单位信息安全等级保护PPT幻灯片

1、单位名称,我们毕业啦 其实是答辩的标题地方,信息安全等级保护工作汇报,2016-01-18,1,29/7/2020,当前，我国信息化发展正进入全面深化的新阶段。 新型信息技术发展应用，给我国网络与信息安全保障工作提出了新任务。,前言,2,29/7/2020,法律法规： 信息安全等级保护管理办法（公通字200743号） 中华人民共和国计算机信息系统安全保护条例 广东省计算机信息系统安全保护条例 最高人民法院、最高人民检察院2015年10月30日联合发布关于执行中华人民共和国刑法确定罪名的补充规定(六)对适用刑法的部分罪名进行了补充或修改，其中增加了拒不履行信息网络安全管理义务罪、非法利用信息网络

2、罪、帮助信息网络犯罪活动罪。,3,29/7/2020,一、等级保护背景 二、等级保护概念 三、等保评定内容 四、推进等保工作的一些探讨 五、本单位的问题和建议,目录,4,29/7/2020,一、等级保护背景,5,29/7/2020,等保背景,中央网信办 ,2016年第1期网络安全信息与动态周报(12月28日-01月03日),6,29/7/2020,等保背景,当前面临的安全威胁： 独立黑客：黑客攻击越来越频繁，影响企事业正常的业务运作。 内部员工： 1、信息安全意识薄弱的员工误用、滥用等； 2、管理员权限过大，如：系统管理员越权访问数据； 3、不稳定、情绪不满的员工。如：员工离职带走企业秘密。

3、竞争对手：法制环境不健全，行业不正当竞争（如：窃取机密）。 国外政府或机构：法制环境不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）。,7,29/7/2020,等保背景,2014年8月1日，浙江温州有线数字电视被攻击，电视屏幕叠加反动字幕和图片，50万用户、80万机顶盒受影响。,8,29/7/2020,等保背景,9,29/7/2020,等保背景,重要网站和信息系统被植入木马后门,10,29/7/2020,等保背景,网络病毒和网络攻击已形成一个黑色产业链，侵害政府公信力、社会公共安全、公民个人利益和隐私。,破坏数据、应用、服务、硬件； 盗取数据、资金； 对外传播危害信息，对内传播木马扩

4、大危害范围； 利用被控制的电脑从事犯罪活动。,11,29/7/2020,等保背景,一个巴掌拍不响！ 外因是条件，内因才是根本。,全省3523个重点网站安全技术检测结果： 存在安全漏洞的网站2621个，占被检网站数量74.4%；其中高危网站1633个，占检测网站的46.35%； 发现安全漏洞数量93760个，其中高危漏洞25578个。 平均1个网站有26个漏洞，7个高危漏洞。 本行业的漏洞，本单位网站漏洞：详见粤等保办201413号 2014年上半年我省重点网站安全检测情况通报,12,29/7/2020,等保背景,安全意识薄弱,人、财、物等保障不到位； 重建设、重应用、轻安全、轻管理； 系统建设

5、与安全建设不同步，有的废弃后仍未关停，有的服务器长期未打补丁，有的虽然配备安全设备但配置不科学。,13,29/7/2020,等保背景,14,29/7/2020,等保背景,信息安全责任不清 未成立领导机构、未明确责任、缺乏追责制度等。 缺乏长远信息安全规划 安全策略不当、安全措施不合理、没有数据备份和恢复等。 监测预警和应急处理能力欠缺 缺乏人员、技术、系统和预案、演练，各单位发现问题、处理问题能力有待提高。,15,29/7/2020,二、等级保护概念,16,29/7/2020,等保概念,什么是信息安全等级保护工作？ 概念：,信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及

6、公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 信息安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。,17,29/7/2020,等保概念,什么是信息安全等级保护工作？ 意义：,信息安全等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法 ；是当今发达国家的通行做法，也是我国多年来信息安全工作经验的总结 。 开展信息安全等级保护工作：有利于同步建设 ；有利于指导和服务；有利于保障重点；有利于明确责任 ；有利于企事业单位保护商业秘密和知识产权。,18,29/7/

7、2020,等保概念,实施等级保护工作的基本原则：,自主保护原则：信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。 重点保护原则：根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。 同步建设原则：信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。 动态调整原则：要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护

8、等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。,19,29/7/2020,等保概念,信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益； 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全； 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害； 第四级，信息系统受到破坏后，会对社会秩序和公共

9、利益造成特别严重损害，或者对国家安全造成严重损害； 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。,20,29/7/2020,等保概念,21,29/7/2020,等保概念,等级保护实施过程中涉及的角色和职责：,22,29/7/2020,等保概念,等级保护实施的基本流程：,23,29/7/2020,三、等保评定内容,24,29/7/2020,评定内容,等级测评内容：,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,25,29/7/2020,评定内容,等级测评内容：,物理层面构成组件包

10、括信息系统工作的设施环境以及构成信息系统的硬件设备和介质等。,26,29/7/2020,评定内容,物理安全解读,27,29/7/2020,评定内容,物理安全解读2,28,29/7/2020,评定内容,等级测评内容：,结构安全和网段划分,网络安全(三级),网络访问控制,网络安全审计,边界完整性检查,网络入侵检测,恶意代码防护,网络设备防护,29,29/7/2020,评定内容,网络安全解读,30,29/7/2020,评定内容,网络安全解读2,31,29/7/2020,评定内容,等级测评内容：,身份鉴别,主机系统安全(三级),访问控制,安全审计,剩余信息保护,入侵防范,恶意代码防范,资源控制,32,

