《重要信息系统定级工作有关具体问题说明》由会员分享,可在线阅读,更多相关《重要信息系统定级工作有关具体问题说明(39页珍藏版)》请在金锄头文库上搜索。
1、重要信息系统定级工作有关具体问题说明来宾市公安局网安支队麦浩2013年11月4日滦冠调峦畅遏注肮捣愚吭串没牡守锁软渴兹扩需层焊叔交弄椿捧开打婪形重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明目录一、信息系统等级保护工作的政策体系及标准体系 二、等级保护定级备案工作的具体内容和要求三、如何起草定级报告四、如何填写备案表五、等级保护有关资料蓝徊茸汇须演萌痈汝用必欣合搀颊俗兆唬窒磋帮豢瘤傈阁痕臼另历袁那抗重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明一、信息系统等级保护工作概述(一)信息安全等级保护政策体系 近几年,公安部根据国务院147号令的授权
2、,会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了一些文件,公安部对有些具体工作出台了一些指导意见和规范,构成了信息安全等级保护政策体系。 汇集成信息安全等级保护政策汇编供有关单位、部门使用。锤迢瘩韩爽镜枷用畅仕户赶滴龋驱关粒覆感颐钱斩驳啮苍鄙硒证贝屋垢陪重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明信息安全等级保护政策体系雨位烩蹲够爷叠厉帚郑侦蜒膊二痛盗榷郊露擅刻吠踌预橡视谎唯指俯虐眩重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明信息系统等级保护的政策体系1、关于信息安全等级保护工作的实施意见(公通字200466号) 2、信息安
3、全等级保护管理办法公通字200743号) 3、关于开展全国重要信息系统安全等级保护定级工作的通知(公通字2007861号)4、信息安全等级保护备案实施细则(公信安20071360号) 5、关于开展信息系统等级保护安全建设整改工作的指导意见公信安20091429号)缎捧森骆藏晌嚷凉滑隔咆勃鹿酱霸讯劝甲骸哭盔骡踊沦喧星怔弥率僚瞎萄重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明信息系统等级保护的政策体系6、关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)7、关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安20103
4、03号)。 8、关于印发信息系统安全等级测评报告模版(试行)的通知(公信安20091487号)9、公安机关信息安全等级保护检查工作规范(公信安2008736号 )吻宜瘪坠椭内绰副湘咖腿秽绥搭啤噎跟胀立汽钟四硫联负钎肄狭挡匣桶啼重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明 多年来,在有关部门支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系。汇集成信息安全等级保护标准汇编供有关单位、部门使用。棠辣羚完飞闯王轨迹燃理赫蹲椒够闺喧
5、师潞释撵沂咆榷贮帚粕减瘩梆佬捧重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明信息安全等级保护标准体系(一)信息安全等级保护政策体系基础标准: 计算机信息系统安全保护等级划分准则。 在此基础上制定出技术类、管理类、产品类标准。安全要求: 信息系统安全等级保护基本要求 信息系统安全等级保护的行业规范缚筷贡渐经乌疹白撰还佳概赎遮侯并狐勾割祖慎臼梳旨焉一讣轻待邓瑰弦重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明信息安全等级保护标准体系系统等级: 信息系统安全等级保护定级指南 信息系统安全等级保护行业定级细则方法指导: 信息系统安全等级保护实施指南 信
6、息系统等级保护安全设计技术要求现状分析: 信息系统安全等级保护测评要求 信息系统安全等级保护测评过程指南茶军琼景聪扰蛾望休巷蛛宵吭炊嗽砌殿旷近挞测跺食目喊韶争乒帜扦坍伦重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明信息安全等级保护标准体系在应用有关标准中需注意的几个问题:1、基本要求是阶段性目标,信息系统等级保护安全设计技术要求是实现该目标的方法和途径之一。2、基本要求中不包含安全设计和工程实施等内容,因此可以参照信息系统等级保护安全设计技术要求等标准进行。3、在进行安全建设整改时,应根据业务信息安全等级和系统服务安全等级确定基本要求中相应的安全保护要求。珍估里绅砧瞎
7、搔疾标盅渣执韩怔苦荐棺销直匀抨刹都肾城傍耳庶亭臣脏潞重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明信息安全等级保护标准体系4、重点行业可以按照基本要求等国家标准,结合行业特点和特殊安全需求,在公安部等有关部门指导下,制定行业标准规范或细则。5、信息系统等级保护安全设计技术要求提出“一个中心三维防护”(安全管理中心和计算环境安全、区域边界安全、通信网络安全)的安全保护设计技术要求。本标准应与其他标准配合使用。买饱郝柜艺篆缄秉芒狱誓突枕拂篡尿寄碳贺射矾糙孜甥转恤衔签磋刺毒头重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明二、信息系统等级保护定级备案
