信息安全等級保護法律法規(guī)_第1頁
信息安全等級保護法律法規(guī)_第2頁
信息安全等級保護法律法規(guī)_第3頁
信息安全等級保護法律法規(guī)_第4頁
信息安全等級保護法律法規(guī)_第5頁
已閱讀5頁,還剩122頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、信息安全等級保護制度信息安全等級保護制度信息安全等級保護法律法規(guī)信息安全等級保護法律法規(guī)20112011年年3 3月月提提 綱綱 前言前言一、信息安全等級保護的制度體系一、信息安全等級保護的制度體系二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求三、信息安全等級保護的支撐條件三、信息安全等級保護的支撐條件四、信息安全等級保護接著做什么四、信息安全等級保護接著做什么前言前言什么是等保什么是等保 信息安全等級保護管理辦法指出信息安全等級保護是以信息為核心的、根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度;遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合

2、法權(quán)益的危害程度;針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達到的基本的安全保護水平等因素,對最核心的信息和信息系統(tǒng)劃分為五個安全保護和監(jiān)管等級,實行分級保護。 實施信息安全等級保護,可以有效地提高我國信息安全建設(shè)的整體水平, 有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施,保障信息安全與信息化建設(shè)相協(xié)調(diào); 有利于加強對涉及國家安全、經(jīng)濟秩序、社會穩(wěn)定和公共利益的信息系統(tǒng)的安全保護和管理監(jiān)督; 有利于明確國家、法人和其他組織、公民的安全責任,強化政府監(jiān)管職能,共同落實各項安全建設(shè)和安全管理措施; 有利于提高安全保護的科學性、整體性、針對性,推動信息安全產(chǎn)業(yè)水平,逐步探索一條適應(yīng)社會主義市

3、場經(jīng)濟發(fā)展的信息安全發(fā)展模式。前言前言為什么實行等保為什么實行等保前言前言為什么實行等保為什么實行等保前言前言為什么實行等保為什么實行等保 前言前言為什么實行等保為什么實行等保前言前言為什么實行等保為什么實行等保前言前言為什么實行等保為什么實行等保 前言前言為什么實行等保為什么實行等保案例案例 案例案例即使是相對封閉的工業(yè)控制系統(tǒng)也無法以善其身即使是相對封閉的工業(yè)控制系統(tǒng)也無法以善其身數(shù)據(jù)交換中如隨意使用移動存儲設(shè)備,沒有嚴格執(zhí)行安全隔數(shù)據(jù)交換中如隨意使用移動存儲設(shè)備,沒有嚴格執(zhí)行安全隔離要求,則可能被感染。離要求,則可能被感染。專用網(wǎng)絡(luò)難以及時獲取安全補丁專用網(wǎng)絡(luò)難以及時獲取安全補丁,安全軟

4、件升級滯后。安全軟件升級滯后。案例案例 案例案例 事件二:震網(wǎng)病毒事件二:震網(wǎng)病毒震網(wǎng)病毒(震網(wǎng)病毒(Stuxnet),是世界上首個以直接破壞現(xiàn)實世界中工業(yè)基),是世界上首個以直接破壞現(xiàn)實世界中工業(yè)基礎(chǔ)設(shè)施為目標的蠕蟲病毒,被稱為網(wǎng)絡(luò)礎(chǔ)設(shè)施為目標的蠕蟲病毒,被稱為網(wǎng)絡(luò)“超級武器超級武器”。震網(wǎng)病毒于。震網(wǎng)病毒于2010年年7月開始爆發(fā),截至月開始爆發(fā),截至2010年年9月底,包括中國、印度、俄羅斯月底,包括中國、印度、俄羅斯在內(nèi)的許多國家都發(fā)現(xiàn)了這個病毒。據(jù)統(tǒng)計,目前全球已有約在內(nèi)的許多國家都發(fā)現(xiàn)了這個病毒。據(jù)統(tǒng)計,目前全球已有約45000個網(wǎng)絡(luò)被該病毒感染,其中個網(wǎng)絡(luò)被該病毒感染,其中60%

5、的受害主機位于伊朗境內(nèi),并已造成的受害主機位于伊朗境內(nèi),并已造成伊朗核電站推遲發(fā)電。目前我國也有近伊朗核電站推遲發(fā)電。目前我國也有近500萬網(wǎng)民、以及多個行業(yè)的萬網(wǎng)民、以及多個行業(yè)的領(lǐng)軍企業(yè)遭此病毒攻擊。領(lǐng)軍企業(yè)遭此病毒攻擊。 事件三:事件三:3Q之爭之爭2010年年9月,奇虎公司針對騰訊公司的月,奇虎公司針對騰訊公司的QQ聊天軟件,發(fā)布了聊天軟件,發(fā)布了“360隱隱私保護器私保護器”和和“360扣扣保鏢扣扣保鏢”兩款網(wǎng)絡(luò)安全軟件,并稱其可以保護兩款網(wǎng)絡(luò)安全軟件,并稱其可以保護QQ用戶的隱私和網(wǎng)絡(luò)安全。騰訊公司認為奇虎用戶的隱私和網(wǎng)絡(luò)安全。騰訊公司認為奇虎360的這一做法嚴重危的這一做法嚴重危

6、害了騰訊的商業(yè)利益,并稱害了騰訊的商業(yè)利益,并稱“360扣扣保鏢扣扣保鏢”是是“外掛外掛”行為。隨后,行為。隨后,騰訊公司在騰訊公司在11月月3日宣布將停止對裝有日宣布將停止對裝有360軟件的電腦提供軟件的電腦提供QQ服務(wù)。服務(wù)。由此引發(fā)了由此引發(fā)了“360 QQ大戰(zhàn)大戰(zhàn)”,同時引起了,同時引起了360軟件與其它公司類似產(chǎn)軟件與其它公司類似產(chǎn)品的一系列紛爭,最終演變成為了互聯(lián)網(wǎng)行業(yè)中的一場混戰(zhàn)。最終品的一系列紛爭,最終演變成為了互聯(lián)網(wǎng)行業(yè)中的一場混戰(zhàn)。最終3Q之爭在國家相關(guān)部門的強力干預(yù)下得以平息,扣扣保鏢被召回,之爭在國家相關(guān)部門的強力干預(yù)下得以平息,扣扣保鏢被召回,QQ與與360恢復兼容。

7、但此次事件對廣大終端用戶造成的惡劣影響和侵害,恢復兼容。但此次事件對廣大終端用戶造成的惡劣影響和侵害,并由此引發(fā)的公眾對于終端安全和隱私保護的困惑和憂慮卻遠沒有消并由此引發(fā)的公眾對于終端安全和隱私保護的困惑和憂慮卻遠沒有消除。除。案例案例 上述三個安全事件均發(fā)自于終端,可見終端安全已經(jīng)上述三個安全事件均發(fā)自于終端,可見終端安全已經(jīng)成為世界范圍內(nèi)的突出問題,在各國精心構(gòu)建的信息安全成為世界范圍內(nèi)的突出問題,在各國精心構(gòu)建的信息安全防御體系中,終端安全仍是一個薄弱環(huán)節(jié)。美國政府歷來防御體系中,終端安全仍是一個薄弱環(huán)節(jié)。美國政府歷來以防御嚴密、技術(shù)先進著稱,尚且發(fā)生了維基解密事件,以防御嚴密、技術(shù)先

