呼伦贝尔市重要信息系统安全等级保护工作培训.ppt

《呼伦贝尔市重要信息系统安全等级保护工作培训.ppt》由会员分享，可在线阅读，更多相关《呼伦贝尔市重要信息系统安全等级保护工作培训.ppt（95页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、呼伦贝尔市重要信息系统呼伦贝尔市重要信息系统安全等级保护工作培训安全等级保护工作培训目 录 一、我国在信息安全保障工作中为什么要实行等级保护制度一、我国在信息安全保障工作中为什么要实行等级保护制度二、实行信息安全等级保护制度的目的二、实行信息安全等级保护制度的目的三、等级保护工作的主要流程三、等级保护工作的主要流程有哪些有哪些？开展等级保护基本要求开展等级保护基本要求是什么是什么 四、重要信息系统安全等级保护定级工作的主要步骤四、重要信息系统安全等级保护定级工作的主要步骤是什么是什么五、当前定级工作存在的主要问题及分析五、当前定级工作存在的主要问题及分析 六、定级工作完成后需要开展哪些工作六、

2、定级工作完成后需要开展哪些工作七七、开展安全等级保护工作依据的主要标准有哪些开展安全等级保护工作依据的主要标准有哪些 八、八、公安机关组织开展等级保护中的职责任务是什么公安机关组织开展等级保护中的职责任务是什么九、九、信息安全等级保护管理办法信息安全等级保护管理办法释义释义一、我国在信息安全保障工作中为一、我国在信息安全保障工作中为什么要实行等级保护制度什么要实行等级保护制度 当前，我国基础信息网络和重要信息系统安全面临当前，我国基础信息网络和重要信息系统安全面临的形势十分严峻，既有外部威胁，又有自身脆弱性和薄的形势十分严峻，既有外部威胁，又有自身脆弱性和薄弱环节。弱环节。一是针对基础信息网络

3、和重要信息系统的违法犯罪持续一是针对基础信息网络和重要信息系统的违法犯罪持续上升。上升。二是基础信息网络和重要信息系统安全隐患严重。二是基础信息网络和重要信息系统安全隐患严重。三是我国的信息安全保障工作基础还很薄弱。三是我国的信息安全保障工作基础还很薄弱。一、我国在信息安全保障工作中为一、我国在信息安全保障工作中为什么要实行等级保护制度什么要实行等级保护制度 一是针对基础信息网络和重要信息系统的违法犯一是针对基础信息网络和重要信息系统的违法犯 罪持续上升。罪持续上升。不法分子利用一些安全漏洞，使用病毒、木马、不法分子利用一些安全漏洞，使用病毒、木马、网络钓鱼等技术进行网络盗窃、网络诈骗、网络网

4、络钓鱼等技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪，对我国的经济秩序、社会管理赌博等违法犯罪，对我国的经济秩序、社会管理秩序和公民的合法权益造成严重侵害。秩序和公民的合法权益造成严重侵害。一、我国在信息安全保障工作中为一、我国在信息安全保障工作中为什么要实行等级保护制度什么要实行等级保护制度 二是基础信息网络和重要信息系统安全隐患严重。二是基础信息网络和重要信息系统安全隐患严重。由于各基础信息网络和重要信息系统的核心由于各基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口，在操设备、技术和高端服务主要依赖国外进口，在操作系统、专用芯片和大型应用软件等方面不能自作系统、专用

5、芯片和大型应用软件等方面不能自主可控，给我国的信息安全带来了深层的技术隐主可控，给我国的信息安全带来了深层的技术隐患。患。一、我国在信息安全保障工作中为一、我国在信息安全保障工作中为什么要实行等级保护制度什么要实行等级保护制度 三是我国的信息安全保障工作基础还很薄弱。三是我国的信息安全保障工作基础还很薄弱。信息安全意识和安全防范能力薄弱，信息系信息安全意识和安全防范能力薄弱，信息系统安全建设、监管缺乏依据和标准，安全保护措统安全建设、监管缺乏依据和标准，安全保护措施和安全制度不落实，监管措施不到位。施和安全制度不落实，监管措施不到位。二、实行信息安全等级保护制度的二、实行信息安全等级保护制度的

