等级保护政策、流程、内容、定级介绍名师优质课获奖市赛课一等奖课件.ppt

《等级保护政策、流程、内容、定级介绍名师优质课获奖市赛课一等奖课件.ppt》由会员分享，可在线阅读，更多相关《等级保护政策、流程、内容、定级介绍名师优质课获奖市赛课一等奖课件.ppt（47页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全等级保护基本介绍信息安全等级保护基本介绍信息安全等级保护基本介绍信息安全等级保护基本介绍河南天祺信息安全技术有限企业河南天祺信息安全技术有限企业 第1页信息安全系统等级保护信息安全等级保护发展历程1等级保护基本概念和含义2等级保护和测评作用3等级保护主要工作内容4等级保护主要工作流程5等级保护定级工作流程6第2页信息安全系统等级保护信息安全系统等级保护等级保护测评工作流程7等级保护安全建设内容8等级保护监督检验内容9测评详细工作过程10建设整改工作指南11第3页 1 1 等级保护发展历程等级保护发展历程v1994年，国务院年，国务院147号令号令中华人民共和国计算机中华人民共和国计算机

2、信息系统安全保护条例信息系统安全保护条例v年，中央办公厅、国务院（中办发年，中央办公厅、国务院（中办发27号号）国家国家信息化领导小组关于加强信息安全保障工作意见信息化领导小组关于加强信息安全保障工作意见v年，公安部、国家保密局、国家密码管理局、国务院信年，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室（公通字息化工作办公室（公通字66号号）关于信息安全关于信息安全等级保护工作实施意见等级保护工作实施意见v年，公安部开展信息安全等级保护试点工作，制订年，公安部开展信息安全等级保护试点工作，制订计计算机信息安全等级划分准则算机信息安全等级划分准则（GB17859-1999）第4页 1

3、 1 等级保护发展历程等级保护发展历程v年，公安部、国家保密局、国家密码管理局、国务院信年，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室（公通字息化工作办公室（公通字43号号）信息安全等级信息安全等级保护管理方法保护管理方法，（公信，（公信861号号）关于开展全国关于开展全国主要信息系统安全等级保护定级工作通知主要信息系统安全等级保护定级工作通知，开始在全，开始在全国范围内开展信息安全等级保护工作。国范围内开展信息安全等级保护工作。v年年10月月15日，第十七届中央委员会第五次全体会议中提日，第十七届中央委员会第五次全体会议中提出十二五规划中要求出十二五规划中要求“健全网络与信息

4、安全法律法规，健全网络与信息安全法律法规，完善信息安全标准体系和认证认可体系，完善信息安全标准体系和认证认可体系，实施信息安全实施信息安全等级保护、风险评定等制度等级保护、风险评定等制度”。v年年7月月17日，国务院办公厅（国发日，国务院办公厅（国发23号号）国务院国务院关于大力推进信息化发展和切实保障信息安全若干意见关于大力推进信息化发展和切实保障信息安全若干意见，要求，要求“落实落实信息安全等级保护制度，信息安全等级保护制度，开展开展对应等级对应等级安全建设和管理，安全建设和管理，做好做好信息系统定级立案、整改和监督信息系统定级立案、整改和监督检验检验”。第5页 2 2 基本概念和含义基本

5、概念和含义v信息安全等级保护是指对国家秘密信息、法人和其它组信息安全等级保护是指对国家秘密信息、法人和其它组织及公民专有信息以及公开信息和存放、传输、处理这织及公民专有信息以及公开信息和存放、传输、处理这些信息信息系统些信息信息系统分等级实施安全保护分等级实施安全保护（五级），详细分（五级），详细分级依据请见级依据请见GBT 22240-GBT 22240-信息安全技术信息安全技术 信息系统安全信息系统安全等级保护定级指南等级保护定级指南中描述；中描述；v对信息系统中使用信息安全产品实施对信息系统中使用信息安全产品实施按等级管理按等级管理；v对信息系统中发生信息安全事件对信息系统中发生信息安全

