信息安全等级保护制度的主要内容和工作要求--曾科长.ppt

1、信息安全等级保护系统的主要内容和工作要求，目录，1，信息安全等级保护系统的主要内容2，信息安全等级保护政策，标准系统3，等级保护工作的具体内容和工作要求，1，等级保护系统的主要内容，(1)国家为什么要实行信息安全等级保护制度1。信息安全局势严峻的敌对势力的入侵、攻击、破坏基础信息网络及重要资讯系统违法犯罪在继续上升的基础信息网络及重要资讯系统安全风险很大。2.维护国家安全所需的基础信息网络及重要信息系统成为国家核心基础设施信息安全的重要组成部分，信息安全是非传统安全，信息安全的本质是信息对抗，技术对抗3，1，等级保护制度的主要内容，(2)国家对等级保护制度的要求1。中华人民共和国电脑资讯系统安

2、全保护条例(国务院147号):“电脑资讯系统安全等级保护、等级分类标准和安全等级保护的具体方法由公安部会同相关部门制定。”一、等级保护制度的主要内容，二、国家信息化指导小组对加强信息安全保障工作的意见(中发200327号)规定：要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要资讯系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理方法和技术方针。1.等级保护制度的主要内容，(3)等级保护制度的地位和作用是国家信息安全保障工作的基本制度、基本国策。执行信息安全操作的默认方法。这是促进国家信息化和维护国家信息安全的根本保障。一、等级保护制度的主要内容，一、等级保护制度

3、的主要内容，(四)实行等级保护制度的主要目的是重点、姜潮、保护重点有利于同时建设、协调发展。优化信息安全资源的配置。明确信息安全责任。推进信息安全产业发展。国家发展改革部门、财政部门、科学技术部门、公安机关为重要的资讯系统政策提供支持。1.等级保护制度的主要内容，(5)公安机关组织等级保护工作的依据，1、规定依法警察履行“监督电脑资讯系统安全工作”的义务。2.国务院147号法令规定：“公安部主管全国电脑资讯系统安全工作”、“等级保护的具体办法由公安部会同相关部门制定”。3，2008年国务院三政方案，公安机关的新功能：“教练、检查、地图信息安全等级保护工作”。(6)等级保护工作的主要内容是安全保

4、护和监督资讯系统等级。五茄子规定措施：资讯系统等级、记录、安全建设整顿、等级评估、教练检查。信息安全产品等级使用管理。信息安全事件等级应对，处置。一级保护制度的主要内容，一级保护制度的主要内容，(7)相关部门的责任和义务职能部门：制定管理规范和技术标准，组织实施，教练，检查，地图。行业主管部门：督促、检查、本行业地图，本部门开展等级保护工作。运营和使用单位：进行资讯系统等级、记录、建设整顿、等级评估、自检等工作，实现等级保护系统的各种要求。安全服务机构：进行技术支持、服务等，接受教练部门的教练和管理。第一，等级保护制度的主要内容，国家信息安全职能部门责任分担公安机关：主导部门、教练、检查、地图

5、信息安全等级保护工作。国家机密部门：等级保护工作中有关秘密工作的教练、检查、地图。国家秘密资讯系统等级保护相关的国家密码管理部门：在等级保护工作中，负责密码工作的教练、检查、地图产业和信息化部门：在等级保护工作中，负责部门间的协调。1、等级保护制度的主要内容，(8)执行等级保护工作的基本要求各部门、各部门、“准确定等级、严格批准、及时记录、认真整顿、科学评价”的要求，进行等级保护等级、记录、纠正、评价等。公安机关要及时进行监督检查，严格审查资讯系统等级，进行资讯系统检查、整顿、评价等。故意降低资讯系统安全水平，避开公安、保密、密码部门监督，造成资讯系统重大安全事故的，要追究单位和人员的责任。(

6、a)信息安全等级保护政策系统近年来，根据国务院147号的权限，公安部与国家秘密局、国家密码管理局、发展改革委员会、原来国务院情报处一起推出了一些文件，公安部和地方厅对一些具体工作提出了一些指导和规范，构成了信息安全等级保护政策体系。集合为信息安全等级保护工作，供相关部门和部门使用。第二，等级保护政策体系和标准体系，政策体系，(1)信息安全等级保护政策体系，1 .关于信息安全等级保护工作的实施意见(共同200466号)2、信息安全等级保护管理方法、公共200743号)3、关于全国重要资讯系统安全等级保护等级工作的通知(共同2007861号)4、信息安全等级保护记录实施细则(公信20071333资

