《信息安全等級保護制度的主要內(nèi)容和工作要求概述PPT 39頁[共39頁]》由會員分享，可在線閱讀，更多相關《信息安全等級保護制度的主要內(nèi)容和工作要求概述PPT 39頁[共39頁]（39頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、信息安全等級保護制度的主要內(nèi)容和工作要求一、信息安全等級保護制度的主要內(nèi)容一、信息安全等級保護制度的主要內(nèi)容二、信息安全等級保護政策、標準體系二、信息安全等級保護政策、標準體系三、等級保護工作的具體內(nèi)容和工作要求三、等級保護工作的具體內(nèi)容和工作要求一、等級保護制度的主要內(nèi)容一、等級保護制度的主要內(nèi)容（一）國家為什么要實施信息安全等級保（一）國家為什么要實施信息安全等級保護制度護制度1.信息安全形勢嚴峻敵對勢力的入侵、攻擊、破壞針對基礎信息網(wǎng)絡和重要信息系統(tǒng)的違法犯罪持續(xù)上升基礎信息網(wǎng)絡和重要信息系統(tǒng)安全隱患嚴重2. 是維護國家安全的需要是維護國家安全的需要l基礎信息網(wǎng)絡和重要信息系統(tǒng)已成為國家

2、關基礎信息網(wǎng)絡和重要信息系統(tǒng)已成為國家關鍵基礎設施鍵基礎設施l信息安全是國家安全的重要組成部分信息安全是國家安全的重要組成部分l信息安全是非傳統(tǒng)安全，信息安全本質(zhì)是信信息安全是非傳統(tǒng)安全，信息安全本質(zhì)是信息對抗、技術對抗息對抗、技術對抗3、是國際上通行的做法。、是國際上通行的做法。一、等級保護制度的主要內(nèi)容一、等級保護制度的主要內(nèi)容（二）國家對等級保護制度的要求（二）國家對等級保護制度的要求1.中華人民共和國計算機信息系統(tǒng)安全保護中華人民共和國計算機信息系統(tǒng)安全保護條例條例（國務院（國務院147號令）：號令）：“計算機信息計算機信息系統(tǒng)實行安全等級保護，等級的劃分標準和系統(tǒng)實行安全等級保護，等

3、級的劃分標準和安全等級保護的具體辦法，由公安部會同有安全等級保護的具體辦法，由公安部會同有關部門制定。關部門制定。”一、等級保護制度的主要內(nèi)容一、等級保護制度的主要內(nèi)容2、國家信息化領導小組關于加強信息安全國家信息化領導小組關于加強信息安全保障工作的意見保障工作的意見（中辦發(fā)（中辦發(fā)200327號）規(guī)號）規(guī)定：要重點保護基礎信息網(wǎng)絡和關系國家定：要重點保護基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和度，制定信息安全等級保護的管理辦法和技術

4、指南。技術指南。一、等級保護制度的主要內(nèi)容一、等級保護制度的主要內(nèi)容（三）等級保護制度的地位和作用（三）等級保護制度的地位和作用l是國家信息安全保障工作的基本制度、基是國家信息安全保障工作的基本制度、基本國策。本國策。l是開展信息安全工作的基本辦法。是開展信息安全工作的基本辦法。l是促進國家信息化、維護國家信息安全是促進國家信息化、維護國家信息安全 的的根本保障。根本保障。一、等級保護制度的主要內(nèi)容一、等級保護制度的主要內(nèi)容一、等級保護制度的主要內(nèi)容一、等級保護制度的主要內(nèi)容 （四）實施等級保護制度的主要目的（四）實施等級保護制度的主要目的明確重點、突出重點、保護重點明確重點、突出重點、保護重