6、事件分等级响应、处置分等级响应、处置.第6页 2 2 基本概念和含义基本概念和含义等级保护遵照标准：等级保护遵照标准：v自主保护标准自主保护标准v重点保护标准重点保护标准v同时建设标准同时建设标准v动态调整标准动态调整标准第7页 2 2 基本概念和含义基本概念和含义工作实施过程中包括到角色和职责：工作实施过程中包括到角色和职责：v国家管理部门国家管理部门v信息系统主管部门信息系统主管部门v信息系统运行、使用单位信息系统运行、使用单位v信息安全服务机构信息安全服务机构v信息安全等级测评机构信息安全等级测评机构v信息安全产品供给商信息安全产品供给商第8页 3 3 等保测评作用等保测评作用工作实施过

7、程中包括到角色和职责：工作实施过程中包括到角色和职责：v在信息系统建设、整改时，信息系统运行使用单位经过在信息系统建设、整改时，信息系统运行使用单位经过等级测评进行安全需求分析，确定系统特殊安全需求。等级测评进行安全需求分析，确定系统特殊安全需求。信息系统等级保护基本安全要求与确定特殊安全需求共信息系统等级保护基本安全要求与确定特殊安全需求共同确定了该系统安全需求。同确定了该系统安全需求。v在系统运维过程中，定时委托测评机构开展等级测评，在系统运维过程中，定时委托测评机构开展等级测评，对信息系统安全等级保护情况、安全保障性能进行安全对信息系统安全等级保护情况、安全保障性能进行安全测试，对信息安

8、全管控能力进行考查和评价，从而判定测试，对信息安全管控能力进行考查和评价，从而判定是否具备是否具备信息系统安全等级保护基本要求信息系统安全等级保护基本要求中对应等中对应等级安全保护能力。级安全保护能力。v等级测评汇报是信息系统后期开展整改加固主要指导性等级测评汇报是信息系统后期开展整改加固主要指导性文件，也是信息系统立案主要附件材料。等级测评结论文件，也是信息系统立案主要附件材料。等级测评结论是信息系统满足要求程度证实文件。是信息系统满足要求程度证实文件。第9页 4 4 主要工作内容主要工作内容工作实施过程中包括到角色和职责：工作实施过程中包括到角色和职责：v系统定级系统定级v系统立案系统立案

9、v安全建设安全建设v等级测评等级测评v监督检验监督检验第10页 5 5 等级保护主要工作流程等级保护主要工作流程v业务流程业务流程备备案案测评申请测评申请测评测评测评准备测评准备不合格项整改整改后测评信信息系息系统统第11页 6 6 等级保护定级工作流程等级保护定级工作流程v定级流程定级流程4 定定级立案立案报公安部门定级立案报公安部门定级立案3 评审 公安或信息化行政部门组织评审定级公安或信息化行政部门组织评审定级2 申申报 报当地公安或信息化行政部门进行审定报当地公安或信息化行政部门进行审定1 自自评 客户自行选定系统对应保护等级客户自行选定系统对应保护等级 注：各地公安依据实际情况不一样

10、有不一样立案形式要求，请依据当地公安要求递交所需文件第12页 6 6 等级保护定级工作流程等级保护定级工作流程v定级标准定级标准 信息系统定级是整个信息系统安全等级保护工作第一个信息系统定级是整个信息系统安全等级保护工作第一个主要步骤，是开展信息系统建设、整改、测评、立案、主要步骤，是开展信息系统建设、整改、测评、立案、监督检验等后续工作主要基础。监督检验等后续工作主要基础。信息系统定级工作主体是信息系统运行和使用单位，坚持信息系统定级工作主体是信息系统运行和使用单位，坚持“自主定级、自主保护自主定级、自主保护”标准，所以标准，所以定级工作应该由信定级工作应该由信息系统运行和使用单位来完成息系

