信息安全等级保护制度贯彻与实施.ppt

1、等级保护制度,江苏省公安厅网络安全保卫总队,贯彻与实施,目录,1,2,1,信息网络安全形势,等级保护制度概述,等级保护工作内容,答疑,2,3,4,目录,1,2,2,信息网络安全形势,等级保护制度概述,等级保护工作内容,答疑,1,3,4,信息安全等级保护制度的提出,基本概念,信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。,能够解决什么问题,通过开展等级保护工作，可以充分体现“明确重点、突出重点、保护重点”的目的，将有

2、限的财力、物力、人力投入到重要信息系统安全保护中，按标准建设安全保护措施，建立安全保护制度，落实安全责任，有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全，有效提高我国信息安全保障工作的整体水平。,职责分工,信息安全职能部门 公安机关 国家保密工作部门 国家密码管理部门 工业和信息化部门 信息系统运营使用单位及其主管部门 安全服务机构 专家组,配套政策体系,配套标准体系,目录,1,2,3,信息网络安全形势,等级保护制度概述,等级保护工作内容,答疑,2,1,4,总体流程,定级,定级,1、确定定级对象 具有唯一确定的安全责任单位 具有信息系统的基本要素 承载单一或相对独立

3、的业务应用,定级,定级对象范围包括： 起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统），网络要合理划分区域； 用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统； 各单位网站。,定级,2、确定等级,1、确定定级对象,2、确定业务信息安全受到破坏时所侵害的客体,5、确定系统服务安全受到破坏时所侵害的客体,3、综合评定对客体的侵害程度,6、综合评定对客体的侵害程度,依据表1,依据表2,7、系统服务安全等级,4、业务信息安全等级,8、定级对象的安全保护等级,定级,级别参考： 第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。 第二级信息

4、系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。,定级,第三级信息系统：一般适用于地市级以上国家机关、企事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络系统等。,定级,3、专家评审 信息系统运营使用单位在初步确定信息系统安全保护等级后，为了保证定级合理准确，可以聘请专家进行评审，并出具

5、专家评审意见。,定级,4、主管部门审批 有行业主管部门的报主管部门审批；单位自建的系统，等级确定后是否报上级主管部门审批，由各行业自行决定。,备案,备案对象：第二级以上（含）信息系统。 备案单位：信息系统运营、使用单位。 备案时限：信息系统安全保护等级确定后30日内。 备案受理机关：市级以上公安机关网安部门。 备案提交材料：备案表、备案文件。,备案审核,经审核，符合备案要求的，公安机关在收到备案材料之日起的10个工作日内，将加盖等级保护专用章的备案表一份反馈备案单位，一份建档留存。并将及时向备案单位颁发备案证明（每个信息系统对应一个备案证明）。,备案审核,对于定级不准的，公安机关将发送整改通知

6、，并建议信息系统运营使用单位组织专家重新定级评审，报上级主管部门审批。备案单位坚持原定等级的，公安机关可以受理其备案，但将书面告知其承担由此引发的责任和后果，经上级公安机关同意后，同时通报其上级主管部门。,安全建设整改,信息系统安全保护等级确定后，运营使用单位按照管理办法、关于开展信息系统等级保护安全建设整改工作的指导意见（公信安20091429号）等有关管理规范和技术标准，选择管理办法要求的信息安全产品，制定并落实安全管理制度。落实安全责任，建设安全设施，落实安全技术措施。,安全建设整改,1、基本要求,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全及备份恢复,

7、安全管理制度,安全管理机构,人员安全管理,系统建设管理,系统运维管理,安全建设整改,2、工作流程,安全建设整改,3、安全管理制度建设,安全建设整改,4、安全技术措施建设,等级测评,根据管理办法规定，信息系统按照基本要求等技术标准建设或改建完成后，运营使用单位应当选择符合条件的测评机构，定期对信息系统安全状况开展等级测评。第三级以上信息系统每年至少进行一次等级测评，对于重要部门的第二级信息系统，可以参照此要求开展等级测评工作。,等级测评,选择测评机构,等级测评,开展等级测评的时机 可以在信息系统安全建设整改之前进行测评工作，分析信息系统安全现状，排查信息系统安全隐患和薄弱环节，明确信息系统安全建

8、设整改的需求，制定安全建设整改方案，有针对性地进行安全建设整改；信息系统安全建设整改之后必须开展测评工作，检验安全建设整改成效，查找与等级保护标准要求的差距。,等级测评,测评管理 在测评工作过程中，各单位要对测评活动进行监督管理，与测评机构签订工作协议和保密协议，落实测评过程监管措施，防范对信息系统可能造成新的危害，要监督测评机构是否按照估计标准开展测评工作，测评人员是否有违规行为。完成测评工作30日内，测评报告向受理备案公安机关备案。,安全自查和监督检查,备案单位定期自查 行业主管部门督导检查 公安机关监督检查,安全自查和监督检查,查处违规行为 检查时，发现备案单位不符合信息安全等级保护有关管理规范和技术标准