5、點有利于同步建設、協(xié)調(diào)發(fā)展。有利于同步建設、協(xié)調(diào)發(fā)展。 優(yōu)化信息安全資源的配置。優(yōu)化信息安全資源的配置。明確信息安全責任。明確信息安全責任。推動信息安全產(chǎn)業(yè)發(fā)展。推動信息安全產(chǎn)業(yè)發(fā)展。 國家發(fā)展改革部門、財政部門、科技部門、公國家發(fā)展改革部門、財政部門、科技部門、公安機關對重要信息系統(tǒng)在政策上給予支持。安機關對重要信息系統(tǒng)在政策上給予支持。一、等級保護制度的主要內(nèi)容一、等級保護制度的主要內(nèi)容( (五五) )公安機關組織開展等級保護工作的依據(jù)公安機關組織開展等級保護工作的依據(jù) 1 1、警察法警察法規(guī)定：警察履行規(guī)定：警察履行“監(jiān)督管理計算機信監(jiān)督管理計算機信息系統(tǒng)的安全保護工作息系統(tǒng)的安全保護工

6、作”的職責。的職責。2 2、國務院第、國務院第147147號令規(guī)定：號令規(guī)定：“公安部主管全國計算公安部主管全國計算機信息系統(tǒng)安全保護工作機信息系統(tǒng)安全保護工作”，“等級保護的具體等級保護的具體辦法，由公安部會同有關部門制定辦法，由公安部會同有關部門制定”。3 3、20082008年國務院三定方案，公安機關新增職能：年國務院三定方案，公安機關新增職能：“監(jiān)督、檢查、指導信息安全等級保護工作監(jiān)督、檢查、指導信息安全等級保護工作”。 （六）等級保護工作的主要內(nèi)容（六）等級保護工作的主要內(nèi)容l對信息系統(tǒng)分等級進行安全保護和監(jiān)管。對信息系統(tǒng)分等級進行安全保護和監(jiān)管。五個規(guī)定動作五個規(guī)定動作：信息系統(tǒng)定

7、級、備案、安全：信息系統(tǒng)定級、備案、安全建設整改、等級測評、監(jiān)督檢查。建設整改、等級測評、監(jiān)督檢查。l信息安全產(chǎn)品分等級使用管理。信息安全產(chǎn)品分等級使用管理。l信息安全事件分等級響應、處置。信息安全事件分等級響應、處置。一、等級保護制度的主要內(nèi)容一、等級保護制度的主要內(nèi)容一、等級保護制度的主要內(nèi)容一、等級保護制度的主要內(nèi)容 （七）相關部門的責任和義務（七）相關部門的責任和義務職能部門：制定管理規(guī)范和技術標準，組織實施，開展職能部門：制定管理規(guī)范和技術標準，組織實施，開展監(jiān)督、檢查、指導。監(jiān)督、檢查、指導。 行業(yè)主管部門：督促、檢查、指導本行業(yè)、本部門開展行業(yè)主管部門：督促、檢查、指導本行業(yè)、本

8、部門開展等級保護工作等級保護工作。 運營使用單位：開展信息系統(tǒng)定級、備案、建設整改、運營使用單位：開展信息系統(tǒng)定級、備案、建設整改、等級測評、自查等工作，落實等級保護制度的各項要求等級測評、自查等工作，落實等級保護制度的各項要求安全服務機構：開展技術支持、服務等工作，并接受監(jiān)安全服務機構：開展技術支持、服務等工作，并接受監(jiān)管部門的監(jiān)督管理。管部門的監(jiān)督管理。一、等級保護制度的主要內(nèi)容一、等級保護制度的主要內(nèi)容 國家信息安全職能部門職責分工國家信息安全職能部門職責分工公安機關：公安機關：牽頭部門牽頭部門，監(jiān)督、檢查、指導信息安全等級，監(jiān)督、檢查、指導信息安全等級保護工作。保護工作。國家保密部門：

9、負責等級保護工作中有關保密工作的監(jiān)國家保密部門：負責等級保護工作中有關保密工作的監(jiān)督、檢查、指導。并負責涉及國家秘密信息系統(tǒng)分級保督、檢查、指導。并負責涉及國家秘密信息系統(tǒng)分級保護護國家密碼管理部門：負責等級保護工作中有關密碼工作國家密碼管理部門：負責等級保護工作中有關密碼工作的監(jiān)督、檢查、指導的監(jiān)督、檢查、指導工業(yè)和信息化部門：負責等級保護工作中部門間的協(xié)調(diào)。工業(yè)和信息化部門：負責等級保護工作中部門間的協(xié)調(diào)。一、等級保護制度的主要內(nèi)容一、等級保護制度的主要內(nèi)容（八）開展等級保護工作的基本要求（八）開展等級保護工作的基本要求各單位、各部門，按照“準確定級、嚴格審批、及時備案、認真整改、科學測評