6、目的目的 信息安全等级保护是国家信息安全保障工作的基本制度、信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。工作中国家意志的体现。有效解决我国信息安全面临的威胁和存在的主要问题，有效解决我国信息安全面临的威胁和存在的主要问题，充分体现充分体现“适度安全、保护重点适度安全、保护重点”的目的，将有限的财力、的目的，将有限的财力、物力、人力投入到重要信息系统安全保护中，按

7、标准建设安物力、人力投入到重要信息系统安全保护中，按标准建设安全保护措施，建立安全保护制度，落实安全责任，有效保护全保护措施，建立安全保护制度，落实安全责任，有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全，有效提高我国信息安全保障工作的整体水信息系统的安全，有效提高我国信息安全保障工作的整体水平。平。二、实行信息安全等级保护制度的二、实行信息安全等级保护制度的目的目的 信息安全等级保护就是将全国的信息系统分成五个信息安全等级保护就是将全国的信息系统分成五个等级，定级后到公安机关备案（等级，定级后到公安机关备案（立户

8、口立户口），按标准建设），按标准建设整改，开展测评，公安机关开展监督检查。信息安全等整改，开展测评，公安机关开展监督检查。信息安全等级保护是国家意志的体现，在国家信息安全保障工作只级保护是国家意志的体现，在国家信息安全保障工作只有等级保护制度是强制实施的，也只有等级保护工作是有等级保护制度是强制实施的，也只有等级保护工作是四个部委共同组织实施的。四个部委共同组织实施的。信息安全等级保护是当今发达国家保护关键信息基信息安全等级保护是当今发达国家保护关键信息基础设施，保障信息安全的通行做法，也是我国多年来信础设施，保障信息安全的通行做法，也是我国多年来信息安全工作经验的总结息安全工作经验的总结三、

9、等级保护工作的主要流程包括哪些三、等级保护工作的主要流程包括哪些?主要流程包括六项内容：主要流程包括六项内容：一、自主定级与审批。一、自主定级与审批。二、评审。二、评审。三、备案。三、备案。四、系统安全建设。四、系统安全建设。五、等级测评。五、等级测评。六、监督检查。六、监督检查。三、等级保护工作的主要流程包括哪些三、等级保护工作的主要流程包括哪些?一、自主定级与审批一、自主定级与审批 信息系统运营使用单位按照信息系统运营使用单位按照信息安全等级信息安全等级保护管理办法保护管理办法（以下简称（以下简称管理办法管理办法）和）和信息系统安全保护定级指南信息系统安全保护定级指南，自主确定信息，自主确

10、定信息系统的安全保护等级。有上级主管部门的，应当系统的安全保护等级。有上级主管部门的，应当经上级主管部门审批。跨省或全国统一联网运行经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护的信息系统可以由其主管部门统一确定安全保护等级。等级。三、等级保护工作的主要流程包括哪些三、等级保护工作的主要流程包括哪些?二、评审二、评审 在信息系统确定安全保护等级过程中，可以在信息系统确定安全保护等级过程中，可以组织专家进行评审。对拟确定为第四级以上信息组织专家进行评审。对拟确定为第四级以上信息系统的，运营使用单位或主管部门应当邀请国家系统的，运营使用单位或主管部门应当邀请国

11、家信息安全保护等级专家评审委员会评审。信息安全保护等级专家评审委员会评审。三、等级保护工作的主要流程包括哪些三、等级保护工作的主要流程包括哪些?三、备案三、备案 第二级以上信息系统定级单位到所在地设区第二级以上信息系统定级单位到所在地设区的市级以上公安机关办理备案手续的市级以上公安机关办理备案手续。三、等级保护工作的主要流程包括哪些三、等级保护工作的主要流程包括哪些?四、系统安全建设四、系统安全建设 信息系统安全保护等级确定后，运营使用单信息系统安全保护等级确定后，运营使用单位按照管理规范和技术标准，选择位按照管理规范和技术标准，选择管理办法管理办法（第二十一条，共六项）要求的信息安全产品，（

