信息系統(tǒng)安全等級保護(hù)工作介紹2017版

信息系統(tǒng)安全等級保護(hù)工作介紹第1頁，共66頁。介紹內(nèi)容之一一、信息安全等級保護(hù)工作概述二、如何實施等級保護(hù)工作第2頁，共66頁。介紹內(nèi)容之一一、信息安全等級保護(hù)工作概述二、如何實施等級保護(hù)工作第3頁，共66頁。一、信息安全等級保護(hù)工作概述

（一）什么是信息安全等級保護(hù)工作？

（二）為什么開展信息安全等級保護(hù)工作？

第4頁，共66頁。（一）什么是信息安全等級保護(hù)工作？

概念：

信息安全等級保護(hù)是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。第5頁，共66頁。（一）什么是信息安全等級保護(hù)工作？

等保

宣傳

介紹第6頁，共66頁。（一）什么是信息安全等級保護(hù)工作？

信息系統(tǒng)的安全保護(hù)等級分為以下五級：

第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益；

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全；

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害；

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害；

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。第7頁，共66頁。一、信息安全等級保護(hù)工作概述

（一）什么是信息安全等級保護(hù)工作？

（二）為什么開展信息安全等級保護(hù)工作？

第8頁，共66頁。（二）為什么開展信息安全等級保護(hù)工作？

1、信息化發(fā)展?fàn)顩r

網(wǎng)絡(luò)技術(shù)對社會進(jìn)步的貢獻(xiàn)有目共睹,主要體現(xiàn)在電子政務(wù)，電子商務(wù)、電子娛樂、遠(yuǎn)程醫(yī)療、遠(yuǎn)程教育等多個領(lǐng)域的應(yīng)用；隨著移動4G、城市無線WIFI熱點逐漸成熟和普及，網(wǎng)絡(luò)將給人們的生產(chǎn)、生活帶來更大方便，提供更多就業(yè)機(jī)會，促進(jìn)社會經(jīng)濟(jì)更快發(fā)展。

現(xiàn)代化建設(shè)的許多方面也已融入于網(wǎng)絡(luò)(信息)社會之中,政府部門正在積極推進(jìn)電子政務(wù)；金融、證券部門正在穩(wěn)健地開展網(wǎng)絡(luò)化的服務(wù)業(yè)務(wù)(網(wǎng)上銀行支付和網(wǎng)上證券交易)；商貿(mào)部門正在推動電子商務(wù)的發(fā)展；人社部門也在推進(jìn)金保工程；國防部門積極研究網(wǎng)絡(luò)信息戰(zhàn)(現(xiàn)代戰(zhàn)爭的形式)等。第9頁，共66頁。（二）為什么開展信息安全等級保護(hù)工作？2、信息安全形勢

