信息安全等級(jí)保護(hù)知識(shí)培訓(xùn)

1、信息安全信息安全等級(jí)等級(jí)保護(hù)知識(shí)培訓(xùn)保護(hù)知識(shí)培訓(xùn) 張張 青青CISP-CISP-注冊(cè)信息安全專家注冊(cè)信息安全專家信息安全等級(jí)測(cè)評(píng)師（中級(jí)）信息安全等級(jí)測(cè)評(píng)師（中級(jí)）軟件評(píng)測(cè)工程師軟件評(píng)測(cè)工程師華為認(rèn)證網(wǎng)絡(luò)工程師華為認(rèn)證網(wǎng)絡(luò)工程師太原清眾鑫科技有限公司太原清眾鑫科技有限公司信息安全等級(jí)保護(hù)工作流程信息安全等級(jí)保護(hù)基本要求信息安全等級(jí)保護(hù)體系概述信息安全等級(jí)保護(hù)法律法規(guī)1.1 等級(jí)保護(hù)基本概念等級(jí)保護(hù)基本概念1.2 實(shí)行等級(jí)保護(hù)的原因?qū)嵭械燃?jí)保護(hù)的原因1 信息安全等級(jí)保護(hù)體系概述1.4 等級(jí)保護(hù)制度作用等級(jí)保護(hù)制度作用1.5 等級(jí)保護(hù)相關(guān)的政策等級(jí)保護(hù)相關(guān)的政策1.6等級(jí)等級(jí)保護(hù)相關(guān)的標(biāo)準(zhǔn)保護(hù)相關(guān)

2、的標(biāo)準(zhǔn)1.3 等級(jí)保護(hù)制度目的等級(jí)保護(hù)制度目的1.7等級(jí)保護(hù)推進(jìn)過(guò)程等級(jí)保護(hù)推進(jìn)過(guò)程p信息系統(tǒng)安全等級(jí)保護(hù)是指對(duì)國(guó)家安全、法人和其他組織及公民的專有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。1.1 等級(jí)保護(hù)基本概念整體信息安整體信息安全防范意識(shí)全防范意識(shí)和能力薄弱和能力薄弱網(wǎng)絡(luò)及信息網(wǎng)絡(luò)及信息安全問(wèn)題關(guān)安全問(wèn)題關(guān)系國(guó)家安全系國(guó)家安全信息系統(tǒng)安信息系統(tǒng)安全建設(shè)和管全建設(shè)和管理缺乏體系理缺乏體系化思想化思想信息安全法信息安全法律法規(guī)不完律法規(guī)不完善，標(biāo)準(zhǔn)體善，標(biāo)準(zhǔn)體系尚待完善

3、系尚待完善 1.2 實(shí)行等級(jí)保護(hù)制度原因體現(xiàn)國(guó)家體現(xiàn)國(guó)家管理意志管理意志構(gòu)建國(guó)家構(gòu)建國(guó)家信息安全信息安全保障體系保障體系保障信息保障信息化發(fā)展和化發(fā)展和維護(hù)國(guó)家維護(hù)國(guó)家安全安全1.3 等級(jí)保護(hù)制度目的提出信息安全工作的思路提出信息安全工作的思路劃定信息系統(tǒng)保護(hù)的基線劃定信息系統(tǒng)保護(hù)的基線發(fā)現(xiàn)信息系統(tǒng)的問(wèn)題和差距發(fā)現(xiàn)信息系統(tǒng)的問(wèn)題和差距明確信息系統(tǒng)安全保護(hù)的方向明確信息系統(tǒng)安全保護(hù)的方向提升信息系統(tǒng)的安全保護(hù)能力提升信息系統(tǒng)的安全保護(hù)能力1.4 等級(jí)保護(hù)制度作用1.5 等級(jí)保護(hù)相關(guān)政策u 基礎(chǔ)類基礎(chǔ)類 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB 17859-1999 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南GB

4、/T 25058-2010 u 應(yīng)用類應(yīng)用類 定級(jí)：信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南GB/T 22240-2008 建設(shè)：信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T 22239-2008 信息系統(tǒng)通用安全技術(shù)要求GB/T 20271-2006 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求GB/T 25070-2010 測(cè)評(píng)：信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 GB/T 28448-2012 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南 GB/T 28449-2012 管理：信息系統(tǒng)安全管理要求GB/T 20269-2006 信息系統(tǒng)安全工程管理要求GB/T 20282-2006 1.6 等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)20032003年年9 9月月

