信息网络安全等级保护工作介绍专家讲座

一、相关概念信息网络安全：指计算机网络硬件设备、软件、数据不因偶然或恶意原因而遭到破坏、更改、泄漏。包含：基础信息网络和主要信息系统。信息网络安全等级保护：指将安全策略、安全责任和安全保障等计算机信息网络安全需求划分不一样等级，国家、企业和个人依据不一样等级要求有针对性地保护信息网络安全。信息网络安全等级保护工作介绍专家讲座第1页二、目标和依据目标：为了加强信息安全等级保护定级工作组织实施和监督指导，科学、准确、合理地评审、确定信息系统等级，促进等级保护管理工作规范化、制度化。依据：《浙江信息安全等级保护管理方法》省政府223号令。信息网络安全等级保护工作介绍专家讲座第2页三、确定基础信息网络和主要信息系统依据主要是依据其在国家安全、经济建设、社会生活中主要程度及实际安全需要，遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及公民、法人和其它组织正当权益危害程度来确定。基础信息网络主要包含公用通信网、广播电视传输网等。信息网络安全等级保护工作介绍专家讲座第3页主要信息系统主要包含：党政事务处理信息系统；金融、财税、海关业务信息系统；铁路、机场、交通（港口）等业务信息系统；医疗、社（医）保、供水、电力、燃气等业务信息系统；国家和省要求其它主要信息系统。信息网络安全等级保护工作介绍专家讲座第4页四、等级评审流程1、提交申请资料保护等级应该在信息系统规划设计时按照223号令第十条要求报经审定。（新建、扩建，现在已建成）省级部门在确定安全保护等级后，直接向省信息化行政主管部门（省信息产业厅）提交申请资料。设区市：各信息系统运行、使用单位确定安全保护等级后，定为二、三级向当地市信息化行政主管部门提交申请资料；定为四级直接向省信息化行政主管部门（省信息产业厅）提交申请资料。信息网络安全等级保护工作介绍专家讲座第5页提交申请材料内容4个方面（1个情况、1个信息、2个资料）㈠申报单位基本情况：单位名称、法定代表人、通信地址、联络方式等基本情况。㈡信息系统基本信息1、信息系统行业特征、主管机构、地理位置、业务范围、业务种类和特征等基本情况。2、信息系统管理框架，主要包含组织管理结构、管理策略、部门设置和部门在业务运行中作用、岗位职责、用户范围和用户类型基本情况；3、信息系统网络及设备布署，主要包含信息系统物理环境、网络拓扑结构、网络边界描述和硬件设备布署等情况。信息网络安全等级保护工作介绍专家讲座第6页㈢信息系统划分资料1、划分标准和方法；2、信息系统列表；3、每个信息系统概述；4、每个信息系统支撑业务应用列表；5、每个业务应用处理信息资产类型；6、每个业务应用服务范围和用户类型；7、每个业务应用其它特征。信息网络安全等级保护工作介绍专家讲座第7页㈣等级确定资料1、安全需求分析：安全需求分析汇报、等级保护基本要求；2、总体安全设计规划（总体安全策略、总体安全方案、安全技术防护办法、安全保护管理制度、信息安全应急预案等）；3、信息系统安全自评定汇报；4、安全保护等级自定级汇报；信息网络安全等级保护工作介绍专家讲座第8页

2、受理省信息化行政主管部门受理省级单位信息系统安全等级定级、等级变更评审申请；受理四级主要信息系统安全等级评审申请；设区市信息化行政主管部门受理二、三级信息系统安全等级定级、等级变更评审申请。信息网络安全等级保护工作介绍专家讲座第9页

3、评审受理申请信息化行政主管部门，应该自受理之日起20个工作日内，委托教授组进行评审。信息化行政主管部门应该自评审之日起45个工作日内审定教授组提出评审意见并书面通报。省信息化行政主管部门组织教授组进行评审，审定省级及三级教授组评审意见；对拟确定为四级信息系统安全等级申请提出初审意见。设区市信息化行政主管部门组织教授组进行评审，审定二级教授组评审意见，并向省信息化行政主管部门报备；对三级信息系统安全等级定级、等级变更申请提出初审意见。信息网络安全等级保护工作介绍专家讲座第10页

4、复审申请对审定结果有异议，应该自收到该审定结果之日起60日内，能够向省信息化行政主管部门提出复审申请。信息网络安全等级保护工作介绍专家讲座第11页

5、变更信息系统运行、使用单位需要变更安全等级，应该向原审定信息化行政主管部门提出等级变更申请。受理申请信息化行政主管部门按照本细则第十条要求重新组织审定。信息网络安全等级保护工作介绍专家讲座第12页五、实施等级保护工作主要阶段第一阶段：系统定级第二阶段：定级评审第三阶段：系统立案第四阶段：等级测评、整改第五阶段：安全管理、建设信息网络安全等级保护工作介绍专家讲座第13页第一阶段：系统定级信息系统使用单位按照等级保护管理规范和技术标准，确定其信息系统安全保护等级，并报其主管部门审批同意。系统包括国家秘密部分按照《涉密信息系统分级保护管理方法》(国保发[]16号)和《包括国家秘密信息系统分级保护技术要求》（国家保密标准BMBl7-）确定信息系统安全保护等级。跨市或者全省统一联网运行信息系统能够由主管部门统一确定安全保护等级。信息网络安全等级保护工作介绍专家讲座第14页信息系统等级安全保护定级标准信息系统安全保护等级既不是信息系统安全保障等级，也不是信息系统所能到达技术能力等级，而是从国家管理需要出发，从信息系统对国家安全、经济建设、公共利益等方面主要性，以及信息或信息系统被破坏后造成危害严重性角度确定信息系统应到达安全等级。信息网络安全等级保护工作介绍专家讲座第15页

