收藏
下载资源

全州信息安全等级保护定级培训课件

上传人:我*** 文档编号:144517907 上传时间:2020-09-09 格式:PPT 页数:54 大小:474.50KB
返回 下载 相关 举报
全州信息安全等级保护定级培训课件_第1页
第1页 / 共54页
全州信息安全等级保护定级培训课件_第2页
第2页 / 共54页
全州信息安全等级保护定级培训课件_第3页
第3页 / 共54页
全州信息安全等级保护定级培训课件_第4页
第4页 / 共54页
全州信息安全等级保护定级培训课件_第5页
第5页 / 共54页
点击查看更多>>
资源描述

《全州信息安全等级保护定级培训课件》由会员分享,可在线阅读,更多相关《全州信息安全等级保护定级培训课件(54页珍藏版)》请在金锄头文库上搜索。

1、信息安全等级保护培训,一、我国在信息安全保障工作中为什么要实行等级保护制度,当前,我国基础信息网络和重要信息系统安全面临的形势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节。 一是针对基础信息网络和重要信息系统的违法犯罪持续上升。 二是基础信息网络和重要信息系统安全隐患严重。 三是我国的信息安全保障工作基础还很薄弱。,二、实行信息安全等级保护制度能够解决哪些主要问题,信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。 有效解决我国信息安全面临的威胁和存在的主要问题,充

2、分体现“适度安全、保护重点”的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,有效提高我国信息安全保障工作的整体水平。,三、国家、有关部门和企业在等级保护工作中各自的责任和义务是什么,1、国家层面 2、信息安全监管部门(包括公安机关、保密部门、国家密码工作部门) 3、信息系统主管部门 4、信息系统运营使用单位 5、安全服务机构,等级保护工作的职责分工 公安机关是等级保护工作的牵头部门,承担着信息安全等级保护工作的监督、检查、指导; 国家保密工作部门、国

3、家密码管理部门负责等级保护工作中有关保密工作和密码工作的监督、检查、指导; 国信办及地方信息化领导小组办事机构负责等级保护工作部门间的协调。 其中,涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责;非涉及国家秘密信息系统的等级保护监督管理工作由公安机关负责。,公安机关牵头开展等级保护工作的法律政策依据 1994年,中华人民共和国计算机信息系统安全保护条例 规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定” 。 1995年2月18日人大12次会议通过并实施的中华人民共和国警察法第二章第六条第十二款规定,公安机关人民警察依

4、法履行“监督管理计算机信息系统的安全保护工作”。 2003年国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确指出“实行信息安全等级保护”。 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南” 。,四、近几年来开展了哪些具体工作 一是制定了50多个国标和行标,初步形成了信息安全等级保护标准体系 二是开展了等级保护基础调查工作 三是开展了等级保护试点工作 四是出台了公安部、国务院信息化工作办公室等四部门关于信息安全等级保护工作的实施意见 66号文、信息安全等级保护管理办

5、法 43号文、861号文等政策文件。 五是召开“全国重要信息系统安全等级保护定级工作电视 电话会议” 六是成立“国家信息安全等级保护协调小组”,五、等级保护工作的主要流程包括哪些,开展等级保护工作的基本要求是什么,主要流程包括六项内容: 一是自主定级与审批。 二是评审。 三是备案。 四是系统安全建设。 五是等级测评。 六是监督检查。,六、开展等级保护工作的总体要求,各基础信息网络和重要信息系统,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作 。 公安机关和保密、密码工作部门要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开

6、展备案、整改、测评等工作。 对故意将信息系统安全级别定低,逃避公安、保密、密码部门监管,造成信息系统出现重大安全事故的,要追究单位和人员的责任。,七、定级工作的主要步骤是什么,定级是等级保护工作的首要环节,是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。 第一步,摸底调查,掌握信息系统底数 第二步,确定定级对象 第三步,初步确定信息系统等级 第四步,信息系统等级评审,第五步,信息系统等级的最终确定与审批 第六步:备案。 第七步:备案审核。 第八步:及时总结并提交总结报告。,第一步,摸底调查,掌握信息系统底数,按照定级工作通知确定的定级范围,各单位、各部门可以组织开展对所属信

7、息系统进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,为下一步明确要求、落实责任奠定基础。,第二步,确定定级对象,一是应用系统应按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。起传输作用的基础网络要作为单独的定级对象。 二是确认负责定级的单位是否对所定级系统具有安全管理责任。 三是具有信息系统的基本要素。,第三步,初步确定信息系统等级,信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群