在信息化建設(shè)的過程中，部分領(lǐng)導(dǎo)缺乏科學(xué)合理的管理手段和技術(shù)，信息系統(tǒng)的安全建設(shè)成為了信息化建設(shè)中被忽視的問題。由于很多單位信息系統(tǒng)的體系結(jié)構(gòu)是一個相對開放的環(huán)境，加上網(wǎng)絡(luò)數(shù)據(jù)資源易傳送、修改、復(fù)制、下載等特點；數(shù)據(jù)資源涉及工作密級文件資料，一旦發(fā)生系統(tǒng)被攻擊或數(shù)據(jù)被竊等破壞行為，后果將不堪設(shè)想。因此，開展各行業(yè)系統(tǒng)等級保護(hù)工作刻不容緩，系統(tǒng)信息安全等級保護(hù)定級、備案、整改及測評工作開展的好壞，將直接影響到全省整體的信息安全保障能力和水平。第10頁，共66頁。（二）為什么開展信息安全等級保護(hù)工作？3、存在的問題信息安全意識和安全防范能力薄弱，信息安全滯后于信息化發(fā)展；信息系統(tǒng)安全建設(shè)和管理的目標(biāo)不明確；信息安全保障工作的重點不突出；信息安全監(jiān)督管理缺乏依據(jù)和標(biāo)準(zhǔn)，監(jiān)管措施有待到位，監(jiān)管體系尚待完善；大多數(shù)單位的信息系統(tǒng)安全保護(hù)還處在采用防火墻、IDS和防病毒等部件方面；重視外部攻擊與入侵，忽視內(nèi)部的非法行為；偏重產(chǎn)品，忽視體系和管理；國內(nèi)產(chǎn)品質(zhì)量和技術(shù)問題；用戶信息安全的潛在的需求到現(xiàn)實需求仍有一個過程；西方發(fā)達(dá)國家信息技術(shù)優(yōu)勢明顯，我國面臨信息強(qiáng)國的沖擊、挑戰(zhàn)和威脅，信息安全領(lǐng)域始終面臨信息戰(zhàn)和網(wǎng)絡(luò)恐怖襲擊的威脅；敵對勢力的網(wǎng)上煽動、滲透和破壞活動愈加突出，針對信息系統(tǒng)進(jìn)行的破壞活動日益嚴(yán)重，利用網(wǎng)絡(luò)實施的違法犯罪案件持續(xù)大幅上升。第11頁，共66頁。（二）為什么開展信息安全等級保護(hù)工作？4、相關(guān)政策及法律依據(jù)：1994年，《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號令）規(guī)定，“計算機(jī)信息系統(tǒng)實行安全等級保護(hù)，安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會同有關(guān)部門制定”；2003年，《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號）明確指出“實行信息安全等級保護(hù)”，“抓緊建立信息安全等級保護(hù)制度，制定信息安全等級保護(hù)的管理辦法和技術(shù)指南”；2004年9月公安部會同國家保密局、國家密碼管理局和國務(wù)院信息辦聯(lián)合出臺了《關(guān)于信息安全等級保護(hù)工作的實施意見》（公通字[2004]66號），明確了信息安全等級保護(hù)制度的原則和基本內(nèi)容，以及信息安全等級保護(hù)工作的職責(zé)分工、工作實施的要求等；2007年公安部會同國家保密局、國家密碼管理局和國務(wù)院信息辦聯(lián)合出臺了《信息安全等級保護(hù)管理辦法》（公通字[2007]43號），并召開了“全國重要信息系統(tǒng)安全等級保護(hù)定級工作電視電話會議”，部署在全國范圍內(nèi)開展重要信息系統(tǒng)安全等級保護(hù)定級備案工作。第12頁，共66頁。相關(guān)政策及法律依據(jù)第13頁，共66頁。（二）為什么開展信息安全等級保護(hù)工作？

信息安全等級保護(hù)是我國信息安全保障的基本制度、基本策略、基本方法。開展信息安全等級保護(hù)工作，就是要解決我國信息安全面臨的威脅和存在的主要問題。

第14頁，共66頁。（二）為什么開展信息安全等級保護(hù)工作？

5、開展等級保護(hù)工作的意義：

建立信息安全等級保護(hù)制度，開展信息安全等級保護(hù)工作，有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)協(xié)調(diào)；有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù)；有利于優(yōu)化信息安全資源的配置，重點保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全；有利于明確國家、法人和其他組織、公民的信息安全責(zé)任，加強(qiáng)信息安全管理；有利于推動信息安全產(chǎn)業(yè)的發(fā)展，逐步探索出一條適應(yīng)社會主義市場經(jīng)濟(jì)發(fā)展的信息安全模式。第15頁，共66頁。（二）為什么開展信息安全等級保護(hù)工作？習(xí)近平總書記提出：“網(wǎng)絡(luò)安全和信息化是事關(guān)國家安全和國家發(fā)展、事關(guān)廣大人民群眾工作生活的重大戰(zhàn)略問題”、“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”、“建設(shè)網(wǎng)絡(luò)強(qiáng)國的戰(zhàn)略部署要與‘兩個一百年’奮斗目標(biāo)同步推進(jìn)”等重要論斷，深刻闡釋了黨中央關(guān)于加強(qiáng)網(wǎng)絡(luò)安全和信息化工作的指導(dǎo)思想和方針路線。