5、中辦國(guó)辦頒發(fā)中辦國(guó)辦頒發(fā)關(guān)于加強(qiáng)信息安全保障關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)工作的意見(jiàn)中辦發(fā)中辦發(fā)200327200327號(hào)號(hào)20042004年年1111月月四部委會(huì)簽四部委會(huì)簽關(guān)于信息安全等級(jí)保護(hù)關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)工作的實(shí)施意見(jiàn)公通字公通字200466200466號(hào)號(hào)20062006年年1 1月月四部委會(huì)簽四部委會(huì)簽信息安全等級(jí)保護(hù)管理信息安全等級(jí)保護(hù)管理辦法（試行）辦法（試行）（公通字（公通字2006720067號(hào)）號(hào)）20072007年年6 6月月四部委會(huì)簽四部委會(huì)簽信息安全等級(jí)保護(hù)管理信息安全等級(jí)保護(hù)管理辦法辦法公通字公通字200743200743號(hào)號(hào)19941994年年

6、 國(guó)務(wù)院頒布國(guó)務(wù)院頒布中華人民共和國(guó)計(jì)算機(jī)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例信息系統(tǒng)安全保護(hù)條例國(guó)務(wù)院國(guó)務(wù)院19941471994147號(hào)號(hào)20172017年年6 6月月1 1日日中華人民共和國(guó)網(wǎng)絡(luò)安全中華人民共和國(guó)網(wǎng)絡(luò)安全法法1.7 等級(jí)保護(hù)推進(jìn)過(guò)程信息安全等級(jí)保護(hù)工作流程信息安全等級(jí)保護(hù)基本要求信息安全等級(jí)保護(hù)體系概述信息安全等級(jí)保護(hù)法律法規(guī) 2.3刑法修正案（九）刑法修正案（九）2.2中華人民共和國(guó)國(guó)家安全法中華人民共和國(guó)國(guó)家安全法2.1山西省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例山西省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例2 信息安全等級(jí)保護(hù)法律法規(guī) 2.4中華人民共和國(guó)網(wǎng)絡(luò)安全法中華人民共和國(guó)網(wǎng)絡(luò)安全

7、法2.12.1山西省山西省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例條例山西省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例于2008年9月25日經(jīng)省十一屆人大常委會(huì)第六次會(huì)議表決通過(guò)，2009年1月1日起實(shí)施。第二十條第三級(jí)以上計(jì)算機(jī)信息系統(tǒng)第三級(jí)以上計(jì)算機(jī)信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)按照國(guó)家規(guī)定，選擇符合國(guó)家規(guī)符合國(guó)家規(guī)定條件的安全保護(hù)等級(jí)測(cè)評(píng)機(jī)構(gòu)定期對(duì)其計(jì)算機(jī)信息系統(tǒng)安定條件的安全保護(hù)等級(jí)測(cè)評(píng)機(jī)構(gòu)定期對(duì)其計(jì)算機(jī)信息系統(tǒng)安全狀況進(jìn)行等級(jí)測(cè)評(píng)全狀況進(jìn)行等級(jí)測(cè)評(píng)。2.22.2中華人民共和國(guó)中華人民共和國(guó)國(guó)家安全國(guó)家安全法法2015年7月1日第十二屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十五次會(huì)

8、議通過(guò)中華人民共和國(guó)國(guó)家安全法，其中第二十五條指出，要加強(qiáng)網(wǎng)絡(luò)管理，防范、制止和依法懲治網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入要加強(qiáng)網(wǎng)絡(luò)管理，防范、制止和依法懲治網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密、散布違法有害信息等網(wǎng)絡(luò)違法犯罪行為侵、網(wǎng)絡(luò)竊密、散布違法有害信息等網(wǎng)絡(luò)違法犯罪行為，維護(hù)國(guó)家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益。2.32.3刑法刑法修正案（九修正案（九）第十二屆全國(guó)人大常委會(huì)第十六次會(huì)議表決通過(guò)了刑法修正案（九），修訂后的刑法自2015年11月1日開(kāi)始施行。刑法修正案（九）明確了網(wǎng)絡(luò)服務(wù)提供者履行信息網(wǎng)絡(luò)安網(wǎng)絡(luò)服務(wù)提供者履行信息網(wǎng)絡(luò)安全管理的義務(wù)全管理的義務(wù)。第二十八條指出：網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的