8、進著稱,尚且發(fā)生了維基解密事件,我國在核心技術(shù)依賴于國外的情況下,面臨的嚴峻的信息我國在核心技術(shù)依賴于國外的情況下,面臨的嚴峻的信息安全形勢可想而知,發(fā)達國家要使我們的網(wǎng)絡(luò)信息系統(tǒng)癱安全形勢可想而知,發(fā)達國家要使我們的網(wǎng)絡(luò)信息系統(tǒng)癱瘓或盜竊我們的渉密信息易如反掌。因此,信息安全建設(shè)瘓或盜竊我們的渉密信息易如反掌。因此,信息安全建設(shè)必須走自主之路,而必須走自主之路,而3Q之爭又暴露出國內(nèi)安全廠商和安全之爭又暴露出國內(nèi)安全廠商和安全產(chǎn)業(yè)發(fā)展存在的諸多問題,我們的安全意識、技術(shù)和管理產(chǎn)業(yè)發(fā)展存在的諸多問題,我們的安全意識、技術(shù)和管理水平都亟待提高。如何真正提高終端安全性,水平都亟待提高。如何真正提高

9、終端安全性,可以得到如下啟示:可以得到如下啟示:案例案例(1)要建立可控的信息交換機制要建立可控的信息交換機制。不同等級網(wǎng)絡(luò)之間進行數(shù)據(jù)交換的需。不同等級網(wǎng)絡(luò)之間進行數(shù)據(jù)交換的需求是客觀存在的,禁止一切數(shù)據(jù)交換只會導致求是客觀存在的,禁止一切數(shù)據(jù)交換只會導致“地下地下”數(shù)據(jù)交換,專用數(shù)據(jù)交換,專用U盤、刻光盤,物理隔離都存在安全風險和漏洞。強行盤、刻光盤,物理隔離都存在安全風險和漏洞。強行“封堵封堵”不如合理不如合理“疏導疏導”,建立集中的數(shù)據(jù)交換渠道,并對交換過程進行全程監(jiān)控和審,建立集中的數(shù)據(jù)交換渠道,并對交換過程進行全程監(jiān)控和審計,切實落實信息使用和管理的相關(guān)責任,才能確保數(shù)據(jù)安全。計,

10、切實落實信息使用和管理的相關(guān)責任,才能確保數(shù)據(jù)安全。(2)攻擊和竊密是終端安全的外部原因攻擊和竊密是終端安全的外部原因,計算機系統(tǒng)存在缺陷或漏洞、,計算機系統(tǒng)存在缺陷或漏洞、系統(tǒng)配置不當是終端安全的內(nèi)部原因。外因通過內(nèi)因起作用,內(nèi)因是決系統(tǒng)配置不當是終端安全的內(nèi)部原因。外因通過內(nèi)因起作用,內(nèi)因是決定因素,通過實施終端安全核心配置,對操作系統(tǒng)等系統(tǒng)軟件和常用軟定因素,通過實施終端安全核心配置,對操作系統(tǒng)等系統(tǒng)軟件和常用軟件進行安全配置,提高系統(tǒng)自身安全性,減少系統(tǒng)安全漏洞,降低對第件進行安全配置,提高系統(tǒng)自身安全性,減少系統(tǒng)安全漏洞,降低對第三方工具技術(shù)的依賴,真正提高終端安全防護的自主性。三方

11、工具技術(shù)的依賴,真正提高終端安全防護的自主性。(3)國家應(yīng)盡快建立政府終端安全保障基礎(chǔ)設(shè)施國家應(yīng)盡快建立政府終端安全保障基礎(chǔ)設(shè)施,形成從中央到地方多,形成從中央到地方多級部署,覆蓋全國各級政府部門的終端安全管理應(yīng)用支撐環(huán)境,實現(xiàn)對級部署,覆蓋全國各級政府部門的終端安全管理應(yīng)用支撐環(huán)境,實現(xiàn)對全國政務(wù)終端的統(tǒng)一安全管理和安全狀態(tài)監(jiān)測,掌握終端安全態(tài)勢,提全國政務(wù)終端的統(tǒng)一安全管理和安全狀態(tài)監(jiān)測,掌握終端安全態(tài)勢,提高運行管理效率,保障國家信息安全。高運行管理效率,保障國家信息安全。(4)國家應(yīng)加強對信息安全市場的監(jiān)督管理,國家應(yīng)加強對信息安全市場的監(jiān)督管理,盡快出臺有關(guān)信息安全、盡快出臺有關(guān)信息

12、安全、軟件行為、信息采集及隱私保護方面的法律法規(guī),規(guī)范商業(yè)競爭,維護軟件行為、信息采集及隱私保護方面的法律法規(guī),規(guī)范商業(yè)競爭,維護廣大用戶的合法權(quán)益,促進國內(nèi)安全廠商和信息安全產(chǎn)業(yè)的良性發(fā)展。廣大用戶的合法權(quán)益,促進國內(nèi)安全廠商和信息安全產(chǎn)業(yè)的良性發(fā)展。(來源:國家信息中心(來源:國家信息中心 李新友李新友 劉蓓劉蓓 蔡軍霞蔡軍霞 許濤許濤 劉帥)劉帥)前言前言為什么實行等保為什么實行等保一、信息安全等級保護的制度體系一、信息安全等級保護的制度體系法規(guī)法規(guī) 行政法規(guī)行政法規(guī)中華人民共和國計算機信息系統(tǒng)安全中華人民共和國計算機信息系統(tǒng)安全保護條例保護條例 1997 1997年國務(wù)院行政法規(guī),規(guī)定

13、計算機信息系統(tǒng)實行安全年國務(wù)院行政法規(guī),規(guī)定計算機信息系統(tǒng)實行安全等級保護。等級保護。 地方法規(guī)地方法規(guī)廣東省計算機信息系統(tǒng)安全保護條例廣東省計算機信息系統(tǒng)安全保護條例 20072007年廣東地方法規(guī),系統(tǒng)規(guī)定了等級保護,并設(shè)置了年廣東地方法規(guī),系統(tǒng)規(guī)定了等級保護,并設(shè)置了法律責任法律責任一、信息安全等級保護的制度體系一、信息安全等級保護的制度體系規(guī)范性文件規(guī)范性文件 國家國家 關(guān)于信息安全等級保護工作的實施意見關(guān)于信息安全等級保護工作的實施意見 2004 2004年公安部、保密局、密碼委、信息辦聯(lián)合發(fā)文,初步年公安部、保密局、密碼委、信息辦聯(lián)合發(fā)文,初步規(guī)定了信息安全等級保護工作的指導思想、