第16頁，共66頁。介紹內(nèi)容一、信息安全等級保護(hù)工作概述二、如何實施等級保護(hù)工作第17頁，共66頁。二、如何實施等級保護(hù)工作（一）實施流程（二）工作要求第18頁，共66頁。（一）實施流程（一）工作內(nèi)容（二）工作要求第19頁，共66頁。等級保護(hù)的5個規(guī)定動作的順序和相關(guān)的說明：運(yùn)營單位自主測評機(jī)構(gòu)協(xié)助其他的單位實施（根據(jù)整改的要求來定）運(yùn)營單位自主定級測評機(jī)構(gòu)協(xié)助測評機(jī)構(gòu)實施運(yùn)營使用單位配合測評機(jī)構(gòu)實施運(yùn)營使用單位配合運(yùn)營單位自主備案測評機(jī)構(gòu)協(xié)助運(yùn)營單位自查行業(yè)主管單位定期檢查公安機(jī)關(guān)定期檢查工作內(nèi)容第20頁，共66頁。1、系統(tǒng)定級第一步開展信息系統(tǒng)基本情況的摸底調(diào)查第二步初步確定信息系統(tǒng)安全保護(hù)等級第三步專家評審與審批

第21頁，共66頁。第一步開展信息系統(tǒng)基本情況的摸底調(diào)查

正確劃分定級對象：

信息系統(tǒng)運(yùn)營使用單位或主管部門按如下原則確定定級對象：一是承載相對獨立或單一業(yè)務(wù)的信息系統(tǒng)；二是信息系統(tǒng)的信息安全由本單位主管；三是具有信息系統(tǒng)的基本要素。起支撐作用的網(wǎng)絡(luò)可以作為定級對象；應(yīng)用類的信息系統(tǒng)以應(yīng)用種類劃分定級對象。第22頁，共66頁。第一步開展信息系統(tǒng)基本情況的摸底調(diào)查

一是承載相對獨立或單一業(yè)務(wù)的信息系統(tǒng)：定級對象承載“相對獨立”的業(yè)務(wù)應(yīng)用是指其中的一個或多個業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程、部分業(yè)務(wù)功能獨立，同時與其他信息系統(tǒng)的業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。“相對獨立”的業(yè)務(wù)應(yīng)用并不意味著整個業(yè)務(wù)流程，可以使完整的業(yè)務(wù)流程的一部分。第23頁，共66頁。第一步開展信息系統(tǒng)基本情況的摸底調(diào)查

二是信息系統(tǒng)的信息安全由本單位主管：

作為定級對象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位，這個安全責(zé)任單位就是負(fù)責(zé)等級保護(hù)工作部署、實施的單位，也是完成等級保護(hù)備案和接受監(jiān)督檢查的直接責(zé)任單位。

第24頁，共66頁。第一步開展信息系統(tǒng)基本情況的摸底調(diào)查

三是具有信息系統(tǒng)的基本要素：作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實體。應(yīng)避免將某個單一的系統(tǒng)組件，如單臺的服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備等作為定級對象。

第25頁，共66頁。1、系統(tǒng)定級第一步開展信息系統(tǒng)基本情況的摸底調(diào)查第二步初步確定信息系統(tǒng)安全保護(hù)等級第三步專家評審與審批

第26頁，共66頁。第二步初步確定信息系統(tǒng)安全保護(hù)等級

信息系統(tǒng)的安全保護(hù)等級是信息系統(tǒng)的客觀屬性，不以已采取或采取什么安全保護(hù)措施為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、社會穩(wěn)定、公民、法人及其它合法組織的權(quán)益等損害客體的危害程度為依據(jù)，確定信息系統(tǒng)的安全等級。

