《等级保护工作介绍通用课件》由会员分享,可在线阅读,更多相关《等级保护工作介绍通用课件(49页珍藏版)》请在金锄头文库上搜索。
1、安徽省安徽省公安厅公安厅1目录 信息安全等级保护工作概述信息安全等级保护工作概述信息安全等级保护工作概述信息安全等级保护工作概述 等级保护工作有关方面的职责、义务等级保护工作有关方面的职责、义务等级保护工作有关方面的职责、义务等级保护工作有关方面的职责、义务 信息系统安全保护等级的划分与保护信息系统安全保护等级的划分与保护信息系统安全保护等级的划分与保护信息系统安全保护等级的划分与保护 信息安全等级保护工作主要流程信息安全等级保护工作主要流程信息安全等级保护工作主要流程信息安全等级保护工作主要流程 信息系统安全保护等级的确定信息系统安全保护等级的确定信息系统安全保护等级的确定信息系统安全保护等
2、级的确定 信息系统安全保护等级备案与备案审核信息系统安全保护等级备案与备案审核信息系统安全保护等级备案与备案审核信息系统安全保护等级备案与备案审核 信息系统安全建设整改信息系统安全建设整改信息系统安全建设整改信息系统安全建设整改 信息系统安全保护等级测评信息系统安全保护等级测评信息系统安全保护等级测评信息系统安全保护等级测评 监督检查监督检查监督检查监督检查安徽省安徽省公安厅公安厅2信息安全等级保护工作概述发展历程发展历程:1994年,国务院颁布计算机信息系统安全保护条例年,国务院颁布计算机信息系统安全保护条例:第九条第九条 计计算机信息系统实行安全等级保护。安全等级的划分标准和安全等算机信息
3、系统实行安全等级保护。安全等级的划分标准和安全等 级保护的具级保护的具体办法,由公安部会同有关部门制定。体办法,由公安部会同有关部门制定。1999年,颁布计算机信息系统安全保护等级划分准则,年,颁布计算机信息系统安全保护等级划分准则,2000年实施年实施2003年,国家信息化领导小组关于加强信息安全保障工作的意年,国家信息化领导小组关于加强信息安全保障工作的意见(中办发见(中办发200327号):号):明确提出“实行信息安全等级保护”。 2004年,全国信息安全保障工作会议:年,全国信息安全保障工作会议:专门将信息安全等级保护工作作为信息安全保障工作的一项重要任务来部署2004年年9月,四部门
4、出台了关于信息安全等级保护工作的实施月,四部门出台了关于信息安全等级保护工作的实施意见(公通字意见(公通字200466号):号):明确了信息安全等级保护制度的原则和基本内容,以及信息安全等级保护工作的职责分工、工作实施的要求等。安徽省安徽省公安厅公安厅3信息安全等级保护工作概述发展历程发展历程:1999-20061999-2006年,制定了年,制定了5050多个国标和行标,初步形成多个国标和行标,初步形成了信息安全等级保护标准体系:了信息安全等级保护标准体系:计算机信息系统安全保护等级划分准则(GB17859-1999)、信息系统安全等级保护定级指南、信息系统安全等级保护基本要求、信息系统安全
5、等级保护实施指南、信息系统安全等级保护测评要求等。20062006年,下发等级保护管理办法(试行)年,下发等级保护管理办法(试行)20072007年年6 6月,四部门联合发布信息安全等级保护管月,四部门联合发布信息安全等级保护管理办法(公通字理办法(公通字200743200743号):号):明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了有关方面的职责、任务,为开展信息安全等级保护工作提供了规范保障。安徽省安徽省公安厅公安厅4信息安全等级保护工作概述工作进展:工作进展:关于开展全国重要信息系统安全等级保护定级工作的通知 (公通字2007861号) 信息安全等级保护备案实施细则(公信
6、安20071360号)关于开展信息安全等级保护安全建设整改工作的指导意见公信安20091429号关于开展信息安全等级保护专项监督检查工作的通知 (公信安20101175号)安徽省安徽省公安厅公安厅5信息安全等级保护工作概述网络安全形势网络安全形势 :一是西方敌对势力对我网上渗透和颠覆活动不断升级,我们将长期一是西方敌对势力对我网上渗透和颠覆活动不断升级,我们将长期面临敌对势力的信息优势、技术优势所带来的信息安全威胁。面临敌对势力的信息优势、技术优势所带来的信息安全威胁。二是境内外反动势力在西方敌对势力的支持下,对我重要网络和信二是境内外反动势力在西方敌对势力的支持下,对我重要网络和信息系统频繁
