《呼伦贝尔市重要信息系统》由会员分享,可在线阅读,更多相关《呼伦贝尔市重要信息系统(95页珍藏版)》请在金锄头文库上搜索。
1、呼伦贝尔市重要信息系统 安全等级保护工作培训目 录 一、我国在信息安全保障工作中为什么要实行等级保护制度二、实行信息安全等级保护制度的目的三、等级保护工作的主要流程有哪些?开展等级保护基本要求是什么 四、重要信息系统安全等级保护定级工作的主要步骤是什么五、当前定级工作存在的主要问题及分析 六、定级工作完成后需要开展哪些工作七、开展安全等级保护工作依据的主要标准有哪些 八、公安机关组织开展等级保护中的职责任务是什么九、信息安全等级保护管理办法释义一、我国在信息安全保障工作中为 什么要实行等级保护制度 当前,我国基础信息网络和重要信息系统安全面临 的形势十分严峻,既有外部威胁,又有自身脆弱性和薄
2、弱环节。 一是针对基础信息网络和重要信息系统的违法犯罪持续 上升。 二是基础信息网络和重要信息系统安全隐患严重。三是我国的信息安全保障工作基础还很薄弱。 一、我国在信息安全保障工作中为 什么要实行等级保护制度 一是针对基础信息网络和重要信息系统的违法犯 罪持续上升。不法分子利用一些安全漏洞,使用病毒、木马 、网络钓鱼等技术进行网络盗窃、网络诈骗、网 络赌博等违法犯罪,对我国的经济秩序、社会管 理秩序和公民的合法权益造成严重侵害。 一、我国在信息安全保障工作中为 什么要实行等级保护制度 二是基础信息网络和重要信息系统安全隐患严重 。由于各基础信息网络和重要信息系统的核心 设备、技术和高端服务主要
3、依赖国外进口,在操 作系统、专用芯片和大型应用软件等方面不能自 主可控,给我国的信息安全带来了深层的技术隐 患。 一、我国在信息安全保障工作中为 什么要实行等级保护制度 三是我国的信息安全保障工作基础还很薄弱。信息安全意识和安全防范能力薄弱,信息系 统安全建设、监管缺乏依据和标准,安全保护措 施和安全制度不落实,监管措施不到位。 二、实行信息安全等级保护制度的 目的 信息安全等级保护是国家信息安全保障工作的基本制度 、基本策略、基本方法。开展信息安全等级保护工作是保护 信息化发展、维护国家信息安全的根本保障,是信息安全保 障工作中国家意志的体现。 有效解决我国信息安全面临的威胁和存在的主要问题
4、, 充分体现“适度安全、保护重点”的目的,将有限的财力、物 力、人力投入到重要信息系统安全保护中,按标准建设安全 保护措施,建立安全保护制度,落实安全责任,有效保护基 础信息网络和关系国家安全、经济命脉、社会稳定的重要信 息系统的安全,有效提高我国信息安全保障工作的整体水平 。 二、实行信息安全等级保护制度的 目的 信息安全等级保护就是将全国的信息系统分成五个 等级,定级后到公安机关备案(立户口),按标准建设 整改,开展测评,公安机关开展监督检查。信息安全等 级保护是国家意志的体现,在国家信息安全保障工作只 有等级保护制度是强制实施的,也只有等级保护工作是 四个部委共同组织实施的。信息安全等级
5、保护是当今发达国家保护关键信息基 础设施,保障信息安全的通行做法,也是我国多年来信 息安全工作经验的总结三、等级保护工作的主要流程包括哪些?主要流程包括六项内容:一、自主定级与审批。 二、评审。 三、备案。 四、系统安全建设。 五、等级测评。六、监督检查。 三、等级保护工作的主要流程包括哪些?一、自主定级与审批 信息系统运营使用单位按照信息安全等级保护管理办法(以下简称管理办法)和 信息系统安全保护定级指南,自主确定信息系 统的安全保护等级。有上级主管部门的,应当经 上级主管部门审批。跨省或全国统一联网运行的 信息系统可以由其主管部门统一确定安全保护等 级。 三、等级保护工作的主要流程包括哪些
