信息安全等级保护策略

1、信息安全等级保护,主讲内容,国家信息安全等级保护政策及定级,国家信息安全等级保护现状及注意事项,等级保护的政策定位,等级保护是国家信息安全保障的基本制度 体现了信息安全是国家安全的重要组成部分 具有强制实施的性质,等级保护政策推进现状,行业等级保护工作 定级：各行业针对系统定级都发布了规范性文件，统一确定系统的安全等级 电力：电力行业信息系统安全等级保护定级实施指南doc 税务：税务信息系统安全等级保护定级工作指南 银行：银行业信息系统定级专家评审意见 保险：保险行业定级指导意见 海关：海关总署关于做好全国海关信息系统安全等级保护定级工作的通知 证券：关于开展证券期货业重要信息系统安全等级保护

2、定级工作的通知,09年等级保护政策走势分析,全国性政策 持续发文和发布国家标准 可能正式发文的“有关等级保护检查工作的推进” 可能正式发布的等级保护国家标准 信息系统安全等级保护测评规范 信息系统安全等级保护方案设计指南 行业和区域性政策 各行业等级保护规范将会陆续推出 行业统一规划建设 地方性法规将会陆续推出 行政执法、强制实施,国务院信息化工作办公室制定的标准应用在电子政务系统,信息系统安全等级保护实施指南,公安部制定的标准应用在非电子政务和涉密系统,信息系统安全等级保护实施指南 信息系统安全等级保护基本要求 信息系统安全等级保护定级指南,等级保护主要标准,计算机信息系统安全保护等级划分准

3、则,我国政府及各行各业在进行大量的信息系统的建设，并且已经成为国家的重要基础设施 。 计算机犯罪、黑客攻击、有害病毒等问题的出现对社会稳定、国家安全造成了极大的危害，信息安全的重要性日益突出。 信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度。,系统安全保护等级划分准则,大多数信息系统缺少有效的安全技术防范措施，安全性非常脆弱 。 我国的信息系统安全专用产品市场一直被外国产品占据，增加了新的安全隐患 。 因此，尽快建立能适应和保障我国信息产业健康发展的国家信息系统安全等级保护制度已迫在眉睫 。,系统安全保护等级划分准则,为了从整体上形成多级信息系统安全保护体系。 为了提高国家信息系

4、统安全保护能力。 为从根本上解决信息社会国家易受攻击的脆弱性和有效预防计算机犯罪等问题。 中华人民共和国计算机信息系统安全保护条例第九条明确规定，计算机信息系统实行安全等级保护。,系统安全保护等级划分准则,公安部组织制订了计算机信息系统安全保护等级划分准则国家标准 于1999年9月13日由国家质量技术监督局审查通过并正式批准发布 于 2001年1月1日执行,系统安全保护等级划分准则,该准则的发布为计算机信息系统安全法规和配套标准的制定和执法部门的监督检查提供了依据; 为安全产品的研制提供了技术支持; 为安全系统的建设和管理提供了技术指导是我国计算机信息系统安全保护等级工作的基础 。,系统安全保

5、护等级划分准则,准则规定了计算机系统安全保护能力的五个等级，即： 第一级：用户自主保护级 第二级：系统审计保护级 第三级：安全标记保护级 第四级：结构化保护级 第五级：访问验证保护级,系统安全保护等级划分准则,2007年人民银行根据全国重要信息系统安全等级保护滴定级工作电视电话会议精神和总行、各分支行以及银行业金融机构信息系统实际情况制定了重要信息系统安全等级保护定级工作。,系统安全保护等级划分准则,明确全国商业性银行的核心业务信息系统或综合业务信息系统应当定为四级，其网上银行系统、跨省骨干网络、重要支撑设施、在线服务的重要信息系统、重要管理信息系统等应定为三级；政策性银行中的和核心业务信息系

6、统或综合业务信息系统、跨省骨干网络、重要管理信息系统等应定为三级；中国银联的银行卡信息交换系统应定为四级，跨省骨干网络应定为三级。其他信息系统可以定为二级。,主讲内容,国家信息安全等级保护政策及定级,国家信息安全等级保护现状及注意事项,发展状况,近期状况,目前，我信息系统安全保障工作还处于起步阶段。虽然信息系统建设时期已经考虑到了安全保障能力的建设，但是由信息化起步早，建设周期长，在许多建设开始之际，国家的相关法律法规还不完善，缺乏与国防信息化建设相适应的安全保障措施和手段，因此普遍存在安全保障能力低，信息对抗能力不足等问题，一方面造成应用系统部署进度推迟，另一方面造成信息系统不能最大限度地发

7、挥作用，制约了国防信息化建设的发展。,近十年来，全国信息系统按照有关要求开展信息系统安全保障体系的实施和运行工作，取得了一定的成绩，但是在实施过程中也存在一些问题：早期安全措施要求过于单一，没有划分安全层次与级别，实施成本比较高等。目前，随着信息系统等级保护工作的全面推开，信息系统的安全保护工作迈上了一个新台阶。,等级保护现状,在改造过程中要严格按照国家的相关标准，结合信息系统的实际情况，逐项进行安全风险分析。根据安全风险分析的结果，对部分保护 要求进行适当的调整和改造。调整应以不降低信息系统整体安全保护强度，确保国家安全为原则。,当保护要求不能满足实际安全需求时，应适当选择采用部分较高的保护要求。,当保护要求明显高于实际安全需求时，可适当选择采用部分较低的