企业秘密 竞争对手 法制环境不健全 行业不正当竞争 如 窃取机密 国外政府或机构 法制环境不健全 行业不正当竞争 如 窃取机密 破坏企业的业务服务 7 等保背景 2014年8月1日 浙江温州有线数字电视被攻击 电视屏幕叠加反动字幕和图片 50万用户 80万机顶盒受影响 8 等保背景 9 等保背景 重要网站和信息系统被植入木马后门 10 等保背景 网络病毒和网络攻击已形成一个黑色产业链 侵害政府公信力 社会公共安全 公民个人利益和隐私 破坏数据 应用 服务 硬件 盗取数据 资金 对外传播危害信息 对内传播木马扩大危害范围 利用被控制的电脑从事犯罪活动 11 等保背景 一个巴掌拍不响 外因是条件 内因才是根本 全省3523个重点网站安全技术检测结果 存在安全漏洞的网站2621个 占被检网站数量74 4 其中高危网站1633个 占检测网站的46 35 发现安全漏洞数量93760个 其中高危漏洞25578个 平均1个网站有26个漏洞 7个高危漏洞 本行业的漏洞 本单位网站漏洞 详见粤等保办 2014 13号2014年上半年我省重点网站安全检测情况通报 12 等保背景 安全意识薄弱 人 财 物等保障不到位 重建设 重应用 轻安全 轻管理 系统建设与安全建设不同步 有的废弃后仍未关停 有的服务器长期未打补丁 有的虽然配备安全设备但配置不科学 13 等保背景 14 等保背景 信息安全责任不清未成立领导机构 未明确责任 缺乏追责制度等 缺乏长远信息安全规划安全策略不当 安全措施不合理 没有数据备份和恢复等 监测预警和应急处理能力欠缺缺乏人员 技术 系统和预案 演练 各单位发现问题 处理问题能力有待提高 15 二 等级保护概念 16 等保概念 什么是信息安全等级保护工作 概念 信息安全等级保护是指对国家秘密信息 法人和其他组织及公民的专有信息以及公开信息和存储 传输 处理这些信息的信息系统分等级实行安全保护 对信息系统中使用的信息安全产品实行按等级管理 对信息系统中发生的信息安全事件分等级响应 处置 信息安全等级保护的核心是对信息系统分等级 按标准进行建设 管理和监督 17 等保概念 什么是信息安全等级保护工作 意义 信息安全等级保护制度是国家信息安全保障的基本制度 基本策略 基本方法 是当今发达国家的通行做法 也是我国多年来信息安全工作经验的总结 开展信息安全等级保护工作 有利于同步建设 有利于指导和服务 有利于保障重点 有利于明确责任 有利于企事业单位保护商业秘密和知识产权 18 等保概念 实施等级保护工作的基本原则 自主保护原则 信息系统运营 使用单位及其主管部门按照国家相关法规和标准 自主确定信息系统的安全保护等级 自行组织实施安全保护 重点保护原则 根据信息系统的重要程度 业务特点 通过划分不同安全保护等级的信息系统 实现不同强度的安全保护 集中资源优先保护涉及核心业务或关键信息资产的信息系统 同步建设原则 信息系统在新建 改建 扩建时应当同步规划和设计安全方案 投入一定比例的资金建设信息安全设施 保障信息安全与信息化建设相适应 动态调整原则 要跟踪信息系统的变化情况 调整安全保护措施 由于信息系统的应用类型 范围等条件的变化及其他原因 安全保护等级需要变更的 应当根据等级保护的管理规范和技术标准的要求 重新确定信息系统的安全保护等级 根据信息系统安全保护等级的调整情况 重新实施安全保护 19 等保概念 信息系统的安全保护等级分为以下五级 第一级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益造成损害 但不损害国家安全 社会秩序和公共利益 第二级 信息系统受到破坏后 会对公民 法人和其他组织的合法权益产生严重损害 或者对社会秩序和公共利益造成损害 但不损害国家安全 第三级 信息系统受到破坏后 会对社会秩序和公共利益造成严重损害 或者对国家安全造成损害 第四级 信息系统受到破坏后 会对社会秩序和公共利益造成特别严重损害 或者对国家安全造成严重损害 第五级 信息系统受到破坏后 会对国家安全造成特别严重损害 20 等保概念 21 等保概念 等级保护实施过程中涉及的角色和职责 22 等保概念 等级保护实施的基本流程 23 三 等保评定内容 24 评定内容 等级测评内容 物理安全 技术要求 管理要求 基本要求 网络安全 主机安全 应用安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 25 评定内容 等级测评内容 物理层面构成组件包括信息系统工作的设施环境以及构成信息系统的硬件设备和介质等 26 评定内容 物理安全解读 27 评定内容 物理安全解读2 28 评定内容 等级测评内容 结构安全和网段划分 网络安全 三级 网络访问控制 网络安全审计 边界完整性检查 网络入侵检测 恶意代码防护 网络设备防护 29 评定内容 网络安全解读 30 评定内容 网络安全解读2 31 评定内容 等级测评内容 身份鉴别 主机系统安全 三级 访问控制 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制 32 评定内容 主机安全解读 33 评定内容 主机安全解读2 34 评定内容 等级测评内容 身份鉴别 应用安全 三级 访问控制 通信完整性 通信保密性 安全审计 剩余信息保护 抗抵赖 软件容错 资源控制 35 评定内容 应用安全解读 36 评定内容 等级测评内容 数据完整性 数据安全 三级 数据保密性 安全备份 37 评定内容 