9、信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金。2.42.4中華人民共和國(guó)網(wǎng)絡(luò)安全法中華人民共和國(guó)網(wǎng)絡(luò)安全法中華人民共和國(guó)第十二屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十四次會(huì)議于2016年11月7日通過(guò)中華人民共和國(guó)網(wǎng)絡(luò)安全法，自2017年6月1日起施行。第二十一第二十一條條 國(guó)家國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。第三十一第三十一條條 國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利

10、、金融、公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。2.42.4中華人民共和國(guó)網(wǎng)絡(luò)安全法中華人民共和國(guó)網(wǎng)絡(luò)安全法網(wǎng)絡(luò)運(yùn)營(yíng)者不網(wǎng)絡(luò)運(yùn)營(yíng)者不履行網(wǎng)絡(luò)履行網(wǎng)絡(luò)安全保護(hù)義務(wù)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。 關(guān)

11、鍵關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者不信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者不履行網(wǎng)絡(luò)履行網(wǎng)絡(luò)安全保護(hù)義務(wù)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。信息安全等級(jí)保護(hù)工作流程信息安全等級(jí)保護(hù)基本要求信息安全等級(jí)保護(hù)體系概述信息安全等級(jí)保護(hù)法律法規(guī) 3 信息安全等級(jí)保護(hù)工作流程 3.1.3 等級(jí)的確定等級(jí)的確定3.1.2 定級(jí)對(duì)象確定定級(jí)對(duì)象確定3.1.1 定級(jí)依據(jù)和原則定級(jí)依據(jù)和原則3.1 定級(jí)指南 3.1.4 定級(jí)方法定級(jí)方法3.1.1 定級(jí)依據(jù)和原則定級(jí)依據(jù)定級(jí)依據(jù)信息安全等級(jí)保護(hù)管理辦法信息系統(tǒng)

12、安全等級(jí)保護(hù)定級(jí)指南定級(jí)原則定級(jí)原則誰(shuí)擁有誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)。自主定級(jí)。因?yàn)橄到y(tǒng)的重要程度以及在遭受破壞后造成多大影響自己最清楚。3.1.2 定級(jí)對(duì)象確定 定級(jí)工作是信息系統(tǒng)等級(jí)保護(hù)工作的起點(diǎn)，定級(jí)結(jié)果直接決定了后續(xù)安全保障工作的開(kāi)展。在定級(jí)之前，首先必須明確定級(jí)的對(duì)象，即：對(duì)哪個(gè)信息系統(tǒng)進(jìn)行定級(jí)。定級(jí)指南中指出，作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)當(dāng)具備以下三個(gè)條件：具有唯一確定的安全責(zé)任單位具有信息系統(tǒng)的基本要素承載單一或相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用3.1.3 等級(jí)的確定等級(jí)的確定是不依賴于安全保護(hù)措施的，具有一等級(jí)的確定是不依賴于安全保護(hù)措施的，具有一定的定的“客觀性客觀性”，即該系統(tǒng)在存在之初便由其自身所

13、，即該系統(tǒng)在存在之初便由其自身所實(shí)現(xiàn)的使命決定了它的安全保護(hù)等級(jí)，而非由實(shí)現(xiàn)的使命決定了它的安全保護(hù)等級(jí)，而非由“后天后天”的安全保護(hù)措施決定。的安全保護(hù)措施決定。3.1.4 定級(jí)方法n 查表法n 其他：專家評(píng)審、行業(yè)部門建議3.2.4 備案流程備案流程 3.2.3 備案資料備案資料3.2.1 備案作用備案作用3.2 備案3.2.2 備案時(shí)間備案時(shí)間3.2.1 備案的作用 信息系統(tǒng)備案是國(guó)家有關(guān)信息安全職能部門了解和掌握重要信息系統(tǒng)的安全保護(hù)基本狀況、分析總體安全形勢(shì)的基礎(chǔ)資料來(lái)源，也是下一步接受備案機(jī)關(guān)開(kāi)展各項(xiàng)監(jiān)督檢查工作所必需的基本依據(jù)。 l新建系統(tǒng)l已有系統(tǒng)3.2.2 備案的時(shí)間根據(jù)信息

