乌鲁木齐市信息安全

乌鲁木齐市信息安全等级化保护工作培训内容乌市公安局网安支队关于等级保护乌市公安局网安支队一、什么是信息安全等级保护信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。乌市公安局网安支队二、我国在信息安全保障工作中为什么要实行等级保护制度当前，我国基础信息网络和重要信息系统安全面临的形势十分严峻，既有外部威胁，又有自身脆弱性和薄弱环节。一是针对基础信息网络和重要信息系统的违法犯罪持续上升；二是基础信息网络和重要信息系统安全隐患严重；三是我国的信息安全保障工作基础还很薄弱。乌市公安局网安支队三、实行信息安全等级保护制度能够解决哪些主要问题有效解决我国信息安全面临的威胁和存在的主要问题，充分体现“适度安全、保护重点”的目的，将有限的财力、物力、人力投入到重要信息系统安全保护中，按标准建设安全保护措施，建立安全保护制度，落实安全责任，有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全，有效提高我国信息安全保障工作的整体水平。乌市公安局网安支队四、信息系统安全保护等级的划分国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人、和其他组织的合法权益的危害程度等因素确定。乌市公安局网安支队四、信息系统安全保护等级的划分第一级为自主保护级适用于一般的信息系统,其受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。乌市公安局网安支队四、信息系统安全保护等级的划分第二级为指导保护级适用于一般的信息系统,其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。第二级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时,国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。乌市公安局网安支队四、信息系统安全保护等级的划分第三级为监督保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。第三级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督、检查。乌市公安局网安支队四、信息系统安全保护等级的划分第四级为强制保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。第四级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。乌市公安局网安支队四、信息系统安全保护等级的划分第五级为专控保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后,会对国家安全、社会秩序和公共利益造成特别严重损害。第五级信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护,国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、检查。乌市公安局网安支队五、开展等级保护工作的总体要求●各基础信息网络和重要信息系统，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。●公安机关和保密、密码工作部门要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。●对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。乌市公安局网安支队六、等级保护工作职责的分工公安机关是等级保护工作的牵头部门，负责信息安全等级保护工作的监督、检查、指导；国家保密工作部门、国家密码管理部门负责等级保护工作中有关保密工作和密码工作的监督、检查、指导；国信办及地方信息化领导小组办事机构负责等级保护工作部门间的协调。其中，涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责；非涉及国家秘密信息系统的等级保护监督管理工作由公安机关负责。乌市公安局网安支队七、等级保护工作的主要流程主要流程包括六项内容：一是自主定级与审批。二是评审。三是备案。（二级以上信息系统）四是系统安全建设、整改（按条件选择产品）。五是等级测评（按条件选择测评机构）。六是信息安全监管部门定期开展监督检查。乌市公安局网安支队关于定级备案乌市公安局网安支队一、定级工作的主要步骤定级是等级保护工作的首要环节，是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。第一步:摸底调查，掌握信息系统底数;第二步:确定定级对象;第三步:初步确定信息系统等级;第四步:信息系统等级评审;第五步:信息系统等级的最终确定与审批;第六步：备案;第七步：备案审核;第八步：及时总结并提交总结报告。乌市公安局网安支队一、定级工作的主要步骤第一步，摸底调查，掌握信息系统底数按照《定级工作通知》确定的定级范围，各单位、各部门可以组织开展对所属信息系统进行摸底调查，摸清信息系统底数，掌握信息系统（包括信息网络）的业务类型、应用或服务范围、系统结构等基本情况，为下一步明确要求、落实责任奠定基础。乌市公安局网安支队一、定级工作的主要步骤第二步，确定定级对象一是应用系统应按照不同业务类别单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象条件。起传输作用的基础网络要作为单独的定级对象。二是确认负责定级的单位是否对所定级系统具有安全管理责任。三是具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。乌市公安局网安支队一、定级工作的主要步骤第三步，初步确定信息系统等级信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，来确定信息系统的安全保护等级。既要防止个别单位片面追求绝对安全而定级过高，也要防止为了逃避监管定级偏低。乌市公安局网安支队一、定级工作的主要步骤跨省或者全国统一联网运行的信息系统，可以由主管部门统一确定安全保护等级。由各行业统一规划、统一建设、统一安全保护策略的信息系统，应由各部委统一确定一个级别；由各部委统一规划、分级建设、运行的信息系统，应由部、省、地市分别确定系统等级，但各行业应对该类系统提出定级意见，避免出现同类系统定级出现较大偏差问题。乌市公安局网安支队一、定级工作的主要步骤第四步，信息系统等级评审在信息系统安全保护等级确定过程中，可以聘请专家进行咨询评审，并出具定级评审意见。对拟确定为第四级以上信息系统的，运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审，出具评审意见。当专家意见与运营使用单位或者主管部门不一致时，以运营使用单位或者主管部门意见为准。乌市公安局网安支队一、定级工作的主要步骤第五步，信息系统等级的最终确定与审批信息系统运营使用单位参考专家定级评审意见，最终确定信息系统等级，形成《定级报告》。信息系统运营使用单位有上级主管部门的，应当经上级主管部门对安全保护等级进行审核批准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统，则必须由其上级主管部门审批，确保同类系统或分支系统在各地域分别定级的一致性。乌市公安局网安支队一、定级工作的主要步骤第六步：备案。第二级以上信息系统，在安全保护等级确定后，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。定级工作的结果是以备案完成为标志。乌市公安局网安支队一、定级工作的主要步骤第七步：备案审核。受理备案的公安机关要公布备案受理地点、备案联系方式等。在受理备案时，应对提交的备案材料进行完整性审核和定级准确性审核。对符合等级保护要求的，应颁发信息系统安全等级保护备案证明。发现定级不准的，通知备案单位重新审核确定。乌市公安局网安支队一、定级工作的主要步骤第八步：及时总结并提交总结报告。各地区、各部门要结合本地区、本行业开展定级工作的实际，认真总结经验和不足，提出改进和完善定级方法的意见和建议，及时总结定级工作经验，形成定级工作总结，按要求上报。乌市公安局网安支队（一）、受侵害的客体1、国家安全2、社会秩序和公共利益3、公民、法人和其他组织合法权益（二）、对客体的侵害程度1、一般损害2、严重损害3、特别严重损害二、定级要素：乌市公安局网安支队二、定级要素：关于国家安全重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等；广播、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件；尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统，以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。乌市公安局网安支队二、定级要素：关于社会秩序各级政府机构的社会管理和公共服务系统，如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统，也包括教育、科研机构的工作系统，以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。乌市公安局网安支队二、定级要素：关于公共利益借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行管理控制都应当是要考虑的方面，例如：公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害。乌市公安局网安支队二、定级要素：对客体的侵害程度：一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害。严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。乌市公安局网安支队二、定级要素：特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。乌市公安局网安支队三、表1业务信息安全保护等级矩阵表业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级乌市公安局网安支队四、表2系统服务安全保护等级矩阵表系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级乌市公安局网安支队五、定级的基本流程3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全保护等级4、业务信息安全保护等级8、定级对象的安全保护等级依据表2依据表31、确定定级对象乌市公安局网安支队五、定级的基本流程注意事项：作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。如：某单位业务信息安全保护等级为2级，系统服