8、众合法权益的危害程度为依据,确定信息系统的安全保护等级。既要防止个别单位片面追求绝对安全而定级过高,也要防止为了逃避监管定级偏低。 信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级,不以在其上运行的信息系统的最高等级或最低等级为标准。,跨省或者全国统一联网运行的信息系统,可以由主管部门统一确定安全保护等级。由各行业统一规划、统一建设、统一安全保护策略的信息系统,应由各部委统一确定一个级别;由各部委统一规划、分级建设、运行的信息系统,应由部、省、地市分别确定系统等级,但各行业应对该类系统提出定级意见,避免出现同类系统定级出现较大偏差问题。,安

9、全保护等级的划分,五级监管,第四步,信息系统等级评审,在信息系统安全保护等级确定过程中,可以聘请专家进行咨询评审,并出具定级评审意见。对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审,出具评审意见。 当专家意见与运营使用单位或者主管部门不一致时,以运营使用单位或者主管部门意见为准。,在信息系统安全保护等级确定过程中,可以聘请专家进行咨询评审,并出具定级评审意见。对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审,出具评审意见。 当专家意见与运营使用单位或者主管部门不一致时,以运营使用单位或者主

10、管部门意见为准。,第五步,信息系统等级的最终确定与审批,信息系统运营使用单位参考专家定级评审意见,最终确定信息系统等级,形成定级报告。信息系统运营使用单位有上级主管部门的,应当经上级主管部门对安全保护等级进行审核批准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由其上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。,第六步,备案,第二级以上信息系统,在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安

11、部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。定级工作的结果是以备案完成为标志。基础信息网络和重要信息系统的定级、备案工作9月底前完成。,第七步,备案审核,受理备案的公安机关要公布备案受理地点、备案联系方式等。在受理备案时,应对提交的备案材料进行完整性审核和定级准确性审核。对符合等级保护要求的,应颁发信息系统安全等级保护备案证明。发现定级不准的,通知备案单位重新审核确定。,第八步,及时总结并提交总结报告,各地区、各部门要结合本地区、本行业开展定级工作的实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议,及时总结定级

12、工作经验,形成定级工作总结报告,并于10月中旬报送公安部。,八、定级工作完成后需要开展哪些工作,一是开展安全建设和整改。 二是开展等级测评。 三是开展自查。,九、开展安全等级保护工作依据的主要标准有哪些,1、基础标准划分准则(GB17859) 2、基线标准 信息系统安全等级保护基本要求 3、辅助标准定级指南、实施指南、测评准则 4、目标标准 信息系统通用安全技术要求(GB/T20271) 网络基础安全技术要求(GB/T20270) 操作系统安全技术要求(GB/T20272) 数据库管理系统安全技术要求(GB/T20273) 终端计算机系统安全等级技术要求(GA/T671) 信息系统安全管理要求

13、(GB/T20269) 信息系统安全工程管理要求(GB/T20282) 5、产品标准防火墙、入侵检测、终端设备隔离部件等,十、公安机关组织开展等级保护中的职责任务是什么,1、监督、检查、指导信息系统运营使用单位和主管部门开展信息安全等级保护工作; 2、监督、检查信息系统运营使用单位的安全保护管理制度和技术措施落实情况、定级和备案情况、安全整改、等级测评、产品使用、自查等情况。,十一、公安机关如何对实施信息安全等级保护进行监督管理,一是指导定级。 二是受理备案。 三是定期检查。,系统定级的具体实施,定级基本流程1,表2 业务信息安全等级矩阵表 根据系统服务安全被破坏时所侵害的客体以及对相应客体的

14、侵害程度,依据表2系统服务安全等级矩阵表,即可得到系统服务安全等级。,表3 系统服务安全等级矩阵表 作为定级对象的信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定。定级对象等级确定后,可参照附件中的信息系统安全保护等级定级报告模版起草定级报告。,不同危害后果的三种危害程度描述如下: 一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的资产损失,有限的社会不良影响,对其他组织和个人造成较低损害。 严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的资产损失,较大范围的社会不良影响,

15、对其他组织和个人造成较严重损害。,特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的资产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。 信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成损害、严重损害、特别严重损害的具体定义。,三种受侵害的客体:

16、 国家安全 体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全等方面利益。 社会秩序和公共利益 包括政治、经济、生产、生活、科研、工作等各方面的正常秩序和社会公众生产、生活、教育、卫生等方面的利益。 合法权益 是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益,,关于侵害客体和侵害程度,关于国家安全 重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等;广播、电视、网络等重要新闻媒体的发布或播出系统,其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件;尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统,以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。,关于社会秩序 各级政府机构的社会管理和公共服务系统,如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统,也包括教育、科研机构的工作系统,以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号