第27頁，共66頁。第二步初步確定信息系統(tǒng)安全保護(hù)等級

（一）信息系統(tǒng)的安全保護(hù)等級由兩個定級要素決定：

1、等級保護(hù)對象受到破壞時所侵害的客體

2、受到破壞時對客體造成侵害的程度第28頁，共66頁。第二步初步確定信息系統(tǒng)安全保護(hù)等級

1、等級保護(hù)對象受到破壞時所侵害的客體：

A、國家安全

B、社會秩序、公共利益

C、公民、法人和其他組織的合法權(quán)益第29頁，共66頁。第二步初步確定信息系統(tǒng)安全保護(hù)等級

A、國家安全利益——體現(xiàn)了國家層面、與全局相關(guān)的國家政治安全、軍事安全、經(jīng)濟(jì)安全、社會安全、科技安全和資源環(huán)境安全等方面利益。重要的國家事務(wù)處理系統(tǒng)、國防工業(yè)生產(chǎn)系統(tǒng)和國防設(shè)施的控制系統(tǒng)等屬于影響國家政權(quán)穩(wěn)固和國防實力的信息系統(tǒng)；廣播、電視、網(wǎng)絡(luò)等重要新聞媒體的發(fā)布或播出系統(tǒng)，其受到非法控制可能引發(fā)影響國家統(tǒng)一、民族團(tuán)結(jié)和社會安定的重大事件；處理國家對外活動信息的信息系統(tǒng)；處理國家重要安全保衛(wèi)工作信息的信息系統(tǒng)和重大刑事案件的偵查系統(tǒng)；尖端科技領(lǐng)域的研發(fā)、生產(chǎn)系統(tǒng)等影響國家經(jīng)濟(jì)競爭力和科技實力的信息系統(tǒng)，以及電力、通信、能源、交通、人社、金融等國家重要基礎(chǔ)設(shè)施的生產(chǎn)、控制、管理系統(tǒng)等。第30頁，共66頁。第二步初步確定信息系統(tǒng)安全保護(hù)等級

B、社會秩序——包括社會的政治、經(jīng)濟(jì)、生產(chǎn)、生活、科研、工作等各方面的正常秩序。公共利益——是指不特定的社會成員所共同享有的，維持其生產(chǎn)、生活、教育、衛(wèi)生、社會保障、民政救助等方面的利益。各級政府機(jī)構(gòu)的社會管理和公共服務(wù)系統(tǒng)，如財政、金融、工商、稅務(wù)、公檢法、海關(guān)、社保等領(lǐng)域的信息系統(tǒng)，也包括教育、科研機(jī)構(gòu)的工作系統(tǒng)，以及所有為公眾提供醫(yī)療衛(wèi)生、社會保障、應(yīng)急服務(wù)、供水、供電、郵政等必要服務(wù)的生產(chǎn)系統(tǒng)或管理系統(tǒng)。第31頁，共66頁。第二步初步確定信息系統(tǒng)安全保護(hù)等級

C、合法權(quán)益——是法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會權(quán)利和利益。

借助信息化手段為社會成員提供使用的公共設(shè)施和通過信息系統(tǒng)對公共設(shè)施進(jìn)行進(jìn)行管理控制都應(yīng)當(dāng)是要考慮的方面，例如：公共通信設(shè)施、公共衛(wèi)生設(shè)施、公共休閑娛樂設(shè)施、公共管理設(shè)施、公共服務(wù)設(shè)施等。公共利益與社會秩序密切相關(guān)，社會秩序的破壞一般會造成對公共利益的損害。

第32頁，共66頁。第二步初步確定信息系統(tǒng)安全保護(hù)等級

2、對客體造成侵害的程度

A、造成一般損害

B、造成嚴(yán)重?fù)p害

C、造成特別嚴(yán)重?fù)p害第33頁，共66頁。第二步初步確定信息系統(tǒng)安全保護(hù)等級

不同危害后果的三種危害程度描述如下：

一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的資產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。