7、讯系统等级保护安全建设) 国家电子政务工程加强项目信息安全风险评估工作通知(肉20082071号变更)7、促进信息安全等级保护评价体系建设和执行等级评价工作的通知(公信案2010 30 8)。 有关发行资讯系统安全等级评价报告模板的通知(公信案20091487号)9，公安机关信息安全等级保护检查工作规范(公信案2008736号)，(2)信息安全等级保护标准体系，多年来在相关部门的支持下，国内相关，(b)信息安全等级保护标准系统，基本标准在此基础上开发技术类、管理类、产品类标准。安全要求：资讯系统安全级别保护基本要求资讯系统安全级别保护的行业规范，(2)信息安全级别保护标准系统，系统等级：资讯系

8、统安全级别保护等级指南资讯系统安全级别保护产业等级保护规则方法指南：资讯系统安全级别保护实施指南信息系统级别保护安全设计技术要求现状分析：信息系统安全级别保护评估要求信息系统安全级别保护评估流程指南， (2)信息安全级保护标准系统、应用标准中需要注意的几个茄子问题：1、基本要求不包括阶段性目标、资讯系统级保护安全设计技术2、基本要求不包括安全设计和工程实施，因此可以参考资讯系统级保护安全设计技术要求等进行标准。(b)信息安全级保护标准系统，3，整顿安全建设时，必须根据业务信息安全水平和系统服务安全水平确定基本要求中适当的安全要求。4.重点行业可以在基本要求等国家标准、行业特点和特殊安全要求、公

9、安部等相关部门的指导下制定行业标准规范或细则。3、等级保护工作的具体内容和要求，(1)信息安全等级保护等级工作资讯系统等级原则：“自律等级，专家审查，主管部门批准，公安机关审查”。具体按照全省重要资讯系统安全等级保护等级工作的通知(官署2007155号)执行。分级工作流程：确定分级对象，确定资讯系统安全等级，配置专家评审，主管部门批准，公安机关审计。3、确定等级保护工作的具体内容和要求，1、等级对象支撑和传输的信息网络(包括专用网、内部网、外部网、网络管理系统)。各种业务系统各部门的网站，用于生产、调度、管理、指挥、任务、控制、办公室等目的。3、确定等级保护工作的具体内容和要求，2、资讯系统安

10、全等级管理方法中规定的五个等级：一级，资讯系统破坏后，损害公民、法人及其他组织的合法权益，但不损害国家安全、社会秩序和公共利益。第二，资讯系统破坏后，可能严重损害公民、法人及其他组织的合法权益，或损害社会秩序和公共利益，但不损害国家安全。三级，资讯系统破坏后，会严重损害社会秩序和公共利益，或损害国家安全。第四级，资讯系统破坏后，会对社会秩序和公共利益造成特别严重的危害，或对国家安全造成严重的危害。五级，资讯系统破坏后，对国家安全会造成特别严重的危害。3、等级保护工作的具体内容和要求，在实际运行中确定资讯系统等级。请参阅：一级资讯系统：小型民间、个体经营者、中小学、乡镇所属资讯系统、县级单位中的

11、普通资讯系统。二级资讯系统：县级部分单位中重要的资讯系统适用市级以上国家机关、企业事业单位内的普通资讯系统。例如，不包含商业秘密、商业秘密、敏感信息的办公室系统和管理系统。适用于三级保护工作的具体内容和要求，三级资讯系统：一般是市级以上国家机关、企业、事业单位内的重要资讯系统，如包含商业秘密、商业秘密、敏感信息的办公系统和管理系统。生产、调度、管理、指挥、工作、控制和地方、地方、地方、地方、地方、地方、地方、地方、地方、地方、地方、地方、地方中央部门、地方(区)，三级保护工作的具体内容和要求，四级资讯系统：一般适用于国家重要领域、部门中影响国计民生、国家利益、国家安全、社会稳定的核心系统。例如

