等级保护制度的主要内容和要求.ppt

《等级保护制度的主要内容和要求.ppt》由会员分享，可在线阅读，更多相关《等级保护制度的主要内容和要求.ppt（67页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、等级保护制度的主要内容和要求摘摘 要要一、信息安全等级保护制度的主要内容二、信息安全等级保护政策体系和标准 体系三、信息安全等级保护工作的具体内容 和要求四、公安机关对政府网站进行安全监管 的主要内容 网安总队依托技术支撑力量对全省范围内涉及电子政务的11863个域名和相关IP进行提取分析，有效域名7856个，其中，可正常访问域名60736073个。其全省分布情况如图：当前已完成监测的网站安全状况比率如下图：2015年，公安部共通报处置党政机关、企事业单位网站安全隐患（事件）5366起，其中4723条线索属中高危以上的漏洞和隐患，包括省级网站2356个，约占总数的50%。在去年5月至9月公安机

2、关组织的网络安全执法检查中，公安部组织全国150余家技术支持单位对全国16.2万个政府网站（含二级域名）进行技术检测，有12.9%的网站存在直接被入侵的漏洞、或已被恶意入侵，21.2%的网站存在高危安全漏洞，42%的政府网站存在信息泄露、可被间接利用的漏洞等安全隐患。一、等级保护制度的主要内容一、等级保护制度的主要内容 （二）组织开展等级保护工作的依据：1、中华人民共和国人民警察法；2、国务院147号令颁布的中华人民共和国计算机信息系统安全保护条例；3、中办发200327号国家信息化领导小组关于加强信息安全保障工作的意见；4、公通字200466号 关于信息安全等级保护工作的实施意见；5、200

3、8年国务院“三定”方案，增加了公安部职能：监督、检查、指导信息安全等级保护工作；6、中办发2010 24 号 关于加强和改进互联网管理工作的意见一、等级保护制度的主要内容一、等级保护制度的主要内容确立了信息安全等级保护制度的法律地位；明确了实行等级保护是我国信息安全保障工作中一项重要制度和措施；赋予了公安机关牵头负责信息安全等级保护工作监督管理的职责。一、等级保护制度的主要内容一、等级保护制度的主要内容 （三）等级保护的概念和核心内容 信息安全等级保护：信息安全等级保护：就是对信息系统实行分等级保护、分等级监管，是将全国的信息系统（包括网络）按照重要性和遭受损坏后的危害程度分成五个安全保护等级

4、，从第一级到第五级，逐级增高；公安机关对第二级信息系统进行指导，对第三、四级信息系统定期开展监督、检查。一、等级保护制度的主要内容一、等级保护制度的主要内容 核心内容：核心内容：国家制定统一的政策，各单位、各部门依法开展等级保护工作，有关职能部门对信息安全等级保护工作实施监督管理。实行信息安全等级保护，是在信息安全保障工作中国家意志的体现，具有明显的强制性。同时，坚持“自主定级”、“自行建设”、“自主保护”，体现了“谁主管、谁负责，谁使用、谁负责，谁运营、谁负责”的信息安全责任制。一、等级保护制度的主要内容一、等级保护制度的主要内容（四）等级保护制度的特点（四）等级保护制度的特点紧迫性：信息安

5、全滞后于信息化发展。全面性：内容涉及广泛，各单位各部门落实。基础性：基本制度、基本国策。强制性：公安机关监督、检查、指导。规范性：政策和标准保障。一、等级保护制度的主要内容一、等级保护制度的主要内容（五）组织开展等级保护工作的目的 实现五方面目标实现五方面目标：一是信息系统安全管理水平明显提高；二是信息系统安全防范能力明显增强；三是信息系统安全隐患和安全事故明显减少；四是有效保障信息化健康发展；五是有效维护国家安全、社会秩序和公共利益。一、等级保护制度的主要内容一、等级保护制度的主要内容（六）等级保护工作中的职责分工（六）等级保护工作中的职责分工 1 1、等级保护工作协调（领导）小组、等级保护