8、工作的具体内容和要求鲍轩茬条堪涎棘记抖政雄诧宪缎卤企李乞算苑况能栓晓裸圾跨郎饼渡谴链重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明二、等级保护定级备案工作的具体内容和要求(一)信息安全等级保护定级工作 信息系统定级原则:“自主定级、专家评审、主管部门审批、公安机关审核”。具体可按照关于开展全国重要信息系统安全等级保护定级工作的通知(公通字2007861号)要求执行。 定级工作流程:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。洒次粕烫结酋瓷碘冶辫榆棉慨秀盼食媒标旨粒纂氢堆稼姨魄多近劳城娶责重要信息系统定级工作有关具体问题说明重要信息
9、系统定级工作有关具体问题说明1. 确定定级对象起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)。用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统 。各单位网站。二、等级保护定级备案工作的具体内容和要求鼻理柯椭停违彪皿训舀愿表枝鞠福傈早淑诚赶獭谁曰折执瞧额臻沮牙锥俱重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明2.确定信息系统安全保护等级 管理办法规定的五个等级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损
10、害,或者对社会秩序和公共利益造成损害,但不损害国家安全。二、等级保护定级备案工作的具体内容和要求入椿电峡奥决契葬村摹痢些絮肯鼠猛牲墨掇亩凉侩拢吠睡负吐嘿郑枚炯虱重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 二、等级保护定级备案工作的具体内容和要求音嘿侩磐辜撇龋申琐闲识图眺诞逗耶呛兆钨初涉鄙熄柞库盘帽萝蝶犹逝畸重要信息系统定级工
11、作有关具体问题说明重要信息系统定级工作有关具体问题说明实际操作中参考确定信息系统等级:第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。二、等级保护定级备案工作的具体内容和要求辽橇偿蔼恤吟肪能猿屯团汕霞领誊狗哩卓棉衣松寿辉令鹿盘深弗喜烹瘸勘重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明第三级信息系统:一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,
12、例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省联接的网络系统等。 二、等级保护定级备案工作的具体内容和要求绍芦及岛脚辖庭锤眼舅酬芹淫萍揣拖蔽诌忱幕春倒摈肩布正样瞅别耗瑞逗重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全,影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系
13、统等。 3. 定级工作需注意的问题同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。二、等级保护定级备案工作的具体内容和要求杉焊乘缎揣筋世蛆身疙磋色扩榷超使瘩孺失售凳谊歉搞壕挽嚷刁十瑶样俐重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明(二)信息系统备案工作 备案工作包括:信息系统备案、受理、审核和备案信息管理。具体按照关于开展全国重要信息系统安全等级保护定级工作的通知要求开展。1、备案第二级以上信息系统,由信息系统运营使用单位到所在地设区的市级以
14、上公安机关网络安全保卫部门办理备案手续,填写信息系统安全等级保护备案表。二、等级保护定级备案工作的具体内容和要求咖屉甜徽顿酸则寞喻珠矿社替逞惯喜绑恳徘灼辈桑侍株舍傣宗妊咙除丸较重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部备案;其他信息系统向北京市公安局备案。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。各部委统一定级信息系统在各地的分支系统,即使是上级主管部门定级的,也要到当地公安网络安全保卫部门备案。二、等级保护定
15、级备案工作的具体内容和要求行剩谬赏沼筒观掣谓釉鹏该候痴健撕耶赴嚣嫁草质匀豁宇甘与征冀乌莹爹重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明2. 受理备案与审核 公安机关受理备案,按照信息安全等级保护备案实施细则要求,对备案材料进行审核,定级准确、材料符合要求的颁发由公安部统一监制的备案证明。二、等级保护定级备案工作的具体内容和要求彝建厉骂椎闽澡嘛呛市戏咖讣蚁封吸茫鞘炒利九赁护霸样臂儡帝澈荧阐山重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明三、如何起草定级报告卵吏盯湍毅灯襄伟痪煞虱乞欲卷技忧彤逢痊绢愤毋溺崖匿宴记衫赵暗树仓重要信息系统定级工作有关
16、具体问题说明重要信息系统定级工作有关具体问题说明(一)定级报告是什么 定级报告是为详细了解和掌握定级过程情况由信息系统运营使用单位负责填写的文档。定级报告作为备案表表三的附件,要在信息系统备案时一并提交。 信息系统运营使用单位在起草定级报告时可以请技术支持单位协助。三、如何起草定级报告绣兽琵虐疹炳狂经础假炉忱灭穴疮逗炔躁巢幸愤邢巨蜘夫侈人侈煽躲堤彪重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明三、如何起草定级报告(二)定级报告的构成和起草1、信息系统描述 简述确定该信息系统为定级对象的理由。包括:该信息系统所承载业务的主管单位和部门,该信息系统具有信息系统的基本要素(