6、?二、评审在信息系统确定安全保护等级过程中,可以组织专家进行评审。对拟确定为第四级以上信息 系统的,运营使用单位或主管部门应当邀请国家 信息安全保护等级专家评审委员会评审。三、等级保护工作的主要流程包括哪些?三、备案第二级以上信息系统定级单位到所在地设区的市级以上公安机关办理备案手续 。三、等级保护工作的主要流程包括哪些?四、系统安全建设信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法 (第二十一条,共六项)要求的信息安全产品, 建设符合等级要求的信息安全设施,建立安全组 织,制定并落实安全管理制度。三、等级保护工作的主要流程包括哪些?五、等级测评信息系统建设完成后
7、,运营使用单位选择符合管理办法(第二十二条,共八项)要求的 检测机构,对信息系统安全等级状况开展等级测 评。 三、等级保护工作的主要流程包括哪些?六、监督检查公安机关依据信息安全等级保护管理规范, 监督检查运营使用单位开展等级保护工作,定期 对第三级以上的信息系统进行安全检查。信息系 统运营使用单位应当接受公安机关的安全监督、 检查、指导,如实向公安机关提供有关材料。开展等级保护工作的总体要求各基础信息网络和重要信息系统,按照“准确定级、严 格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作 。公安机关和保密、密码工作部门要及时开展监督检查, 严格审查信息系
8、统所定级别,严格检查信息系统开展备 案、整改、测评等工作。对故意将信息系统安全级别定低,逃避公安、保密、密 码部门监管,造成信息系统出现重大安全事故的,要追究单位和相关人员的责任。 四、定级工作的主要步骤是什么第一步:开展摸底调查 第二步:确定定级对象第三步:初步确定信息系统等级第四步:信息系统等级评审第五步:信息系统等级的最终确定与审批第六步:备案第七步:备案审核第八步:及时总结并提交总结报告 四、定级工作的主要步骤是什么第一步 开展摸底调查 按照等级保护管理规范,各单位、各部门 可以组织开展对所属信息系统进行摸底调查,摸 清信息系统底数,掌握信息系统(包括信息网络 )的业务类型、应用或服务
9、范围、系统结构等基 本情况,为下一步明确要求、落实责任奠定基础 。 四、定级工作的主要步骤是什么第二步 确定定级对象在全国重要信息系统安全等级保护定级工 作(以下简称“定级工作”)中,如何科学、合 理地确定定级对象是最关键、最复杂的问题。信 息系统运营使用单位或主管部门按如下原则确定 定级对象: 四、定级工作的主要步骤是什么第二步 确定定级对象确定定级对象的三个原则:1、承载相对独立或单一业务应用的信息系统;2、信息系统的信息安全由本单位主管;3、具有信息系统的基本要素。(计算机及其相 关配套设备、设施构成的人机系统)只有同时满足上述三个条件,才可由本单位对 其进行定级。四、定级工作的主要步骤
10、是什么第二步 确定定级对象一是起传输作用的信息网络(专网、内网 、外网等)要作为定级对象。二是各单位网站要作为独立的定级对象。 如果网站的后台数据库管理系统安全级别高, 也要作为独立的定级对象。网站上运行的信息 系统(例如对社会服务的报名考试系统)也要 作为独立的定级对象。 四、定级工作的主要步骤是什么 第二步 确定定级对象三是用于生产、调度、管理、作业、指挥、办公等 目的的各类应用系统,要按照不同业务类别单独确定为定 级对象,不以系统是否进行数据交换、是否独享设备为确 定定级对象条件。新建系统要在规划设计阶段定级。不能将某一类信息系统作为一个定级对象。这里也 有特例,例如,某个单位的管理系统
11、,最初设计时,就把 办公、车辆管理、人事管理等业务集中在该系统中,该系统应作为一个定级对象。 四、定级工作的主要步骤是什么 第二步 确定定级对象四是确认负责定级的单位是否对所定级系统负有业务主管责任。也就是说,业务部门应主导对业务信息系统定级,运维部门(例如信息中心、托管方)可以协助定 级并按照业务部门的要求开展后续安全保护工作。四、定级工作的主要步骤是什么 第二步 确定定级对象五是具有信息系统的基本要素。作为定级对象的信息系统应该是由相关 的和配套的设备、设施按照一定的应用目标和 规则组合而成的有形实体。应避免将某个单一 的系统组件(如服务器、终端、网络设备等) 作为定级对象。四、定级工作的