7、进行攻击破坏:息系统频繁进行攻击破坏:2006年发生几十起攻击我卫星广播电视和插播事件等三是计算机病毒传播和网络非法入侵十分严重:三是计算机病毒传播和网络非法入侵十分严重: “熊猫烧香”病毒变种700余个,感染了445万台计算机 四是网络违法犯罪持续大幅上升:四是网络违法犯罪持续大幅上升:黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术,进行网络盗窃、网络诈骗、网络赌博等违法犯罪 五是网上失、窃密情况严重。五是网上失、窃密情况严重。六是网络安全管理不善,安全措施不到位,信息系统运行事故时有六是网络安全管理不善,安全措施不到位,信息系统运行事故时有发生:发生:金融、民航等重要信息系统连续发生运行
8、事故. 安徽省安徽省公安厅公安厅6等级保护工作意义:信息安全等级保护是国家信息安全保障的基本制度、基本制度、基本策略、基本方法基本策略、基本方法,开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障根本保障。实施信息安全等级保护制度,信息系统运营使用单位和主管部门能按照标准进行安全建设、整改,信息系统安全与否也有了一个衡量尺度衡量尺度。信息安全等级保护是发达国家的通行做法、也是我国多年工作经验总结。五个“有利于”:信息安全等级保护工作概述安徽省安徽省公安厅公安厅7信息安全等级保护工作概述等级保护工作意义:1.有利于在信息化建设过程中同步建设同步建设信息安全设施,保障信息安全与信
9、息化建设相协调;2.有利于为信息系统安全建设和管理提供系统性、系统性、针对性、可行性针对性、可行性的指导和服务,有效控制信息安全建设成本;3.有利于优化信息安全资源的配置资源的配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;4.有利于明确国家、法人和其他组织、公民的信息安全责任安全责任,加强信息安全管理;5.有利于推动信息安全产业信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式 。安徽省安徽省公安厅公安厅8信息安全等级保护工作概述开展等级保护工作的总体要求:u各基础信息网络和重要信息系统,按照“准确定级、准确定级、严格审批、及时备
10、案、认真整改、科学测评严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。u公安机关和保密、密码工作部门要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。u对故意将信息系统安全级别定低,逃避公安、保密、密码部门监管,造成信息系统出现重大安全事故的,要追究单位和人员的责任。 安徽省安徽省公安厅公安厅9等级保护工作有关方面的职责义务 等级保护工作涉及:国家信息安全监管部门;信息国家信息安全监管部门;信息系统主管部门;信息系统运营使用单位;公民、法人系统主管部门;信息系统运营使用单位;公民、法人和其他组织和其他组织。其职责
11、和义务分别是:国家监管部门:国家监管部门: 公安机关公安机关牵头,负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管国家密码管理部门理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。省及市级信息化领导小组办事机构省及市级信息化领导小组办事机构负责等级保护工作的部门间协调。在信息安全等级保护工作中,坚持“分工负责、密切配合分工负责、密切配合”的原则。安徽省安徽省公安厅公安厅10等级保护工作有关方面的职责义务信息系统主管部门:信息
12、系统主管部门: 依照规范和标准,督促、检查和指导督促、检查和指导本行业、本部门或本地区信息系统运营使用单位落实等级保护工作。审批审批本行业系统定级工作。全省统一联网运行的信息系统主管部门可以统一确定安全保护等级。对本行业定级工作提出指导。 为什么要指导为什么要指导:行业主管部门比运营使用单位具有更高的站位、更宏观的视野。 指导什么指导什么:侵害客体确定;对不同类型的等级保护客体,本行业主要关注哪些危害后果;对于每一类等级保护客体,确定其危害程度。安徽省安徽省公安厅公安厅11等级保护工作有关方面的职责义务运营、使用单位:运营、使用单位: 依照规范标准,具体落实具体落实本单位等级保护工作中的定级、
13、备案、安全规划、安全建设、测评等,运营使用单位和主管部门是信息系统安全的第一责任人第一责任人,对所属信息系统安全负有直接责任直接责任。公民、法人和其他组织公民、法人和其他组织: 依照标准规范,开展等级保护工作,服从国家对信息安全等级保护工作的监督、指导,保障信息系统安全。 测评机构、产品提供商应当遵守国家有关管理规定和技术标准,接受国家信息安全职能部门的监督管理等。安徽省安徽省公安厅公安厅12信息安全保护等级的划分与保护u五个等级:五个等级: 根据信息系统的重要程度和遭到破坏后的危害程度等因素分为以下五级: 第一级:公民、法人和其他组织合法权益造成损害第二级:公民、法人和其他组织合法权益产生严
