信息安全等級保護工作課件

1、信息安全等級保護工作,吳江市公安局網(wǎng)絡安全監(jiān)察大隊 二OO八年十月,定級、備案工作培訓講義,信息安全等級保護工作,目錄,一、信息安全等級保護工作概述 二、信息安全等級保護定級工作具體實施 1、備案表的填寫 2、形成定級報告 三、系統(tǒng)定級技術環(huán)節(jié),一、信息安全等級保護工作概述,一）基本概念 信息安全等級保護是國家信息安全保障的基本制度、基本策略和基本方法。開展信息安全等級保護工作是保護信息化發(fā)展、維護國家信息安全的根本保障,是信息安全保障工作中國家意志的體現(xiàn),一、信息安全等級保護工作概述,二）政策和法律依據(jù) 1994年，中華人民共和國計算機信息系統(tǒng)安全保護條例 規(guī)定，“計算機信息系統(tǒng)實行安全等級

2、保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定” 。 1995年,中華人民共和國警察法規(guī)定，公安機關人民警察依法履行“監(jiān)督管理計算機信息系統(tǒng)的安全保護工作”。 1999年，強制性國家標準計算機信息系統(tǒng)安全保護等級劃分準則GB 17859）。 2003年，中辦、國辦轉(zhuǎn)發(fā)的國家信息化領導小組關于加強信息安全保障工作的意見（中辦發(fā)200327號）明確指出“實行信息安全等級保護”。 “要重點保護基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南” 。 2004年，公安部、國家保密局、國家

3、密碼管理局、國信辦聯(lián)合印發(fā)了關于信息安全等級保護工作的實施意見（66號文件） 2007年6月，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合制定了信息安全等級保護管理辦法（公通字200743號,一、信息安全等級保護工作概述,三）信息安全等級保護的基本原則 一是明確責任，共同保護； 二是依照標準，自行保護； 三是同步建設，動態(tài)調(diào)整； 四是監(jiān)督指導，重點保護。 （四）責任義務,信息安全監(jiān)管部門的職責分工,公安機關負責信息安全等級保護工作的監(jiān)督、檢查、指導。 國家保密工作部門負責等級保護工作中有關保密工作監(jiān)督、檢查、指導。 國家密碼管理部門負責等級保護工作中有關密碼工作監(jiān)督、檢查、指導。 涉及其他職

4、能部門管轄范圍的事項，由有關職能部門依照國家法律法規(guī)的規(guī)定進行管理。 國務院信息化工作辦公室及地方信息化領導小組辦事機構(gòu)負責等級保護工作的部門間協(xié)調(diào),一、信息安全等級保護工作概述,信息系統(tǒng)主管部門責任義務 信息系統(tǒng)主管部門應當依照管理辦法及相關標準規(guī)范，督促、檢查、指導本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級保護工作。 運營使用單位的責任義務 信息系統(tǒng)的運營、使用單位應當依照本辦法及其相關標準規(guī)范，履行信息安全等級保護的義務和責任。 涉及國家秘密信息系統(tǒng)的分級保護管理 涉及國家秘密信息系統(tǒng)的等級保護監(jiān)督管理工作由國家保密工作部門負責； 非涉及國家秘密信息系統(tǒng)的等級保護監(jiān)督管

5、理工作由公安機關負責,一、信息安全等級保護工作概述,五）主要流程 1、定級與審批； 2、等級評審； 3、備案； 4、備案管理； 5、系統(tǒng)建設； 6、等級測評； 7、自查自糾； 8、監(jiān)督檢查,等級變更,局部調(diào)整,信息系統(tǒng)定級,總體安全規(guī)劃,安全設計與實施,安全運行維護,信息系統(tǒng)終止,備案管理,監(jiān)督檢查,一、信息安全等級保護工作概述,六）總體要求 按照“準確定級、嚴格審批、及時備案、認真整改、科學測評”的要求完成等級保護的定級、備案、整改、測評等工作。 對故意將信息系統(tǒng)安全級別定低，逃避公安、保密、密碼部門監(jiān)管，造成信息系統(tǒng)出現(xiàn)重大安全事故的，要追究單位和人員的責任,一、信息安全等級保護工作概述,

6、定級工作日程安排 、第一階段自現(xiàn)在起-10月19日動員、培訓、調(diào)查摸底階段。 、第二階段10月20日-10月27日自評和初評階段。 、第三階段10月28日-12月10日上報蘇州評審和備案階段，備案方式：電子備案和書面?zhèn)浒浮?4、第四階段12月11日-12月20日總結(jié)階段,備案表,備案表模板,二、信息安全等級保護定級工作具體實施,一）定級原則 堅持“自主定級、自主保護”與國家監(jiān)管相結(jié)合的原則 （二）等級劃分,二、信息安全等級保護定級工作具體實施,三）確定需要定級的系統(tǒng) （1）省轄市以上黨政機關的重要網(wǎng)站和辦公信息系統(tǒng)； （2）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎信息網(wǎng)絡，經(jīng)營性公眾互