6、工作协调（领导）小组 负责信息安全等级保护工作组织领导，制定本地区、本行业开展信息安全等级保护的工作部署和实施方案，并督促有关单位落实，研究、协调、解决等级保护工作中的重要工作事项，及时通报或报告等级保护实施工作的相关情况。2 2、信息安全职能部门、信息安全职能部门 公安公安机关负责信息安全等级保护工作的监督、检查、指导，是等级保护工作的牵头部门。国家保密保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。网信网信部门负责等级保护工作的部门间协调。一、等级保护制度的主要内容一、等级保护制度的主要内容3 3、信息系统

7、运营使用单位及其主管部门、信息系统运营使用单位及其主管部门 信息系统运营使用单位按照等级保护的管理规范和技术标准，开展信息系统定级、备案、安全建设整改、等级测评、自查等工作，并接受公安机关等部门的监督、指导。有主管部门的，主管部门要督促、检查、指导本行业、本部门信息系统运营使用单位开展信息安全等级保护工作。4 4、安全服务机构、安全服务机构 信息安全企业，信息系统安全集成商、等级测评机构等安全服务机构，依据国家有关管理规定和技术标准，开展技术支持、安全服务等工作，并接受监管部门的监督管理。5 5、专家组、专家组 宣传等级保护相关政策、标准；指导备案单位研究拟定贯彻实施意见和建设规划、技术标准的

8、行业应用；参与定级和安全建设整改方案论证、评审；协助发现树立典型、总结经验并推广；跟踪国内外信息安全技术最新发展，开展等级保护关键技术研究；研究提出完善等级保护政策体系和技术体系的意见和建议。一、等级保护制度的主要内容一、等级保护制度的主要内容（七）开展等级保护工作的基本要求（七）开展等级保护工作的基本要求各单位、各部门，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求开展等级保护的定级、备案、整改、测评等工作。公安机关要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统

9、出现重大安全事故的，要追究单位和人员的责任。二、等级保护政策体系和标准体系（一）信息安全等级保护政策体系（一）信息安全等级保护政策体系 根据法律授权和国务院147号令，公安部牵头成立了国家信息安全等级保护工作协调小组，并会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了关于加强信息安全保障工作的意见等一些政策性文件；对等保的一些具体工作，公安部又制发了信息安全等级保护管理办法等一系列指导意见和规范，构成了信息安全等级保护的政策体系政策体系，为指导各单位、各部门开展信息安全等级保护工作提供了政策保障。二、等级保护政策体系和标准体系1、关于信息安全等级保护工作的实施意见（公通字20046

10、6号）2、信息安全等级保护管理办法公通字200743号）3、关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号）4、信息安全等级保护备案实施细则（公信安20071360号）5、关于开展信息系统等级保护安全建设整改工作的指导意见公信安20091429号）6、信息安全等级保护测评机构管理办法（公信安2013755号）7、公安机关信息安全等级保护检查工作规范（公信安2008736号）、关于开展国家级重要信息系统和重点网站安全执法检查工作的通知（公传发2015253号）8、关于加快推进国家电子政务外网安全等级保护工作的通知（政务外网201115号）二、等级保护政策体系和标准体系

11、9、国务院关于大力推进信息化发展和切实保障信息安全的若干意见（国发201223号）10、关于进一步加强国家电子政务网络建设和应用工作的通知（发改高技20121986号）11、国务院关于推进物联网有序健康发展的指导意见（国发20137号）12、关于加强政府网站安全监管工作的指导意见（公信安2014353号）、公安机关政府网站安全监管工作规范（公信安2014795号）13、关于加快推进网络与信息安全信息通报机制建设的通知（公信安201521号）14、中办、国办关于加强社会治安防控体系建设的意见（中办发201469号）15、中央综治办（中综办201416号）;关于组织开展2015年网络安全保障工作全

12、国综治考核评价的通知（公信安2015884号）全国综治考评 中办、国办关于加强社会治安防控体系建设的意见（中办发2014 69号）明确提出要“健全信息安全等级保护制度，完善网络安全风险监测预警、通报处置机制。”中央综治办（中综办201416号）首次将信息安全保障工作纳入全国综治工作考核，具体考核任务由公安部网安局组织部署。全国综治考评公安部网安局关于组织开展信息安全保障工作全国综治考核评价的通知（公信安【2014】4700 号）首次将信息安全保障工作纳入全国综治考评体系考评主体考评主体公安部网安局考评对象考评对象各省、区、市人民政府3中央综治办关于印发的通知（中综办【2014】16 号）公安部