11、统运行和使用单位来完成。第13页 6 6 等级保护定级工作流程等级保护定级工作流程v定级受理立案审核材料定级受理立案审核材料 管理方法要求第二级以上信息系统应该在安全保护等级管理方法要求第二级以上信息系统应该在安全保护等级确定后确定后30日内，日内，由其运行、使用单位由其运行、使用单位到所在地域市级以到所在地域市级以上公安机关办理系统立案手续。上公安机关办理系统立案手续。办理立案手续时，应填写办理立案手续时，应填写信息系统安全等级保护立案信息系统安全等级保护立案表表，信息系统安全等级保护定级汇报信息系统安全等级保护定级汇报、系统定系统定级评审意见级评审意见（或上级主管部门定级审核意见）、相关（

12、或上级主管部门定级审核意见）、相关电子数据等。电子数据等。第14页 7 7 等级保护测评工作流程等级保护测评工作流程v测评流程测评流程 等级测评工作流程，依据等级测评工作流程，依据信息系统安全等级保护测评信息系统安全等级保护测评过程指南过程指南，详细内容参见：，详细内容参见：等保测评工作流程图等保测评工作流程图第15页 7 7 等级保护测评工作流程等级保护测评工作流程v测评内容测评内容 信息信息系统系统综合测评综合测评第16页 7 7 等级保护测评工作流程等级保护测评工作流程v测评依据相关标准体系测评依据相关标准体系 能够从多个角度来分析能够从多个角度来分析A A、从基本分类角度来看，分为：基

13、础类标准、技术类、从基本分类角度来看，分为：基础类标准、技术类标准、管理类标准；标准、管理类标准；B B、从等级保护生命周期看，分为：系统定级用标准、从等级保护生命周期看，分为：系统定级用标准、安全建设用标准、等级测评用标准、运行维护用标准、安全建设用标准、等级测评用标准、运行维护用标准、通用标准；通用标准；C C、从对象角度看，分为：基础标准、系统标准、产品、从对象角度看，分为：基础标准、系统标准、产品标准、安全服务标准、安全事件标准等。标准、安全服务标准、安全事件标准等。第17页 7 7 等级保护测评工作流程等级保护测评工作流程v测评依据主要标准测评依据主要标准实施指南信息安全技术 信息系

14、统安全等级保护实施指南（报批稿）定级指南GBT 22240-信息安全技术 信息系统安全等级保护定级指南划分准则GB 17859-1999 计算机信息系统安全保护等级划分准则第18页 7 7 等级保护测评工作流程等级保护测评工作流程n测评依据基本要求测评依据基本要求GB/T 22239-GB/T 22239-信息安全技术信息安全技术 信息系统安全等级保护基本要求信息系统安全等级保护基本要求参考：参考：GB/T 20271-GB/T 20271-信息安全技术信息安全技术 信息系统通用安全技术要求信息系统通用安全技术要求GB/T 20270-GB/T 20270-信息安全技术信息安全技术 网络基础安

15、全技术要求网络基础安全技术要求GB/T 20272-GB/T 20272-信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求GB/T 20273-GB/T 20273-信息安全技术信息安全技术 数据库管理系统安全技术要求数据库管理系统安全技术要求GB/T 21028-GB/T 21028-信息安全技术信息安全技术 服务器安全技术要求服务器安全技术要求GA/T 671-GA/T 671-信息安全技术信息安全技术 终端计算机系统安全等级技术要求终端计算机系统安全等级技术要求n测评依据测评要求测评依据测评要求信息安全技术信息安全技术 信息系统安全等级保护测评要求信息系统安全等级保护测

16、评要求 第19页 7 7 等级保护测评工作流程等级保护测评工作流程v测评方法测评方法访谈文档审查配置检验工具测试第20页 7 7 等级保护测评工作流程等级保护测评工作流程v测评后续要求测评后续要求信息系统建设完成后，运行、使用单位选择符合要求条信息系统建设完成后，运行、使用单位选择符合要求条件测评单位，依据件测评单位，依据信息系统安全等级保护测评要求信息系统安全等级保护测评要求等技术标准，定时开展等级测评服务；等技术标准，定时开展等级测评服务；第三级系统每年最少进行一次等级测评，第四级系统每第三级系统每年最少进行一次等级测评，第四级系统每六个月最少进行一次等级测评；六个月最少进行一次等级测评；