12、第二十一条，共六项）要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。织，制定并落实安全管理制度。三、等级保护工作的主要流程包括哪些三、等级保护工作的主要流程包括哪些?五、等级测评五、等级测评 信息系统建设完成后，运营使用单位选择符信息系统建设完成后，运营使用单位选择符合合管理办法管理办法（第二十二条，共八项）要求的（第二十二条，共八项）要求的检测机构，对信息系统安全等级状况开展等级测检测机构，对信息系统安全等级状况开展等级测评。评。三、等级保护工作的主要流程包括哪些三、等级保护工作的主要流程包括哪些?六、监督检

13、查六、监督检查 公安机关依据信息安全等级保护管理规范，公安机关依据信息安全等级保护管理规范，监督检查运营使用单位开展等级保护工作，定期监督检查运营使用单位开展等级保护工作，定期对第三级以上的信息系统进行安全检查。对第三级以上的信息系统进行安全检查。信息系信息系统统运营使用单位应当接受公安机关的安全监督、运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。检查、指导，如实向公安机关提供有关材料。开展等级保护工作的总体要求开展等级保护工作的总体要求各基础信息网络和重要信息系统，按照各基础信息网络和重要信息系统，按照“准确定级、严准确定级、严格审批、及时备案、认真整改、科

14、学测评格审批、及时备案、认真整改、科学测评”的要求完成的要求完成等级保护的定级、备案、整改、测评等工作等级保护的定级、备案、整改、测评等工作。公安机关和保密、密码工作部门要及时开展监督检查，公安机关和保密、密码工作部门要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。案、整改、测评等工作。对故意将信息系统安全级别定低，逃避公安、保密、密对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追码部门监管，造成信息系统出现重大安全事故的，要追究单位和相关人员的责任。究单位

15、和相关人员的责任。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第一步：开展摸底调查第一步：开展摸底调查 第二步：确定定级对象第二步：确定定级对象 第三步：初步确定信息系统等级第三步：初步确定信息系统等级 第四步：信息系统等级评审第四步：信息系统等级评审 第五步：信息系统等级的最终确定与审批第五步：信息系统等级的最终确定与审批 第六步：备案第六步：备案 第七步：备案审核第七步：备案审核 第八步：及时总结并提交总结报告第八步：及时总结并提交总结报告 四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第一步第一步 开展摸底调查开展摸底调查 按照等级保护管理规范，各单位、各部门按

16、照等级保护管理规范，各单位、各部门可以组织开展对所属信息系统进行摸底调查，可以组织开展对所属信息系统进行摸底调查，摸清信息系统底数，掌握信息系统（包括信息摸清信息系统底数，掌握信息系统（包括信息网络）的业务类型、应用或服务范围、系统结网络）的业务类型、应用或服务范围、系统结构等基本情况，为下一步明确要求、落实责任构等基本情况，为下一步明确要求、落实责任奠定基础。奠定基础。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第二步第二步 确定定级对象确定定级对象 在在全全国国重重要要信信息息系系统统安安全全等等级级保保护护定定级级工工作作（以以下下简简称称“定定级级工工作作”）中中，如如何

17、何科科学学、合合理理地地确确定定定定级级对对象象是是最最关关键键、最最复复杂杂的的问问题题。信信息息系系统统运运营营使使用用单单位位或或主主管管部部门门按按如如下下原原则则确定定级对象：确定定级对象：四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第二步第二步 确定定级对象确定定级对象 确定定级对象的三个原则：确定定级对象的三个原则：1 1、承载相对独立或单一业务应用的信息系统；、承载相对独立或单一业务应用的信息系统；2 2、信息系统的信息安全由本单位主管；、信息系统的信息安全由本单位主管；3 3、具有信息系统的基本要素。（计算机及其相、具有信息系统的基本要素。（计算机及其相关配套设

18、备、设施构成的人机系统）关配套设备、设施构成的人机系统）只有同时满足上述三个条件，才可由本单位对只有同时满足上述三个条件，才可由本单位对其进行定级。其进行定级。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第二步第二步 确定定级对象确定定级对象 一一是是起起传传输输作作用用的的信信息息网网络络（专专网网、内内网网、外网等）要作为定级对象。外网等）要作为定级对象。二二是是各各单单位位网网站站要要作作为为独独立立的的定定级级对对象象。如如果果网网站站的的后后台台数数据据库库管管理理系系统统安安全全级级别别高高，也也要要作作为为独独立立的的定定级级对对象象。网网站站上上运运行行的的信信息