14、重损害,或社会秩序和公共利益造成损害第三级:社会秩序和公共利益造成严重损害,或者对国家安全造成损害第四级:对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害第五级:对国家安全造成特别严重损害 安徽省安徽省公安厅公安厅13信息安全保护等级的划分与保护u各等级信息系统的保护和监管责任(各等级信息系统的保护和监管责任(1)第一级:系统运营使用单位应当依据规范和技术标准进行保护。第二级:系统运营使用单位应当依据规范和技术标准进行保护。国家监管部门对该级信息系统信息安全等级保护工作进行指导指导。第三级:信息系统运营使用单位应当依据管理规范和技术标准进行保护。国家监管部门对该级信息系统信息安
15、全等级保护工作进行监督、检查监督、检查。安徽省安徽省公安厅公安厅14信息安全保护等级的划分与保护u各等级信息系统的保护和监管责任(各等级信息系统的保护和监管责任(2)第四级:信息系统运营使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查强制监督、检查。第五级:信息系统运营使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查专门监督、检查。 安徽省安徽省公安厅公安厅15等级保护工作主要流程等级保护工作主要流程一是
16、:定级。二是:备案。三是:建设、整改。四是:等级测评。五是:定期监督检查安徽省安徽省公安厅公安厅16等级保护工作主要流程等级保护工作主要流程各个工作环节间的关系:定级是等级保护的首要环节按等级保护是等级保护的核心建设整改是等级保护工作落实的关键等级测评是评价安全保护状况的方法监督检查是保护能力不断提高的保障安徽省安徽省公安厅公安厅17信息系统安全保护等级的确定u定级工作原则(定级工作原则(1)坚持坚持“自主定级、自主保护自主定级、自主保护”的原则:的原则:各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,自主确定信息系统的安全保护等
17、级,并按照所定等级,自主对信息系统进行保护。满足管理要求原则满足管理要求原则:安全等级不是保障程度等级,也不是技术能力等级,而是从国家管理的需要出发,从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息或信息系统被破坏后造成危害的严重性角度对信息系统确定的等级;全局性原则全局性原则:等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度,系统定级也必须从国家层面考虑,体现全局性;安徽省安徽省公安厅公安厅18信息系统安全保护等级的确定u定级工作原则(定级工作原则(2)以业务为核心原则以业务为核心原则:系统是为业务服务,安全等级应反映系统承载业务的重要性,应以业务为出发点和核心,将信
18、息系统重要性纳入业务重要性统筹考虑;合理性原则合理性原则:反映信息系统的主要安全特征,优化结构、降低投资、突出重点,有效保护。安徽省安徽省公安厅公安厅19信息系统安全保护等级的确定u定级范围:定级范围:1.电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 2.国家重要行业、领域的重要信息系统。 3.市(地)级以上党政机关的重要网站和办公信息系统。4.涉及国家秘密的信息系统。 特别说明:信息系统的安全保护等级是信息系统的客观属性,不以特别说明:信息系统的安全保护等级是信息系统的客观属性,不以系统已采取或将采
19、取什么安全保护措施为依据,也不以风险评估结系统已采取或将采取什么安全保护措施为依据,也不以风险评估结果为依据,而是以信息系统的重要性和信息系统遭破坏后对客体的果为依据,而是以信息系统的重要性和信息系统遭破坏后对客体的危害程度为依据,来确定信息系统的等级,即从国家、人民群众的危害程度为依据,来确定信息系统的等级,即从国家、人民群众的根本利益出发,考虑信息系统受到损害后的最大风险。根本利益出发,考虑信息系统受到损害后的最大风险。安徽省安徽省公安厅公安厅20信息系统安全保护等级的确定u定级对象(定级对象(1):): 定级对象的确定应当遵循以下三个基本原则:定级对象的确定应当遵循以下三个基本原则:1.