第34頁，共66頁。第二步初步確定信息系統(tǒng)安全保護(hù)等級

嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的資產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴(yán)重?fù)p害。

第35頁，共66頁。第二步初步確定信息系統(tǒng)安全保護(hù)等級

特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的資產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴(yán)重?fù)p害。第36頁，共66頁。第二步初步確定信息系統(tǒng)安全保護(hù)等級

1、影響行使工作職能——工作職能包括國家管理職能、公共管理職能、公共服務(wù)職能等國家或社會方面的職能。

2、導(dǎo)致業(yè)務(wù)能力下降——下降的表現(xiàn)形式可能包括業(yè)務(wù)范圍的減少、業(yè)務(wù)處理性能的下降、可服務(wù)的用戶數(shù)量的下降以及其他各種業(yè)務(wù)指標(biāo)的下降，每個行業(yè)務(wù)都有本行業(yè)關(guān)注的業(yè)務(wù)指標(biāo)。例如電力行業(yè)關(guān)注發(fā)電量和用電量，稅務(wù)行業(yè)關(guān)注稅費(fèi)收入，銀行業(yè)關(guān)注存款額、貸款額、交易量等，證券經(jīng)紀(jì)行業(yè)關(guān)注股民數(shù)和交易額。

3、引起法律糾紛——是比較嚴(yán)重的影響，在較輕的程度時可能表現(xiàn)為投訴、索賠、媒體曝光等形式。

4、導(dǎo)致財產(chǎn)損失——包括系統(tǒng)資產(chǎn)被破壞的直接損失、業(yè)務(wù)量下降帶來的損失、直接的資金損失、為客戶索賠所支付的資金等，以及由于信譽(yù)下降、單位形象降低、客戶關(guān)系損失等導(dǎo)致的間接經(jīng)濟(jì)損失。直接造成人員傷亡，例如醫(yī)療服務(wù)系統(tǒng)，公安行業(yè)的某些系統(tǒng)等。

5、造成社會不良影響——包括在社會風(fēng)氣、執(zhí)政信心等方面的影響。第37頁，共66頁。第二步初步確定信息系統(tǒng)安全保護(hù)等級

（二）定級的一般流程：

信息系統(tǒng)的安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，保護(hù)等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者決定。

第38頁，共66頁。第二步初步確定信息系統(tǒng)安全保護(hù)等級

3、綜合評定對客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體7、系統(tǒng)服務(wù)安全等級4、業(yè)務(wù)信息安全等級8、定級對象的安全保護(hù)等級依據(jù)表1依據(jù)表21、確定定級對象第39頁，共66頁。第二步初步確定信息系統(tǒng)安全保護(hù)等級

業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級

表1：業(yè)務(wù)信息安全等級矩陣表：第40頁，共66頁。第二步初步確定信息系統(tǒng)安全保護(hù)等級表2：系統(tǒng)服務(wù)安全等級矩陣表：系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級第41頁，共66頁。第二步初步確定信息系統(tǒng)安全保護(hù)等級

綜合判定侵害程度：

業(yè)務(wù)信息安全被破壞導(dǎo)致的財物損失可以從直接的資金損失大小、間接的信息恢復(fù)費(fèi)用等方面進(jìn)行確定。系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從信息系統(tǒng)服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務(wù)量等不同方面確定。第42頁，共66頁。1、系統(tǒng)定級第一步開展信息系統(tǒng)基本情況的摸底調(diào)查第二步初步確定信息系統(tǒng)安全保護(hù)等級第三步專家評審與審批

第43頁，共66頁。第三步專家評審與審批

信息系統(tǒng)等級評審：

在信息系統(tǒng)安全保護(hù)等級確定過程中，可以聘請專家進(jìn)行咨詢評審，并出具定級評審意見。對擬確定為第四級以上信息系統(tǒng)的，運(yùn)營、使用單位或者主管部門應(yīng)當(dāng)邀請國家信息安全保護(hù)等級專家評審委員會評審，出具評審意見。第44頁，共66頁。第三步專家評審與審批