14、安全等級(jí)保護(hù)管理辦法，信息系統(tǒng)安全保護(hù)等級(jí)為第二級(jí)以上的信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門，應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)，到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)。新建第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由其運(yùn)營(yíng)、使用單位到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)。2.2.3 備案資料信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)在其系統(tǒng)安全保護(hù)等級(jí)確定后，向當(dāng)?shù)赝?jí)公安機(jī)關(guān)提前備案（縣級(jí)單位應(yīng)當(dāng)向市級(jí)公安機(jī)關(guān)備案），備案時(shí)應(yīng)當(dāng)?shù)絺浒笝C(jī)關(guān)填寫備案登記表并按要求提交相關(guān)資料，包括紙質(zhì)版和電子版。書面填寫信息系統(tǒng)安全等級(jí)保護(hù)備案表 一式兩份?？商頦ORD文檔，再打印輸出，附上附件。備案登記表/系統(tǒng)體系/功能結(jié)構(gòu)圖/系統(tǒng)安

15、全保護(hù)方案或措施/系統(tǒng)安全管理制度等。3.2.4 備案流程3.3 3.3 建設(shè)整改建設(shè)整改 3.3.1實(shí)施概述實(shí)施概述3.3.2實(shí)施過(guò)程實(shí)施過(guò)程信息系統(tǒng)定級(jí)信息系統(tǒng)定級(jí)總體安全規(guī)劃總體安全規(guī)劃安全設(shè)計(jì)與實(shí)施安全設(shè)計(jì)與實(shí)施 安全運(yùn)行與維護(hù)安全運(yùn)行與維護(hù)等級(jí)變更等級(jí)變更局部調(diào)整局部調(diào)整信息系統(tǒng)終止信息系統(tǒng)終止3.3.1 實(shí)施概述信息系統(tǒng)安全管理建設(shè)信息系統(tǒng)安全管理建設(shè)信息系統(tǒng)安全技術(shù)建設(shè)信息系統(tǒng)安全技術(shù)建設(shè)開(kāi)展信息系統(tǒng)安全自查和等級(jí)測(cè)評(píng)開(kāi)展信息系統(tǒng)安全自查和等級(jí)測(cè)評(píng)信息系統(tǒng)安全需求分析信息系統(tǒng)安全需求分析/ /相應(yīng)級(jí)別的要求相應(yīng)級(jí)別的要求確定安全策略，制定安全建設(shè)方案確定安全策略，制定安全建設(shè)方案

16、物物 理理 安安 全全網(wǎng)網(wǎng) 絡(luò)絡(luò) 安安 全全主主 機(jī)機(jī) 安安 全全應(yīng)應(yīng) 用用 安安 全全數(shù)數(shù) 據(jù)據(jù) 安安 全全安全管理機(jī)構(gòu)安全管理機(jī)構(gòu)安全管理制度安全管理制度人員安全管理人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)行管理系統(tǒng)運(yùn)行管理3.3.2 實(shí)施過(guò)程等級(jí)測(cè)評(píng)依據(jù)等級(jí)測(cè)評(píng)依據(jù)3.4 信息安全等級(jí)保護(hù)測(cè)評(píng)信息安全等級(jí)保護(hù)測(cè)評(píng)3.4.3 等級(jí)測(cè)評(píng)流程等級(jí)測(cè)評(píng)流程3.4.4 等級(jí)測(cè)評(píng)結(jié)果等級(jí)測(cè)評(píng)結(jié)果3.4.5 等級(jí)測(cè)評(píng)目的等級(jí)測(cè)評(píng)目的3.4.1 等級(jí)測(cè)評(píng)依據(jù)依據(jù)依據(jù)信息安全等級(jí)保護(hù)管理辦法信息安全等級(jí)保護(hù)管理辦法第十四條中規(guī)定第十四條中規(guī)定: : 信息系統(tǒng)建設(shè)完成后， 運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)

17、選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。3.4.2 等級(jí)測(cè)評(píng)流程符合性判別依據(jù)符合性判別依據(jù)是是:1、信息系統(tǒng)中是否存在高風(fēng)險(xiǎn)，如果有，一票否決。、信息系統(tǒng)中是否存在高風(fēng)險(xiǎn)，如果有，一票否決。2、信息系統(tǒng)中沒(méi)有高風(fēng)險(xiǎn)，且測(cè)評(píng)項(xiàng)綜合得分為、信息系統(tǒng)中沒(méi)有高風(fēng)險(xiǎn)，且測(cè)評(píng)項(xiàng)綜合得分為60分以上分以上100分以下為基本符合。分以下為基本符合。注：注：100分為符合。分為符合。3.4.3