13、网安局负责两项考评内容公安部网安局负责两项考评内容：1、“平安建设公共安全管理工作”部分，负责“信息安全保障工作”考核评价，为减分项，最高可减2分；2、“平安建设宣传工作”部分，配合中央综治办开展“信息网络服务管理工作”考核评价，为得分项，满分为0.3分。关于组织开展2015年网络安全保障工作全国综治考核评价的通知（公信安【2015】884号）公安部网安局网络安全保障工作网络安全保障工作信息网络服务管理工作信息网络服务管理工作一、网络社会治安防控体系建设二、网络与信息安全通报预警工作三、信息安全等级保护工作四、重要信息系统和网站发生的案（事）件情况五、综合防控和打击网络违法犯罪情况六、信息网络

14、服务管理工作 网络安全保障工作共分为五大部分，17个考评分项，所有考核项目均为减分项，合计最多可减2分信息网络服务管理工作共有一个部分，3个考评分项，所有考核项目均为加分项，合计最多可加0.3分72015年综治考评重点分类二、等级保护政策体系和标准体系（二）信息安全等级保护标准体系（二）信息安全等级保护标准体系 公安部在有关部门、专家、企业的协助下，先后组织制定了信息系统定级、测评、建设等10多个国家标准，从基础类、应用类、产品类和其他类四个方面形成了信息安全等级保护的标准体标准体系系，为开展信息安全等级保护工作提供了标准保障。在公安部指导下，电力、电信、银行、证券、海关等40余个重点行业出台

15、了110余份行业等级保护政策文件，50余份行业信息系统安全保护技术标准，确保了等级保护制度在重点行业的贯彻落实。二、等级保护政策体系和标准体系基础标准：计算机信息系统安全保护等级划分准则（GB178591999）。在此基础上制定出技术类、管理类、产品类标准。安全要求：信息系统安全等级保护基本要求（GB/T22239-2008）信息系统安全等级保护的行业规范二、等级保护政策体系和标准体系系统等级：信息系统安全等级保护定级指南（GB/T22240-2008 GB/T22240-2008）信息系统安全等级保护行业定级细则方法指导：信息系统安全等级保护实施指南（GB/T25058-2010GB/T25

16、058-2010）信息系统等级保护安全设计技术要求（GB/T25070-GB/T25070-20102010）现状分析：信息系统安全等级保护测评要求（GB/T28448-2012GB/T28448-2012）信息系统安全等级保护测评过程指南（GB/T28449-GB/T28449-20122012）三、等级保护工作的具体内容和要求三、等级保护工作的具体内容和要求 对信息系统分等级进行安全保护和监管有五五个个规规定定动动作作，即定定级级、备备案案、建建设设整整改改、等等级级测测评评和监督检查监督检查五个环节。（一）信息安全等级保护定级工作（一）信息安全等级保护定级工作 信息系统定级原则：“自主定

17、级、专家评审、主管部门审批、公安机关审核”。具体可按照关于开展全国重要信息系统安全等级保护定级工作的通知（公通字2007861号）要求执行。定级工作流程：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。三、等保工作具体内容和要求（定级）三、等保工作具体内容和要求（定级）1.1.确定定级对象确定定级对象起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）。用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。各单位网站。2.2.确定信息系统安全保护等级确定信息系统安全保护等级信息系统的安全保护等级由两个定级要素定级要素决定：等级保护对象受到破

18、坏时所侵害的客体所侵害的客体和对客体造成侵害的程度对客体造成侵害的程度。侵害的客体客体包括公民、法人和其他组织的合法权益；社会秩序、公共利益和国家安全三个方面。对客体造成侵害的程度侵害的程度分为：造成一般损害；造成严重损害；造成特别严重损害三种情况。三、等保工作具体内容和要求（定级）三、等保工作具体内容和要求（定级）管理办法管理办法规定：规定：信息系统从低到高分为信息系统从低到高分为五个等级。五个等级。第一级第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损

19、害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。定级要素与安全保护等级的关系三、等保工作具体内容和要求（定级）三、等保工作具体内容和要求（定级）受侵害的对象受侵害的对象侵害程度侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级五级保护三

