《北京市教委各直属单位信息安全等级保护工作培训》由会员分享,可在线阅读,更多相关《北京市教委各直属单位信息安全等级保护工作培训(71页珍藏版)》请在金锄头文库上搜索。
1、北京市教委各直属单位信息安全等级保护工作培训主讲:市公安局网监处信息安全等级保护办公室 高媛2007年10月24日信息安全等级保护工作概述信息安全保护等级的划分2信息安全等级保护工作的流程3信息系统的定级工作4信息系统的备案工作5培训提纲1一、信息安全等级保护工作概述信息安全等级保护工作的定位信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作不仅是实现国家对重要信息系统重点保护的重大措施,也是一项事关国家安全、社会稳定和北京奥运会成功举办的政治任务。信息安全等级保护工作法律法规标准依据国家层面: 中华人民共和国计算机信息系统安全保护条例(1994年,
2、国务院147号令) 国家信息化领导小组关于加强信息安全保障工作的意见( 2003年,中办27号文) 关于信息安全等级保护工作的实施意见(2004年9月,公通字200466号文件) 信息安全等级保护管理办法(2007年6月,公通字200743号文件北京市: 北京市公共服务网络与信息系统安全管理规定(2005年11月,市政府第163号令) 关于开展信息安全等级保护工作的通知 (2006年3月) 北京市开展信息安全等级保护工作的实施方案(2007年8月) 北京市信息化促进条例(2007年9月通过,12月1日施行)信息安全等级保护工作法律法规标准依据二、信息安全保护等级的划分信息系统安全保护等级的决定
3、要素 信息系统的安全保护等级由两个要素决定:等级保护对象受 到破坏时所侵害的客体和对客体造成侵害的程度。 受侵害的客体 :一是公民、法人和其他组织的合法权益;二是社会秩序、公共利益;三是国家安全。 对客体的侵害程度:一是造成损害;二是造成严重损害;三是造成特别严重损害。侵害国家安全的事项包括以下方面:影响国家政权稳固和国防实力;影响国家统一、民族团结和社会安定;影响国家对外活动中的政治、经济利益等侵害社会秩序的事项包括以下方面:影响国家机关社会管理和公共服务的工作秩序;影响各种类型的经济活动秩序等;影响公共利益的事项包括以下方面:影响社会成员使用公共设施;影响社会成员获取公开信息资源等;影响公
4、民、法人和其他组织的合法权益是指:由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。受侵害的客体的具体事项体现侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同。在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准: 如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准; 如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。 如何确定对客体的
5、侵害程度对客体的三种危害程度损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的资产损失,有限的社会不良影响,对其他组织和个人造成较低损害。严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的资产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的资产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。五个等级的划分第一级,信息系统受到破坏后,会对公民、法人和其他组织的
6、合法 权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法 权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损 害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重 损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别 严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 五级保护和监管 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术 标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术 标准
7、进行保护。国家信息安全监管部门对该级信息系统信息安全等 级保护工作进行指导。 第三级信息系统运营、使用单位应当依据国家有关管理规范和技术 标准进行保护。国家信息安全监管部门对该级信息系统信息安全等 级保护工作进行监督、检查。 第四级信息系统运营、使用单位应当依据国家有关管理规范、技术 标准和业务专门需求进行保护。国家信息安全监管部门对该级信息 系统信息安全等级保护工作进行强制监督、检查。 第五级信息系统运营、使用单位应当依据国家管理规范、技术标准 和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统 信息安全等级保护工作进行专门监督、检查。 信息系统等级对照表三、信息系统安全保护工作流程
8、1、系统定级和审批2、备案3、评估与整改建设4、等级测评5、监督检查3.信息系统安全评估与整改建设(一)信息系统安全建设整改(管理办法第十一、十二、十三条)第十一条:信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安 全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安 全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。第十二条:在信息系统建设过程中,运营、使用单位应当按照计算机信息系统安 全保护等级划分准则(GB17859-1999)、信息系统安全等级保护基本要 求等技术标准,参照信息安全技术 信息系统通用安全技术要求( GB/T20271-2006)