18、等級(jí)測(cè)評(píng)結(jié)果測(cè)評(píng)結(jié)論符合性判別依據(jù)綜合得分符合信息系統(tǒng)中未發(fā)現(xiàn)安全問(wèn)題，等級(jí)測(cè)評(píng)結(jié)果中所有測(cè)評(píng)項(xiàng)得分均為5分。100分基本符合信息系統(tǒng)中存在安全問(wèn)題，但不會(huì)導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)。介于60到100分之間不符合信息系統(tǒng)中存在安全問(wèn)題，而且會(huì)導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)。低于60分3.4.4 等級(jí)測(cè)評(píng)目的p對(duì)于企業(yè)來(lái)說(shuō)，實(shí)施信息安全等級(jí)保護(hù)測(cè)評(píng)能夠有效地提高單位信息和信息系統(tǒng)安全建設(shè)的整體水平，有效控制企業(yè)信息安全建設(shè)成本；有利于明確國(guó)家、法人和其他組織、公民的信息安全責(zé)任，加強(qiáng)企業(yè)信息安全管理。p對(duì)于信息系統(tǒng)來(lái)說(shuō)，通過(guò)等級(jí)保護(hù)測(cè)評(píng)可及時(shí)發(fā)現(xiàn)信息系統(tǒng)安全狀況并制定方案進(jìn)行整改，當(dāng)信息系統(tǒng)

19、完全達(dá)到安全保護(hù)能力要求時(shí)，信息系統(tǒng)就基本可做到“進(jìn)不來(lái)、拿不走、改不了、看不懂、賴不掉”。3.5 監(jiān)督檢查依據(jù)依據(jù)公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范第第二二條條中規(guī)定中規(guī)定:公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作是指公安機(jī)關(guān)依據(jù)有關(guān)規(guī)定，會(huì)同主管部門對(duì)非涉密重要信息系統(tǒng)運(yùn)營(yíng)使用單位等級(jí)保護(hù)工作開(kāi)展和落實(shí)情況進(jìn)行檢查，督促、檢查其建設(shè)安全設(shè)施、落實(shí)安全措施、建立并落實(shí)安全管理制度、落實(shí)安全責(zé)任、落實(shí)責(zé)任部門和人員。信息安全等級(jí)保護(hù)工作流程信息安全等級(jí)保護(hù)基本要求信息安全等級(jí)保護(hù)體系概述信息安全等級(jí)保護(hù)法律法規(guī)4.2 不同級(jí)別系統(tǒng)的差異不同級(jí)別系統(tǒng)的差異4.1 基

20、本要求結(jié)構(gòu)基本要求結(jié)構(gòu)4 信息安全等級(jí)保護(hù)基本要求4.3 等級(jí)等級(jí)測(cè)評(píng)技術(shù)要求測(cè)評(píng)技術(shù)要求4.4 等級(jí)測(cè)評(píng)等級(jí)測(cè)評(píng)管理管理要求要求4.5 等級(jí)保護(hù)新標(biāo)準(zhǔn)等級(jí)保護(hù)新標(biāo)準(zhǔn)某級(jí)系統(tǒng)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理4.1基本要求結(jié)構(gòu)4.2不同級(jí)別系統(tǒng)的差異(控制點(diǎn))安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全4679應(yīng)用安全47911數(shù)據(jù)安全及備份恢復(fù)2333管理要求安全管理制度2333安全管理機(jī)構(gòu)4555人員安全管理4555系統(tǒng)建設(shè)管理991111系統(tǒng)運(yùn)維管理

21、9121313合計(jì)/48667377級(jí)差/18744.2不同級(jí)別系統(tǒng)的差異(要求項(xiàng))安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機(jī)安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機(jī)構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運(yùn)維管理18416270合計(jì)/85175290318級(jí)差/90115284.3等級(jí)測(cè)評(píng)技術(shù)要求(三級(jí)為黑色字體)物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)位置選擇訪問(wèn)控制防盜防破壞結(jié)構(gòu)安全邊界完整性入侵防范惡意代碼防范惡意代碼防范訪問(wèn)控制身份鑒別訪問(wèn)控制安全審計(jì)身份鑒別訪問(wèn)控制安全審計(jì)通信完整性通信保密性抗抵賴抗抵賴軟件容錯(cuò)數(shù)據(jù)完整性數(shù)據(jù)保密性備份和恢復(fù)防雷擊安全審計(jì)防火防水防潮防靜電溫濕度控制電力供應(yīng)電磁防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù)入侵防范惡意代碼防范剩余信息剩余信息保護(hù)保護(hù)系統(tǒng)資源控制資源控制剩余信息保護(hù)剩余信息保護(hù)4.4等級(jí)測(cè)評(píng)管理要求(三級(jí)為黑色字