数据安全解读 38 评定内容 等级测评内容 岗位设置 安全管理机构 三级 人员配备 授权和审批 沟通与合作 审核和检查 39 评定内容 等级测评内容 管理制度 安全管理制度 三级 制订和发布 评审和修订 安全管理制度一般是文档化的 被正式制定 评审 发布和修订 内容包括策略 制度 规程 表格和记录等 构成一个塔式结构的文档体系 40 评定内容 等级测评内容 人员录用 人员安全管理 三级 人员离岗 人员考核 安全意识教育和培训 外部人员访问管理 41 评定内容 等级测评内容 系统定级 系统建设管理 三级 安全方案设计 产品采购和使用 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 安全服务商选择 系统备案 42 评定内容 等级测评内容 环境管理 系统运维管理 三级 资产管理 设备管理 介质管理 运行管理和监控管理 网络安全管理 系统安全管理 恶意代码防范管理 变更管理 密码管理 备份和恢复管理 安全事件处置 应急预案管理 43 评定内容 管理安全解读 44 评定内容 管理安全解读2 45 评定内容 管理安全解读3 46 评定内容 管理安全解读4 47 评定内容 管理安全解读5 48 四 推进等保工作的一些探讨 49 探讨 安全管理制度体系典型结构 安全方针 管理规定 规范 作业指导书 操作规程 记录 日志 第一级方针 是信息安全管理工作的纲领性文件 第二级管理规定和规范 规定所要求的管理制度或技术控制措施 第三级作业指导书 操作规程 规定各种工作和活动的细节 第四级记录 日志 记录管理活动的客观证据 50 探讨 PDCA 戴明环 大环套小环 小环保大环 推动大循环PDCA循环作为质量管理的基本方法 不仅适用于整个工程项目 也适应于整个单位和单位内的处室 队伍以至个人 各级部门根据单位的方针目标 都有自己的PDCA循环 层层循环 形成大环套小环 小环里面又套更小的环 大环是小环的母体和依据 小环是大环的分解和保证 各级部门的小环都围绕着企业的总目标朝着同一方向转动 通过循环把单位上下或工程项目的各项工作有机地联系起来 彼此协同 互相促进 51 探讨 PDCA 戴明环 不断前进 不断提高PDCA循环就像爬楼梯一样 一个循环运转结束 生产的质量就会提高一步 然后再制定下一个循环 再运转 再提高 不断前进 不断提高 是一个螺旋式上升的过程 52 探讨 思考与建议 当前的要求与原则总体要求 坚持积极防御 综合防范的方针 全面提高信息安全防护能力 保障和促进信息化发展 保护公众利益 维护企业商业利益 主要原则 立足国情 以我为主 坚持管理与技术并重 正确处理安全与发展的关系 以安全促发展 在发展中求安全 统筹规划 突出重点 强化基础性工作 明确国家 企业 个人的责任和义务 充分发挥各方面的积极性 共同构筑国家信息安全保障体系 53 探讨 1 加强顶层设计应加强统筹规划 顶层设计 在战略发展规划 信息化专项规划的基础上 做好信息安全体系的设计 制定信息安全专项规划或工作计划 充分重视信息资源 资产的梳理 界定工作 将信息安全与商业信息 个人信息保护工作密切结合 2 强化组织保障应明确专门信息安全管理机构和安全管理负责人 并对该负责人和关键岗位的人员进行安全背景审查 信息化工作领导小组组长应承担起信息安全的领导责任 建立并完善信息化管理部门与保密及其他业务部门齐抓共管 协同配合的信息安全工作机制 并逐级落实信息安全责任制 应加强信息安全人才培养 打造适应信息化要求的专业人才队伍 建立健全信息安全专业岗位持证上岗制度 加强全员信息安全教育培训工作 把相关培训纳入员工培训计划 定期对从业人员进行网络安全教育 技术培训和技能考核 积极组织或参与信息安全知识技能竞赛 形成培养 选拔 吸引和使用信息安全人才的良性机制 54 探讨 安全保障体系架构 55 探讨 没想到要做到 信息化项目是一个创新性的工作 服务外包采购时不可能把未来服务细节说清楚 在合同履行期间发现新的需求时 服务提供商能否主动积极配合提供服务或提升服务能力 也形成直接影响整个电子政务健康发展的风险 三专 在服务外包项目招标时要明确要求服务商做到 专业团队专注做专项服务 监管 建立外包监管办法 对人员结构及流动 业务内容 工作规范等全面进行强有力的监管 考核 制定和实行严格的目标考核与奖惩制度 说到不做到 在投标时承诺很好 在建设运行中许多方面达不到服务要求 还不积极主动想办法改进 使信息安全保障处于被动地位 使工作发展受到影响 56 探讨 习近平总书记在中央网信领导小组第一次会议上强调 网络安全与信息化是事关国家安全和国家发展 事关广大 人民群众工作生活的重大战略问题 没有网络安全就没有国家安全 网络安全和信息化是一体之两翼 驱动之双轮 必须统一谋划 统一部署 统一推进 统一实施 信息安全已经上升为国家意志 57 探讨 一 落实信息安全工作责任严格落实信息安全 一把手 责任制 建立单位网络安全与信息化领导机构 全面统筹信息安全工作 建立信息安全责任追究制度 明确责任部门 工作岗位 具体负责人 将安全责任逐级落实到人 按照信息安全等级保护要求 落实机构 人员 经费保障 加快推动信息安全等级保护 提升安全防护能力 58 探讨 二 建立信息化与信息安全衔接机制2011年 公安厅 保密局 经信委 财厅 国资委联合发出 关于继续深化我省信息安全等级保护工作的通知 粤公通字 2011 124号 明确了信息安全要与信息化同步立项 设计 建设 按照通知要求 各单位要将等级保护定