信息系統(tǒng)等級的最終確定與審批：

信息系統(tǒng)運(yùn)營使用單位參考專家定級評審意見，最終確定信息系統(tǒng)等級，形成《信息系統(tǒng)安全等級保護(hù)定級介紹》。如果專家評審意見與運(yùn)營使用單位意見不一致時，由運(yùn)營使用單位自主決定系統(tǒng)等級。信息系統(tǒng)運(yùn)營使用單位有上級主管部門的，應(yīng)當(dāng)經(jīng)上級主管部門對安全保護(hù)等級進(jìn)行審核批準(zhǔn)。第45頁，共66頁。2、安全建設(shè)●《信息安全等級保護(hù)管理辦法》第十一條規(guī)定，信息系統(tǒng)的安全保護(hù)等級確定后，運(yùn)營、使用單位應(yīng)當(dāng)按照國家信息安全等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)和改建工作。第46頁，共66頁。2、安全建設(shè)●第十二條規(guī)定，在信息系統(tǒng)建設(shè)過程中，運(yùn)營、使用單位應(yīng)當(dāng)按照《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》、《信息系統(tǒng)安全等級保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計算機(jī)系統(tǒng)安全等級技術(shù)要求》等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。第47頁，共66頁。2、安全建設(shè)●第十三條規(guī)定，運(yùn)營、使用單位應(yīng)當(dāng)參照《信息安全技術(shù)信息系統(tǒng)安全管理要求》、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》、《信息系統(tǒng)安全等級保護(hù)基本要求》等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護(hù)等級要求的安全管理制度。第48頁，共66頁。2、安全建設(shè)

信息系統(tǒng)安全建設(shè)通過由包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等五個層面的基本安全技術(shù)措施和安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個方面的基本安全管理措施來實現(xiàn)和保證。第49頁，共66頁。（1）基本安全技術(shù)措施