20、承载相对独立或单一业务应用的信息系统承载相对独立或单一业务应用的信息系统; 定级对象中的一个或多个业务应用的主要业务流程、定级对象中的一个或多个业务应用的主要业务流程、部分业务功能独立,同时与其他信息系统的业务应部分业务功能独立,同时与其他信息系统的业务应用有少量的数据交换,定级对象可能会与其他业务用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。应用共享一些设备,尤其是网络传输设备。“相对相对独立独立”的业务应用并不意味着整个业务流程,可以的业务应用并不意味着整个业务流程,可以是完整的业务流程的一部分。是完整的业务流程的一部分。安徽省安徽省公安厅公安厅21信息
21、系统安全保护等级的确定u定级对象(定级对象(2):):2.2.信息系统的信息安全由本单位主管信息系统的信息安全由本单位主管; 作为定级对象的信息系统应能够唯一地唯一地确定其安全责任单位,这个安全责任单位就是负责等级保护工作部署、实施的单位,也是完成等级保护备案和接受监督检查的直接责任单位。3.3.具有信息系统的基本要素;具有信息系统的基本要素;4. 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如单台的服务器、终端或网络设备等作为定级对象。安徽省安徽省公安厅公安厅22信息系统安全保护等级的确定u定级要素:定级要素:
22、受侵害的客体和对客体的侵害程度受侵害的客体和对客体的侵害程度l受侵害的客体受侵害的客体:1.1.国家安全:国家安全:国家政权稳固和国防实力的信息系统;重要新闻媒体的发布或播出系统;国家对外活动信息的信息系统;安全保卫信息系统;尖端科技领域的研发.2.2.社会秩序和公共利益社会秩序和公共利益: :政府机构的社会管理和公共服务系统;教育、科研机构的工作系统;为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行管理控制都应当是要考虑的方面3.3.公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益
23、: :拥有信息系统的个体或某个单位安徽省安徽省公安厅公安厅23信息系统安全保护等级的确定l对客体的侵害程度对客体的侵害程度:1.1.一般损害:工作职能一般损害:工作职能受到局部影响,业务能力业务能力有所降低但不影响主要功能的执行,出现较轻的法法律问题律问题,较低的资产损失资产损失,有限的社会不良影响社会不良影响,对其他组织和个人造成较低损害。2.2.严重损害:严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的资产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。3.3.特别严重损害:特别严重损害:工作职能受到特别严重影响或丧失行使能
24、力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的资产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。 返回安徽省安徽省公安厅公安厅24信息安全保护等级的确定定级要素与安全保护等级的关系定级要素与安全保护等级的关系等级等级对象对象侵害客体侵害客体侵害程度侵害程度监管强度监管强度第一级第一级一般一般系统系统合法权益合法权益损害损害自主保护自主保护第二级第二级合法权益合法权益严重损害严重损害指导指导社会秩序和公共利益社会秩序和公共利益损害损害第三级第三级重要重要系统系统社会秩序和公共利益社会秩序和公共利益严重损害严重损害监督检查监督检查国家安全国家安全损害损害第四级