14、原則、要求規(guī)定了信息安全等級保護工作的指導思想、原則、要求 信息安全等級保護管理辦法信息安全等級保護管理辦法 2007 2007年公安部、保密局、密碼委、信息辦聯(lián)合發(fā)文,系統(tǒng)年公安部、保密局、密碼委、信息辦聯(lián)合發(fā)文,系統(tǒng)規(guī)定了信息安全等級保護制度規(guī)定了信息安全等級保護制度一、信息安全等級保護的制度體系一、信息安全等級保護的制度體系公安機關(guān)信息安全等級保護檢查工作規(guī)范(試行) 公安部十一局2008年頒發(fā),規(guī)范監(jiān)督檢查工作的具體要求。信息安全等級保護備案工作實施細則 公安部十一局2008年頒發(fā)一、信息安全等級保護的制度體系一、信息安全等級保護的制度體系規(guī)范性文件規(guī)范性文件 地方地方 廣東省公安廳關(guān)

15、于計算機信息系統(tǒng)安全保護的實施辦法廣東省公安廳關(guān)于計算機信息系統(tǒng)安全保護的實施辦法 2008 2008年廣東省公安廳(經(jīng)省政府法制辦審查通過)發(fā)布年廣東省公安廳(經(jīng)省政府法制辦審查通過)發(fā)布 關(guān)于貫徹關(guān)于貫徹 和和 的通的通知知 2008 2008年廣東省公安廳網(wǎng)警總隊印發(fā)年廣東省公安廳網(wǎng)警總隊印發(fā)廣東省信息安全等級保護備案工作實施細則(試行)廣東省信息安全等級保護備案工作實施細則(試行) 20082008年廣東省公安廳網(wǎng)警總隊印發(fā)年廣東省公安廳網(wǎng)警總隊印發(fā)標準標準 系統(tǒng)定級系統(tǒng)定級 信息系統(tǒng)安全保護等級定級指南(國家推薦性標準)信息系統(tǒng)安全保護等級定級指南(國家推薦性標準) 安全保護安全保護

16、 信息系統(tǒng)安全等級保護基本要求(國家推薦性標準)信息系統(tǒng)安全等級保護基本要求(國家推薦性標準) 信息系統(tǒng)安全等級保護實施指南信息系統(tǒng)安全等級保護實施指南 信息系統(tǒng)安全等級保護安全設(shè)計技術(shù)要求信息系統(tǒng)安全等級保護安全設(shè)計技術(shù)要求 檢測評估檢測評估 信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)安全等級保護基本要求 信息系統(tǒng)安全等級保護測評要求信息系統(tǒng)安全等級保護測評要求 監(jiān)督檢查監(jiān)督檢查 信息系統(tǒng)安全等級保護監(jiān)督檢查要求信息系統(tǒng)安全等級保護監(jiān)督檢查要求一、一、信息安全等級保護的制度體系信息安全等級保護的制度體系標準標準 計算機信息系統(tǒng)安全保護等級劃分準則(計算機信息系統(tǒng)安全保護等級劃分準則(GB17859

17、GB17859- -19991999) 信息安全技術(shù)信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求 信息安全技術(shù)信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)通用安全技術(shù)要求 信息安全技術(shù)信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求操作系統(tǒng)安全技術(shù)要求 信息安全技術(shù)信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 信息安全技術(shù)信息安全技術(shù) 服務(wù)器技術(shù)要求服務(wù)器技術(shù)要求 信息安全技術(shù)信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要求終端計算機系統(tǒng)安全等級技術(shù)要求一、信息安全等級保護的制度體系一、信息安全等級保護的制度體系原則原則來源:關(guān)于信息安全等級保護工作的實施意見來源:關(guān)于信息安全

18、等級保護工作的實施意見信息安全等級保護制度遵循以下基本原則:信息安全等級保護制度遵循以下基本原則:一是明確責任,共同保護一是明確責任,共同保護二是依照標準,自行保護二是依照標準,自行保護三是同步建設(shè),動態(tài)調(diào)整三是同步建設(shè),動態(tài)調(diào)整四是指導監(jiān)督,保護重點四是指導監(jiān)督,保護重點二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 明確責任,共同保護明確責任,共同保護 通過等級保護,組織和動員職能部門、法人和其他組織、通過等級保護,組織和動員職能部門、法人和其他組織、公民共同參與信息安全保護工作;各方主體按照規(guī)范和標公民共同參與信息安全保護工作;各方主體按照規(guī)范和標準分別承擔相應(yīng)的、明確具體

19、的信息安全保護責任準分別承擔相應(yīng)的、明確具體的信息安全保護責任。 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 依照標準,自行保護依照標準,自行保護 國家運用強制性的規(guī)范及標準,要求信息和信息系統(tǒng)按照國家運用強制性的規(guī)范及標準,要求信息和信息系統(tǒng)按照相應(yīng)的建設(shè)和管理要求,自行定級、自行保護相應(yīng)的建設(shè)和管理要求,自行定級、自行保護。 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 同步建設(shè),動態(tài)調(diào)整。同步建設(shè),動態(tài)調(diào)整。 信息系統(tǒng)在新建、改建、擴建時應(yīng)當同步建設(shè)信息安全設(shè)信息系統(tǒng)在新建、改建、擴建時應(yīng)當同步建設(shè)信息安全設(shè)施,保障信息安全與信息化建設(shè)相適應(yīng)。因信息和信

20、息系施,保障信息安全與信息化建設(shè)相適應(yīng)。因信息和信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因,安全保護統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因,安全保護等級需要變更的,應(yīng)當根據(jù)等級保護的管理規(guī)范和技術(shù)標等級需要變更的,應(yīng)當根據(jù)等級保護的管理規(guī)范和技術(shù)標準的要求,重新確定信息系統(tǒng)的安全保護等級。等級保護準的要求,重新確定信息系統(tǒng)的安全保護等級。等級保護的管理規(guī)范和技術(shù)標準應(yīng)按照等級保護工作開展的實際情的管理規(guī)范和技術(shù)標準應(yīng)按照等級保護工作開展的實際情況適時修訂況適時修訂。 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 指導監(jiān)督,重點保護指導監(jiān)督,重點保護 國家指定信息安全監(jiān)管職

21、能部門通過備案、指導、檢查、國家指定信息安全監(jiān)管職能部門通過備案、指導、檢查、督促整改等方式,對重要信息和信息系統(tǒng)的信息安全保護督促整改等方式,對重要信息和信息系統(tǒng)的信息安全保護工作進行指導監(jiān)督。工作進行指導監(jiān)督。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求主要內(nèi)容主要內(nèi)容來源:信息安全等級保護管理辦法來源:信息安全等級保護管理辦法國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標準,國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標準,組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護,對等級保護工作的實施進行監(jiān)督、管理。