12、主要步骤是什么 第二步 确定定级对象准确划分定级对象是系统定级的前提。 定级对象划分太细,会增加工作量,不利于限 定责任主体,不利于整体保护;定级对象划分 太粗,对整个系统要求实施统一级别的安全保 护,不利于明确重点,不利于信息安全资源的 优化配置。四、定级工作的主要步骤是什么 第二步 确定定级对象跨地域或跨级别应用的大系统,如果各地或各 级运营、使用单位都有安全保护责任,建议每地或每 级都要单独确定一个定级对象,而不应将全行业划分 为一个定级对象;在一个大的网络平台上运行的多个 业务应用系统,应将各个业务应用系统认定为各自独 立系统,并分别确定为定级对象。四、定级工作的主要步骤是什么 第二步
13、 确定定级对象起传输通道作用的基础信息网络以及承 载单一业务的信息系统都可以作为一个定级对 象。四、定级工作的主要步骤是什么 第三步 初步确定信息系统等级 信息系统的安全保护等级是信息系统的 客观属性,不以已采取或将采取什么安全保护 措施为依据,也不以风险评估为依据。即从国 家、人民群众的根本利益出发,考虑了信息系 统出现问题后的最大风险。四、定级工作的主要步骤是什么 第三步 初步确定信息系统等级 信息系统的安全保护等级是以信息系统的重要性 和信息系统遭到破坏后对国家安全、社会稳定、人民 群众合法权益的危害程度为依据,确定信息系统的安 全保护等级。既要防止个别单位片面追求绝对安全而 定级过高,
14、也要防止为了逃避监管定级偏低。四、定级工作的主要步骤是什么 第三步 初步确定信息系统等级 (一)确定受侵害客体定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众 利益以及公民、法人和其他组织的合法权益。确定侵害客体时从定级对象 的两方面进行考虑:一是业务信息安全被破坏时所侵害的客体 ;二是系统 服务安全被破坏时所侵害的客体。 侵害国家安全的事项包括以下方面:影响国家政权稳固和国防实力 ;影响国家统一、民族团结和社会安定;影响国家对外活动中的政治、经 济利益等;侵害社会秩序、公共利益的事项包括以下方面:影响国家机关社会 管理和公共服务的工作秩序;影响各种类型的经济活动秩序等;影响社会 成
15、员使用公共设施;影响社会成员获取公开信息资源等;影响公民、法人和其他组织的合法权益是指由法律确认的并受法律 保护的公民、法人和其他组织所享有的一定的社会权利和利益。四、定级工作的主要步骤是什么 第三步 初步确定信息系统等级 (二)确定对客体的侵害程度 一般损害:工作职能受到局部影响,业务能力有所降低但不影响 主要功能的执行,出现较轻的法律问题,较低的资产损失,有限 的社会不良影响,对其他组织和个人造成较低损害。 严重损害:工作职能受到严重影响,业务能力显著下降且严重影 响主要功能执行,出现较严重的法律问题,较高的资产损失,较 大范围的社会不良影响,对其他组织和个人造成较严重损害。 特别严重损害
16、:工作职能受到特别严重影响或丧失行使能力,业 务能力严重下降且或功能无法执行,出现极其严重的法律问题, 极高的资产损失,大范围的社会不良影响,对其他组织和个人造 成非常严重损害。四、定级工作的主要步骤是什么 第三步 初步确定信息系统等级 (三)确定信息系统的安全保护等级表2、确定业务信息安全等级业务业务 信息安全被破坏时时所侵害的 客体对对相应应客体的侵害程度 一般损损害严严重损损 害特别严别严 重损损害公民、法人和其他组织组织 的合法权权 益第一级级第二级级第二级级社会秩序、公共利益第二级级第三级级第四级级国家安全第三级级第四级级第五级级四、定级工作的主要步骤是什么 第三步 初步确定信息系统等级 (三)确定信息系统的安全保护等级表3、确定系统服务安全等级系统统服务务安全被破坏时时所侵害的 客体对对相应应客体的侵害程度 一般损损害严严重损损 害特别严别严 重损损害公民、法人和其他组织组织 的合法权权 益第一级级第二级级第二级级社会秩序、公共利益第二级级第三级级第四级级国家安全第三级级第四级级第五级级四、定级工作的主要步骤是什么 第三步