25、第四级社会秩序和公共利益社会秩序和公共利益特别严重特别严重损害损害强制监督检查强制监督检查严重损害严重损害第五级第五级极端重极端重要系统要系统国家安全国家安全特别严重特别严重损害损害专门监督检查专门监督检查安徽省安徽省公安厅公安厅25信息系统安全保护等级的确定u定级工作步骤定级工作步骤1.摸底调查:识别单位基本信息识别单位基本信息 :单位的职能特点,所在行业及其在行业所处的地位,判断单位主要信息系统的宏观定位。识别业务种类、流程和服务:识别业务种类、流程和服务:了解定级对象不同业务系统影响履行单位职能的具体方式和程度,影响的区域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等
26、方面。这些具体数据可以为主管部门制定定级指导意见及审批定级结果的重要依据。安徽省安徽省公安厅公安厅26信息系统安全保护等级的确定1.摸底调查摸底调查:识别本单位系统处理的信息:识别本单位系统处理的信息:调查了解定级对象信息系统所处理的信息,了解单位对信息的三个安全属性的需求,了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身安全等方面可能对国家、社会、本单位造成的影响,对影响程度的描述应尽可能量化。识别网络结构和边界:识别网络结构和边界:调查了解定级对象信息系统所在单位的整体网络状况、安全防护和外部连接情况,目的是了解信息系统所处的单位内部网络环境和外部环境
27、特点,以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系。安徽省安徽省公安厅公安厅27信息系统安全保护等级的确定识别主要的软硬件设备:识别主要的软硬件设备:调查了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等,设备所在网段,在系统中的功能和作用。调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度。识别用户类型和分布:识别用户类型和分布:调查了解各系统的管理用户和一般用户,内部用户和外部用户,本地用户和远程用户等类型,了解用户或用户群的数量分布,判断系统服务中断或系统信息被破坏可能影响的范围和程度。安徽省安徽省公安厅公安厅28信息系统安全保护等
28、级的确定单位信息系统描述单位信息系统描述:通过上述调查,可以较为全面地了解单位信息系统的基本信息、管理信息、业务信息、网络信息、设备信息和用户信息等,信息系统描述是信息系统划分和定级的基础,描述信息的准确和详细决定了系统划分是否合理以及定级结果是否准确。 实施指南实施指南具体说明:具体说明:实施指南中对定级工作中如何识别本单位系统基本信息、管理框架、网络及设备部署、业务种类和特性、系统处理的业务、用户范围和类型等进行了说明安徽省安徽省公安厅公安厅29信息系统安全保护等级的确定2.确定系统的等级确定系统的等级 确定系统等级,就是在调查了解的基础上,将确定系统等级,就是在调查了解的基础上,将本单位
29、的系统划分成一个个不同安全需求的独立本单位的系统划分成一个个不同安全需求的独立系统,针对这些独立的系统进行等级确定。系统,针对这些独立的系统进行等级确定。 信息系统一般都包括信息系统一般都包括业务信息安全业务信息安全(信息保密(信息保密性、完整性、可用性)和性、完整性、可用性)和系统服务安全系统服务安全(服务及(服务及时、有效),每种安全遭到破坏后侵害客体和对时、有效),每种安全遭到破坏后侵害客体和对客体侵害程度不同,要将定级对象分成两个方面客体侵害程度不同,要将定级对象分成两个方面考虑,确定业务信息安全等级和业务服务安全等考虑,确定业务信息安全等级和业务服务安全等级。对于系统定级主要从以下几
30、个方面进行:级。对于系统定级主要从以下几个方面进行:安徽省安徽省公安厅公安厅30信息系统安全保护等级的确定2.1识别定级对象:识别定级对象:定级首先要确定我们要对其定级的定级首先要确定我们要对其定级的对象对象a)定级对象三个确定原则定级对象三个确定原则明确的单位、完整的系统,独立的业务b)定级对象的识别:定级对象的识别: 从以下三方面之一或多个因素划分 安全责任单位安全责任单位:不同的责任单位划分不同系统。注意:一个单位信息中心和业务部门的安全责任区别,系统承担安全责任的应是业务部门 业务类型和业务重要性:业务类型和业务重要性:不同的系统处理业务不同,可以从系统涉及不同的客体、对客体造成不同程