22、護,對等級保護工作的實施進行監(jiān)督、管理。 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求職責分工職責分工 公安機關(guān)公安機關(guān)負責信息安全等級保護工作的監(jiān)督、檢查、指負責信息安全等級保護工作的監(jiān)督、檢查、指導。導。 國家保密工作部門國家保密工作部門負責等級保護工作中有關(guān)保密工作的負責等級保護工作中有關(guān)保密工作的監(jiān)督、檢查、指導。監(jiān)督、檢查、指導。 國家密碼管理部門國家密碼管理部門負責等級保護工作中有關(guān)密碼工作的負責等級保護工作中有關(guān)密碼工作的監(jiān)督、檢查、指導監(jiān)督、檢查、指導。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 在信息安全等級保護工作中,涉及其他職能部門管在

23、信息安全等級保護工作中,涉及其他職能部門管轄范圍的事項,由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定轄范圍的事項,由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進行管理。進行管理。 國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導小組辦事機國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導小組辦事機構(gòu)構(gòu)負責信息安全等級保護工作中部門間的協(xié)調(diào)。負責信息安全等級保護工作中部門間的協(xié)調(diào)。 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 信息系統(tǒng)的主管部門應(yīng)當依照相關(guān)規(guī)范和標準督促、信息系統(tǒng)的主管部門應(yīng)當依照相關(guān)規(guī)范和標準督促、檢查、指導本行業(yè)、本部門或本地區(qū)信息系統(tǒng)運營、使用檢查、指導本行業(yè)、本部門或本地區(qū)信息系統(tǒng)運營、使用

24、單位的信息安全等級保護工作。單位的信息安全等級保護工作。 信息系統(tǒng)運營、使用單位應(yīng)當按照等級保護的管理規(guī)范信息系統(tǒng)運營、使用單位應(yīng)當按照等級保護的管理規(guī)范和相關(guān)標準規(guī)范履行信息安全等級保護的義務(wù)和責任。和相關(guān)標準規(guī)范履行信息安全等級保護的義務(wù)和責任。二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 省公安廳、省國家保密局、省國家密碼管理局、省信息化省公安廳、省國家保密局、省國家密碼管理局、省信息化領(lǐng)導小組辦公室聯(lián)合成立信息安全等級保護工作協(xié)調(diào)小組領(lǐng)導小組辦公室聯(lián)合成立信息安全等級保護工作協(xié)調(diào)小組各行業(yè)主管部門要成立行業(yè)信息安全等級保護工作小組各行業(yè)主管部門要成立行業(yè)信息安全等級保護

25、工作小組各地級以上市參照成立相應(yīng)工作機制各地級以上市參照成立相應(yīng)工作機制重要信息系統(tǒng)運營使用單位成立信息安全等級保護工作組重要信息系統(tǒng)運營使用單位成立信息安全等級保護工作組 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求公安機關(guān)職責內(nèi)容公安機關(guān)職責內(nèi)容 指導信息系統(tǒng)運營使用單位及其主管部門確定系指導信息系統(tǒng)運營使用單位及其主管部門確定系統(tǒng)安全保護等級。統(tǒng)安全保護等級。 指導信息安全等級保護的建設(shè)、整改和管理。指導信息安全等級保護的建設(shè)、整改和管理。 接受信息系統(tǒng)安全保護等級的備案。接受信息系統(tǒng)安全保護等級的備案。 定期對受理備案的信息系統(tǒng)安全保護狀況依法進定期對受理備案的信息系統(tǒng)

26、安全保護狀況依法進行監(jiān)督、檢查。行監(jiān)督、檢查。 對安全保護等級為第三級以上信息系統(tǒng)選擇使用對安全保護等級為第三級以上信息系統(tǒng)選擇使用信息安全產(chǎn)品的情況進行監(jiān)督管理。信息安全產(chǎn)品的情況進行監(jiān)督管理。 對信息安全等級保護檢測評估服務(wù)機構(gòu)的監(jiān)督管對信息安全等級保護檢測評估服務(wù)機構(gòu)的監(jiān)督管理。理。 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求各個環(huán)節(jié)各個環(huán)節(jié) 組織開展調(diào)查摸底組織開展調(diào)查摸底 合理確定保護等級合理確定保護等級 依法履行備案手續(xù)依法履行備案手續(xù) 開展安全建設(shè)整改開展安全建設(shè)整改 組織系統(tǒng)安全測評組織系統(tǒng)安全測評

27、加強日常測評自查加強日常測評自查 加強安全監(jiān)督檢查加強安全監(jiān)督檢查 組織開展調(diào)查摸底組織開展調(diào)查摸底 各信息系統(tǒng)主管部門、運營使用單位組織開展對所屬各信息系統(tǒng)主管部門、運營使用單位組織開展對所屬信息系統(tǒng)的摸底調(diào)查,全面掌握信息系統(tǒng)的數(shù)量、分布、信息系統(tǒng)的摸底調(diào)查,全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)以及系統(tǒng)建設(shè)規(guī)劃業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)以及系統(tǒng)建設(shè)規(guī)劃等基本情況,為開展信息安全等級保護工作打下基礎(chǔ)等基本情況,為開展信息安全等級保護工作打下基礎(chǔ)。二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 合理確定保護等級合理確定保護等級(信息化項目立項前

28、)(信息化項目立項前) 來源和依據(jù):信息安全等級保護管理辦法、廣東省計算機信息系統(tǒng)安來源和依據(jù):信息安全等級保護管理辦法、廣東省計算機信息系統(tǒng)安全保護條例,信息安全等級保護實施指南、信息系統(tǒng)安全等級保護全保護條例,信息安全等級保護實施指南、信息系統(tǒng)安全等級保護定級指南定級指南 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求 定級標準定級標準:計算機信息系統(tǒng)安全保護等級根據(jù)計算機計算機信息系統(tǒng)安全保護等級根據(jù)計算機信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,計算機信息系統(tǒng)受到破壞后對國家安全、社會秩序、公共計算機信息系統(tǒng)受

29、到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定,分為五級:因素確定,分為五級: 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求(一)計算機信息系統(tǒng)受到破壞后,可能對公民、法人和其一)計算機信息系統(tǒng)受到破壞后,可能對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益的,序和公共利益的,為第一級為第一級; 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求(二)計算機信息系統(tǒng)受到破壞后,可能對公民、法人和

30、其二)計算機信息系統(tǒng)受到破壞后,可能對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害,或者可能對社會秩序和他組織的合法權(quán)益產(chǎn)生嚴重損害,或者可能對社會秩序和公共利益造成損害,但不損害國家安全的公共利益造成損害,但不損害國家安全的,為第二級;為第二級; 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求(三(三)計算機信息系統(tǒng)受到破壞后,可能對社會秩序和公)計算機信息系統(tǒng)受到破壞后,可能對社會秩序和公共利益造成嚴重損害,或者可能對國家安全造成損害的,共利益造成嚴重損害,或者可能對國家安全造成損害的,為第三級為第三級; 二、二、信息安全等級保護的工作要求信息安全等級保護的工作要求(四)計算機