7、聯(lián)網(wǎng)信息服務單位、互聯(lián)網(wǎng)接入服務單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)； （3）鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)； （4）涉及國家秘密的信息系統(tǒng),二、信息安全等級保護定級工作概述,四)對五級信息系統(tǒng)的具體說明 1、一級信息系統(tǒng) 定義：適用于一般信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生損害，但不損害國家安全、社會秩序和公共利益。 舉例：公民個人的單機系統(tǒng)，小型集體、民營企業(yè)所

8、屬的信息系統(tǒng)，中、小學校的信息系統(tǒng)，鄉(xiāng)鎮(zhèn)級黨政機關、事業(yè)單位的信息系統(tǒng)等。 2、二級信息系統(tǒng) 定義：適用于一般的信息系統(tǒng)，其受到破壞后，會對社會秩序和公共利益造成輕微損害，但不損害國家安全. 舉例 縣級、地市級電信、廣電、銀行、鐵道、海關、稅務、民航、證券、電力、保險、公安、財政、金融、社保、工商、審計、能源、化工、社會服務保障、衛(wèi)生、交通運輸、國土資源、郵政、應急搶險、農(nóng)業(yè)等行業(yè)所屬獨立的信息系統(tǒng)； 中型集體、民營企業(yè)、小型國有企業(yè)所屬的信息系統(tǒng)； 縣級黨政機關、事業(yè)單位的信息系統(tǒng)； 普通高等院校和科研機構(gòu)的信息系統(tǒng)； 其他中型組織的信息系統(tǒng),二、信息安全等級保護定級工作概述,3. 三級信息

9、系統(tǒng) 定義：適用于涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，其受到破壞后，會對國家安全、社會秩序和公共利益造成一定損害。 舉例： 省級和副省級電信、廣電、銀行、鐵道、海關、稅務、民航、證券、電力、保險、公安、財政、金融、社保、工商、審計、能源、化工、社會服務保障、衛(wèi)生、交通運輸、國土資源、郵政、應急搶險、農(nóng)業(yè)等行業(yè)所屬獨立的重要信息系統(tǒng)； 大型集體、民營企業(yè)、大中型國有企業(yè)所屬的重要信息系統(tǒng)； 地市級黨政機關、事業(yè)單位的重要信息系統(tǒng)； 重點高等院校和科研機構(gòu)的重要信息系統(tǒng)； 其他大中型組織的信息系統(tǒng),二、信息安全等級保護定級工作具體實施,二）形成定級報告 一、XXX信息系統(tǒng)的描述； 二、

10、XXX信息系統(tǒng)安全保護等級確定 （1）確定業(yè)務信息安全等級 1、業(yè)務信息描述；2、業(yè)務信息受到破壞時所侵害客體的確定； 3、業(yè)務信息受到破壞后對侵害客體的侵害程度；4、業(yè)務信息安全等級的確定 （2）確定系統(tǒng)服務安全等級 1、系統(tǒng)服務描述；2、系統(tǒng)服務受到破壞時所侵害客體的確定； 3、系統(tǒng)服務受到破壞后對侵害客體的侵害程度；4、系統(tǒng)服務安全等級的確定 三、安全保護等級的確定 信息系統(tǒng)安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級較高者決定,二、信息安全等級保護定級工作具體實施,1、確定定級對象,2、確定業(yè)務信息安全受到破壞時所侵害的客體,5、確定系統(tǒng)服務安全受到破壞時所侵害的客體,3、綜合評定

11、對客體的侵害程度,6、綜合評定對客體的侵害程度,依據(jù)表1,依據(jù)表2,7、系統(tǒng)服務安全等級,4、業(yè)務信息安全等級,8、定級對象的安全保護等級,表1,表2,初步確定信息系統(tǒng)等級,三、信息安全等級保護定級工作流程,系統(tǒng)描述 責任單位 基本要素 業(yè)務情況 等級確定 業(yè)務信息安全等級確定 系統(tǒng)服務安全等級確定 安全保護等級確定,1、描述 2、受到破壞時所侵害客體的確定 3、受到破壞時對侵害客體侵害程度的確定 4、安全等級的確定,定級報告,二、信息安全等級保護定級工作具體實施,信息系統(tǒng)等級評審 對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當邀請國家信息安全保護等級專家評審委員會評審； 對擬

12、確定為第三級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當邀請省信息安全保護等級專家評審組評審，出具評審意見。 對擬確定為第二級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當邀請市信息安全保護等級專家評審組評審，出具評審意見,四、系統(tǒng)定級的技術環(huán)節(jié),定級對象的確定 業(yè)務信息和系統(tǒng)服務確定 受侵害客體和侵害程度的分析,確定定級對象定級對象識別與劃分依據(jù),安全責任單位 可以根據(jù)安全責任單位的不同劃分成不同的信息系統(tǒng)。 業(yè)務類型和業(yè)務重要性 可能涉及不同客體的系統(tǒng) 可能對客體造成不同程度損害的系統(tǒng) 處理不同類型業(yè)務的系統(tǒng)。 物理位置 物理位置也可以作為信息系統(tǒng)劃分的考慮因素之一,確定業(yè)務信息和系統(tǒng)服