31、度损害、处理不同类型业务来划分 物理位置差异:物理位置差异:不同物理位置的系统受到安全威胁不同,不同物理位置不是一个安全域。 注注:定级对象没有对与错,只有合理不合理的问题。定级对象没有对与错,只有合理不合理的问题。安徽省安徽省公安厅公安厅31信息系统安全保护等级的确定c)确定定级对象系统边界和边界设确定定级对象系统边界和边界设备备: 定级对象确定后,需要确定定级对象的系统边界和边界设备。系统边界不应出现在服务器内部,服务器共用的系统一般归入同一个信息系统,因此不同信息系统的共用设备一般是网络边界设备或终端设备。两个信息系统边界存在共用设备时,共用设备的安全保护等级按两个信息系统安全保护等级较
32、高者确定。d)定级报批:定级报批: 在定级对象确定后,报领导小组批准、可聘请专家咨询、公安机关指导。各部门、各行业要提出定级意见。安徽省安徽省公安厅公安厅32信息系统安全保护等级的确定2.2.确定受侵害的客体(定级要素确定受侵害的客体(定级要素1) 按照调查的信息,从业务信息安全和业务服务安全方面分析对可能侵害的客体包括国家安全、社会秩序、公共利益、公民、法人和其他组织的合法权益国家安全国家安全 体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全等方面利益。社会秩序和公共利益社会秩序和公共利益 包括政治、经济、生产、生活、科研、工作等各方面的正常秩序和社会公众生产
33、、生活、教育、卫生等方面的利益。合法权益合法权益 是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。安徽省安徽省公安厅公安厅33信息系统安全保护等级的确定2.3. 确定对客体的侵害程度(定级要素确定对客体的侵害程度(定级要素2) : 按照国家安全社会秩序和公共利益合法利益的顺序考虑。不同的危害方式:信息保密性、完整性和可用性的危害,系统服务及时性、有效性的危害不同危害后果:直接后果和间接的影响不同的侵害客体:同一破坏对不同的客体受到的侵害程度不同,如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;如果受侵害客体是社会秩序
34、、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。侵害程度:一般损害、严重损害、特别严重损害 对客体的受侵害程度要采取综合判定的方法。首先根据不同的受侵害客体、不同危害后果分别确定其危害程度,然后根据不同危害结果的危害程度进行综合评定得出 安徽省安徽省公安厅公安厅34信息系统安全保护等级的确定2.4 确定信息系统安全保护等级:确定信息系统安全保护等级: 根据信息安全和服务安全破坏侵害的客体及对客体的侵害根据信息安全和服务安全破坏侵害的客体及对客体的侵害程度,依据程度,依据表表2 2、表表3 3分别确定确定业务信息安全等级和系统分别确定确定业务信息安全等级和系统服务安全
35、等级,由两者较高者决定定级对象的等级。服务安全等级,由两者较高者决定定级对象的等级。3.3.信息系统等级评审信息系统等级评审 等级确定过程中,重大问题可聘请专家咨询评审,四级以上等级确定过程中,重大问题可聘请专家咨询评审,四级以上应通过国家信息安全等级保护专家评审委员会评审,我省成立应通过国家信息安全等级保护专家评审委员会评审,我省成立了各领域专家组成的评审专家组,各单位可以自行申请评审。了各领域专家组成的评审专家组,各单位可以自行申请评审。当本单位自主定级与专家评审不一致时,以本单位确定的定级当本单位自主定级与专家评审不一致时,以本单位确定的定级为准。为准。4.4.信息系统安全保护等级的最终