20、、等保工作具体内容和要求（定级）三、等保工作具体内容和要求（定级）信息系统级别信息系统级别信息系统重要性信息系统重要性监督管理强度等级监督管理强度等级第一级一般信息系统自主保护级第二级一般信息系统指导保护级第三级重要信息系统监督保护级第四级重要信息系统强制保护级第五级重要信息系统专控保护级按照公安部的要求，除特殊行业和情况外，系统定级的简单做法是：县级县级信息系统安全保护等级最高确定为第二级；省辖市省辖市信息系统安全保护等级最高确定为第三级；安全保护等级确定为第四级的信息系统要报公安部十一局审核。三、等保工作具体内容和要求（定级）三、等保工作具体内容和要求（定级）三类基本要求S类业务信息安全保

21、护类：关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏不被泄漏、破坏和免受未授权的修改和免受未授权的修改。A类系统服务安全保护类：关注的是保护系统连续正常的运行，避免因对系统的未授权修避免因对系统的未授权修改、破坏而导致系统不可用改、破坏而导致系统不可用。-G类通用安全保护类：既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。信息系统定级结果组合 安全保护等级安全保护等级信息系统定级结果的组合信息系统定级结果的组合第一级S1A1G1第二级S1A2G2,S2A2G2，S2A1G2第三级S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四级S1A4G4,S2A4

22、G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4第五级S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A5G5,S5A4G5,S5A3G5,S5A2G5,S5A1G5三、等保工作具体内容和要求（定级）三、等保工作具体内容和要求（定级）实际操作中参考确定信息系统等级：第一级信息系统第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。第二级信息系统第二级信息系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。第三级信息

23、系统第三级信息系统：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络系统等。第四级信息系统第四级信息系统：一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全，影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信骨干传输网、铁路客票系统、列车指挥调度系统等。三、等保工作具体内容和要求（备案）三、等保工作具体内容和要求（备案）（二

24、）（二）信息系统备案工作信息系统备案工作 信息系统备案登记实行同同级级备备案案和属属地地备备案案相结合的原则。备案工作包括：信息系统备案、受理、审核和备案信息管理。具体按照公安部（公信安20071360号）信息安全等级保护备案实施细则的要求开展。1 1、备案、备案信息系统安全保护等级确定为第二级以上的系统运营、使用单位登录“中国信息安全等级保护网”（www.djbh.ent）下载并填写信息系统安全等级保护备案表到所在地县级以上公安机关网安部门办理备案手续。第二级信息系统备案时需填写并提交备案表中的表表一一（备案单位基本情况）、表表二二（备案信息系统承载业务、系统服务、网络平台、关键产品使用、采

25、用服务等情况）和表表三三（备案信息系统定级情况）；第三级以上信息系统，运营、使用单位还应当在系统整改、测评完成后提交备案表中表表四四所列系统拓扑结构及说明、系统设施设计实施方案、使用的安全产品清单、等级测评报告、专家评审意见等项内容的书面材料及电子文档。三、等保工作具体内容和要求（备案）三、等保工作具体内容和要求（备案）2.2.受理备案与审核受理备案与审核 公安机关受理备案后，按照信息安全等级保护备案实施细则要求，对备案材料进行审核，定级准确、材料符合要求的颁发由公安部统一监制的备案证明。省直机关、省属企事业单位、隶属于中央的在豫单位和跨省辖市联网运行的信息系统，由省公安厅网安总队（或指定省辖

26、市、省直管县公安网安部门）负责受理备案。3 3、目前我省的整体备案情况、目前我省的整体备案情况 截止2015年12月底，省、市公安机关共备案2838家单位各类信息系统和政府网站3471个，其中二级系统2998个，三级以上重要信息系统483个；在省厅总队备案的包括省直机关和省属金融、电信、银行、电力等重点行业共计101个单位，共备案二级以上系统851个，其中三级系统223个、四级系统1个。三、等保工作具体内容和要求（建设整改）三、等保工作具体内容和要求（建设整改）（三）（三）信息系统安全建设整改工作信息系统安全建设整改工作 建设整改建设整改是落实信息安全等级保护工作的关键，也就是在定级备案的基础