19、息系系统统（例例如如对对社社会会服服务务的的报报名名考考试试系系统统）也要作为独立的定级对象。也要作为独立的定级对象。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第二步第二步 确定定级对象确定定级对象 三三是是用用于于生生产产、调调度度、管管理理、作作业业、指指挥挥、办办公公等等目目的的的的各各类类应应用用系系统统，要要按按照照不不同同业业务务类类别别单单独独确确定定为为定定级级对对象象，不不以以系系统统是是否否进进行行数数据据交交换换、是是否否独独享享设设备备为确定定级对象条件。新建系统要在规划设计阶段定级。为确定定级对象条件。新建系统要在规划设计阶段定级。不不能能将将某某一一

20、类类信信息息系系统统作作为为一一个个定定级级对对象象。这这里里也也有有特特例例，例例如如，某某个个单单位位的的管管理理系系统统，最最初初设设计计时时，就就把把办办公公、车车辆辆管管理理、人人事事管管理理等等业业务务集集中中在在该该系系统统中中，该系统应作为一个定级对象。该系统应作为一个定级对象。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第二步第二步 确定定级对象确定定级对象 四四是是确确认认负负责责定定级级的的单单位位是是否否对对所所定定级级系系统统负负有业务主管责任。有业务主管责任。也也就就是是说说，业业务务部部门门应应主主导导对对业业务务信信息息系系统统定定级级，运运维维部

21、部门门（例例如如信信息息中中心心、托托管管方方）可可以以协协助助定级并按照业务部门的要求开展后续安全保护工作。定级并按照业务部门的要求开展后续安全保护工作。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第二步第二步 确定定级对象确定定级对象 五是具有信息系统的基本要素。五是具有信息系统的基本要素。作作为为定定级级对对象象的的信信息息系系统统应应该该是是由由相相关关的的和和配配套套的的设设备备、设设施施按按照照一一定定的的应应用用目目标标和和规规则则组组合合而而成成的的有有形形实实体体。应应避避免免将将某某个个单单一一的的系系统统组组件件（如如服服务务器器、终终端端、网网络络设设备等

22、）作为定级对象。备等）作为定级对象。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第二步第二步 确定定级对象确定定级对象 准准确确划划分分定定级级对对象象是是系系统统定定级级的的前前提提。定定级级对对象象划划分分太太细细，会会增增加加工工作作量量，不不利利于于限限定定责责任任主主体体，不不利利于于整整体体保保护护；定定级级对对象象划划分分太太粗粗，对对整整个个系系统统要要求求实实施施统统一一级级别别的的安安全全保保护护，不不利利于于明明确确重重点点，不不利利于于信信息息安安全资源的优化配置。全资源的优化配置。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第二步第二步 确

23、定定级对象确定定级对象 跨跨地地域域或或跨跨级级别别应应用用的的大大系系统统，如如果果各各地地或或各各级级运运营营、使使用用单单位位都都有有安安全全保保护护责责任任，建建议议每每地地或或每每级级都都要要单单独独确确定定一一个个定定级级对对象象，而而不不应应将将全全行行业业划划分分为为一一个个定定级级对对象象；在在一一个个大大的的网网络络平平台台上上运运行行的的多多个个业业务务应应用用系系统统，应应将将各各个个业业务务应应用用系系统统认认定定为各自独立系统，并分别确定为定级对象。为各自独立系统，并分别确定为定级对象。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第二步第二步 确定定级

24、对象确定定级对象 起起传传输输通通道道作作用用的的基基础础信信息息网网络络以以及及承承载载单单一一业业务务的的信信息息系系统统都都可可以以作作为为一一个个定定级级对象。对象。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第三步第三步 初步确定信息系统等级初步确定信息系统等级 信息系统的安全保护等级是信息系统的信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护客观属性，不以已采取或将采取什么安全保护措施为依据，也不以风险评估为依据。即从国措施为依据，也不以风险评估为依据。即从国家、人民群众的根本利益出发，考虑了信息系家、人民群众的根本利益出发，考虑了信息系统出