36、确定与审批信息系统安全保护等级的最终确定与审批 运营单位根据确定的等级或专家评审等级,自主确定系统等级,运营单位根据确定的等级或专家评审等级,自主确定系统等级,有上级主管部门的,应经上级主管部门审批核准,起草定级报有上级主管部门的,应经上级主管部门审批核准,起草定级报告告安徽省安徽省公安厅公安厅35信息系统安全保护等级的确定3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级依据表2依据表31、确定定级对象信息系统确定等级一般流程安徽省安徽省
37、公安厅公安厅36信息系统安全保护等级的确定业务信息安全被破坏时所侵业务信息安全被破坏时所侵害的客体害的客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重损特别严重损害害公民、法人和其他组织的合公民、法人和其他组织的合法权益法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级表2 业务信息安全等级矩阵表返回返回安徽省安徽省公安厅公安厅37信息系统安全保护等级的确定系统服务安全被破坏时所系统服务安全被破坏时所侵害的客体侵害的客体对相应客体的侵害程度对相
38、应客体的侵害程度一般损害一般损害严重损害严重损害特别严重特别严重损害损害公民、法人和其他组织的公民、法人和其他组织的合法权益合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级表3 系统服务安全等级矩阵表返回返回安徽省安徽省公安厅公安厅38信息系统保护等级的备案与审核u保护等级的备案保护等级的备案基本要求:基本要求:第二级第二级以上信息系统在等级确定后30日内到市级以上公安机关备案,涉密系统按管理办法和国家保密局规定备案。跨省或全国统一联网运行的系统、跨市或者全省统一联网运行并由
39、主管部门统一定级的系统,其在我省的省级、市级分支系统,到所在市办理备案手续,第三级以上系统还需提供拓扑结构、安全组织结构和管理制度、安全产品情况、专家评审意见、主管部门审批意见等材料备案步骤:备案步骤:信息系统运营、使用单位首先从安徽省公安厅网络安全便民服务网站 ()上下载备案表和辅助备案工具,然后填写备案表。对于二级系统,只需填写表一、二、三,对于三级系统还需填写表四并提交其中所列材料(可以延期提交)。最后将有关书面材料和利用辅助备案工具生成的备案电子数据提交所在的省辖市公安机关网监部门。安徽省安徽省公安厅公安厅39信息系统保护等级的备案与审核信息系统保护等级的备案与审核u备案审核:备案审核
40、:公安机关对信息系统的备案情况进行审核公安机关对信息系统的备案情况进行审核 对第二级信息系统,在收齐备案表一、表二、表三后10个工作日内,经审核符合等级保护要求的,直接发给信息系统安全等级保护备案证明,对不符合等级保护要求的,发给不受理回执并书面说明不受理的原因通知备案单位予以纠正。 对于第三级以上(含)信息系统在收齐备案表一、二、三后的10个工作日内(表四可以延期提交),经审核合格的,发给受理回执;不合格的,发给不受理回执并书面说明不受理的原因通知备案单位予以纠正。在直接或延期收齐所有备案表(含表四)后的10个工作日内,经审核合格的,颁发信息系统安全等级保护备案证明;不合格的,发给不受理回执
41、并书面说明不受理的原因通知备案单位予以纠正。 安徽省安徽省公安厅公安厅40信息系统安全建设整改u制定安全建设整改工作规划u开展需求分析或差距分析u规划安全建设整改的管理体系,开展安全管理建设整改工作u制定安全技术建设整改技术方案,开展安全技术建设整改u开展安全自查和等级测评安徽省安徽省公安厅公安厅41信息系统安全建设整改2010年年8月月2日,四厅委局关于印发安徽省重要信日,四厅委局关于印发安徽省重要信息系统等级保护安全建设工作方案的通知(皖公息系统等级保护安全建设工作方案的通知(皖公通通201064号),四个阶段:号),四个阶段: 1、工作部署(、工作部署(2010年年8月月30日前)日前)