17、第21页 8 8 等级保护安全建设内容等级保护安全建设内容v安全建设安全建设在信息系统安全保护等级确定以后，系统运行单位和使在信息系统安全保护等级确定以后，系统运行单位和使用单位开展系统安全建设和改建工作，通常包含安全需用单位开展系统安全建设和改建工作，通常包含安全需求分析、总体安全设计、详细安全设计、安全设施实现求分析、总体安全设计、详细安全设计、安全设施实现和安全运行与维护等工作。和安全运行与维护等工作。第22页 9 9 等级保护监督检验内容等级保护监督检验内容v监督检验监督检验公安机关负责信息安全等级保护工作督促、检验、指导；公安机关负责信息安全等级保护工作督促、检验、指导；受理立案公安

18、机关对第三级信息系统运行、使用单位每受理立案公安机关对第三级信息系统运行、使用单位每年最少检验一次，对第四级每六个月检验一次；年最少检验一次，对第四级每六个月检验一次；公安机关检验发觉不符合相关管理规范和技术标准，发公安机关检验发觉不符合相关管理规范和技术标准，发出整改通知并进行整改。出整改通知并进行整改。第23页 10 10 测评详细工作过程测评详细工作过程v准备过程准备过程p等级测评项目开启等级测评项目开启 ：组建等级测评项目组，从资料、：组建等级测评项目组，从资料、人员、计划安排等方面为整个等级测评项目标实施人员、计划安排等方面为整个等级测评项目标实施做好准备。做好准备。p信息搜集和分析

19、信息搜集和分析 ：查阅被测系统已经有资料或使用：查阅被测系统已经有资料或使用调查表单方式，了解整个系统组成和保护情况，为调查表单方式，了解整个系统组成和保护情况，为编写测评方案和开展现场测评工作奠定基础。编写测评方案和开展现场测评工作奠定基础。p工具和文档准备工具和文档准备 ：确认测评工具，打印各类文档：确认测评工具，打印各类文档：现场测评授权书、测评结果统计表格（含测评人员现场测评授权书、测评结果统计表格（含测评人员入场和离场确认）、文档交接单。入场和离场确认）、文档交接单。第24页 1010 测评详细工作过程测评详细工作过程v方案编制过程方案编制过程p测评对象确定测评对象确定 ：依据已经了

20、解到被测系统信息，分析整：依据已经了解到被测系统信息，分析整个被测系统和各测评业务系统，确定出此次测评测评对个被测系统和各测评业务系统，确定出此次测评测评对象。象。p测评指标确定测评指标确定 ：依据已经了解到被测系统定级结果，确：依据已经了解到被测系统定级结果，确定出此次测评测评指标。定出此次测评测评指标。p测评内容确定测评内容确定 ：确定现场测评详细实施内容，包含单元：确定现场测评详细实施内容，包含单元测评和系统测评。测评和系统测评。p测评实施手册开发：测评实施手册制订，包含指导测评测评实施手册开发：测评实施手册制订，包含指导测评人员怎样进行测评活动，及现场测评工具、方法和操作人员怎样进行测

21、评活动，及现场测评工具、方法和操作步骤等详细描述。步骤等详细描述。p测评方案编制测评方案编制 ：完成测评方案编制，方案包含：项目概：完成测评方案编制，方案包含：项目概述、测评对象、测评指标、测评工具接入点、单元测评述、测评对象、测评指标、测评工具接入点、单元测评实施、系统测评实施以及配套测评实施手册。实施、系统测评实施以及配套测评实施手册。第25页 1010 测评详细工作过程测评详细工作过程v测评实施过程测评实施过程p测评实施准备测评实施准备 ：实施现场测评开启过程，确认更新：实施现场测评开启过程，确认更新后测评计划和测评程序，确认授权委托书。后测评计划和测评程序，确认授权委托书。p现场测评和