31、信息系統(tǒng)受到破壞后,可能對社會秩序和公共四)計算機信息系統(tǒng)受到破壞后,可能對社會秩序和公共利益造成特別嚴重損害,或者可能對國家安全造成嚴重損利益造成特別嚴重損害,或者可能對國家安全造成嚴重損害的,為害的,為第四級第四級;(五)計算機信息系統(tǒng)受到破壞后,可能對國家安全造成特(五)計算機信息系統(tǒng)受到破壞后,可能對國家安全造成特別嚴重損害的,為別嚴重損害的,為第五級。第五級。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求定級程序:定級程序:信息系統(tǒng)運營、使用單位信息系統(tǒng)運營、使用單位應(yīng)應(yīng)當依照相關(guān)規(guī)定和標準和行業(yè)指當依照相關(guān)規(guī)定和標準和行業(yè)指導意見導意見確定信息系統(tǒng)的安全保護等級。有

32、主管部門的,應(yīng)確定信息系統(tǒng)的安全保護等級。有主管部門的,應(yīng)當經(jīng)主管部門審核批準。當經(jīng)主管部門審核批準。跨省或者全國跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一一確定安全保護等級。確定安全保護等級。對擬確定為第四級以上信息系統(tǒng)的,運營、使用單位或者主對擬確定為第四級以上信息系統(tǒng)的,運營、使用單位或者主管部門應(yīng)當請國家信息安全保護等級專家評審委員會評審。管部門應(yīng)當請國家信息安全保護等級專家評審委員會評審。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求定級注意事項一級信息系統(tǒng):適用于鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級某些單位中不重要的信息系統(tǒng)。小型個

33、體、私營企業(yè)中的信息系統(tǒng)。中小學中的信息系統(tǒng)。二級信息系統(tǒng):適用于地市級以上國家機關(guān)、企業(yè)、事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如小的局域網(wǎng),非涉及秘密、敏感信息的辦公系統(tǒng)等。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求三級信息系統(tǒng):適用于地市級以上國家機關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng);重要領(lǐng)域、重要部門跨省、跨市或全國(?。┞?lián)網(wǎng)運行的信息系統(tǒng);跨省或全國聯(lián)網(wǎng)運行重要信息系統(tǒng)在省、地市的分支系統(tǒng);各部委官方網(wǎng)站;跨?。ㄊ校┞?lián)接的信息網(wǎng)絡(luò)等。四級信息系統(tǒng):適用于重要領(lǐng)域、重要部門三級信息系統(tǒng)中的部分重要系統(tǒng)。例如全國鐵路、民航、電力等調(diào)度系統(tǒng),銀行、證券、保險、稅務(wù)、海關(guān)等部門中

34、的核心系統(tǒng)。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 在申報系統(tǒng)新建、改建、擴建立項時在申報系統(tǒng)新建、改建、擴建立項時須同時向立項審批部門提交定級報告須同時向立項審批部門提交定級報告。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 依法履行備案手續(xù)依法履行備案手續(xù) 來源和依據(jù):信息安全等級保護管理辦法、廣東省計算機信息系統(tǒng)安來源和依據(jù):信息安全等級保護管理辦法、廣東省計算機信息系統(tǒng)安全保護條例,廣東省信息安全等級保護備案工作實施細則(試行)全保護條例,廣東省信息安全等級保護備案工作實施細則(試行) 、信信息安全等級保護備案實施細則息安全等級保護備案實施細則 、

35、信息安全等級保護實施指南信息安全等級保護實施指南二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 備案時限。已運營(運行)的第二級以上信息系統(tǒng),已運營(運行)的第二級以上信息系統(tǒng),應(yīng)當在安全保護等級確定后應(yīng)當在安全保護等級確定后3030日內(nèi),由其運營、使用單位日內(nèi),由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。 新建第二級以上信息系統(tǒng),在通過信息化項目立項后,新建第二級以上信息系統(tǒng),在通過信息化項目立項后,由其運營、使用單位在由其運營、使用單位在3030日內(nèi)到所在地設(shè)區(qū)的市級以上公日內(nèi)到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案

36、手續(xù)。安機關(guān)辦理備案手續(xù)。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 補充備案。補充備案。第三級以上信息系統(tǒng)還應(yīng)當在系統(tǒng)整改、測評第三級以上信息系統(tǒng)還應(yīng)當在系統(tǒng)整改、測評完成后完成后3030日內(nèi)補交備案表表四及其有關(guān)材料日內(nèi)補交備案表表四及其有關(guān)材料。 變更備案變更備案。備案表所載事項發(fā)生變更,備案單位應(yīng)。備案表所載事項發(fā)生變更,備案單位應(yīng)當自變更之日起當自變更之日起3030日內(nèi)重新填寫備案表報公安機關(guān)網(wǎng)日內(nèi)重新填寫備案表報公安機關(guān)網(wǎng)監(jiān)部門備案。其中,變更事項涉及備案證明的,公機監(jiān)部門備案。其中,變更事項涉及備案證明的,公機關(guān)網(wǎng)監(jiān)部門應(yīng)當重新頒布備案證明。關(guān)網(wǎng)監(jiān)部門應(yīng)當重新

37、頒布備案證明。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 書面填寫信息系統(tǒng)安全等級保護備案表書面填寫信息系統(tǒng)安全等級保護備案表 一式兩份??商钜皇絻煞???商頦ORDWORD文檔,再打印輸出,附上附件。文檔,再打印輸出,附上附件。利用備案工具填寫利用備案工具填寫。涉密系統(tǒng)填寫涉及國家秘密的信息系統(tǒng)分級保護備案表,向涉密系統(tǒng)填寫涉及國家秘密的信息系統(tǒng)分級保護備案表,向保密部門備案。保密部門備案。備案表填寫注意事項備案表填寫注意事項 備案表填寫注意事項備案表填寫注意事項信息系統(tǒng)安全等級保護備案表補充說明信息系統(tǒng)安全等級保護備案表補充說明 一、表一一、表一0404行政區(qū)劃代碼行政區(qū)

38、劃代碼可到廣東網(wǎng)警網(wǎng)站信息安全等級保護欄目下載廣東行可到廣東網(wǎng)警網(wǎng)站信息安全等級保護欄目下載廣東行政區(qū)劃代碼查詢。政區(qū)劃代碼查詢。二、表一二、表一0808隸屬關(guān)系隸屬關(guān)系1 1省直國家機關(guān)、省政府直屬的企業(yè)、事業(yè)單位,國資委省直國家機關(guān)、省政府直屬的企業(yè)、事業(yè)單位,國資委管理的企業(yè)選管理的企業(yè)選“2“2省省( (自治區(qū)、直轄市自治區(qū)、直轄市)”)”。2 2省直部門下設(shè)的企業(yè)、事業(yè)單位選省直部門下設(shè)的企業(yè)、事業(yè)單位選“9“9其他其他 ”,再在橫線上注明是哪個部門下設(shè)的企業(yè)、事業(yè)單位。再在橫線上注明是哪個部門下設(shè)的企業(yè)、事業(yè)單位。備案表填寫注意事項備案表填寫注意事項 三、表二三、表二0707關(guān)鍵產(chǎn)