25、现问题后的最大风险。统出现问题后的最大风险。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第三步第三步 初步确定信息系统等级初步确定信息系统等级 信息系统的安全保护等级是以信息系统的重要性信息系统的安全保护等级是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统民群众合法权益的危害程度为依据，确定信息系统的安全保护等级。既要防止个别单位片面追求绝对的安全保护等级。既要防止个别单位片面追求绝对安全而定级过高，也要防止为了逃避监管定级偏低。安全而定级过高，也要防止为了逃避监管定级偏低。四

26、、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第三步第三步 初步确定信息系统等级初步确定信息系统等级 （一）确定受侵害客体（一）确定受侵害客体 定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。确定侵害客体时从定级对利益以及公民、法人和其他组织的合法权益。确定侵害客体时从定级对象的两方面进行考虑：一是业务信息安全被破坏时所侵害的客体象的两方面进行考虑：一是业务信息安全被破坏时所侵害的客体；二是；二是系统服务安全被破坏时所侵害的客体。系统服务安全被破坏时所侵害的客体。侵害国家安全的

27、事项包括以下方面：侵害国家安全的事项包括以下方面：影响国家政权稳固和国防实力；影响国家政权稳固和国防实力；影响国家统一、民族团结和社会安定；影响国家对外活动中的政治、经影响国家统一、民族团结和社会安定；影响国家对外活动中的政治、经济利益等；济利益等；侵害社会秩序、公共利益的事项包括以下方面：侵害社会秩序、公共利益的事项包括以下方面：影响国家机关社会影响国家机关社会管理和公共服务的工作秩序；影响各种类型的经济活动秩序等；影响社管理和公共服务的工作秩序；影响各种类型的经济活动秩序等；影响社会成员使用公共设施；影响社会成员获取公开信息资源等；会成员使用公共设施；影响社会成员获取公开信息资源等；影响公

28、民、法人和其他组织的合法权益影响公民、法人和其他组织的合法权益是指由法律确认的并受法律是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。保护的公民、法人和其他组织所享有的一定的社会权利和利益。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第三步第三步 初步确定信息系统等级初步确定信息系统等级 （二）确定对客体的侵害程度（二）确定对客体的侵害程度一般损害：一般损害：工作职能受到局部影响，业务能力有所降低但不影工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的资产损失，响主要功能的执行，出现较轻的法律问题，较低的资产损

29、失，有限的社会不良影响，对其他组织和个人造成较低损害。有限的社会不良影响，对其他组织和个人造成较低损害。严重损害：严重损害：工作职能受到严重影响，业务能力显著下降且严重工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。较大范围的社会不良影响，对其他组织和个人造成较严重损害。特别严重损害：特别严重损害：工作职能受到特别严重影响或丧失行使能力，工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问业

30、务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。个人造成非常严重损害。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第三步第三步 初步确定信息系统等级初步确定信息系统等级 （三）确定信息系统的安全保护等级（三）确定信息系统的安全保护等级 表表2、确定业务信息安全等级、确定业务信息安全等级业务业务信息安全被破坏信息安全被破坏时时所侵害的所侵害的客体客体对对相相应应客体的侵害程度客体的侵害程度一般一般损损害害严严重重损损害害特特别严别严重重损损害害公民、

31、法人和其他公民、法人和其他组织组织的合法的合法权权益益第一第一级级第二第二级级第二第二级级社会秩序、公共利益社会秩序、公共利益第二第二级级第三第三级级第四第四级级国家安全国家安全第三第三级级第四第四级级第五第五级级四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第三步第三步 初步确定信息系统等级初步确定信息系统等级 （三）确定信息系统的安全保护等级（三）确定信息系统的安全保护等级 表表3、确定系统服务安全等级、确定系统服务安全等级系系统统服服务务安全被破坏安全被破坏时时所侵害的所侵害的客体客体对对相相应应客体的侵害程度客体的侵害程度一般一般损损害害严严重重损损害害特特别严别严重重损损