13、務,業(yè)務信息 業(yè)務系統(tǒng)處理的主要業(yè)務信息等 系統(tǒng)服務 業(yè)務系統(tǒng)的服務范圍、服務對象等,四、系統(tǒng)定級的技術環(huán)節(jié),受侵害的客體 ： 公民、法人和其他組織的合法權(quán)益； 社會秩序、公共利益； 國家安全。 對客體的侵害程度： 造成一般損害； 造成嚴重損害； 造成特別嚴重損害,侵害客體和侵害程度,國家安全 體現(xiàn)了國家層面、與全局相關的國家政治安全、軍事安全、經(jīng)濟安全、社會安全、科技安全等方面利益。 社會秩序和公共利益 包括政治、經(jīng)濟、生產(chǎn)、生活、科研、工作等各方面的正常秩序和社會公眾生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。 合法權(quán)益 是法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權(quán)利和利益,

14、確定對客體的侵害程度綜合判定侵害程度,一般損害 工作職能受到局部影響，業(yè)務能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的資產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。 嚴重損害 工作職能受到嚴重影響，業(yè)務能力顯著下降且嚴重影響主要功能執(zhí)行，出現(xiàn)較嚴重的法律問題，較高的資產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。 特別嚴重損害 工作職能受到特別嚴重影響或喪失行使能力，業(yè)務能力嚴重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴重的法律問題，極高的資產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害,北京奧運會信息系統(tǒng)的定級案例,奧運網(wǎng)絡主要包括，“

15、奧組委辦公外網(wǎng)” 、“奧組委內(nèi)部辦公局域網(wǎng)” 、“奧運票務網(wǎng)”（票務網(wǎng)站和票務管理系統(tǒng)）、“奧運官方網(wǎng)站” 、“奧運互聯(lián)網(wǎng)接入”等五個奧運網(wǎng)絡和信息系統(tǒng)。確定奧組委辦公外網(wǎng)、奧組委內(nèi)部辦公局域網(wǎng)、票務網(wǎng)站、票務管理系統(tǒng)和奧運官方網(wǎng)站為定級對象。 “奧組委辦公內(nèi)網(wǎng)”承載奧組委內(nèi)部的人事、財務等業(yè)務，僅在奧組委少數(shù)部門內(nèi)應用，不傳輸秘密信息和敏感信息。其受到破壞后，僅會影響內(nèi)部辦公，會對社會秩序、公共利益造成損害，定為二級； “奧組委辦公外網(wǎng)”通過唯一出口與互聯(lián)網(wǎng)相連，承載奧組委內(nèi)部的電子郵件、物流、短信平臺、場館管理等業(yè)務，在奧組委總部范圍應用，其受到破壞后，會對社會秩序、公共利益造成損害，定為

16、二級； “票務網(wǎng)站”負責提供票務申請、信息填寫等業(yè)務，采集購票者信息和定票信息，不與“票務管理系統(tǒng)”直接相連，其受到破壞后，會對社會秩序、公共利益造成損害，定為二級； “票務管理系統(tǒng)”存儲處理通過各種方式申請、購買奧運票務的個人數(shù)據(jù),是“票務網(wǎng)站”的核心，其受到破壞后，會對社會秩序、公共利益造成嚴重損害，定為三級； “奧運官方網(wǎng)站”承擔在互聯(lián)網(wǎng)上對外宣傳、報道奧運重大事項，是北京奧運通過互聯(lián)網(wǎng)對外宣傳的門戶，其服務保障性要求很高，受到破壞后，會對社會秩序、公共利益造成嚴重損害，定為三級,四、系統(tǒng)定級的技術環(huán)節(jié),定級工作中需要關注的幾個問題 、業(yè)務主管部門為主。 、主要參考定級指南對要素的描述。

17、 、對客體的危害和影響是預估的，必須依據(jù)實踐經(jīng)驗，綜合考慮直接及間接損失。 、可以借助風險評估等方法來確定等級。 、防止片面追求“絕對安全”定級過高，也要防止為了逃避監(jiān)管定級偏低。 、統(tǒng)一定級與分散定級 跨省、市或全省統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一定 級，定級后要通知各分支系統(tǒng)的責任部門，做好分別備案的準備。 其他系統(tǒng)分散定級，上級主管部門給予指導。 、全省同類系統(tǒng)等級的一致性 業(yè)務主管部門要加強對其業(yè)務應用的信息系統(tǒng)的安全保護等級進行審批把關，確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級的一致性,吳江市重要信息系統(tǒng)定級工作具體要求,一、組建由市公安局、保密局、機要局、信息辦共同組織實施，并成立吳江市重要信息系統(tǒng)安全等級保護工作協(xié)調(diào)小組。 二、