22、结果统计：经过访谈、文档审查、配置现场测评和结果统计：经过访谈、文档审查、配置检验、工具测试和实地察看，对技术安全和管理安检验、工具测试和实地察看，对技术安全和管理安全测评测评结果统计。全测评测评结果统计。p结果确认和资料偿还结果确认和资料偿还 ：测评结果统计。：测评结果统计。第26页 1010 测评详细工作过程测评详细工作过程v分析与汇报编制过程分析与汇报编制过程p系统整体测评分析系统整体测评分析 ：从安全控制间、层面间和区域：从安全控制间、层面间和区域间出发考虑，给出系统整体测评详细结果和结论，间出发考虑，给出系统整体测评详细结果和结论，并对系统结构进行整体安全测评。并对系统结构进行整体安

23、全测评。p测评汇报编制测评汇报编制 ：经过评审和确认被测系统等级测评：经过评审和确认被测系统等级测评汇报。汇报。第27页 1010 测评详细工作过程测评详细工作过程v整改后测评和残余风险评定整改后测评和残余风险评定p首次测评完成后，需将发觉问题及整改意见回馈给首次测评完成后，需将发觉问题及整改意见回馈给被测评方。得到确认后，需给被测评方预留一段整被测评方。得到确认后，需给被测评方预留一段整改时间，进行整改。改时间，进行整改。p被测评方整改完成后，本企业测评人员对被测系统被测评方整改完成后，本企业测评人员对被测系统进行整改后测评，主要针对首次测评中发觉问题整进行整改后测评，主要针对首次测评中发觉

24、问题整改情况测评。改情况测评。p假如有些问题不能进行整改或整改后会造成较大损假如有些问题不能进行整改或整改后会造成较大损失，针对此问题被测评方可不进行整改，本企业测失，针对此问题被测评方可不进行整改，本企业测评人员为被测评方提供这类问题残余风险评定，将评人员为被测评方提供这类问题残余风险评定，将在测评汇报中表达最终整改后测评结果和残余风险在测评汇报中表达最终整改后测评结果和残余风险评定等信息。评定等信息。第28页 1010 测评详细工作过程测评详细工作过程v测评汇报立案测评汇报立案p将最终测评汇报和首次测评后整改问题汇总纸版文将最终测评汇报和首次测评后整改问题汇总纸版文档一并提交给之前定级立案

25、公安机关（省公安厅或档一并提交给之前定级立案公安机关（省公安厅或各市公安局）进行最终立案。各市公安局）进行最终立案。第29页 1010 测评详细工作过程测评详细工作过程v配合工作内容配合工作内容测评小组指导下填写信息系统基本情况调查表；测评小组指导下填写信息系统基本情况调查表；确定项目协调人员、项目配合人员；确定项目协调人员、项目配合人员；依据需要安排会议场地，组织项目会议所需参加会依据需要安排会议场地，组织项目会议所需参加会议人员；议人员；提供测评小组暂时办公场地；提供测评小组暂时办公场地；明确项目授权签字、测评统计结果确认签字资格和明确项目授权签字、测评统计结果确认签字资格和工具扫描与渗透

26、测试授权签字权利资格；工具扫描与渗透测试授权签字权利资格；在测评期间假如需要查看相关制度统计，请确认授在测评期间假如需要查看相关制度统计，请确认授予相关资料查询权限；予相关资料查询权限；提供测评小组进出相关检测场地出入权限；提供测评小组进出相关检测场地出入权限；假如因测评项目详细需要，请准予提供相关服务，假如因测评项目详细需要，请准予提供相关服务，比如在工具扫描时需要分配网线接口，暂时分配正比如在工具扫描时需要分配网线接口，暂时分配正当当IPIP等；等；其它相关事宜。其它相关事宜。第30页 1111 建设整改工作指南建设整改工作指南v总则v安全管理制度建设v安全技术办法建设 第31页总则总则v

27、工作目标工作目标经过落实安全责任制，开展管理制度建设、技术办经过落实安全责任制，开展管理制度建设、技术办法建设，落实等级保护制度各项要求，使信息系统法建设，落实等级保护制度各项要求，使信息系统安全管理水平显著提升，安全保护能力显著增强，安全管理水平显著提升，安全保护能力显著增强，安全隐患和安全事故显著降低，有效保障信息化健安全隐患和安全事故显著降低，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益。康发展，维护国家安全、社会秩序和公共利益。第32页总则总则v工作内容工作内容落实信息安全责任制，建立并落实各类安全管理制落实信息安全责任制，建立并落实各类安全管理制度，开展人员安全管理、系统

