信息安全等级保护培训 - 关于信息安全等级保护的若干问题.ppt
《信息安全等级保护培训 - 关于信息安全等级保护的若干问题.ppt》由会员分享,可在线阅读,更多相关《信息安全等级保护培训 - 关于信息安全等级保护的若干问题.ppt(54页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、信息安全等级保护培训信息安全等级保护培训 一、我国在信息安全保障工作中为什一、我国在信息安全保障工作中为什么要实行等级保护制度么要实行等级保护制度 当前,我国基础信息网络和重要信息系统安全面临的形当前,我国基础信息网络和重要信息系统安全面临的形势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节。势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节。一是针对基础信息网络和重要信息系统的违法犯罪持续上一是针对基础信息网络和重要信息系统的违法犯罪持续上升。升。二是基础信息网络和重要信息系统安全隐患严重。二是基础信息网络和重要信息系统安全隐患严重。三是我国的信息安全保障工作基础还很薄弱。三是我国的信息安
2、全保障工作基础还很薄弱。二、实行信息安全等级保护制度能够二、实行信息安全等级保护制度能够解决哪些主要问题解决哪些主要问题 信息安全等级保护是国家信息安全保障工作的基本制度、信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。工作中国家意志的体现。有效解决我国信息安全面临的威胁和存在的主要问题,有效解决我国信息安全面临的威胁和存在的主要问题,充分体现充分体现“适度安全、保
3、护重点适度安全、保护重点”的目的,将有限的财力、的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,有效保护全保护措施,建立安全保护制度,落实安全责任,有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,有效提高我国信息安全保障工作的整体水信息系统的安全,有效提高我国信息安全保障工作的整体水平。平。三、国家、有关部门和企业在等级保三、国家、有关部门和企业在等级保护工作中各自的责任和义务是什么护工作中各自
4、的责任和义务是什么 1、国家层面、国家层面 2、信息安全监管部门(包括公安机关、保密部门、国家、信息安全监管部门(包括公安机关、保密部门、国家密码工作部门)密码工作部门)3、信息系统主管部门、信息系统主管部门 4、信息系统运营使用单位、信息系统运营使用单位 5、安全服务机构、安全服务机构 等级保护工作的职责分工等级保护工作的职责分工 公安机关是等级保护工作的牵头部门,承担着信息安公安机关是等级保护工作的牵头部门,承担着信息安全等级保护工作的监督、检查、指导;全等级保护工作的监督、检查、指导;国家保密工作部门、国家密码管理部门负责等级保护国家保密工作部门、国家密码管理部门负责等级保护工作中有关保
5、密工作和密码工作的监督、检查、指导;工作中有关保密工作和密码工作的监督、检查、指导;国信办及地方信息化领导小组办事机构负责等级保护国信办及地方信息化领导小组办事机构负责等级保护工作部门间的协调。工作部门间的协调。其中,涉及国家秘密信息系统的等级保护监督管理工其中,涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责;非涉及国家秘密信息系统的作由国家保密工作部门负责;非涉及国家秘密信息系统的等级保护监督管理工作由公安机关负责。等级保护监督管理工作由公安机关负责。公安机关牵头开展等级保护工作的法公安机关牵头开展等级保护工作的法律政策依据律政策依据 1994年,年,中华人民共和国计算机信
6、息系统安全保护条例中华人民共和国计算机信息系统安全保护条例 规定,规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定的具体办法,由公安部会同有关部门制定”。1995年年2月月18日人大日人大12次会议通过并实施的次会议通过并实施的中华人民共和国警察法中华人民共和国警察法第二章第六条第十二款规定,公安机关人民警察依法履行第二章第六条第十二款规定,公安机关人民警察依法履行“监督管理计监督管理计算机信息系统的安全保护工作算机信息系统的安全保护工作”。2003年年国家信息化领导小组
7、关于加强信息安全保障工作的意见国家信息化领导小组关于加强信息安全保障工作的意见(中办发(中办发200327号)明确指出号)明确指出“实行信息安全等级保护实行信息安全等级保护”。“要重点保要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南法和技术指南”。四、近几年来开展了哪些具体工作四、近几年来开展了哪些具体工作 一是制定了一是制定了50多个国标和行标,初步形成了信息安全等
8、级多个国标和行标,初步形成了信息安全等级保护标准体系保护标准体系 二是开展了等级保护基础调查工作二是开展了等级保护基础调查工作 三是开展了等级保护试点工作三是开展了等级保护试点工作 四是出台了公安部、国务院信息化工作办公室等四部门四是出台了公安部、国务院信息化工作办公室等四部门关关于信息安全等级保护工作的实施意见于信息安全等级保护工作的实施意见 66号文、号文、信息安信息安全等级保护管理办法全等级保护管理办法 43号文、号文、861号文等政策文件。号文等政策文件。五是召开五是召开“全国重要信息系统安全等级保护定级工作电视全国重要信息系统安全等级保护定级工作电视 电话会议电话会议”六是成立六是成