27、上，信息系统运营使用单位结合行业特点和安全需求，通过建设整改，使不同等级的信息系统在物理安全、网络安全、主机安全、应用安全和数据安全等方面达到相应等级的基本保护能力，做到“可信、可控、可信、可控、可管可管”，从而提高我国基础网络和重要信息系统整体防护能力。1 1、整改范围：、整改范围：一是已备案的第二级（含）以上信息系统；二是尚未开展定级备案的信息系统，要先定级备案，定级不准的要先纠正，再开展安全建设整改；三是新建系统要同步开展安全建设工作。2、整改内容：整改内容：包括管理和技术两个方面：安全管理建设整改安全管理建设整改方面：一是落实信息安全责任制。二是落实人员安全管理制度。三是落实系统建设管

28、理制度。四是落实系统运维管理制度。安全技术措施建设整改安全技术措施建设整改方面：结合行业特点和安全需求，制定建设整改方案，落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。可以采取一个安全管理中心和计算环境安全、区域边界安全和通信网络安全的“一个中心三维防护一个中心三维防护”策略，实现相应级别信息系统的安全保护技术要求。三、等保工作具体内容和要求（建设整改）三、等保工作具体内容和要求（建设整改）三、等保工作具体内容和要求（建设整改）三、等保工作具体内容和要求（建设整改）3、整改流程第一步：制定安全建设整改工作规划，对安全建设整改工作进行总体部署。第二步：开展信息系统

29、安全现状分析，从管理和技术两方面确定安全建设整改需求。第三步：确定安全保护策略，制定信息系统安全建设整改方案。第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施。第五步：开展安全自查和等级测评，及时发现问题并进一步整改。工工作作流流程程三、等保工作具体内容和要求（建设整改）三、等保工作具体内容和要求（建设整改）不同级别信息系统安全建设整改的具体内容，应根据信息系统定级时的业务信息业务信息安全等级和系统服务系统服务安全等级，以及信息系统安全保护现状确定。信息系统安全建设整改工作的具体实施，可以根据实际情况，将安全管理和安全技术整改内容一并实施

30、，也可以分步实施。4、整改效果：信息系统应达到的保护能力目标 第二级信息系统：经过安全建设整改工作，信息系统具有抵御小规模、较弱强度恶意攻击的能力，抵抗一般的自然灾害的能力，防范一般性计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对安全事件进行记录的能力；系统遭到损害后，具有恢复系统正常运行状态的能力。三、等保工作具体内容和要求（建设整改）三、等保工作具体内容和要求（建设整改）第三级信息系统：经过安全建设整改工作，信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能

31、力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能立即恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。第四级信息系统：经过安全建设整改工作，信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力，抵抗严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行快速响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能迅速恢复正常运行状态；具

32、有对系统资源、用户、安全机制等进行集中控管的能力。三、等保工作具体内容和要求（等级测评）三、等保工作具体内容和要求（等级测评）（四）信息安全等级保护测评工作 等级测评等级测评：是测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，以是否符合等级保护基本要求为目的，对被测系统安全等级保护状况进行检测评估的合规性验证。等级测评是信息安全等级保护工作的重要环节。等级测评机构等级测评机构，是指具备测评机构管理办法要求的基本条件，经省级等保办审核推荐，通过公安部评估中心岗前培训和对机构的能力评估后，向社会推荐的从事等级测评等信息安全服务的机构。等级测评机构以提供等级测评服务为主，也可根

33、据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。三、等保工作具体内容和要求（等级测评）三、等保工作具体内容和要求（等级测评）1 1、等级测评机构管理、等级测评机构管理：2013年5月，公安部制发了信息安全等信息安全等级保护测评机构管理办法级保护测评机构管理办法（公信安2013 755号），共32条，可登录“中国信息安全等级保护网”（www.djbh.entwww.djbh.ent）政策标准政策规范国家政策查询）。国家信息安全等级保护工作协调小组办公室（简称“国家等保办国家等保办”）负责受理隶属国家信息安全职能部门和重点行业测评机构的申请受理、审核推荐工