12、，电力生产控制系统、银杏核心业务系统、电信核心网络、铁路票系统、列车指挥调度系统等。3.分级工作要注意的问题类似资讯系统安全水平随着部门、省、市行政水平的降低而渡边杏。新系统必须在计划设计阶段进行分级，并根据资讯系统等级同时实施计划、同步设计、安全技术措施和管理措施。3，等级保护工作的具体内容和要求，(2)资讯系统提交工作包括管理资讯系统记录、接收、审计和提交信息。具体按照全省重要资讯系统安全等级保护等级工作的通知要求开展。1.第二级以上资讯系统记录，从资讯系统运营适用单位到所在地九雪区的市级以上公安机关网络安全保卫部办理文件手续，并填写资讯系统安全等级保护记录表。，3、等级保护工作的具体内容

13、和要求，3、等级保护工作的具体内容和要求，向省、自治区、直辖单位、市之间或全省统一联网运营的资讯系统、主管部门提交给省、公安厅。各行业统一级资讯系统各地分支系统、上级主管部门分级，也要向当地公安网络安全保卫部申报。2、受理文件，审查公安机关收到文件，按照信息安全等级保护文件执行细则审查文件资料，确定等级正确，资料符合要求的，由公安部统一监督的文件证明。3、分级保护工作的具体内容和要求，(3)资讯系统安全建设整顿工作充分理解工作的复杂性和困难：政策性和技术性很强。涉及的范围很广。加强资讯系统安全改造需要国家在经费上支持。地方间全国联网的大型系统结构复杂，实时保障性高，数据重要，改造周期长。3，等

14、级保护工作的具体内容和要求，1，利用工作目标3年。努力到2012年完成。开展安全管理制度建设、技术措施建设、等级评价等三项茄子重点工作。5实现茄子目标：一是资讯系统安全管理水平明显提高，二是资讯系统安全预防能力明显提高，三是资讯系统安全风险和安全事故明显减少，四是有效保障信息化健康发展，五是有效保护国家安全、社会秩序和公共利益。(c)资讯系统安全建设整顿工作，2、工作范围和工作特性工作范围：包括记录的二次(包括)以上资讯系统安全建设整顿范围。尚未分级的资讯系统，要先分级，不允许分级的要先纠正，然后开展安全建设整顿。新建的系统必须同时开展安全建设工作。工作特点：继承发展、引进标准、外部教练、政策

15、牵引、(3)资讯系统安全建设整顿工作、3、工作方法姜潮重要系统、2级考虑。示范示范，普及产业。管理制度建设和技术措施建设同步或分阶段实施。强化改造，不足的要补充什么；整体安全建设整顿计划也可以进行。利用信息安全等级保护综合工作平台，使等级保护工作正常化。(c)资讯系统安全建设整顿工作，4、工作内容(1)等级保护安全管理制度建设1是实行信息安全责任制。第二，实施人力安全管理系统。第三，系统建设管理系统的实施。第四，系统运行维护管理系统的实施。(三)资讯系统安全建设整顿工作，实行信息安全责任制：建立信息安全工作指导机构，明确信息安全工作主管指导。设立专业信息安全管理部门或实施信息安全责任部门，确定

16、安全职务，实施专业或兼职员工。明确履行地图机关、责任部门及相关人员的信息安全责任。实施人员安全管理制度：制定人员招聘、离职、考核、教育培训等管理制度，实施管理的具体措施。对安全职工要进行安全审查，定期进行训练、审查、安全秘密教育。提高安全职工的专业水平，逐步获得安全职工资格证书履行职责。(c)资讯系统安全建设整顿工作，实施系统建设管理系统：记录资讯系统等级、节目设计、使用产品采购、软件开发、工程实施、验收交付、等级评估、安全服务等管理系统建设，了解工作内容、工作方法、工作流程和工作要求，实施系统运行和维护管理系统： 建立事件处理等管理系统，制定费翔计划，采取适当的管理技术措施和手段，确保系统运行和维护系统。，(三)资讯系统安全建设整顿工作，(二)制定等级保护安全技术措施建设产业特点和安全要求相结合，制定符合相应等级要求的资讯系统安全技术建设整顿方案，建设安全技术措施。为了达到适当级别的资讯系统安全技术要求，可以采用“中央3D保护”保护战略。(c)资讯系统安全建设整顿工作，资讯系统安全建设整顿节目主要内容：项目背景政策和技术标准安全需求分析安全建设整顿技术方案设计安全建设整顿管理系统设计资讯系统安全产品选择和技术指标安全监测整顿后资讯系统剩余风险分析安全建设整顿建