9、立“国家信息安全等级保护协调小组国家信息安全等级保护协调小组”五、等级保护工作的主要流程包括哪五、等级保护工作的主要流程包括哪些,开展等级保护工作的基本要求些,开展等级保护工作的基本要求是什么是什么 主要流程包括六项内容:主要流程包括六项内容:一是自主定级与审批。一是自主定级与审批。二是评审。二是评审。三是备案。三是备案。四是系统安全建设。四是系统安全建设。五是等级测评。五是等级测评。六是监督检查六是监督检查。六、开展等级保护工作的总体要求六、开展等级保护工作的总体要求n各基础信息网络和重要信息系统,按照“准确定级、严格准确定级、严格审批、及时备案、认真整改、科学测评审批、及时备案、认真整改、
10、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。n公安机关和保密、密码工作部门要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。n对故意将信息系统安全级别定低,逃避公安、保密、密码部门监管,造成信息系统出现重大安全事故的,要追究单位和人员的责任。七、定级工作的主要步骤是什么七、定级工作的主要步骤是什么 定级是等级保护工作的首要环节,是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。第一步,摸底调查,掌握信息系统底数 第二步,确定定级对象 第三步,初步确定信息系统等级 第四步,信息系统等级评审 第五步,信息系统等级的最终确定与
11、审批 第六步:备案。第七步:备案审核。第八步:及时总结并提交总结报告。第一步,摸底调查,掌握信息系统底第一步,摸底调查,掌握信息系统底数数 按照定级工作通知确定的定级范围,各单位、各部门可以组织开展对所属信息系统进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,为下一步明确要求、落实责任奠定基础。第二步,确定定级对象第二步,确定定级对象一一是应用系统应按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。起传输作用的基础网络要作为单独的定级对象。二是确认负责定级的单位是否对所定级系统具有安全管理责
12、任。三是具有信息系统的基本要素。第三步,初步确定信息系统等级第三步,初步确定信息系统等级 信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全保护等级。既要防止个别单位片面追求绝对安全而定级过高,也要防止为了逃避监管定级偏低。信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级,不以在其上运行的信息系统的最高等级或最低等级为标准。跨省或者全国统一联网运行的信息系统,可以由主管部门统一确定安全保护等
13、级。由各行业统一规划、统一建设、统一安全保护策略的信息系统,应由各部委统一确定一个级别;由各部委统一规划、分级建设、运行的信息系统,应由部、省、地市分别确定系统等级,但各行业应对该类系统提出定级意见,避免出现同类系统定级出现较大偏差问题。安全保护等级的划分 业务业务信息安全被破坏信息安全被破坏时时所侵害所侵害的客体的客体对对相相应应客体的侵害程度客体的侵害程度一般一般损损害害严严重重损损害害特特别严别严重重损损害害公民、法人和其他公民、法人和其他组织组织的合法的合法权权益益第一第一级级第二第二级级第二第二级级社会秩序、公共利益社会秩序、公共利益第二第二级级第三第三级级第四第四级级国家安全国家安
14、全第三第三级级第四第四级级第五第五级级五级监管五级监管等级等级对象对象侵害客体侵害客体侵害程度侵害程度监管强度监管强度第一第一级级一般一般系系统统合法合法权权益益损损害害自主保自主保护护第二第二级级合法合法权权益益严严重重损损害害指指导导社会秩序和公共利益社会秩序和公共利益损损害害第三第三级级重要重要系系统统社会秩序和公共利益社会秩序和公共利益严严重重损损害害监监督督检查检查国家安全国家安全损损害害第四第四级级社会秩序和公共利益社会秩序和公共利益特特别严别严重重损损害害强强制制监监督督检查检查国家安全国家安全严严重重损损害害第五第五级级极端极端重要重要系系统统国家安全国家安全特特别严别严重重损
15、损害害专门监专门监督督检查检查第四步,信息系统等级评审第四步,信息系统等级评审 在信息系统安全保护等级确定过程中,可以聘请专家进行咨询评审,并出具定级评审意见。对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审,出具评审意见。当专家意见与运营使用单位或者主管部门不一致时,以运营使用单位或者主管部门意见为准。在信息系统安全保护等级确定过程中,可以聘请专家进行咨询评审,并出具定级评审意见。对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审,出具评审意见。当专家意见与运营使用单位或者主管部门不一致时,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全等级保护培训 关于信息安全等级保护的若干问题 信息 安全 等级 保护 培训 关于 若干问题
限制150内