信息安全等级保护工作.ppt

1、信息安全等级保护工作,吴江市公安局网络安全监察大队 二OO八年十月,-定级、备案工作培训讲义,目录,一、信息安全等级保护工作概述 二、信息安全等级保护定级工作具体实施 1、备案表的填写 2、形成定级报告 三、系统定级技术环节,一、信息安全等级保护工作概述,（一）基本概念 信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。,一、信息安全等级保护工作概述,（二）政策和法律依据 1994年，中华人民共和国计算机信息系统安全保护条例 规定，“计算机信息系统实行安全等级保护，安全等级

2、的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定” 。 1995年,中华人民共和国警察法规定，公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。 1999年，强制性国家标准计算机信息系统安全保护等级划分准则GB 17859）。 2003年，中办、国办转发的国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）明确指出“实行信息安全等级保护”。 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南” 。 2004年，公安部、国家保密局、国家密码管理局、国

3、信办联合印发了关于信息安全等级保护工作的实施意见（66号文件） 2007年6月，公安部、国家保密局、国家密码管理局、国信办联合制定了信息安全等级保护管理办法（公通字200743号）,一、信息安全等级保护工作概述,（三）信息安全等级保护的基本原则 一是明确责任，共同保护； 二是依照标准，自行保护； 三是同步建设，动态调整； 四是监督指导，重点保护。 （四）责任义务,信息安全监管部门的职责分工,公安机关负责信息安全等级保护工作的监督、检查、指导。 国家保密工作部门负责等级保护工作中有关保密工作监督、检查、指导。 国家密码管理部门负责等级保护工作中有关密码工作监督、检查、指导。 涉及其他职能部门管辖

4、范围的事项，由有关职能部门依照国家法律法规的规定进行管理。 国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。,一、信息安全等级保护工作概述,信息系统主管部门责任义务 信息系统主管部门应当依照管理办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 运营使用单位的责任义务 信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。 涉及国家秘密信息系统的分级保护管理 涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责； 非涉及国家秘密信息系统的等级保护监督管理工作由

5、公安机关负责。,一、信息安全等级保护工作概述,（五）主要流程 1、定级与审批； 2、等级评审； 3、备案； 4、备案管理； 5、系统建设； 6、等级测评； 7、自查自纠； 8、监督检查。,等级变更,局部调整,信息系统定级,总体安全规划,安全设计与实施,安全运行维护,信息系统终止,备案管理,监督检查,一、信息安全等级保护工作概述,（六）总体要求 按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。 对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。,一、信息安全等级保护工作概述

6、,定级工作日程安排 、第一阶段自现在起-10月19日动员、培训、调查摸底阶段。 、第二阶段10月20日-10月27日自评和初评阶段。 、第三阶段10月28日-12月10日上报苏州评审和备案阶段，备案方式：电子备案和书面备案。 4、第四阶段12月11日-12月20日总结阶段。,备案表,备案表模板,二、信息安全等级保护定级工作具体实施,（一）定级原则 坚持“自主定级、自主保护”与国家监管相结合的原则 （二）等级划分,二、信息安全等级保护定级工作具体实施,（三）确定需要定级的系统 （1）省辖市以上党政机关的重要网站和办公信息系统； （2）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营

7、性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统； （3）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统； （4）涉及国家秘密的信息系统。,二、信息安全等级保护定级工作概述,(四)对五级信息系统的具体说明 1、一级信息系统 定义：适用于一般信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。 举例：公民个人的单机系统，小型集体

8、、民营企业所属的信息系统，中、小学校的信息系统，乡镇级党政机关、事业单位的信息系统等。 2、二级信息系统 定义：适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全. 举例 县级、地市级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财政、金融、社保、工商、审计、能源、化工、社会服务保障、卫生、交通运输、国土资源、邮政、应急抢险、农业等行业所属独立的信息系统； 中型集体、民营企业、小型国有企业所属的信息系统； 县级党政机关、事业单位的信息系统； 普通高等院校和科研机构的信息系统； 其他中型组织的信息系统。,二、信息安全等级保护定级工作概述,

9、3. 三级信息系统 定义：适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成一定损害。 举例： 省级和副省级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财政、金融、社保、工商、审计、能源、化工、社会服务保障、卫生、交通运输、国土资源、邮政、应急抢险、农业等行业所属独立的重要信息系统； 大型集体、民营企业、大中型国有企业所属的重要信息系统； 地市级党政机关、事业单位的重要信息系统； 重点高等院校和科研机构的重要信息系统； 其他大中型组织的信息系统。,二、信息安全等级保护定级工作具体实施,（二）形成定级报告 一、XXX信息

10、系统的描述； 二、XXX信息系统安全保护等级确定 （1）确定业务信息安全等级 1、业务信息描述；2、业务信息受到破坏时所侵害客体的确定； 3、业务信息受到破坏后对侵害客体的侵害程度；4、业务信息安全等级的确定 （2）确定系统服务安全等级 1、系统服务描述；2、系统服务受到破坏时所侵害客体的确定； 3、系统服务受到破坏后对侵害客体的侵害程度；4、系统服务安全等级的确定 三、安全保护等级的确定 信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定,二、信息安全等级保护定级工作具体实施,1、确定定级对象,2、确定业务信息安全受到破坏时所侵害的客体,5、确定系统服务安全受到破坏时所侵害的