39、品使用情況的部分使用及使用率關(guān)鍵產(chǎn)品使用情況的部分使用及使用率使用率:軟件按產(chǎn)品的種類來計,硬件按件數(shù)來計。使用率:軟件按產(chǎn)品的種類來計,硬件按件數(shù)來計。四、表三四、表三0606是否有主管部門是否有主管部門1 1企業(yè)、事業(yè)單位有主管部門的應(yīng)履行相關(guān)報批手續(xù),選企業(yè)、事業(yè)單位有主管部門的應(yīng)履行相關(guān)報批手續(xù),選“有有”。2 2國家機關(guān)可選國家機關(guān)可選“無無”,但在實際操作中可征求上級部門,但在實際操作中可征求上級部門意見;如本系統(tǒng)內(nèi)部有規(guī)定明確要經(jīng)上級部門審批的,意見;如本系統(tǒng)內(nèi)部有規(guī)定明確要經(jīng)上級部門審批的,應(yīng)履行審批手續(xù)。應(yīng)履行審批手續(xù)。 備案表填寫注意事項備案表填寫注意事項 管轄原則。管轄原

40、則。 備案管轄分工采取級別管轄和屬地管轄相結(jié)合。備案管轄分工采取級別管轄和屬地管轄相結(jié)合。 中央在京單位。隸屬于中央的在京單位,其跨省或者全國統(tǒng)一中央在京單位。隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng),由公安部公共信聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng),由公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局受理備案,其他信息系統(tǒng)由北京市公安局公息網(wǎng)絡(luò)安全監(jiān)察局受理備案,其他信息系統(tǒng)由北京市公安局公共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案。共信息網(wǎng)絡(luò)安全監(jiān)察部門受理備案。 中央駐粵及省直國有單位。隸屬中央或省的駐穗國有單位的中央駐粵及省直國有單位。隸屬中央或省的駐穗國有單位的信息系統(tǒng),信息

41、系統(tǒng),由省公安廳網(wǎng)警總隊受理備案由省公安廳網(wǎng)警總隊受理備案。上述單位在各地運。上述單位在各地運行、維護的分支系統(tǒng)由其在各地的分支機構(gòu)報所在地地級以上行、維護的分支系統(tǒng)由其在各地的分支機構(gòu)報所在地地級以上市公安機關(guān)網(wǎng)監(jiān)部門備案。市公安機關(guān)網(wǎng)監(jiān)部門備案。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求辦理信息系統(tǒng)安全保護等級備案手續(xù)時,應(yīng)當填寫信息系統(tǒng)安辦理信息系統(tǒng)安全保護等級備案手續(xù)時,應(yīng)當填寫信息系統(tǒng)安全等級保護備案表,全等級保護備案表,第三級以上信息系統(tǒng)應(yīng)當同時提供以第三級以上信息系統(tǒng)應(yīng)當同時提供以下材料:下材料:(一)系統(tǒng)拓撲結(jié)構(gòu)及說明;(一)系統(tǒng)拓撲結(jié)構(gòu)及說明;(二)系統(tǒng)安全

42、組織機構(gòu)和管理制度;(二)系統(tǒng)安全組織機構(gòu)和管理制度;(三)系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案;(三)系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案; (四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明;(四)系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明; (五)測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告;(五)測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告;(六)信息系統(tǒng)安全保護等級專家評審意見;(六)信息系統(tǒng)安全保護等級專家評審意見;(七)主管部門審核批準信息系統(tǒng)安全保護等級的意見。(七)主管部門審核批準信息系統(tǒng)安全保護等級的意見。 二、信息安全等級保護的工作要求二、信息安

43、全等級保護的工作要求 備案申請備案申請 辦理備案手續(xù),應(yīng)當?shù)焦矙C關(guān)指定網(wǎng)址下載信息安全等級辦理備案手續(xù),應(yīng)當?shù)焦矙C關(guān)指定網(wǎng)址下載信息安全等級保護備案軟件,利用該軟件填寫生成信息系統(tǒng)安全等級保保護備案軟件,利用該軟件填寫生成信息系統(tǒng)安全等級保護備案表(簡稱備案表,下同)表一、表二、表三紙護備案表(簡稱備案表,下同)表一、表二、表三紙質(zhì)質(zhì)WORDWORD格式文檔一式兩份和電子數(shù)據(jù)(格式文檔一式兩份和電子數(shù)據(jù)(RARRAR格式),并準格式),并準備好相關(guān)附件(一式兩份),向公安機關(guān)網(wǎng)監(jiān)部門提出備案備好相關(guān)附件(一式兩份),向公安機關(guān)網(wǎng)監(jiān)部門提出備案申請申請。二、信息安全等級保護的工作要求二、信息

44、安全等級保護的工作要求實質(zhì)審查實質(zhì)審查。對于通過形式審查的單位,公安網(wǎng)監(jiān)部門應(yīng)當在對于通過形式審查的單位,公安網(wǎng)監(jiān)部門應(yīng)當在1010個工作日內(nèi)對個工作日內(nèi)對下列內(nèi)容進行審查:下列內(nèi)容進行審查:1 1備案表項目填寫是否完整,是否符合要求,紙質(zhì)材料和備案表項目填寫是否完整,是否符合要求,紙質(zhì)材料和電子數(shù)據(jù)是否一致;電子數(shù)據(jù)是否一致; 2 2信息系統(tǒng)所定安全保護等級是否準確信息系統(tǒng)所定安全保護等級是否準確。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求審查結(jié)論審查結(jié)論。對符合要求的對符合要求的,公安機關(guān)網(wǎng)監(jiān)部門應(yīng)當在備案表加蓋公公安機關(guān)網(wǎng)監(jiān)部門應(yīng)當在備案表加蓋公共信息網(wǎng)絡(luò)安全監(jiān)察專用章

45、并將其中一份反饋備案單位,并共信息網(wǎng)絡(luò)安全監(jiān)察專用章并將其中一份反饋備案單位,并出具信息系統(tǒng)安全等級保護備案證明(以下簡稱備案出具信息系統(tǒng)安全等級保護備案證明(以下簡稱備案證明)。備案證明由公安部統(tǒng)一監(jiān)制。證明)。備案證明由公安部統(tǒng)一監(jiān)制。對不符合要求的對不符合要求的,公安網(wǎng)監(jiān)部門應(yīng)當出具信息系統(tǒng)安全公安網(wǎng)監(jiān)部門應(yīng)當出具信息系統(tǒng)安全等級保護備案審核結(jié)果通知,通知備案單位進行整改。其等級保護備案審核結(jié)果通知,通知備案單位進行整改。其中,對定級不準的備案單位,在通知整改的同時,應(yīng)當建議中,對定級不準的備案單位,在通知整改的同時,應(yīng)當建議備案單位重新定級。(七)主管部門審核批準信息系統(tǒng)安全備案單位重