32、害害公民、法人和其他公民、法人和其他组织组织的合法的合法权权益益第一第一级级第二第二级级第二第二级级社会秩序、公共利益社会秩序、公共利益第二第二级级第三第三级级第四第四级级国家安全国家安全第三第三级级第四第四级级第五第五级级四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第三步第三步 初步确定信息系统等级初步确定信息系统等级 （三）确定信息系统的安全保护等级（三）确定信息系统的安全保护等级 3、信息系统安全保护等级由业务信息安全等、信息系统安全保护等级由业务信息安全等级和系统服务安全等级两个等级的较高者决定。级和系统服务安全等级两个等级的较高者决定。（取高的原则）（取高的原则）四、定

33、级工作的主要步骤是什么四、定级工作的主要步骤是什么定级一般流程如图所示定级一般流程如图所示 四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第三步第三步 初步确定信息系统等级初步确定信息系统等级 （四四）各级如何确定）各级如何确定（针对具体单位、行业）（针对具体单位、行业）第一级信息系统：第一级信息系统：一般适用于乡镇所属信息系统、县级某些单一般适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。中的信息系统。中小学中的信息系统。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第

34、三步第三步 初步确定信息系统等级初步确定信息系统等级 （四四）各级如何确定）各级如何确定（针对具体单位、行业）（针对具体单位、行业）第二级信息系统：第二级信息系统：一般适用于县级单位的信息系统、地市级一般适用于县级单位的信息系统、地市级以上国家机关、企业、事业单位内部一般的信以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及工作秘密、息系统。例如小的局域网，非涉及工作秘密、商业秘密、敏感信息的办公系统等。商业秘密、敏感信息的办公系统等。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第三步第三步 初步确定信息系统等级初步确定信息系统等级 （四四）各级如何确定）各级

35、如何确定（针对具体单位、行业）（针对具体单位、行业）第三级信息系统：第三级信息系统：一般适用于地市级以上国家机关、企业、事业单位内部重一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统；重要领域、重要部门跨省、跨市或全国（省）联网运公系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行的重要信息系统在省、地行的信息系统；跨省或全国联网运行的重要信息系统在省、地市的分支系统；各部委官方网站和重要网站；跨省联接的信息市的分支系统；各部委官方网站和重要网站

36、；跨省联接的信息网络等。网络等。四、定级工作的主要步骤是什么 第三步第三步 初步确定信息系统等级初步确定信息系统等级 （四四）各级如何确定）各级如何确定（针对具体单位、行业）（针对具体单位、行业）第四级信息系统：第四级信息系统：一般适用于重要领域、重要部门三级信息系一般适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、电力等调度系统，银行、证券、保险、税务、海关等几十个重要行业中的核心系统。海关等几十个重要行业中的核心系统。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第三步第三

37、步 初步确定信息系统等级初步确定信息系统等级 （四四）各级如何确定）各级如何确定（针对具体单位、行业）（针对具体单位、行业）第五级信息系统：第五级信息系统：一般适用于重要领域、重要部门中的极端重一般适用于重要领域、重要部门中的极端重要系统。要系统。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第三步第三步 初步确定信息系统等级初步确定信息系统等级 （四四）各级如何确定）各级如何确定 信息网络的安全等级可以参照在其上运行信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级。安全需求确定适当的保护

38、等级。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第三步第三步 初步确定信息系统等级初步确定信息系统等级（五五）由谁确定与审批系统等级）由谁确定与审批系统等级 1 1、各地自建的系统（与上级单位无关），、各地自建的系统（与上级单位无关），自己定级。是否报上级主管部门审批，由各行自己定级。是否报上级主管部门审批，由各行业自行决定。业自行决定。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第三步第三步 初步确定信息系统等级初步确定信息系统等级（五五）由谁确定与审批系统等级）由谁确定与审批系统等级 2 2、跨省或者全国统一联网运行的信息系统，可以、跨省或者全国统一联网运行的