定级工作标准标准一：自主定级标准。“依照标准，自行保护”，所以定级工作必须由单位依摄影关法律规范和标准来自行定级。定级工作责任主体为信息系统主管单位。标准二：满足国家管理要求标准。信息系统安全保护等级既不是信息系统安全保障等级，也不是信息系统所能到达技术能力等级，而是从国家管理需要出发，立足信息系统对国家安全、经济建设、公共利益等方面主要性角度，及信息或信息系统被破坏后造成危害严重性角度来确定信息系统应到达安全等级。信息网络安全等级保护工作介绍专家讲座第16页定级工作标准标准三：全局性标准。信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统管理制度，信息系统安全保护等级划分也必须从国家层面考虑，表达全局性。标准四：业务为关键标准。信息系统是为业务应用服务，信息系统安全保护等级应该依据信息系统承载业务主要性、业务对信息系统依赖度和系统特殊安全需求确定。标准五：合理性标准。不一样于信息安全产品，信息系统千差万别，各具特色，只有在划分安全保护等级过程中，尽可能反应出信息系统主要安全特征，合理划分等级，才能做到突出重点，适度保护。信息网络安全等级保护工作介绍专家讲座第17页五级安全等级描述第一级:受到破坏后，会对公民、法人和其它组织正当权益造成损害，但不损害国家安全、社会秩序和公共利益会秩序和公共利益。第二级:受到破坏后，会对公民、法人和其它组织正当权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级:受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级:受到破坏后，会对社会秩序和公共利益造成尤其严重损害，或者对国家安全造成严重损害。第五级:受到破坏后，会对国家安全造成尤其严重损害。信息网络安全等级保护工作介绍专家讲座第18页系统服务安全被破坏时所侵害客体对对应客体侵害程度普通损害严重损害尤其严重损害公民、法人和其它组织正当权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级信息网络安全等级保护工作介绍专家讲座第19页一级信息系统举例：公民个人单机系统，小型集体、民营企业所属信息系统，中、小学校信息系统，乡镇级党政机关、事业单位信息系统，其它小型组织信息系统。信息网络安全等级保护工作介绍专家讲座第20页二级信息系统举例：县级、地市级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财务、财政、金融、社保、工商、审计、能源、化工、社会服务保障、卫生、交通运输、国土资源、邮政、应急抢险、农业等行业所属独立信息系统，中型集体、民营企业、小型国有企业所属信息系统，县级党政机关、事业单位信息系统，普通高等院校和科研机构信息系统，其它中型组织信息系统。信息网络安全等级保护工作介绍专家讲座第21页

三级信息系统举例：省级和副省级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财政、金融、社保、工商、审计、能源、化工、社会服金融、社保、工商、审计、能源、化工、社会服务保障、卫生、交通运输、国土资源、邮政、应急抢险、农业等行业所属独立主要信息系统，大型集体、民营企业、大中型国有企业所属主要信息系统，地市级党政机关、事业单位主要信息系统，重点高等院校和科研机构主要信息系统，其它大中型组织信息系统。信息网络安全等级保护工作介绍专家讲座第22页四级信息系统举例：国家级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财政、金融、社保、工商、审计、能源、化工、社会服务保障、卫生、交通运输、国土资源、邮政、应急抢险等行业所属全程全网特大型信息系统，特大型国有企业所属全程全网特大型信息系统，省级党政机关、事业单位所属主要信息系统，重点科研机构主要信息系统。信息网络安全等级保护工作介绍专家讲座第23页五级信息系统举例：国家级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险等主要信息系统中关键子系统，包括国防、重大外交、航天航空、核能源、尖端科学技术等主要信息系统中关键子系统，国家级党政机关主要信息系统中关键子系统。信息网络安全等级保护工作介绍专家讲座第24页第二阶段：定级评审使用单位初步确定安全保护等级后，应聘请教授进行评审。对拟确定为第四级、第五级信息系统，使用单位或主管部门应经省信息化行政主管部门初审后，请国家信息安全等级保护教授评审委员会评审。其它定级评审，依照《浙江省信息安全等级评审实施细则》执行。信息网络安全等级保护工作介绍专家讲座第25页第三阶段：系统立案在信息系统安全保护等级确定三十天内，使用单位填写立案表，向公安机关办理立案手续，提交相关立案材料及电子数据文件。系统包括国家秘密，向保密工作部门立案。系统中使用密码设备向密码管理部门立案。二级以上信息系统，由使用单位报送当地域地市级公安机关立案。跨地域信息系统由其主管部门向其所在地同级公安机关进行总立案，分系统分别由当地运行、使用单位向当地地市级公安机关立案。信息网络安全等级保护工作介绍专家讲座第26页第四阶段：安全等级测评与整改评测单位依照《信息系统安全等级保护基本要求》、《信息安全等级保护实施指南》、《信息系统安全等级保护测评准则》等标准对信息系统进行安全等级测评，给出对应系统安全检测评定汇报。对已经有信