等级保护制度江苏省公安厅网络安全保卫总队贯彻与实施江苏网络警察JIANGSUCYBERPOLICE目录12信息网络安全形势等级保护制度概述等级保护工作内容答疑234江苏网络警察JIANGSUCYBERPOLICE目录12信息网络安全形势等级保护制度概述等级保护工作内容答疑134江苏网络警察JIANGSUCYBERPOLICE信息安全等级保护制度的提出《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)江苏网络警察JIANGSUCYBERPOLICE基本概念信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。江苏网络警察JIANGSUCYBERPOLICE能够解决什么问题通过开展等级保护工作,可以充分体现“明确重点、突出重点、保护重点”的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,有效提高我国信息安全保障工作的整体水平。江苏网络警察JIANGSUCYBERPOLICE职责分工信息安全职能部门公安机关国家保密工作部门国家密码管理部门工业和信息化部门信息系统运营使用单位及其主管部门安全服务机构专家组江苏网络警察JIANGSUCYBERPOLICE配套政策体系江苏网络警察JIANGSUCYBERPOLICE配套标准体系江苏网络警察JIANGSUCYBERPOLICE目录12信息网络安全形势等级保护制度概述等级保护工作内容答疑214江苏网络警察JIANGSUCYBERPOLICE总体流程定级备案安全建设整改等级测评监督检查江苏网络警察JIANGSUCYBERPOLICE定级江苏网络警察JIANGSUCYBERPOLICE定级1、确定定级对象具有唯一确定的安全责任单位具有信息系统的基本要素承载单一或相对独立的业务应用江苏网络警察JIANGSUCYBERPOLICE定级定级对象范围包括:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统),网络要合理划分区域;用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统;各单位网站。江苏网络警察JIANGSUCYBERPOLICE定级2、确定等级1、确定定级对象2、确定业务信息安全受到破坏时所侵害的客体5、确定系统服务安全受到破坏时所侵害的客体3、综合评定对客体的侵害程度6、综合评定对客体的侵害程度依据表1依据表2业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级江苏网络警察JIANGSUCYBERPOLICE定级级别参考:第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。江苏网络警察JIANGSUCYBERPOLICE定级第三级信息系统:一般适用于地市级以上国家机关、企事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省联接的网络系统等。江苏网络警察JIANGSUCYBERPOLICE定级3、专家评审信息系统运营使用单位在初步确定信息系统安全保护等级后,为了保证定级合理准确,可以聘请专家进行评审,并出具专家评审意见。江苏网络警察JIANGSUCYBERPOLICE定级4、主管部门审批有行业主管部门的报主管部门审批;单位自建的系统,等级确定后是否报上级主管部门审批,由各行业自行决定。江苏网络警察JIANGSUCYBERPOLICE备案备案对象:第二级以上(含)信息系统。备案单位:信息系统运营、使用单位。备案时限:信息系统安全保护等级确定后30日内。备案受理机关:市级以上公安机关网安部门。备案提交材料:《备案表》、备案文件。江苏网络警察JIANGSUCYBERPOLICE备案审核经审核,符合备案要求的,公安机关在收到备案材料之日起的10个工作日内,将加盖等级保护专用章的《备案表》一份反馈备案单位,一份建档留存。并将及时向备案单位颁发《备案证明》(每个信息系统对应一个《备案证明》)。江苏网络警察JIANGSUCYBERPOLICE备案审核对于定级不准的,公安机关将发送整改通知,并建议信息系统运营使用单位组织专家重新定级评审,报上级主管部门审批。备案单位坚持原定等级的,公安机关可以受理其备案,但将书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报其上级主管部门。江苏网络警察JIANGSUCYBERPOLICE安全建设整改信息系统安全保护等级确定后,运营使用单位按照《管理办法》、《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)等有关管理规范和技术标准,选择《管理办法》要求的信息安全产品,制定并落实安全管理制度。落实安全责任,建设安全设施,落实安全技术措施。江苏网络警察JIANGSUCYBERPOLICE安全建设整改1、基本要求物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全及备份恢复安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理江苏网络警察JIANGSUCYBERPOLICE安全建设整改2、工作流程管理体系规划组织和人员设定信息系统安全管理建设管理措施落实与调整系统安全建设整改技术方案设计方案的论证和审批信息系统安全技术建设安全建设整改工程实施信息系统安全自查和等级测评信息系统安全需求分析或差距分析信息系统安全建设整改工作规划和工作部署江苏网络警察JIANGSUCYBERPOLICE安全建设整改3、安全管理制度建设安全管理措施落实管理体系规划安全需求分析信息系统管理体系分析管理差距分析(现状测评)制定相关的安全管理制度机房和资产管理项目实施方案详细设计信息系统定级信息系统安全运行和维护确定安全管理目标和安全策略管理需求分析新建系统已建系统机构和人员设定明确主管领导、落实责任部门挂项目实施方案详细设计落实安全岗位和人员系统运行管理密码使用管理项目实施方案详细设计事件处置和应急相应项目实施方案详细设计集中安全管理项目实施方案详细设计灾难备份和安全监测项目实施方案详细设计安全自查和调整江苏网络警察JIANGSUCYBERPOLICE安全建设整改4、安全技术措施建设安全建设整改工程实施系统安全建设整改技术方案设计安全需求分析信息系统构成情况分析安全技术差距分析(现状测评)安全技术建设详细设计工程实施项目实施方案详细设计局部改造信息系统定级信息系统安全运行和维护安全技术建设总体设计安全测试及验收分步实施安全技术需求分析新建系统已建系统整体改造不符合标准要求方案的论证和评审江苏网络警察JIANGSUCYBERPOLICE等级测评根据《管理办法》规定,信息系统按照《基本要求》等技术标准建设或改建完成后,运营使用单位应当选择符合条件的测评机构,定期对信息系统安全状况开展等级测评。第三级以上信息系统每年至少进行一次等级测评,对于重要部门的第二级信息系统,可以参照此要求开展等级测评工作。江苏网络警察JIANGSUCYBERPOLICE等级测评选择测评机构江苏网络警察JIANGSUCYBERPOLICE等级测评开展等级测评的时机可以在信息系统安全建设整改之前进行测评工作,分析信息系统安全现状,排查信息系统安全隐患和薄弱环节,明确信息系统安全建设整改的需求,制定安全建设整改方案,有针对性地进行安全建设整改;信息系统安全建设整改之后必须开展测评工作,检验安全建设整改成效,查找与等级保护标准要求的差距。江苏网络警察JIANGSUCYBERPOLICE等级测评测评管理在测评工作过程中,各单位要对测评活动进行监督管理,与测评机构签订工作协议和保密协议,落实测评过程监管措施,防范对信息系统可能造成新的危害,要监督测评机构是否按照估计标准开展测评工作,测评人员是否有违规行为。完成测评工作30日内,测评报告向受理备案公安机关备案。江苏网络警察JIANGSUCYBERPOLICE安全自查和监督检查备案单位定期自查行业主管部门督导检查公安机关监督检查江苏网络警察JIANGSUCYBERPOLICE安全自查和监督检查查处违规行为检查时,发现备案单位不符合信息安全等级保护有关管理规范和技术标准要求的,应当通知其运营使用单位限期整改,并发送《信息系统安全等级保护限期整改通知书》。逾期不改正的,给予警告,并向其上级主管部门通报。江苏网络警察JIANGSUCYBERPOLICE目录12信息网络安全形势等级保护制度概述等级保护工作内容答疑231Q&A江苏网络警察JIANGSUCYBERPOLICE等级保护网站:谢谢