39、信息系统，可以由主管部门统一确定安全保护等级。其中：由各行业由主管部门统一确定安全保护等级。其中：由各行业统一规划、统一建设、统一安全保护策略的全国联网统一规划、统一建设、统一安全保护策略的全国联网系统，应由各部委统一对部、省、市系统分别确定等系统，应由各部委统一对部、省、市系统分别确定等级；由各部委统一规划、分级建设、全国联网的信息级；由各部委统一规划、分级建设、全国联网的信息系统，应由部、省、地市分别确定系统等级，但各行系统，应由部、省、地市分别确定系统等级，但各行业应对该类系统提出定级意见，避免出现同类系统下业应对该类系统提出定级意见，避免出现同类系统下级定级比上级高的现象。对于该类系统

40、的等级，下级级定级比上级高的现象。对于该类系统的等级，下级确定后需报上级主管部门审批。确定后需报上级主管部门审批。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第三步第三步 初步确定信息系统等级初步确定信息系统等级 （五五）由谁确定与审批系统等级）由谁确定与审批系统等级 对于仅提供系统网络传输服务的单位，可对于仅提供系统网络传输服务的单位，可以要求其单独将传输网络按照该网络所承载系以要求其单独将传输网络按照该网络所承载系统的最高等级确定网络的安全保护等级，实施统的最高等级确定网络的安全保护等级，实施网络安全防护。网络安全防护。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么

41、 第三步第三步 初步确定信息系统等级初步确定信息系统等级（五五）由谁确定与审批系统等级）由谁确定与审批系统等级 特特别别注注意意：不不能能随随着着部部、省省、市市行行政政级级别别降降低低，信信息息系系统统级级别别同同步步降降低低，例例如如地地市市级级的的重重要要行行业的重要系统不能定为一、二级。业的重要系统不能定为一、二级。五级监管五级监管等级等级对象对象侵害客体侵害客体侵害程度侵害程度监管强度监管强度第一第一级级一般一般系系统统合法合法权权益益一般一般损损害害自主保自主保护护第二第二级级合法合法权权益益严严重重损损害害指指导导社会秩序和公共利益社会秩序和公共利益一般一般损损害害第三第三级级重

42、要重要系系统统社会秩序和公共利益社会秩序和公共利益严严重重损损害害监监督督检查检查国家安全国家安全一般一般损损害害第四第四级级社会秩序和公共利益社会秩序和公共利益特特别严别严重重损损害害强强制制监监督督检查检查国家安全国家安全严严重重损损害害第五第五级级极端极端重要重要系系统统国家安全国家安全特特别严别严重重损损害害专门监专门监督督检查检查四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第四步第四步 信息系统等级评审信息系统等级评审 在在信信息息系系统统安安全全保保护护等等级级确确定定过过程程中中，可可以以聘聘请请专专家家进进行行咨咨询询评评审审，并并出出具具定定级级评评审审意意见见

43、。对对拟拟确确定定为为第第四四级级以以上上信信息息系系统统的的，运运营营使使用用单单位位或或者者主主管管部部门门应应当当请请国国家家信信息息安安全全保保护等级专家评审委员会评审，出具评审意见。护等级专家评审委员会评审，出具评审意见。二、定级工作的主要步骤是什么二、定级工作的主要步骤是什么 第五步第五步 信息系统等级的最终确定与审批信息系统等级的最终确定与审批 信息系统运营使用单位参考专家定级评审意见，最终确定信息系统运营使用单位参考专家定级评审意见，最终确定信息系统等级，形成信息系统等级，形成定级报告定级报告。如果专家评审意见与运营。如果专家评审意见与运营使用单位意见不一致时，由运营使用单位自

44、主决定系统等级，使用单位意见不一致时，由运营使用单位自主决定系统等级，信息系统运营使用单位有上级主管部门的，应当经上级主管部信息系统运营使用单位有上级主管部门的，应当经上级主管部门对安全保护等级进行审核批准。主管部门一般是指行业的上门对安全保护等级进行审核批准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系级主管部门或监管部门。如果是跨地域联网运营使用的信息系统，则必须由其上级主管部门审批，确保同类系统或分支系统统，则必须由其上级主管部门审批，确保同类系统或分支系统在各地域分别定级的一致性。在各地域分别定级的一致性。四、定级工作的主要步骤是什么四、定级工作的主要