10、”的要求開展等級保護的定級、備案、整改、測評等工作。公安機關要及時開展監(jiān)督檢查，嚴格審查信息系統(tǒng)所定級別，嚴格檢查信息系統(tǒng)開展備案、整改、測評等工作。對故意將信息系統(tǒng)安全級別定低，逃避公安、保密、密碼部門監(jiān)管，造成信息系統(tǒng)出現(xiàn)重大安全事故的，要追究單位和人員的責任。（一）信息安全等級保護政策體系 近幾年，公安部根據(jù)國務院147號令的授權，會同國家保密局、國家密碼管理局、發(fā)改委、原國務院信息辦出臺了一些文件，公安部和省廳對有些具體工作出臺了一些指導意見和規(guī)范，構成了信息安全等級保護政策體系。 匯集成信息安全等級保護工作匯編供有關單位、部門使用。二、等級保護政策體系和標準體系二、等級保護政策體系和

11、標準體系 政政 策策 體體 系系信息安全等級保護工作信息安全等級保護工作定級定級備案備案安全建設整改安全建設整改等級測評等級測評關于開展全國重要信息系統(tǒng)安全等級保護定級關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知工作的通知（公信安（公信安20078612007861號）號）檢查檢查信息安全等級保護管理辦法（公通字信息安全等級保護管理辦法（公通字200743200743號號) )關于信息安全等級保護工作的實施意見（公通字關于信息安全等級保護工作的實施意見（公通字200466200466號）號）中華人民共和國計算機信息系統(tǒng)安中華人民共和國計算機信息系統(tǒng)安全保護條例全保護條例( (國務院國務院

12、147147號令號令) )國家信息化領導小組關于加強信息安全保國家信息化領導小組關于加強信息安全保障工作的意見障工作的意見（中辦發(fā)（中辦發(fā)200327200327號）號）信息安全等級保護備案實施細則信息安全等級保護備案實施細則（公信安（公信安2007136020071360號）號）關于開展信息安全等級保護安全建設整改工作關于開展信息安全等級保護安全建設整改工作的指導意見的指導意見( (公信安公信安2009142920091429號號) )關于加強國家電子政務工程建設項目信息安全風關于加強國家電子政務工程建設項目信息安全風險評估工作的通知（發(fā)改高技險評估工作的通知（發(fā)改高技20082071200

13、82071號）號）關于推動信息安全等級保護測評體系建設和開關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知展等級測評工作的通知（公信安（公信安20103032010303號）號）信息系統(tǒng)安全等級測評報告模版（試行）信息系統(tǒng)安全等級測評報告模版（試行） （公信（公信安安2009148720091487）公安機關信息安全等級保護檢查工作規(guī)范公安機關信息安全等級保護檢查工作規(guī)范 （公信（公信安安20087362008736號）號）1、 關于信息安全等級保護工作的實施意見關于信息安全等級保護工作的實施意見（公通（公通字字200466號）號）2、 信息安全等級保護管理辦法信息安全等級保護管理

14、辦法公通字公通字200743號）號） 3、 關于開展全國重要信息系統(tǒng)安全等級保護定級工關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知作的通知（公通字（公通字2007861號）號）4、 信息安全等級保護備案實施細則信息安全等級保護備案實施細則 （公信安（公信安20071360號）號） 5、 關于開展信息系統(tǒng)等級保護安全建設整改工作的關于開展信息系統(tǒng)等級保護安全建設整改工作的指導意見指導意見公信安公信安20091429號）號）6、關于加強國家電子政務工程建設項目信息安全風關于加強國家電子政務工程建設項目信息安全風險評估工作的通知險評估工作的通知（發(fā)改高技（發(fā)改高技20082071號）號）7、關