11、29/7/2020,评定内容,主机安全解读,33,29/7/2020,评定内容,主机安全解读2,34,29/7/2020,评定内容,等级测评内容：,身份鉴别,应用安全(三级),访问控制,通信完整性,通信保密性,安全审计,剩余信息保护,抗抵赖,软件容错,资源控制,35,29/7/2020,评定内容,应用安全解读,36,29/7/2020,评定内容,等级测评内容：,数据完整性,数据安全(三级),数据保密性,安全备份,37,29/7/2020,评定内容,数据安全解读,38,29/7/2020,评定内容,等级测评内容：,岗 位设置,安全管理机构(三级),人员配备,授权和审批,沟 通与合作,审核和检查,

12、39,29/7/2020,评定内容,等级测评内容：,管理制度,安全管理制度(三级),制订和发布,评审和修订,安全管理制度一般是文档化的，被正式制定、评审、发布和修订，内容包括策略、制度、规程、表格和记录等，构成一个塔式结构的文档体系。,40,29/7/2020,评定内容,等级测评内容：,人员录用,人员安全管理(三级),人员离岗,人员考核,安全意识教育和培训,外部人员访问管理,41,29/7/2020,评定内容,等级测评内容：,系统定级,系统建设管理(三级),安全方案设计,产品采购和使用,自行软件开发,外包软件开发,工程实施,测试验收,系统交付,安全服务商选择,系统备案,42,29/7/2020

13、,评定内容,等级测评内容：,环境管理,系统运维管理(三级),资产管理,设备管理,介质管理,运行管理和监控管理,网络安全管理,系统安全管理,恶意代码防范管理,变更管理,密码管理,备份和恢复管理,安全事件处置,应急预案管理,43,29/7/2020,评定内容,管理安全解读,44,29/7/2020,评定内容,管理安全解读2,45,29/7/2020,评定内容,管理安全解读3,46,29/7/2020,评定内容,管理安全解读4,47,29/7/2020,评定内容,管理安全解读5,48,29/7/2020,四、推进等保工作的一些探讨,49,29/7/2020,探讨,安全管理制度体系典型结构,安全方针,

14、管理规定、规范,作业指导书、操作规程,记录、日志,第一级 方针，是信息安全管理工作的纲领性文件 。,第二级 管理规定和规范，规定所要求的管理制度或技术控制措施。,第三级作业指导书、操作规程，规定各种工作和活动的细节。,第四级记录、日志，记录管理活动的客观证据。,50,29/7/2020,探讨,PDCA（戴明环）,大环套小环，小环保大环，推动大循环 PDCA循环作为质量管理的基本方法，不仅适用于整个工程项目，也适应于整个单位和单位内的处室、队伍以至个人。各级部门根据单位的方针目标，都有自己的PDCA循环，层层循环，形成大环套小环，小环里面又套更小的环。大环是小环的母体和依据，小环是大环的分解和保

15、证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把单位上下或工程项目的各项工作有机地联系起来，彼此协同，互相促进。,51,29/7/2020,探讨,PDCA（戴明环）,不断前进、不断提高 PDCA循环就像爬楼梯一样，一个循环运转结束，生产的质量就会提高一步，然后再制定下一个循环，再运转、再提高，不断前进，不断提高，是一个螺旋式上升的过程。,52,29/7/2020,探讨,思考与建议,当前的要求与原则 总体要求:坚持积极防御、综合防范的方针，全面提高信息安全防护能力，保障和促进信息化发展，保护公众利益，维护企业商业利益。 主要原则：立足国情，以我为主，坚持管理与技术并重；正确处理

16、安全与发展的关系，以安全促发展，在发展中求安全；统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。,53,29/7/2020,探讨,（1）加强顶层设计 应加强统筹规划、顶层设计，在战略发展规划、信息化专项规划的基础上，做好信息安全体系的设计，制定信息安全专项规划或工作计划。充分重视信息资源、资产的梳理、界定工作，将信息安全与商业信息、个人信息保护工作密切结合。 （2）强化组织保障 应明确专门信息安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查。信息化工作领导小组组长应承担起信息安全的领导责任，建

17、立并完善信息化管理部门与保密及其他业务部门齐抓共管、协同配合的信息安全工作机制，并逐级落实信息安全责任制。 应加强信息安全人才培养，打造适应信息化要求的专业人才队伍。建立健全信息安全专业岗位持证上岗制度。加强全员信息安全教育培训工作，把相关培训纳入员工培训计划。定期对从业人员进行网络安全教育、技术培训和技能考核，积极组织或参与信息安全知识技能竞赛，形成培养、选拔、吸引和使用信息安全人才的良性机制。,54,29/7/2020,探讨,安全保障体系架构,55,29/7/2020,探讨,没想到要做到：信息化项目是一个创新性的工作，服务外包采购时不可能把未来服务细节说清楚，在合同履行期间发现新的需求时，

18、服务提供商能否主动积极配合提供服务或提升服务能力，也形成直接影响整个电子政务健康发展的风险。,三专：在服务外包项目招标时要明确要求服务商做到：专业团队专注做专项服务。,监管：建立外包监管办法，对人员结构及流动，业务内容，工作规范等全面进行强有力的监管。,考核：制定和实行严格的目标考核与奖惩制度。,说到不做到：在投标时承诺很好，在建设运行中许多方面达不到服务要求，还不积极主动想办法改进，使信息安全保障处于被动地位，使工作发展受到影响。,56,29/7/2020,探讨,习近平总书记在中央网信领导小组第一次会议上强调，网络安全与信息化是事关国家安全和国家发展、事关广大,人民群众工作生活的重大战略问题，没有网络安全就没有国家安全，网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。,信息安全已经上升为国家意志,57,29/7/2020,探讨,（一）落实信息安全工作责任 严格落实信息安全“一把手”责任制，建