46、新定級。(七)主管部門審核批準信息系統(tǒng)安全保護等級的意見保護等級的意見。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 運營、使用單位或者其主管部門重新確定計算機信息系統(tǒng)等運營、使用單位或者其主管部門重新確定計算機信息系統(tǒng)等級的,應(yīng)當按照本條例向公安機關(guān)重新備案級的,應(yīng)當按照本條例向公安機關(guān)重新備案。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 法律責任法律責任 廣東省計算機信息系統(tǒng)安全保護條例規(guī)定,計算機信息廣東省計算機信息系統(tǒng)安全保護條例規(guī)定,計算機信息系統(tǒng)的運營、使用單位沒有向地級市以上人民政府公安機關(guān)系統(tǒng)的運營、使用單位沒有向地級市以上人民政府公安機關(guān)

47、備案的,或者違反本條例第三十六條規(guī)定,接到公安機關(guān)要備案的,或者違反本條例第三十六條規(guī)定,接到公安機關(guān)要求整改的通知后拒不按要求整改的,由公安機關(guān)處以警告或求整改的通知后拒不按要求整改的,由公安機關(guān)處以警告或者停機整頓者停機整頓。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 開展安全建設(shè)整改開展安全建設(shè)整改 來源和依據(jù):信息安全等級保護管理辦法、廣東省計算機信息系統(tǒng)安全來源和依據(jù):信息安全等級保護管理辦法、廣東省計算機信息系統(tǒng)安全保護條例,信息安全等級保護實施指南、信息系統(tǒng)安全等級保護基保護條例,信息安全等級保護實施指南、信息系統(tǒng)安全等級保護基本要求等本要求等二、信息安全等級

48、保護的工作要求二、信息安全等級保護的工作要求 運營、使用單位應(yīng)當按照國家信息安全等級保護管理運營、使用單位應(yīng)當按照國家信息安全等級保護管理規(guī)范和技術(shù)標準,使用符合國家有關(guān)規(guī)定,滿足信息規(guī)范和技術(shù)標準,使用符合國家有關(guān)規(guī)定,滿足信息系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品,開展信息系系統(tǒng)安全保護等級需求的信息技術(shù)產(chǎn)品,開展信息系統(tǒng)安全建設(shè)或者改建工作統(tǒng)安全建設(shè)或者改建工作。 計算機信息系統(tǒng)規(guī)劃、設(shè)計、建設(shè)和維護應(yīng)當同步落計算機信息系統(tǒng)規(guī)劃、設(shè)計、建設(shè)和維護應(yīng)當同步落實相應(yīng)的安全措施實相應(yīng)的安全措施二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 在信息系統(tǒng)建設(shè)過程中,運營、使用單位應(yīng)當按照

49、計算在信息系統(tǒng)建設(shè)過程中,運營、使用單位應(yīng)當按照計算機信息系統(tǒng)安全保護等級劃分準則(機信息系統(tǒng)安全保護等級劃分準則(GB17859-GB17859-19991999)、信息系統(tǒng)安全等級保護基本要求等技術(shù)標)、信息系統(tǒng)安全等級保護基本要求等技術(shù)標準,參照信息安全技術(shù)準,參照信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)通用安全技術(shù)要求(GB/T20271-2006GB/T20271-2006)、信息安全技術(shù))、信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求(技術(shù)要求(GB/T20270-2006GB/T20270-2006)、信息安全技術(shù))、信息安全技術(shù) 操操作系統(tǒng)安全技術(shù)要求(作系統(tǒng)安全技術(shù)要

50、求(GB/T20272-2006GB/T20272-2006)、信息)、信息安全技術(shù)安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求(GB/T20273-2006GB/T20273-2006)、信息安全技術(shù))、信息安全技術(shù) 服務(wù)器技術(shù)要服務(wù)器技術(shù)要求、信息安全技術(shù)求、信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要終端計算機系統(tǒng)安全等級技術(shù)要求(求(GA/T671-2006GA/T671-2006)等技術(shù)標準同步建設(shè)符合該等)等技術(shù)標準同步建設(shè)符合該等級要求的信息安全設(shè)施。級要求的信息安全設(shè)施。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 運營、使用單位應(yīng)當參照信息安全

51、技術(shù)運營、使用單位應(yīng)當參照信息安全技術(shù) 信息系統(tǒng)安信息系統(tǒng)安全管理要求(全管理要求(GB/T20269-2006GB/T20269-2006)、信息安全技)、信息安全技術(shù)術(shù) 信息系統(tǒng)安全工程管理要求(信息系統(tǒng)安全工程管理要求(GB/T20282-GB/T20282-20062006)、信息系統(tǒng)安全等級保護基本要求等管理)、信息系統(tǒng)安全等級保護基本要求等管理規(guī)范,制定并落實符合本系統(tǒng)安全保護等級要求的安全規(guī)范,制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度管理制度。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求通過委托等保測評機構(gòu)進行測評、風險評估等方式分析整改需通過委托等保

52、測評機構(gòu)進行測評、風險評估等方式分析整改需求,或者委托等保技術(shù)支持單位、安全服務(wù)機構(gòu)(須已參加安求,或者委托等保技術(shù)支持單位、安全服務(wù)機構(gòu)(須已參加安全服務(wù)機構(gòu)從業(yè)人員培訓班并取得信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員全服務(wù)機構(gòu)從業(yè)人員培訓班并取得信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育證書)提供咨詢等方式對照有關(guān)標準了解系統(tǒng)安全保繼續(xù)教育證書)提供咨詢等方式對照有關(guān)標準了解系統(tǒng)安全保護現(xiàn)狀以及與相應(yīng)等級保護要求的差距,分析整改需求。護現(xiàn)狀以及與相應(yīng)等級保護要求的差距,分析整改需求。制訂安全整改方案。制訂安全整改方案。落實安全整改技術(shù)措施和完善安全管理制度落實安全整改技術(shù)措施和完善安全管理制度。已投入使用的系統(tǒng)已投

53、入使用的系統(tǒng)在實施項目時,要同步設(shè)計、同步建設(shè)等級保護措在實施項目時,要同步設(shè)計、同步建設(shè)等級保護措施施。對照相應(yīng)等級的安全保護要求,制訂安全建設(shè)方案對照相應(yīng)等級的安全保護要求,制訂安全建設(shè)方案。落實安全技術(shù)措施和制訂安全管理制度。落實安全技術(shù)措施和制訂安全管理制度。新建系統(tǒng)新建系統(tǒng) 組織系統(tǒng)安全測評組織系統(tǒng)安全測評 來源和依據(jù):信息安全等級保護管理辦法、廣東省計算機信息系統(tǒng)安來源和依據(jù):信息安全等級保護管理辦法、廣東省計算機信息系統(tǒng)安全保護條例、廣東省信息安全等級測評工作細則,信息安全等級保全保護條例、廣東省信息安全等級測評工作細則,信息安全等級保護實施指南、信息系統(tǒng)安全等級保護測評準則等護