9、、信息安全技术 网络基础安全技术要求(GB/T20270- 2006)、信息安全技术 操作系统安全技术要求(GB/T20272-2006)、 信息安全技术 数据库管理系统安全技术要求(GB/T20273-2006)、信息 安全技术 服务器技术要求、信息安全技术 终端计算机系统安全等级技 术要求(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全 设施。第十三条:运营、使用单位应当参照信息安全技术 信息系统安全管理要求( GB/T20269-2006)、信息安全技术 信息系统安全工程管理要求( GB/T20282-2006)、信息系统安全等级保护基本要求等管理规范,制定 并落实
10、符合本系统安全保护等级要求的安全管理制度。(二)有关技术标准和管理标准的简要说明 计算机信息系统安全保护等级划分准则强制性基础性标准 信息系统安全等级保护实施指南过程控制 信息系统安全等级保护定级指南管理规范 信息系统安全等级保护基本要求具体要求 安全技术服务器安全技术要求关键设备3.信息系统安全评估与整改建设3.信息系统安全评估与整改建设(三)信息安全产品分等级使用管理 (管理办法第二十一条)第三级以上信息系统应当选择使用符合以下条件的信息安全产品 : (一)产品研制、生产单位是由中国公民、法人投资或者国家投 资或者控股的,在中华人民共和国境内具有独立的法人资格; (二)产品的核心技术、关键
11、部件具有我国自主知识产权; (三)产品研制、生产单位及其主要业务、技术人员无犯罪记录 ; (四)产品研制、生产单位声明没有故意留有或者设置漏洞、后 门、木马等程序和功能; (五)对国家安全、社会秩序、公共利益不构成危害; (六)对已列入信息安全产品认证目录的,应当取得国家信息安 全产品认证机构颁发的认证证书。4.信息系统安全等级测评第三级(含)以上信息系统运营使用单位信息系统整改建设 完成后,应当按照管理办法要求选择符合管理规范和相 关部门文件要求的测评机构,依据技术标准对信息系统安全 等级状况开展技术测评,并出具测评报告。完成后上报等级 保护工作主管部门。(管理办法第十四条)5.监督检查在各
12、阶段工作中,相关职能部门和主管部门要加大对信息安全等级保护工作的监督检查力度,通过检查督促其落实等级保护各项安全管理制度和技术保护措施。在检查过程中,发现定级不准确、未按要求开展系统整改、未及时申请测评备案等问题要责令其限期整改,发现各类违法违规情况,要依法严肃处理。 法律责任信息系统的运营、使用单位,尤其是重要 信息系统和涉及国家秘密的信息系统的主管部 门和运营、使用单位违反信息安全等级保护相 关法律法规和政策规定的,造成严重损害的, 由相关部门依照有关法律、法规予以处理。(一)未按本办法规定备案、审批的; (二)未按本办法规定落实安全管理制度、措施的; (三)未按本办法规定开展系统安全状况
13、检查的; (四)未按本办法规定开展系统安全技术测评的; (五)接到整改通知后,拒不整改的; (六)未按本办法规定选择使用信息安全产品和测评机构的; (七)未按本办法规定如实提供有关文件和证明材料的; (八)违反保密管理规定的; (九)违反密码管理规定的; (十)违反本办法其他规定的。管理办法中第四十条具体罚则信息化促进条例第四十五条:违反本条例规定,有下列行为之一的,由有关部门依照中华人民共和国政府信息公开条例、中华人民共和国计算机信息系统安全保护条例等有关规定责令改正,给予警告或者责令停机整顿,并对直接负责的主管人员和其他直接责任人员依法处理: (一)违反第十九条规定,未按照国家和本市的规定
14、公开政务信息的; (二)违反第三十二条规定,网络与信息系统的建设单位和运行维护单位未依法进行安全保护等级备案、审批的; (三)违反第三十三条规定,未进行网络与信息系统安全建设或者改建工作,或者未进行网络与信息系统安全等级技术测评的。 具体罚则处罚方式罚则罚款警告与 通报批评限期整改停机 整顿信息系统 运营使用单位责任人行政处分依法 处理构成犯罪的,依法追究法律责任 四、信息系统的定级工作信息系统安全保护等级责任划分“自主定级、自主保护”与国家监管在等级保护工作中,信息系统运营使用单位和主管部门 按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并 接受信息安全监管部门对开展等级保护工作的监管。
15、运营使 用单位和主管部门是信息系统安全的第一责任人,对所属信 息系统安全负有直接责任;公安、保密、密码部门对运营使 用单位和主管部门开展等级保护工作进行监督、检查、指导 ,对重要信息系统安全负监管责任。 定级工作的指导思想信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,也不以风险评估为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级。 定级工作的主要步骤定级是等级保护工作的首要环节,是开展备案、信息系统建设、整改、测评、监督检查等后续工作的重要基础。第一步,摸底调查,掌握信息系统
16、底数第二步,确定定级对象第三步,初步确定信息系统等级第四步,信息系统等级评审第五步,信息系统等级的最终确定与审批作为定级对象的信息系统应具有如下基本特征: (一)具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任 单位。 如果一个单位的某个下级单位负责信息系统安全建设、 运行维护等过程的全部安全责任,则这个下级单位可以 成为信息系统的安全责任单位; 如果一个单位中的不同下级单位分别承担信息系统不同 方面的安全责任,则该信息系统的安全责任单位应是这 些下级单位共同所属的单位。 第二步,确定定级对象(二)具有信息系统的基本要素作为定级对象的信息系统应该是配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。(三)承载相对独立的业务应用定级对象承载“相对独立”的业务应用是指其业务