42、 2、完善备案(、完善备案(2010年年9月月30日前)日前) 3、建设整改(、建设整改(2010年年12月月31日前)日前) 4、测评验收(、测评验收(2011年年2月底前)月底前)安徽省安徽省公安厅公安厅42等级测评等级测评与一般安全测评的区别:等级测评活动的依据系统安全保护等级和该级别系统的基本保护要求要求测评人员具有把握国家政策,理解和掌握相关的技术等级测评的结果,将是国家信息安全监管部门依法行政管理的技术依据因此,等级测评活动,是一项政策性很强的技术专业化的一个信息安全服务。安徽省安徽省公安厅公安厅43等级测评等级测评的作用:可以确定信息系统的安全状况,尤其是与相应等级基本要求的差距
43、,提出安全整改需求等级测评报告是监管机构指定的备案材料,也是监督检查的依据等级测评是国家发改委项目验收的必要步骤等级测评的现场活动可以与行业要求的第三方测评、风险评估等相结合。安徽省安徽省公安厅公安厅44等级测评等级测评依据标准: 信息系统安全等级保护测评要求 信息系统安全等级保护测评过程指南 安徽省安徽省公安厅公安厅45等级测评u等级测评与自查等级测评与自查定期开展测评、自查定期开展测评、自查 依据依据信息系统安全等级保护测评要求信息系统安全等级保护测评要求第三级第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测
44、评,第五信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。级信息系统应当依据特殊安全需求进行等级测评。测评机构的管理,自查情况也相同测评机构的管理,自查情况也相同测评机构管理测评机构管理 管理办法管理办法第二十二条、第二十三条规定的测评单第二十二条、第二十三条规定的测评单位条件、义务,第三级以上信息系统应当选择符合位条件、义务,第三级以上信息系统应当选择符合条件的等级保护测评机构进行测评条件的等级保护测评机构进行测评 安徽省安徽省公安厅公安厅46监督、检查u公安机关、国家指定专门部门的监督检查职责公安机关、国家指定专门部门的监督检查职责检查定级情况,安全制
45、度、措施落实情况,运营使用单位和主管部门自查情况,测评单位情况、产品使用情况等等级保护政策、标准、法规的宣传u监督检查方式监督检查方式公安机关应当对第三级、第四级系统的运营使用单位的信息安全等级保护工作情况进行检查。对第三级系统每年至少检查一次,对第四级系统每半年至少检查一次。对第五级信息系统,应当由国家指定的专门部门进行检查。对跨市或者全省统一联网运行的信息系统的检查,应当会同其主管部门进行。 检查不合格的要求限期整改,并将整改报告报公安机关备案信息系统主管部门和运营使用单位应当接受监督、检查、指导,并提供有关文件资料安徽省安徽省公安厅公安厅47监督、检查u违规责任违规责任违规行为违规行为:
46、1.1.不备案不备案2.2.不落实制度措施不落实制度措施3.3.不自查、不测评不自查、不测评4.4.测评单位、安全产品不符合要求测评单位、安全产品不符合要求5.5.接到公安机关等监管部门整改通知不整改的接到公安机关等监管部门整改通知不整改的处罚方式处罚方式限期改正通知限期改正通知给予警告、并向上级主管部门通报,建议对相关给予警告、并向上级主管部门通报,建议对相关人员处罚人员处罚造成严重损害的,由相关部门依照有关法律、法造成严重损害的,由相关部门依照有关法律、法规予以处理规予以处理 安徽省安徽省公安厅公安厅48等级保护有关标准、文件,请大家登录等级保护有关标准、文件,请大家登录安徽省公安厅网络安全便民服务网站安徽省公安厅网络安全便民服务网站() )“等级保护等级保护”栏目中进行下载,浏览栏目中进行下载,浏览安徽省安徽省公安厅公安厅49谢谢 谢谢 大大 家家