28、建设管理和系统运维度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、管理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术办法应用安全和数据安全等安全保护技术办法需要说明是：不一样级别信息系统安全建设整改详需要说明是：不一样级别信息系统安全建设整改详细内容应依据信息系统定级时业务信息安全等级和细内容应依据信息系统定级时业务信息安全等级和系统服务安全等级，以及信息系统安全保护现实状系统服务安全等级，以及信息系统安全保护现实状况确定。信息系统安全建设整改工作详细实施能够况确定。信息系统安全建设整改工作详细实施能够依据实际情况，将安全管

29、理和安全技术整改内容一依据实际情况，将安全管理和安全技术整改内容一并实施，或分步实施并实施，或分步实施第33页总则总则v工作流程工作流程第一步：制订信息系统安全建设整改工作规划，对第一步：制订信息系统安全建设整改工作规划，对信息系统安全建设整改工作进行总体布署；信息系统安全建设整改工作进行总体布署；第二步：开展信息系统安全保护现实状况分析，从第二步：开展信息系统安全保护现实状况分析，从管理和技术两个方面确定信息系统安全建设整改需管理和技术两个方面确定信息系统安全建设整改需求；求；第三步：确定安全保护策略，制订信息系统安全建第三步：确定安全保护策略，制订信息系统安全建设整改方案；设整改方案；第四

30、步：开展信息系统安全建设整改工作，建立并第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设落实安全管理制度，落实安全责任制，建设安全设施，落实安全办法；施，落实安全办法；第五步：开展安全自查和等级测评，及时发觉信息第五步：开展安全自查和等级测评，及时发觉信息系统中存在安全隐患和威胁，深入开展安全建设整系统中存在安全隐患和威胁，深入开展安全建设整改工作。改工作。第34页总则总则v标准应用标准应用信息系统安全建设整改工作应依据信息系统安全建设整改工作应依据基本要求基本要求，并在不一样阶段、针对不一样技术活动参考对应标并在不一样阶段、针对不一样技术活动参考对应标

31、准规范进行。准规范进行。需要说明是：需要说明是：计算机信息系统安全保护等级划分计算机信息系统安全保护等级划分准则准则及配套标准是及配套标准是基本要求基本要求基础；基础；基本要基本要求求是信息系统安全建设整改依据；是信息系统安全建设整改依据；定级指南定级指南为定级工作提供指导；为定级工作提供指导；测评要求测评要求等标准规范等等标准规范等级测评活动；级测评活动；实施指南实施指南等标准指导等级保护建等标准指导等级保护建设；设；第35页总则总则v安全保护能力目标安全保护能力目标第二级信息系统：经过安全建设整改，信息系统含第二级信息系统：经过安全建设整改，信息系统含有抵抗小规模、较弱强度恶意攻击能力，抵

32、抗普通有抵抗小规模、较弱强度恶意攻击能力，抵抗普通自然灾害能力，防范普通性计算机病毒和恶意代码自然灾害能力，防范普通性计算机病毒和恶意代码危害能力；含有检测常见攻击行为，并对安全事件危害能力；含有检测常见攻击行为，并对安全事件进行统计能力；系统遭到损害后，含有恢复系统正进行统计能力；系统遭到损害后，含有恢复系统正常运行状态能力。常运行状态能力。第36页安全管理制度建设安全管理制度建设v按照国家相关要求，依据按照国家相关要求，依据基本要求基本要求，参考，参考信息系统安全管理要求信息系统安全管理要求等标准规范要求，等标准规范要求，开展信息系统等级保护安全管理制度建设工作。开展信息系统等级保护安全管