15、于推動信息安全等級保護測評體系建設和開展關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知等級測評工作的通知（公信安（公信安2010303號）。號）。8、關于印發(fā)關于印發(fā)信息系統(tǒng)安全等級測評報告模版（試信息系統(tǒng)安全等級測評報告模版（試行）行）的通知的通知（公信安（公信安20091487號）號）9、公安機關信息安全等級保護檢查工作規(guī)范公安機關信息安全等級保護檢查工作規(guī)范（公（公信安信安2008736號號 ） 多年來，在有關部門支持下，在國內(nèi)有關專家、企業(yè)的共同努力下，全國信息安全標準化技術委員會和公安部信息系統(tǒng)安全標準化技術委員會組織制訂了信息安全等級保護工作系列標準，形成了比較完整的

16、信息安全等級保護標準體系?；A標準： 計算機信息系統(tǒng)安全保護等級劃分準則。 在此基礎上制定出技術類、管理類、產(chǎn)品類標準。安全要求： 信息系統(tǒng)安全等級保護基本要求 信息系統(tǒng)安全等級保護的行業(yè)規(guī)范系統(tǒng)定級：信息系統(tǒng)安全等級保護定級指南 信息系統(tǒng)安全等級保護行業(yè)定級細則方法指導：信息系統(tǒng)安全等級保護實施指南信息系統(tǒng)等級保護安全設計技術要求現(xiàn)狀分析：信息系統(tǒng)安全等級保護測評要求信息系統(tǒng)安全等級保護測評過程指南在應用有關標準中需注意的幾個問題：在應用有關標準中需注意的幾個問題：1、基本要求基本要求是階段性目標，是階段性目標，信息系統(tǒng)等級信息系統(tǒng)等級保護安全設計技術要求保護安全設計技術要求是實現(xiàn)該目標的方

17、法是實現(xiàn)該目標的方法和途徑之一。和途徑之一。2、基本要求基本要求中不包含安全設計和工程實施等中不包含安全設計和工程實施等內(nèi)容，因此可以參照內(nèi)容，因此可以參照信息系統(tǒng)等級保護安全信息系統(tǒng)等級保護安全設計技術要求設計技術要求等標準進行。等標準進行。3、在進行安全建設整改時，應根據(jù)業(yè)務信息安全、在進行安全建設整改時，應根據(jù)業(yè)務信息安全等級和系統(tǒng)服務安全等級確定等級和系統(tǒng)服務安全等級確定基本要求基本要求中中相應的安全保護要求。相應的安全保護要求。4、重點行業(yè)可以按照基本要求等國家標準，結(jié)合行業(yè)特點和特殊安全需求，在公安部等有關部門指導下，制定行業(yè)標準規(guī)范或細則。（一）信息安全等級保護定級工作 信息系統(tǒng)

18、定級原則：“自主定級、專家評審、主管部門審批、公安機關審核”。具體可按照關于開展全省重要信息系統(tǒng)安全等級保護定級工作的通知（贛公字2007155號）要求執(zhí)行。 定級工作流程：確定定級對象、確定信息系統(tǒng)安全保護等級、組織專家評審、主管部門審批、公安機關審核。1、確定定級對象、確定定級對象起支撐、傳輸作用的信息網(wǎng)絡（包括專起支撐、傳輸作用的信息網(wǎng)絡（包括專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)、網(wǎng)管系統(tǒng)）。網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)、網(wǎng)管系統(tǒng)）。用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制、辦公等目的各類業(yè)務系統(tǒng)?？刂?、辦公等目的各類業(yè)務系統(tǒng)。各單位網(wǎng)站。各單位網(wǎng)站。2 2、確定信息系統(tǒng)安全保護等級 管理

19、辦法規(guī)定的五個等級：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。三、等級保護工作的具體內(nèi)容和要求三、等級保護工作的具體內(nèi)容和要求實際操作中參考確定信息系統(tǒng)等級：實際操

20、作中參考確定信息系統(tǒng)等級：第一級信息系統(tǒng)：適用于小型私營、個體企業(yè)、中小學、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)。第二級信息系統(tǒng)：適用于縣級某些單位中的重要信息系統(tǒng)；地市級以上國家機關、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。第三級信息系統(tǒng)：一般適用于地市級以上國家機關、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)，例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、?。▍^(qū)、市）門戶網(wǎng)站和重要網(wǎng)站；跨省聯(lián)接的網(wǎng)絡系統(tǒng)等。