34、作。省级信息安全等级保护工作协调（领导）小组办公室（简称“省等省等保办保办”）负责受理本辖区内测评机构的申请受理、审核推荐工作。公安部信息安全等级保护评估中心（以下简称“评估中心评估中心”）负责测评机构的能力评估和培训工作。对等级测评机构的日常监督检查、测评项目抽查和年审工作，由推荐单位负责，及时掌握等级测评机构工作情况。三、等保工作具体内容和要求（等级测评）三、等保工作具体内容和要求（等级测评）2 2、等级测评工作的开展、等级测评工作的开展 信息安全等级测评工作应按照“流程规范、方流程规范、方法科学、结论公正法科学、结论公正”的要求进行。测评目的测评目的：一是掌握信息系统安全状况、排查系统安

35、全隐患和薄弱环节、明确信息系统安全建设整改需求；二是能够衡量出信息系统安全保护措施是否符合等级保护基本要求，是否具备了相应等级的安全保护能力。测评时机测评时机：建设整改前：等级测评，安全现状分析；建设整改后：等级测评，检验整改效果。测评过程测评过程：等级测评机构应严格按照信息安全等级保护标准规范公正、独立地开展等级测评工作，依据模板出具信息系统安全等级测评报告，确保测评质量，全面、客观地反映被测信息系统的安全保护状况。三、等保工作具体内容和要求（等级测评）三、等保工作具体内容和要求（等级测评）测评频率测评频率：第三级以上定期；第二级参照。测评费用测评费用：参照国家信息化项目人工计费标准或根据被

36、测设备数量与测评项预算测评费用。测评报告备案测评报告备案：测评工作结束后，测评项目小组要按照公安部规定的统一格式编制信息系统安全等级保护测评报告,并组织专家对测评报告进行评审。测评报告及整改建议、专家评审意见须报备案公安机关。经等级测评，信息系统安全状况未达到安全保护等级要求的，重点网站和信息系统运营、使用单位或者其主管部门应当制定安全整改方案进一步进行整改。三、等保工作具体内容和要求（等级测评）三、等保工作具体内容和要求（等级测评）测评机构不得从事下列活动：影响被测评信息系统正常运行,危害被测系统安全的；非授权占有、使用，未妥善保管等级测评相关资料及数据文件的；分包或转包等级测评项目，以及扰

37、乱测评市场秩序的；因单位股权、人员等情况发生变动，不符合等级测评机构基本条件的；故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假未如实出具等级测评报告的；有信息安全产品开发、销售或信息系统安全集成行为的；限定被测评单位购买、使用指定信息安全产品的；未按规定向等保办提交材料、报告情况或弄虚作假的等。三、等保工作具体内容和要求（等级测评）三、等保工作具体内容和要求（等级测评）3 3、我省的总体测评情况：、我省的总体测评情况：近年来，按照公安部的要求，加强对我省所属5 5家测评机构的管理，规范等级测评行为，着力提高测评技术能力和服务水平。截至去年底，我省已完成等级测评的各类信息系统500个

38、，其中二级系统205个、三级以上系统295个；从反映和检查情况看，测评工作依据合理、程序规范、方法得当，测评结果基本准确，对系统存在的安全隐患客观地提出了整改建议，有力地推动了我省信息安全等级保护工作的开展。三、等保工作具体内容和要求（等级测评）三、等保工作具体内容和要求（等级测评）4 4、等级保护制度体系与信息安全管理体系的、等级保护制度体系与信息安全管理体系的关系关系 等级测评等级测评：是测评机构按照10多个国家政策、5个核心标准、50多个配套标准，以是否符合等级保护基本要求为目的，对被测系统开展的合规性验证。风险评估风险评估：以持续推进风险管理为目的，是一种针对性的分析。三、等保工作具体

39、内容和要求（等级测评）三、等保工作具体内容和要求（等级测评）项目项目等保制度体系等保制度体系信息安全管理体系（信息安全管理体系（ISMS）监管机关国家（公安机关）商业机构（行业主管）执行力度强制性商业推行标准化5个核心标准、50多个配套标准3个标准体系化10余个政策体系（管理体系、风评规范、评估准则）目的国家评价保护能力(要多安全)自身评价面临风险（能多安全）建设投入有限度有重点投入无限度无重点投入评价方法等级测评风险评估依据合规性验证（GB/T22239）预测性评估（ISO27001）过程PPDRR模型风险分析模型工作方法访谈、文档、配置检查，人工、工具测试，实地查看，风险分析风险分析（资产