33、理制度建设工作。第37页安全技术办法建设安全技术办法建设v按照国家相关要求，依据按照国家相关要求，依据基本要求基本要求，参考，参考信息系统通用安全技术要求信息系统通用安全技术要求、信息系统信息系统等级保护安全设计技术要求等级保护安全设计技术要求等标准规范要求，等标准规范要求，开展信息系统安全技术建设整改工作开展信息系统安全技术建设整改工作第38页等保过程中常见问题等保过程中常见问题问：公安部门要求什么时间完成等保测评？我们问：公安部门要求什么时间完成等保测评？我们还没有定级，预算经费也没有报，怎样开展工还没有定级，预算经费也没有报，怎样开展工作？作？答：依据公安文件要求时间开展测评工作。假如答

34、：依据公安文件要求时间开展测评工作。假如还没有定级，则依据定级要求和流程，先向公还没有定级，则依据定级要求和流程，先向公安递交定级立案文件，预算纳入下一年度工作安递交定级立案文件，预算纳入下一年度工作计划，在经费未落实前，能够先行进行系统了计划，在经费未落实前，能够先行进行系统了解、系统加固配合工作。解、系统加固配合工作。定级教授评审时间：每季度或每六个月（或不定级教授评审时间：每季度或每六个月（或不定时），由公安组织教授评审。定时），由公安组织教授评审。第39页等保过程中常见问题等保过程中常见问题 问：定级对象范围是什么？普通是以什么界限来划问：定级对象范围是什么？普通是以什么界限来划分？是

35、不是全部系统都要申报？分？是不是全部系统都要申报？答：定级对象范围：答：定级对象范围：1 1、起支撑、传输作用信息网络（包含专网、内网、起支撑、传输作用信息网络（包含专网、内网、外网、网管系统），网络要合理划分区域；外网、网管系统），网络要合理划分区域；2 2、用于生产、调度、管理、作业、指挥、办公等、用于生产、调度、管理、作业、指挥、办公等目标各类业务系统，跨省或者全国联网运行信息目标各类业务系统，跨省或者全国联网运行信息系统分支系统也要单独定级；系统分支系统也要单独定级；3 3、各单位网站。、各单位网站。第40页等保过程中常见问题等保过程中常见问题问：实际操作中怎样定级？区分？问：实际操作

36、中怎样定级？区分？答：第二级信息系统：适合用于县级一些单位中主要信息答：第二级信息系统：适合用于县级一些单位中主要信息系统；地市级以上国家机关、企事业单位内部普通信系统；地市级以上国家机关、企事业单位内部普通信息系统。比如非包括工作秘密、商业秘密、敏感信息息系统。比如非包括工作秘密、商业秘密、敏感信息办公系统和管理系统等。办公系统和管理系统等。第三级信息系统：普通适合用于地市级以上国家机关、第三级信息系统：普通适合用于地市级以上国家机关、企事业单位内部主要信息系统，比如包括工作秘密、企事业单位内部主要信息系统，比如包括工作秘密、商业秘密、敏感信息办公系统和管理系统；跨省或全商业秘密、敏感信息办

37、公系统和管理系统；跨省或全国联网运行用于生产、调度、管理、指挥、作业、控国联网运行用于生产、调度、管理、指挥、作业、控制等方面主要信息系统以及这类系统在省、地市分支制等方面主要信息系统以及这类系统在省、地市分支系统；中央各部委、省（区、市）门户网站和主要网系统；中央各部委、省（区、市）门户网站和主要网站；跨省联接网络系统等。站；跨省联接网络系统等。在实际操作中，可参考在实际操作中，可参考立案单位自主定级分类指南立案单位自主定级分类指南。第41页等保过程中常见问题等保过程中常见问题问：递交立案资料都包含哪些内容？问：递交立案资料都包含哪些内容？答：答：1 1、信息系统安全等级保护立案表信息系统安

38、全等级保护立案表（一式（一式两份）两份）2 2、信息系统安全等级保护定级汇报信息系统安全等级保护定级汇报（一（一个系统一份）个系统一份）3 3、系统定级评审意见系统定级评审意见（或上级主管部门（或上级主管部门定级审核意见）定级审核意见）4 4、相关电子数据等、相关电子数据等第42页等保过程中常见问题等保过程中常见问题问：问：定级汇报定级汇报普通都包含哪些部分？普通都包含哪些部分？答：答：1 1、定级依据、定级依据 包含与此次信息系统定级相关法规、标准、规范和文件等，包含与此次信息系统定级相关法规、标准、规范和文件等，比如比如管理方法管理方法、定级指南定级指南、本行业安全管理要求等确定、本行业安