21、第四級信息系統(tǒng)：一般適用于國家重要領域、部門中涉及國計民生、國家利益、國家安全，影響社會穩(wěn)定的核心系統(tǒng)。例如電力生產(chǎn)控制系統(tǒng)、銀行核心業(yè)務系統(tǒng)、電信核心網(wǎng)絡、鐵路客票系統(tǒng)、列車指揮調(diào)度系統(tǒng)等。3、定級工作需要注意的問題 同類信息系統(tǒng)的安全保護等級不能隨著部、省、市行政級別的降低而降低。 新建系統(tǒng)在規(guī)劃設計階段應確定等級，按照信息系統(tǒng)等級，同步規(guī)劃、同步設計、同步實施安全保護技術措施和管理措施。（二）信息系統(tǒng)備案工作 備案工作包括：信息系統(tǒng)備案、受理、審核和備案信息管理。具體按照關于開展全省重要信息系統(tǒng)安全等級保護定級工作的通知要求開展。 1、備案第二級以上信息系統(tǒng)，由信息系統(tǒng)運營適用單位到所在

22、地設區(qū)的市級以上公安機關網(wǎng)絡安全保衛(wèi)部門辦理備案手續(xù)，填寫信息系統(tǒng)安全等級保護備案表。省直單位、跨市或者全省統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)，由主管部門向省公安廳備案；各行業(yè)統(tǒng)一定級信息系統(tǒng)在各地的分支系統(tǒng)，即使是上級主管部門定級的，也要到當?shù)毓簿W(wǎng)絡安全保衛(wèi)部門備案。 2、受理備案與審核、受理備案與審核 公安機關受理備案，按照信息安全等級保護備案實施細則要求，對備案材料進行審核，定級準確、材料符合要求的頒發(fā)由公安部統(tǒng)一監(jiān)制的備案證明。三、等級保護工作的具體內(nèi)容和要求三、等級保護工作的具體內(nèi)容和要求3、測評業(yè)務范圍、測評業(yè)務范圍 物理安全，主機安全，應用安全，網(wǎng)絡安全， 數(shù)據(jù)安全，及備份與恢復，安全管理

23、機構， 安全管理制度，人員安全管理，系統(tǒng)建設管理 系統(tǒng)運維管理10個類別進行測評。共計73個測 評項，290個測評指標。 其中44個子類符合，27個子類基本符合，1個 子類不符合，1個子類不適用。三、等級保護工作的具體內(nèi)容和要求三、等級保護工作的具體內(nèi)容和要求4、二級與三級的測評內(nèi)容區(qū)別、二級與三級的測評內(nèi)容區(qū)別物理環(huán)境：對重要的設備和磁介質(zhì)實施電磁屏 蔽。網(wǎng)絡環(huán)境：按照對業(yè)務服務的重要次序來指定帶寬分配優(yōu)先級別。網(wǎng)絡端口配置要達到端口級別。主機服務器：身份鑒別要達到兩種以上。應用系統(tǒng)：身份鑒別達到兩種以上之外，對并 發(fā)會話連接數(shù)進行限制。（四）信息安全等級保護測評工作（四）信息安全等級保護測

24、評工作 等級測評是測評機構依據(jù)國家信息安全等級保護制度規(guī)定，按照有關管理規(guī)范和技術標準，對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。是信息安全等級保護工作的重要環(huán)節(jié)。 公安機關按照關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知（公信安2010303號）要求，開展測評機構和測評人員的管理工作，保證等級測評的客觀、公正和安全。1、測評機構和測評人員的管理、測評機構和測評人員的管理 （1）職責分工）職責分工國家信息安全等級保護工作協(xié)調(diào)小組辦公室（以下簡稱“等保辦”）負責隸屬國家信息安全職能部門和重點行業(yè)測評機構的申請受理、審批推薦和監(jiān)督檢查等工作。各省級等保辦負責等級測評機構的申請受理、審核推薦和監(jiān)督檢查等工作。公安部信息安全等級保護評估中心（以下簡稱“評估中心”）負責測評機構的能力評估和培訓工作。 謝謝 謝！謝！