40、、脆弱性，威胁识别与分析）时机安全需求分析，能力达标评价安全需求分析（策划）工作比较ISMS实施可以作为等级保护制度的一部分，风险评估是等级测评工作过程的一部分。三、等保工作具体内容和要求（监督检查）三、等保工作具体内容和要求（监督检查）（五）安全自查和监督检查（五）安全自查和监督检查 备案单位、行业主管部门、公安机关要分别建立并落实监督检查机制，定期开展监督检查。1 1、备案单位的定期自查、备案单位的定期自查定期开展自查，掌握信息系统安全状况、安全管理制度及技术保护措施的落实情况等。配合公安机关的监督检查工作，如实提供有关资料及文件。当重要信息系统发生事件、案件时，备案单位应当及时向受理备案

41、的公安机关报告。自查表自查表空白模板可在空白模板可在首页下载。首页下载。2 2、行业主管部门的督导检查、行业主管部门的督导检查行业主管部门要建立督导检查制度，组织制定本行业、本部门的信息安全等级保护检查工作规范。定期组织对本行业、本部门等级保护工作开展情况进行检查，督促落实信息安全等级保护制度，达到重点督促，以点带面的目的。三、等保工作具体内容和要求（监督检查）三、等保工作具体内容和要求（监督检查）3 3、公安机关的监督检查、公安机关的监督检查 检查依据：检查依据：信息安全等级保护管理办法（公通字200743号）、关于开展国家级重要信息系统和重点网站安全执法检查工作的通知（公传发2015253

42、号）、公安机关政府网站安全监管工作规范（公信安2014795号）关于开展信息安全等级保护专项监督检查工作的通知（公信安20101175）和公安机关信息安全等级保护检查工作规范（试行）（公信安2008736号）2016年公安机关网络安全执法检查工作方案。检查目的：检查目的：摸清信息系统底数，督促解决重要信息系统未定级、未备案等问题。督促相关单位落实国家信息安全等级保护制度要求，明确等级保护工作责任部门，建立健全信息安全管理制度。督促第三级（含）以上重要信息系统开展等级测评，排查安全漏洞和隐患，及时进行加固改造。建立重要信息系统重大信息安全事件（事故）应急指挥协调机制。三、等保工作具体内容和要求（

43、监督检查）三、等保工作具体内容和要求（监督检查）检查步骤检查步骤：制定检查方案，组织开展检查；会同行业主管部门共同开展，建立监督检查配合机制；对重要信息系统发生的事件、案件及时进行调查和立案侦查，并指导开展应急处置工作。检查内容检查内容：1、等级保护工作的组织部署和实施情况。2、信息安全管理制度的建立和落实情况。3、信息系统安全等级保护定级备案情况。4、重要信息系统开展等级测评和安全建设整改情况。5、信息安全产品使用、等级保护自查整改等情况。三、等保工作具体内容和要求（监督检查）三、等保工作具体内容和要求（监督检查）检查周期：检查周期：对第三级信息系统的运营使用单位信息安全等级保护工作每年组织

44、一次等保检查，对四级系统每半年检查一次，对重点网站和第二级信息系统可参照进行检查。限期整改：限期整改：检查发现不符合等级保护有关管理规范和技术标准要求需要整改的，发送信息系统安全等级保护限期整改通知，逾期不改正的，给予警告，并向其上级主管部门通报。三、等保工作具体内容和要求（监督检查）三、等保工作具体内容和要求（监督检查）2015年5月18日，公安部召开部、省、市三级电视电话会议，决定在全国范围内开展为期三个月的国家级重要信息系统和重点网站安全执法检查工作。据统计，专项检查期间，全省网安部门共组织1086家党政机关和重点单位开展网络安全自查工作；投入警力5129人次，现场检查了836家重点单位