39、全管理要求等确定信息系统安全保护等级所需依据文件。信息系统安全保护等级所需依据文件。2 2、信息系统划分、信息系统划分 详细描述信息系统管理机构和管理职责、网络结构和对外边详细描述信息系统管理机构和管理职责、网络结构和对外边界、承载业务种类、处理主要信息等。假如定级范围内划分出多界、承载业务种类、处理主要信息等。假如定级范围内划分出多个作为定级对象信息系统，应描述划分结果、划分方法和理由。个作为定级对象信息系统，应描述划分结果、划分方法和理由。3 3、信息系统描述、信息系统描述 描述定级信息系统边界，包含外部边界和与其它系统相连内描述定级信息系统边界，包含外部边界和与其它系统相连内部边界，定级

40、系统边界设备，系统内主要设备，系统承载业务应部边界，定级系统边界设备，系统内主要设备，系统承载业务应用。用。第43页等保过程中常见问题等保过程中常见问题问：有哪些情况是无需问：有哪些情况是无需教授评审教授评审？答：信息系统运行使用单位有上级主管部门，且对信息系答：信息系统运行使用单位有上级主管部门，且对信息系统安全保护等级有定级指导意见或审核同意，可无需统安全保护等级有定级指导意见或审核同意，可无需再进行等级教授评审。再进行等级教授评审。主管部门普通指行业上级主管部门或监管部门。假如主管部门普通指行业上级主管部门或监管部门。假如是跨地域联网运行使用信息系统，则必须由上级主管是跨地域联网运行使用

41、信息系统，则必须由上级主管部门审批，确保同类系统或分支系统在各地域分别定部门审批，确保同类系统或分支系统在各地域分别定级一致性。级一致性。第44页等保过程中常见问题等保过程中常见问题问：整个周期是多长？其中现场测评时间？问：整个周期是多长？其中现场测评时间？答：整个测评周期包含前期调研、现场测评、后期汇报编答：整个测评周期包含前期调研、现场测评、后期汇报编写等，普通情况下一个二级系统会占用写等，普通情况下一个二级系统会占用3434周，一个周，一个三级系统会占用三级系统会占用4545周（指首次测评，不包含整改和周（指首次测评，不包含整改和加固时间）；加固时间）；其中现场测评（指在被测系统单位现场

42、测评）时间依其中现场测评（指在被测系统单位现场测评）时间依据系统数量而定：普通一个二级系统会占用据系统数量而定：普通一个二级系统会占用3434个工个工作日，一个三级系统会占用作日，一个三级系统会占用5656个工作日（两组同时个工作日（两组同时进行，每组两人）进行，每组两人）。第45页等保过程中常见问题等保过程中常见问题问：整改会不会包括到要购置设备？假如有问：整改会不会包括到要购置设备？假如有些不符合项目不能马上关闭能不能经过些不符合项目不能马上关闭能不能经过立案？立案？答：依据答：依据GB T22239-GB T22239-信息安全技术信息安全技术 信息系统安全等级信息系统安全等级保护基本要

43、求保护基本要求，三级系统有以下要求：，三级系统有以下要求：A A、应提供主要网络设备、通信线路和数据处理系统、应提供主要网络设备、通信线路和数据处理系统硬件冗余，确保系统高可用性；硬件冗余，确保系统高可用性；B B、应建立备用供电系统；、应建立备用供电系统；以上检验项需要购置设备，对二级系统没有此要求，以上检验项需要购置设备，对二级系统没有此要求，但在二级系统中，组成系统网络安全必备硬件则必须但在二级系统中，组成系统网络安全必备硬件则必须有；有；依据现场实际检验情况进行立案，包含整改办法、整依据现场实际检验情况进行立案，包含整改办法、整改计划、残余风险评定等。改计划、残余风险评定等。第46页Thank You!第47页