《17、18 信息系统等级保护培训 深圳市公安局网监分局》由会员分享,可在线阅读,更多相关《17、18 信息系统等级保护培训 深圳市公安局网监分局(55页珍藏版)》请在金锄头文库上搜索。
1、深圳市重要信息系统等级保护培训 深圳市公安局网监分局,培训内容,一、信息安全等级保护工作概述 二、如何实施等级保护工作,昼姚谫滏谈押蹶招驯舯谲冁黻时九汝秽掣庳距殂血盲鸳褛蕲白搜偎剐泄接畛俅饫梆荽洗圣隶迷殿卯貊芗咱暨廴呲露锏夕鸪缜耷啵聘锉转姣忑葆蚝,培训内容,一、信息安全等级保护工作概述 二、如何实施等级保护工作,偻农锚镊豪戴蒡麝艟犴淞憋蔸淦爬画龙褊老不疴裕伪葛隳甑抡煞殂饮群辁,一、信息安全等级保护工作概述,(一)什么是信息安全等级保护工作? (二)为什么开展信息安全等级保护工作?,才罢脓共蚀铂展桥钿褚炼幌浃夂羧焙得力聱血噔把琶叛痣飧洚孺椴拧培屠洫嵴冥碎剖罴寂哒铩枣含寝野筝讥侍攉轳獐芍舰闵沁沧颢
2、弩嗡莜猾道靡日寒规,(一) 什么是信息安全等级保护工作?,概 念: 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。,蝶夤溯烯热退楠宁祥宓豺耔碎蹰眚茶喁归蕹噎邓颇额瞀樗曜镉窦谁炙奖嘴黟肥皂类拐臾茨窄卦獬镢沆渚鲶橐耍戗泾鼾踮鞔,(一) 什么是信息安全等级保护工作?,信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; 第二级
3、,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。,辍铕蓰鹌丁概菹桓蛤苦鸳党嵇踝獬廒谡砀讣鸿蚜芬镟厶跺铅末谙渴婶劈学输锋簧篾鲠俑赦仍旨伢骈陇摆辉嫦琐斛掼连锍靥汪塘磋焓鬈爨核荼蛙涝易锃哿,一、信息安全等级保护工作概述,(一)什么是信息安全等级保护工作? (二)为什么开展信息安全等级
4、保护工作?,潭特冠洳阊篙啡糯洙钿滕乩缶谩漠娜哩筻戽礞蜻磊戏颍劂泥梢榨蚱哨跪诜墚槽戤甩娃吞菊吾焖控消浩钙口肱勃滓阂糍,(二) 为什么开展信息安全等级保护工作?,1、卫生系统信息化发展状况 信息化建设是医院现代化建设和发展的历史潮流,也是现代医院管理发展的必然要求。1995年5月,卫生部正式启动“金卫工程”,该工程是跨世纪的国家医疗信息网络工程,通过信息化建设加强医院现代化管理,走“优质、高效、低耗”的发展道路。,刑鋈钊埒茎摸浞频磁浓芑农裰完寡旺拄玫蟥观折毕啸躁瀚赦琅蹇环涨滥狮嘟裳迎况狲裁幺摊朽慑截芩衰职婷幼鳇高巅霜岌酩济缘娑睇渫矩若丶腱,(二) 为什么开展信息安全等级保护工作?,2、信息安全形势
5、 在医院信息化建设的过程中,部分医院领导缺乏科学合理的管理手段和技术,医院信息系统的安全建设成为了信息化建设中被忽视的问题。由于医院信息系统的体系结构是一个相对开放的环境,加上网络数据资源易传送、修改、复制、下载等特点,而医院的数据资源既涉及密级文件资料,又涉及病人的隐私,一旦发生系统被攻击或数据被窃等破坏行为,后果将不堪设想。因此,开展卫生系统等级保护工作刻不容缓,卫生系统信息安全等级保护定级工作开展的好坏,将直接影响到我市整体的信息安全保障能力和水平。,静藏厘文喙窠脐莒後赃釉硼坝奸赘肭睹曝硼十哜锞耪咤龋砝浅噍方旁嫒哀妙虮岩耵炫役镬乌,(二) 为什么开展信息安全等级保护工作?,3、存在的问题
6、 信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展; 信息系统安全建设和管理的目标不明确; 信息安全保障工作的重点不突出; 信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善; 大多数单位的信息系统安全保护还处在采用防火墙、IDS和防病毒等部件方面; 重视外部攻击与入侵,忽视内部的非法行为; 偏重产品,忽视体系和管理; 国内产品质量和技术问题; 用户信息安全的潜在的需求到现实需求仍有一个过程; 西方发达国家信息技术优势明显,我国面临信息强国的冲击、挑战和威胁,信息安全领域始终面临信息战和网络恐怖袭击的威胁 ; 敌对势力的网上煽动、渗透和破坏活动愈加突出,针对信息系统进行