45、、319个重要信息系统和1011家重点网站；通过组织远程技术检测，消除重要信息系统和网站安全风险隐患2049个，出具网站隐患告知书和整改通知书209份，对58家存在高危漏洞和重大安全隐患的单位，采取了行政警告、停机整顿、约谈等措施。三、等保工作具体内容和要求（监督检查）三、等保工作具体内容和要求（监督检查）6868三、等保工作具体内容和要求（监督检查）三、等保工作具体内容和要求（监督检查）20162016执法检查重点：执法检查重点：一是一是国家级重要信息系统和本地其他第三级以上重要信息系统；二是二是电力、通信、交通、水利、环保、医疗等16个重点领域以及水气暖、轨道交通等市政领域的工业控制类系统

46、；三是三是省、市党政机关、事业单位和国有企业网站、大型互联网企业门户网站。三、等保工作具体内容和要求（监督检查）三、等保工作具体内容和要求（监督检查）（六）信息安全产品的选择使用（六）信息安全产品的选择使用 1、信息安全产品在市场上销售，必须通过公安部信息安全产品检测中心检测，并获得公安部颁发的销售许可证。2、公安部发布了关于调整更新计算机信息系统安全专用产品检测执行标准规范的公告（公信安20091157号），对已有分级标准的29类信息安全产品开展分级检测工作。对于检测并审核通过的产品，产品销售许可证书标注产品分级信息，便于用户选择使用。3、信息安全等级保护管理办法规定：第三级以上信息系统应当

47、选择使用我国自主研发的信息安全产品。信息安全产品是信息系统安全的重要基础，尤其是进入到重要信息系统中的信息安全产品将直接影响信息系统安全。因此，在满足使用要求的前提下，应优先选择国产产品。四、对政府网站进行安全监管的主要内容四、对政府网站进行安全监管的主要内容四、公安机关开展政府网站安全监管工作总体要求：总体要求：“依法管网、以人管网和技术管网”。依据：依据：公安部关于加强政府网站安全监管工作的指导意见（公信安2014353号）、公安机关政府网站安全监管工作规范（公信安2014795号）。原则：原则：坚持政府网站“开办有责、属地管理”。四、对政府网站进行安全监管的主要内容四、对政府网站进行安全

48、监管的主要内容总体目标：总体目标：全面摸清县级以上政府网站底数，加强备案管理，做到“底数清、情况明”；同时要建立部、省、市三级政府网站安全监测体系，健全完善政府网站安全监管、应急处置和案事件侦查调查等工作机制。主要任务主要任务：在摸清政府网站底数的基础上，开展网站定级备案工作；签订安全责任书，明确政府网站安全责任；加强监督指导，落实网站安全防护措施；开展安全监测，及时发现安全隐患和攻击行为；建立有效机制，及时果断处置网站安全事件；加强情报侦察和监控，及时获取行动性信息；加强案件侦查，严厉打击攻击政府网站的行为等七个方面。四、对政府网站进行安全监管的主要内容四、对政府网站进行安全监管的主要内容

49、公安机关政府网站安全监管工作规范共28条，分总则、监督检查、监测处置、工作保障和附则五个部分。第二条规定：政府网站政府网站是指党政机关利用互联网发布信息、提供在线服务、开展互动交流等而建立的网站系统。第二十七条规定：网安部门对事业单位、国有企业及社会团体开办的互联网网站应参照本规范要求加强监管。四、对政府网站进行安全监管的主要内容四、对政府网站进行安全监管的主要内容监督检查监督检查部分规定主要有：一是一是网安部门应当监督政府网站开办单位在政府网站建设和应用过程中落实信息网络安全同步规划、同步建设、同步实施的要求，制订和完善安全管理制度，建立健全安全保护技术措施；二是二是监督指导本地党政部门开展

50、政府网站定级备案和测评整改工作；三是三是网安部门对政府网站进行安全检查，可以采取现场检查、远程技术检测等方式进行；四是四是监督检查的重点包括网站安全责任部门、责任人及安全责任制落实情况 等10个方面；五是五是对公安机关网安部门要求限期整改，整改不合格或多次出现网络安全问题的，应当约谈网站安全责任单位主要领导，并将有关情况通报其上级主管部门，必要时网安部门依照国家有关法律法规给予警告、停机整顿、停止联网、取消联网资格、对个人和单位罚款等处罚。四、对政府网站进行安全监管的主要内容四、对政府网站进行安全监管的主要内容监测处置监测处置部分规定主要有：一是一是督导网站开办单位，采取技术措施提高对政府网站