45、步骤是什么 第六步第六步 备案备案 第二级以上信息系统，在安全保护等级确定后第二级以上信息系统，在安全保护等级确定后3030日内，由其运营、使用单位到所在地设区的市级以上日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续（公安机关办理备案手续（管理办法管理办法第十六条）。第十六条）。隶属于中央的在京单位，其跨省或者全国统一联网运隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用

46、的分支系统，应当向当地信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。设区的市级以上公安机关备案。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第六步第六步 备案备案 各部委数据集中的信息系统，在各地只有终端联网访各部委数据集中的信息系统，在各地只有终端联网访问，没有分数据库的，联网终端可以不备案。各部委问，没有分数据库的，联网终端可以不备案。各部委统一定级的信息系统在各地的分系统（有分数据库，统一定级的信息系统在各地的分系统（有分数据库，在各地安装运行的），即使是上级主管部门定级的，在各地安装运行的），即使是上级主管部门定级的，也要到当地公安网监部门备案

47、。也要到当地公安网监部门备案。定级工作的结定级工作的结束束是以备案完成为标志。是以备案完成为标志。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第七步第七步 备案审核备案审核 受理备案的公安机关要公布备案受理地点、受理备案的公安机关要公布备案受理地点、备案联系方式等。在受理备案时，应对提交的备案联系方式等。在受理备案时，应对提交的备案材料（共八项）进行完整性审核和定级准备案材料（共八项）进行完整性审核和定级准确性审核。对符合等级保护要求的，应颁发信确性审核。对符合等级保护要求的，应颁发信息系统安全等级保护备案证明。发现定级不准息系统安全等级保护备案证明。发现定级不准的，通知备案单位

48、重新审核确定。的，通知备案单位重新审核确定。四、定级工作的主要步骤是什么四、定级工作的主要步骤是什么 第八步第八步 及时总结并提交总结报告及时总结并提交总结报告 各地区、各部门要结合本地区、本行业开各地区、各部门要结合本地区、本行业开展定级工作的实际，认真总结经验和不足，提展定级工作的实际，认真总结经验和不足，提出改进和完善定级方法的意见和建议，及时总出改进和完善定级方法的意见和建议，及时总结定级工作经验，形成定级工作总结报告。结定级工作经验，形成定级工作总结报告。五、当前定级工作存在的主要问题及分析五、当前定级工作存在的主要问题及分析 （一一）少少数数行行业业信信息息系系统统定定级级偏偏低低

49、。有有以以下下几几方方面面原原因因：一一是是对对信信息息系系统统五五个个安安全全等等级级掌掌握握不不准准，未未能能站站在在国国家家安安全全、社社会会稳稳定定的的高高度度统统筹筹考考虑虑信信息息系系统统等等级级，仅仅从从行行业业和和信信息息系系统统自自身身安安全全角角度度考考虑虑。二二是是认认为为信信息息系系统统级级别别定定高高，要要花花费费更更多多的的资资金金，单单位位负负担担加加重重。三三是是对对本本行行业业上上级级主主管管部部门门定定级级指指导导不不力力，同同类类信信息息系系统统下下级级部部门门定定级级偏偏低低，特特别别是是一一些些重重要要行行业业地地市市级级单单位位的的系系统统级级别别偏

50、偏低低。四四是是少少数数部部门门以以信信息息系系统统运运维维单单位位为为主主进进行行定定级级，业业务务单单位位参参与与定定级级不不够够。五五是是极极少少数数部部门门故故意将系统级别定低，逃避信息安全监管部门的监管。意将系统级别定低，逃避信息安全监管部门的监管。（二二）定定级级时时既既要要考考虑虑信信息息系系统统重重要要性性、受受到到破破坏坏后后对对业业务务开开展展和和公公众众利利益益损损害害等等因因素素，更更要要考考虑虑信信息息系系统统破破坏坏后后对对国国家家安安全全、社社会会稳稳定定的的影影响响，考考虑虑西西方方敌敌对对势势力力、敌敌对对分分子子攻攻击击、破破坏坏、窃窃取取秘秘密密的的因因素