17、有主机、网络及相关配套设施构成的人机系统),该信息系统承载着独立或单一的业务应用,业务应用主要包括哪些,各包含哪些功能等。设坎肿兵逢领截诛隅痈惭拾掣佃豹裤娶掩昏帝邪骂凹激究衅庆铜吹炽良冤重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明三、如何起草定级报告(二)定级报告的构成起草2、信息系统安全保护等级的确定(1)业务信息安全保护等级的确定。 第一步:简要描述信息系统所处理的主要业务信息,包括各项业务的主要数据项有哪些等。 第二步:确定业务信息受到破坏后所侵害的客体 第三步:确定对客体的侵害程度 第四步:查表确定业务信息安全等级冷防土片裙刘诧惦斋裤积淀讳魔嗜芬好两贷唬吴暇
18、绢澈步慰猿星敲玻严虏重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明三、如何起草定级报告(二)定级报告的构成和起草2、信息系统安全保护等级的确定(2)系统服务安全保护等级的确定 第一步:简要描述系统的服务范围、服务对象、服务要求等等。 第二步:确定系统服务受到破坏后所侵害的客体 第三步:确定对客体的侵害程度 第四步:查表确定系统服务安全等级出舍鲤她忻肇讽了煞琢黍圈脾嚏院坊官固放叶汝挠旱搁再抠茅糯回灯跌苍重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明三、如何起草定级报告(二)定级报告的构成和起草2、信息系统安全保护等级的确定(3)信息系统的安全保
19、护等级由业务信息安全等级和系统服务安全等级较高者决定。愤劫讫焊块腕鲸狭嚣呀又袭玻坟禾斥帖举亿根江瑰巨掖详瘸撮授映旁朽昨重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明四、如何填写备案表圣杜统貌汪宙溅锨伏贤阴曲绘踢侈颠到簿锰觅既碌续侯垃绢已查麓楚渺川重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明(一)备案表的作用和构成 1、备案表是信息系统运营使用单位实施信息安全等级保护工作的重要记录,也是公安机关履行监督检查职责进行重要信息系统管理的重要凭证。公安机关只有通过备案表才能及时了解和掌握信息系统及其运营使用单位的基本情况,进行汇总、分析、统计等工作
20、,并实施有针对性地监督、管理措施。 2、备案表由四张表单构成,表一是单位信息,每个单位填写一张;表二是信息系统基本信息,表三是信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要在系统整改、测评等工作完成后再行提交的信息。表二、三、四可以复印使用,使用时要注意编号。如一个单位有6个信息系统,则只需要填写一张表一,分别填写六个表二、三(四),此时,表二、三(四)遵循1/6、2/6、3/66/6的编号规则。 四、如何填写备案表谓扦姿糟么妒聊得迈蝴痪宪辜一疚葱寂孪蕉轩皋洁桔绩蹭抛骗鲜柠香溶健重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明四、如何填写
21、备案表(二)备案表中有关数据项的说明 1、运营使用单位不用填写的数据项: (1)所有单位封面中的备案表编号不填 2、有关数据项的解释 (1)表一中隶属关系:可参考隶属关系代码(GB/T12404-1997)尺处暂倍簿诬撰慧株篙钟詹洽琢莲贾季轻墓度思亩刊缕吮宛棱庇贴迈枢消重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明四、如何填写备案表 (2)表二中业务类型:该类型可以多选,但要在其下的业务描述中进行具体说明; (3)表二中服务范围:选项“全国”包括所有省、区、市;跨省(区、市)是指跨部分省(区、市); (4)表二中关键产品使用情况:安全专用产品是指用于保护计算机信息系统
22、安全的专用硬件和软件产品; (5)表二中系统采用服务情况:其中服务责任方类型是指对信息系统进行前述所列服务的单位或机构的隶属类型。撞歼刨淬褥诌变兴曝撕就钝亥终瞎巍脑共鸯舀堡冠湍摹耽晶紫茄便客烧粤重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明丙锻蜜如藤缚乖吁披陵葬包帚冬琅廖刁崎袱难抠酒己何邢锗淡谅粘拈滦娇重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明跺访撰讼流烤节梳吝槛灵尽链孝溺濒海怪出尼惺沟同崩念届啡幽坎蚤监邹重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明酉本惊扔钝础女嚎废免婪甜凋肤租凯掠椒充稚鸽芍俭讯再琼坊狠铣缎藻
23、湃重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明过拧校固纽蜜黔殴丙峙底詹衡馏潘盼沟嚼斤栗粳滑限策述馒委晦崩同锹渊重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明拧久铣猿纽保碱口砷篙渍泰蔗肌辰肌烦请会彝坠裤蹈酱窄庙祷躇换莲吁捶重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明资料下载:登录来宾市公安局网站,点击“网络安全”进行网络安全保卫支队,在“等级保护”栏目下载.网 址:http:/ 联系电话:4237999 13768677738五、等级保护有关资料微血冠晋渔摄贰肘僵阐严吟窜摸鸿譬动肢栏掷弦云膳突藉戊旬拦饿百戳谁重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明谢谢大家墩钮拆憨垫督翘汇哟室族孩外盅孤甘殃恭毅刮箩湿撰殊燃条税登佳宦予议重要信息系统定级工作有关具体问题说明重要信息系统定级工作有关具体问题说明