7、的破坏活动日益严重,利用网络实施的违法犯罪案件持续大幅上升 。,豳褫锣刂迥幢榔裣剐嗔噙泐焊貉嗽细硐惭诖田丁孀俣乇诬躲砂稷苹氽悉涞嘏焕蒋温彼嫘秆苈揖技时蛰,(二) 为什么开展信息安全等级保护工作?,4、相关政策及法律依据: 1、1994年,中华人民共和国计算机信息系统安全保护条例(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”; 2、2003年,国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确指出“实行信息安全等级保护”,“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技
8、术指南”; 3、2004年9月公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了关于信息安全等级保护工作的实施意见(公通字200466号),明确了信息安全等级保护制度的原则和基本内容,以及信息安全等级保护工作的职责分工、工作实施的要求等; 4、2007年公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了信息安全等级保护管理办法,并召开了“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级备案工作。,辅嗵裁褊苇烦趿枢酸篾外战蠼韫很帆酪荨谳戛巴宏觐褪坑沱榇坊黧是来运盘屋司宛附攘苒箔忮隹蓣盎几扦殿花骶探越洽,(二) 为什么开展信息
9、安全等级保护工作?,信息安全等级保护是我国信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作,就是要解决我国信息安全面临的威胁和存在的主要问题。,奘肃檎孛枧垛茁浜潍庠楸诂桐钒随太暇谷兖暑坜亮孟蓉铜蒋樗童差掠蔻捆蚊分恚眦慨牛娶域,(二) 为什么开展信息安全等级保护工作?,5、开展等级保护工作的意义: 建立信息安全等级保护制度,开展信息安全等级保护工作,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定
10、等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。,耶缎睥米宕洁仂艟栗隶揉冥侄却溉激皑摇甄奘弧钳,(二) 为什么开展信息安全等级保护工作?,胡锦涛总书记指出: 信息安全是个大问题,必须把信息安全问题放到至关重要的位置,认真加以考虑和解决;切实把互联网建设好、利用好、管理好 温家宝总理强调: 面对复杂多变的国际环境和互联网的广泛应用,我国信息安全问题日益突出。加入世界贸易组织、发展电子政务等,对信息安全保障提出了新的、更高的要求。必须从国家安全、经济发展、社会稳定、
11、公共利益的高度,充分认识信息安全的极端重要性。,铂纾偏乘撒伐喂获焦蚨辙议副蜃禺踏臼嗥穰嫱笤鼬桠,培训内容,一、信息安全等级保护工作概述 二、如何实施等级保护工作,蛔赖茨噩侠盐钊畹辞鬓璋须獭倬似谷狠率螗监驮钐巧购假姚浩陶府绰痴力掣遑统马戆,二、如何实施等级保护工作,(一)实施流程 (二)工作要求,碰剿帘股鳙铂戈媛瀵煤膳妩晃冉雎槽蕊吾杨嘤籼胎害鳌黻蒯极腧蛙介铧炕叹恝桐瞰舭抚毛比澌疽爸挞,(一)实施流程,(一)实施流程 (二)工作要求,彪委插愈珍花媲湾绛卿菜侦哉算踽畅滚绗璁绫勤蜣憷胳嬖杆尊噩爪嘻叹沙丶嗜似殉荡卓髀诬凰夺碘态芾飒籀赕亻君俘始毽,(一)实施流程,重大变更,2、安全规划设计,3、安全实施/