基本安全技術(shù)措施主要包括以下幾方面：●物理安全——主要是使存在計算機(jī)、網(wǎng)絡(luò)設(shè)備的機(jī)房以及信息系統(tǒng)的設(shè)備和存儲數(shù)據(jù)的介質(zhì)免受物理環(huán)境、自然災(zāi)害以及人為操作失誤和惡意操作等各種威脅所產(chǎn)生的攻擊。具體包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防火等十個控制點。●網(wǎng)絡(luò)安全——一方面，確定網(wǎng)絡(luò)設(shè)備的安全運(yùn)行，提供有效的網(wǎng)絡(luò)服務(wù)，另一方面，確保在網(wǎng)上傳輸數(shù)據(jù)的保密性、完整性和可用性等。具體包括：結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等七個控制點?！裰鳈C(jī)安全——是包括服務(wù)器、終端/工作站等在內(nèi)的計算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。具體包括：身份鑒別、安全標(biāo)記、訪問控制、可信途徑、安全審計、剩余信息保護(hù)、入侵防范、惡意代碼防范和資源控制等九個控制點。第50頁，共66頁。（1）基本安全技術(shù)措施●應(yīng)用安全——對應(yīng)用系統(tǒng)的安全保護(hù)最終就是如何保護(hù)系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序安全運(yùn)行。具體包括：身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯、資源控制等十一個控制點。●數(shù)據(jù)安全及備份恢復(fù)——保證數(shù)據(jù)安全和備份恢復(fù)主要從：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)等三個控制點考慮。第51頁，共66頁。（2）基本安全管理措施基本安全管理措施主要包括以下幾方面：●安全管理制度——包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。主要包括：管理制度、制定和發(fā)布、評審和修訂三個控制點?！癜踩芾頇C(jī)構(gòu)——其主要工作內(nèi)容包括對機(jī)構(gòu)內(nèi)重要的信息安全工作進(jìn)行授權(quán)和審批、內(nèi)部相關(guān)業(yè)務(wù)部門和安全管理部門之間的溝通協(xié)調(diào)以及與機(jī)構(gòu)外部各類單位的合作、定期對系統(tǒng)的安全措施落實情況進(jìn)行檢查，以發(fā)現(xiàn)問題進(jìn)行改進(jìn)。主要包括：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作以及審核和檢查等五個控制點。●人員安全管理——對人員安全的管理，主要涉及兩個方面：對內(nèi)部人員的安全管理和對外部人員的安全管理。具體包括：人員錄用、人員離崗、人員考核、安全意識教育和介紹和外部人員訪問管理等五個控制點?！裣到y(tǒng)建設(shè)管理——分別從工程實施建設(shè)前、建設(shè)過程以及建設(shè)完畢交付等三方面考慮，具體包括：系統(tǒng)定級、安全方案設(shè)計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)備案、等級測評和安全服務(wù)商等十一個控制點。第52頁，共66頁。（2）基本安全管理措施●系統(tǒng)運(yùn)維管理——主要包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等十三個控制點。第53頁，共66頁。2、安全建設(shè)某級信息系統(tǒng)技術(shù)要求管理要求基本要求建立安全技術(shù)體系建立安全管理體系具有某級安全保護(hù)能力的系統(tǒng)第54頁，共66頁。2、安全建設(shè)物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理第55頁，共66頁。2、安全建設(shè)環(huán)境安全防其他自然災(zāi)害機(jī)房與設(shè)施安全環(huán)境與人員安全設(shè)備安全防止電磁泄露發(fā)射防盜與防毀防電磁干擾介質(zhì)安全介質(zhì)的管理介質(zhì)的分類介質(zhì)的防護(hù)物理安全第56頁，共66頁。2、安全建設(shè)

網(wǎng)絡(luò)安全1.網(wǎng)絡(luò)結(jié)構(gòu)安全2.網(wǎng)絡(luò)訪問控制3.網(wǎng)絡(luò)安全審計4.邊界完整性檢查5.網(wǎng)絡(luò)入侵防范6.惡意代碼防護(hù)7.網(wǎng)絡(luò)防護(hù)設(shè)備主機(jī)安全身份鑒別強(qiáng)制訪問控制系統(tǒng)安全標(biāo)計4.剩余信息保護(hù)5.入侵防范6.可信路徑7.惡意代碼防范8.資源控制9.安全標(biāo)記

應(yīng)用安全

1.身份鑒別

2.安全審計3.剩余信息保護(hù)4.通信完整性和保密性保護(hù)5.安全標(biāo)記6.可信路徑數(shù)據(jù)安全1.數(shù)據(jù)保密性保護(hù)2.數(shù)據(jù)完整性保護(hù)3.數(shù)據(jù)可用性保護(hù)7.控制軟件容錯；8.嚴(yán)格的訪問；9.通信保密性、10.資源控制；11.抗抵賴第57頁，共66頁。2、安全建設(shè)滿足政策要求滿足標(biāo)準(zhǔn)要求滿足用戶自身要求安全現(xiàn)狀差異性分析基本要求需求物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全與備份恢復(fù)第58頁，共66頁。2、安全建設(shè)其它定級系統(tǒng)安全接入/隔離設(shè)備計算環(huán)境區(qū)域邊界通信網(wǎng)絡(luò)網(wǎng)站/應(yīng)用服務(wù)器交換設(shè)備用戶終端安全管理中心通信網(wǎng)絡(luò)區(qū)域邊界計算環(huán)境安全管理中心第59頁，共66頁。構(gòu)筑由安全管理中心統(tǒng)一管理下的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)三重防御體系。安全區(qū)域邊界可信計算環(huán)境安全管理中心安全通信網(wǎng)絡(luò)