11、客体,3、综合评定对客体的侵害程度,6、综合评定对客体的侵害程度,依据表1,依据表2,7、系统服务安全等级,4、业务信息安全等级,8、定级对象的安全保护等级,表1,表2,初步确定信息系统等级,三、信息安全等级保护定级工作流程,系统描述 责任单位 基本要素 业务情况 等级确定 业务信息安全等级确定 系统服务安全等级确定 安全保护等级确定,1、描述 2、受到破坏时所侵害客体的确定 3、受到破坏时对侵害客体侵害程度的确定 4、安全等级的确定,定级报告,二、信息安全等级保护定级工作具体实施,信息系统等级评审 对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当邀请国家信息安全保护等级专家评审

12、委员会评审； 对拟确定为第三级以上信息系统的，运营、使用单位或者主管部门应当邀请省信息安全保护等级专家评审组评审，出具评审意见。 对拟确定为第二级以上信息系统的，运营、使用单位或者主管部门应当邀请市信息安全保护等级专家评审组评审，出具评审意见,四、系统定级的技术环节,定级对象的确定 业务信息和系统服务确定 受侵害客体和侵害程度的分析,确定定级对象定级对象识别与划分依据,安全责任单位 可以根据安全责任单位的不同划分成不同的信息系统。 业务类型和业务重要性 可能涉及不同客体的系统 可能对客体造成不同程度损害的系统 处理不同类型业务的系统。 物理位置 物理位置也可以作为信息系统划分的考虑因素之一。,

13、确定业务信息和系统服务,业务信息 业务系统处理的主要业务信息等 系统服务 业务系统的服务范围、服务对象等,四、系统定级的技术环节,受侵害的客体 ： 公民、法人和其他组织的合法权益； 社会秩序、公共利益； 国家安全。 对客体的侵害程度： 造成一般损害； 造成严重损害； 造成特别严重损害。,侵害客体和侵害程度,国家安全 体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全等方面利益。 社会秩序和公共利益 包括政治、经济、生产、生活、科研、工作等各方面的正常秩序和社会公众生产、生活、教育、卫生等方面的利益。 合法权益 是法律确认的并受法律保护的公民、法人和其他组织所享有的

14、一定的社会权利和利益。,确定对客体的侵害程度综合判定侵害程度,一般损害 工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的资产损失，有限的社会不良影响，对其他组织和个人造成较低损害。 严重损害 工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。 特别严重损害 工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害,北京奥运会信息系统的定级案

15、例,奥运网络主要包括，“奥组委办公外网” 、“奥组委内部办公局域网” 、“奥运票务网”（票务网站和票务管理系统）、“奥运官方网站” 、“奥运互联网接入”等五个奥运网络和信息系统。确定奥组委办公外网、奥组委内部办公局域网、票务网站、票务管理系统和奥运官方网站为定级对象。 “奥组委办公内网”承载奥组委内部的人事、财务等业务，仅在奥组委少数部门内应用，不传输秘密信息和敏感信息。其受到破坏后，仅会影响内部办公，会对社会秩序、公共利益造成损害，定为二级； “奥组委办公外网”通过唯一出口与互联网相连，承载奥组委内部的电子邮件、物流、短信平台、场馆管理等业务，在奥组委总部范围应用，其受到破坏后，会对社会秩序

16、、公共利益造成损害，定为二级； “票务网站”负责提供票务申请、信息填写等业务，采集购票者信息和定票信息，不与“票务管理系统”直接相连，其受到破坏后，会对社会秩序、公共利益造成损害，定为二级； “票务管理系统”存储处理通过各种方式申请、购买奥运票务的个人数据,是“票务网站”的核心，其受到破坏后，会对社会秩序、公共利益造成严重损害，定为三级； “奥运官方网站”承担在互联网上对外宣传、报道奥运重大事项，是北京奥运通过互联网对外宣传的门户，其服务保障性要求很高，受到破坏后，会对社会秩序、公共利益造成严重损害，定为三级。,四、系统定级的技术环节,定级工作中需要关注的几个问题 、业务主管部门为主。 、主要

17、参考定级指南对要素的描述。 、对客体的危害和影响是预估的，必须依据实践经验，综合考虑直接及间接损失。 、可以借助风险评估等方法来确定等级。 、防止片面追求“绝对安全”定级过高，也要防止为了逃避监管定级偏低。 、统一定级与分散定级 跨省、市或全省统一联网运行的信息系统可以由主管部门统一定 级，定级后要通知各分支系统的责任部门，做好分别备案的准备。 其他系统分散定级，上级主管部门给予指导。 、全省同类系统等级的一致性 业务主管部门要加强对其业务应用的信息系统的安全保护等级进行审批把关，确保同类系统或分支系统在各地域分别定级的一致性。,吴江市重要信息系统定级工作具体要求：,一、组建由市公安局、保密局、机要局、信息办共同组织实施，并成立吴江市重要信息系统安全等级保护工作协调小组。 二、10月27日前各单位对内部各信息系统形成定级报告，同时填报信息系统安全等级保护