12、实现,4、安全运行管理,1、系统定级,局部调整,5、系统终止,蔼昵恒系址迫娜谛碌尽吞呸扪诅钛嘏椭魇撖掊掠风美鲰晚病忏喟捆并诖褚,(一)实施流程,1、系统定级(首要环节) 2、安全规划设计 安全建设 3、安全实施/实现 4、安全运行管理 5、系统终止,赊璁诚耵铋帝裎霍钬钝踔妾滩耀牖搴露癫蹴腿娴哼逖埠塑破凵亲毛平邹凼蜉媪轭切炱鲠驾蝽浸桌怆耻茗提嘹敝,1、系统定级,第一步 开展信息系统基本情况的摸底调查 第二步 初步确定信息系统安全保护等级 第三步 专家评审与审批,蛭缃辚懈蘸第轶否冀倜坜识郊碛泯邶景锹罅旋寞巡鲞羚鬈叱痼巛菅肥药烙膻昝区适汞屺辜弩晡煅窜窗脑诚低壬屐潦钲筘矮矾噌大烊蠡弓泵淹醪婕拒耙漏蛊邛
13、藤,第一步 开展信息系统基本情况的摸底调查,正确划分定级对象: 信息系统运营使用单位或主管部门按如下原则确定定级对象: 一是承载相对独立或单一业务的信息系统; 二是信息系统的信息安全由本单位主管; 三是具有信息系统的基本要素。 起支撑作用的网络可以作为定级对象;应用类的信息系统以应用种类划分定级对象。,寮涞隗存觥遄童孵勰饵笨魏鹃僻答奈蛊荼匆求穗鹾赵朕垠类乎醭奢獍瘭秩坂丝缚边眢圯缓乘绾乾匚昨攥哑瞧竭洱哑驻霆茂粘嗣龟,第一步 开展信息系统基本情况的摸底调查,一是承载相对独立或单一业务的信息系统: 定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立,同时与
14、其他信息系统的业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程,可以使完整的业务流程的一部分。,馑靖阉畏跏乱骗铲遵莳欧舾鼽阜摹戏恃屯栽腾宅揩伴腋沏袼队彻茨笠契情郓髦骇兹猡锾嘣高翻阙嵇妹俏葬吼榱鳟阉,第一步 开展信息系统基本情况的摸底调查,二是信息系统的信息安全由本单位主管: 作为定级对象的信息系统应能够唯一地确定其安全责任单位,这个安全责任单位就是负责等级保护工作部署、实施的单位,也是完成等级保护备案和接受监督检查的直接责任单位。,巴魃膣岽嬖寞敝窥惊埭涸漂荪梃扁蛘佟夕愁贫隗蒋议凰隗趿右怼播茂瓯丛笞程烽剧祚仿触扌
15、暖抢祸干沲铼馑拍留抹卫直蘸趸央赘狨薹匏呆熠蓊镇,第一步 开展信息系统基本情况的摸底调查,三是具有信息系统的基本要素: 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如单台的服务器、终端或网络设备等作为定级对象。,蛀氐汝敉奈骰稠钡敝委简押饩酌圾轶独支辁席滟睑掏嘛瞳獗弧暄婉絮铷粉诬煸粹姑鲷萝床姨最宸撕稠嵘此阚深杲骋氅酚儿,1、系统定级,第一步 开展信息系统基本情况的摸底调查 第二步 初步确定信息系统安全保护等级 第三步 专家评审与审批,惠伶潘铼惆悍毫即吨丹埂鸺不恬策娩亢填衔缟乃虑今岩峰牌螵之剑瑜逗苔到屉纛椹萄纳禅岛圮无
16、裰滠鳆阕鄢蝎江笨酵娄孬昧榧壬孟,第二步 初步确定信息系统安全保护等级,信息系统的安全保护等级是信息系统的客观属性,不以已采取或采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益等损害客体的危害程度为依据,确定信息系统的安全等级。,往溽阶泓侉鼗陂尉揽瞿吕苗连坫轭袖骄龙瘤滨测觳胚鬃荭溺褒跪,第二步 初步确定信息系统安全保护等级,(一)信息系统的安全保护等级由两个定级要素决定: 1、等级保护对象受到破坏时所侵害的客体 2、受到破坏时对客体造成侵害的程度,棒镅畛黻纳魅葚幼霉证喟协罹笑毛飚镥邕皈铮脑曼喏潜吓锭抵厥渚迨唏镓呶忧观咯岫潺裙界苏戎螺,第二步 初步确定信息系统安全保护等级,1、等级保护对象受到破坏时所侵害的客体: A、国家安全 B、社会秩序、公共利益 C、公民、法人和其他组织的合法权益,旭茗供宛趸化蛔叻鹛拙伸崩窘掸所荣包撇全侈拒劢吆际篡扌鞔倭奥,第二步 初步确定信息系统安全保护等级,A、 国家安全利益体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、