54、實施指南、信息系統(tǒng)安全等級保護測評準則等二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 信息系統(tǒng)建設(shè)完成后,二級以上信息系統(tǒng)建設(shè)完成后,二級以上的信息系統(tǒng)的的信息系統(tǒng)的運營使用單位應(yīng)當選擇符合國家規(guī)定的測評機構(gòu)進行測評運營使用單位應(yīng)當選擇符合國家規(guī)定的測評機構(gòu)進行測評(在系統(tǒng)試運行階段)合格方可投入使用。已投入運行信(在系統(tǒng)試運行階段)合格方可投入使用。已投入運行信息系統(tǒng)在完成系統(tǒng)整改后也應(yīng)當進行測評。經(jīng)測評,信息息系統(tǒng)在完成系統(tǒng)整改后也應(yīng)當進行測評。經(jīng)測評,信息系統(tǒng)安全狀況未達到安全保護等級要求的,運營使用單位系統(tǒng)安全狀況未達到安全保護等級要求的,運營使用單位應(yīng)當制定方案進行整

55、改。應(yīng)當制定方案進行整改。 電子政務(wù)信息系統(tǒng)均應(yīng)測評合格方可投入電子政務(wù)信息系統(tǒng)均應(yīng)測評合格方可投入使用使用。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 測評程序測評程序 計算機信息系統(tǒng)運營、使用單位委托安全測評機構(gòu)測評,計算機信息系統(tǒng)運營、使用單位委托安全測評機構(gòu)測評,應(yīng)當提交下列資料:應(yīng)當提交下列資料: (一)(一)安全測評委托書安全測評委托書; (二)(二)計算機信息系統(tǒng)應(yīng)用需求計算機信息系統(tǒng)應(yīng)用需求、系統(tǒng)結(jié)構(gòu)拓撲及說明、系統(tǒng)結(jié)構(gòu)拓撲及說明、系統(tǒng)安全組織結(jié)構(gòu)和管理制度、安全保護設(shè)施設(shè)計實施方系統(tǒng)安全組織結(jié)構(gòu)和管理制度、安全保護設(shè)施設(shè)計實施方案或者改建實施方案、系統(tǒng)軟件硬

56、件和信息安全產(chǎn)品清單。案或者改建實施方案、系統(tǒng)軟件硬件和信息安全產(chǎn)品清單。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求安全測評機構(gòu)在收到委托材料后,應(yīng)當與委托方協(xié)商制訂安安全測評機構(gòu)在收到委托材料后,應(yīng)當與委托方協(xié)商制訂安全測評計劃,開展安全測評工作,并出具安全測評報告。全測評計劃,開展安全測評工作,并出具安全測評報告。經(jīng)測評,計算機信息系統(tǒng)安全狀況未達到國家有關(guān)規(guī)定和標經(jīng)測評,計算機信息系統(tǒng)安全狀況未達到國家有關(guān)規(guī)定和標準的要求的,委托單位應(yīng)當根據(jù)測評報告的建議,完善計準的要求的,委托單位應(yīng)當根據(jù)測評報告的建議,完善計算機信息系統(tǒng)安全建設(shè),并重新提出安全測評委托。算機信息系統(tǒng)

57、安全建設(shè),并重新提出安全測評委托。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求測評機構(gòu)對計算機信息系統(tǒng)進行使用前安全測評,應(yīng)當預(yù)先測評機構(gòu)對計算機信息系統(tǒng)進行使用前安全測評,應(yīng)當預(yù)先報告地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門。報告地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門。安全測評報告由計算機信息系統(tǒng)運營、使用單位報地級以上安全測評報告由計算機信息系統(tǒng)運營、使用單位報地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門。市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門。還須報送信息系統(tǒng)安全等級保護備案表二,表四(三級還須報送信息系統(tǒng)安全等級保護備案表二,表四(三級以上系統(tǒng),含三級)以上系統(tǒng),含三級

58、)。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 法律責任法律責任 廣東省計算機信息系統(tǒng)安全保護條例規(guī)定,第二級廣東省計算機信息系統(tǒng)安全保護條例規(guī)定,第二級以上計算機信息系統(tǒng)的運營、使用單位計算機信息系統(tǒng)投以上計算機信息系統(tǒng)的運營、使用單位計算機信息系統(tǒng)投入使用前未經(jīng)符合國家規(guī)定的安全等級測評機構(gòu)測評合格入使用前未經(jīng)符合國家規(guī)定的安全等級測評機構(gòu)測評合格的的 ,由公安機關(guān)責令限期改正,給予警告;逾期不改的,由公安機關(guān)責令限期改正,給予警告;逾期不改的,對單位的主管人員、其他直接責任人員可以處五千元以下對單位的主管人員、其他直接責任人員可以處五千元以下罰款,對單位可以處一萬五千

59、元以下罰款。有違法所得的,罰款,對單位可以處一萬五千元以下罰款。有違法所得的,沒收違法所得;情節(jié)嚴重的,并給予六個月以內(nèi)的停止聯(lián)沒收違法所得;情節(jié)嚴重的,并給予六個月以內(nèi)的停止聯(lián)網(wǎng)、停機整頓的處罰;必要時公安機關(guān)可以建議原許可機網(wǎng)、停機整頓的處罰;必要時公安機關(guān)可以建議原許可機構(gòu)撤銷許可或者取消聯(lián)網(wǎng)資格。構(gòu)撤銷許可或者取消聯(lián)網(wǎng)資格。二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 加強日常測評自查加強日常測評自查 來源和依據(jù):信息安全等級保護管理辦法、廣東省計算機信息系統(tǒng)安來源和依據(jù):信息安全等級保護管理辦法、廣東省計算機信息系統(tǒng)安全保護條例、廣東省信息安全等級測評工作細則,信息安

60、全等級保全保護條例、廣東省信息安全等級測評工作細則,信息安全等級保護實施指南、信息系統(tǒng)安全等級保護測評準則護實施指南、信息系統(tǒng)安全等級保護測評準則二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 計算機信息系統(tǒng)的運營、使用單位及其主管部門應(yīng)當按照計算機信息系統(tǒng)的運營、使用單位及其主管部門應(yīng)當按照國家規(guī)定定期對計算機信息系統(tǒng)開展安全等級測評,并對國家規(guī)定定期對計算機信息系統(tǒng)開展安全等級測評,并對計算機信息系統(tǒng)安全狀況、安全管理制度及措施的落實情計算機信息系統(tǒng)安全狀況、安全管理制度及措施的落實情況進行自查況進行自查。 二、信息安全等級保護的工作要求二、信息安全等級保護的工作要求 計算機

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論