信息安全等級保護體系培訓(xùn)

信息安全等級愛護體系名目1等級保護概念等級保護的實施方法及其過程23等級保護相關(guān)文件的組織結(jié)構(gòu)4如何確定信息系統(tǒng)的安全保護等級1、國際形勢要求我們重視國家關(guān)鍵信息根底設(shè)施愛護美國自克林頓政府以來，公布了一系列網(wǎng)絡(luò)空間戰(zhàn)略，特殊是奧巴馬政府公布了《網(wǎng)絡(luò)空間國際戰(zhàn)略》、《網(wǎng)絡(luò)空間行動戰(zhàn)略》，明確說明白實施網(wǎng)絡(luò)戰(zhàn)略威懾、主導(dǎo)網(wǎng)絡(luò)空間的圖謀。境外敵對勢力、敵對分子對我重要信息系統(tǒng)大肆進展入侵、攻擊，竊取我國家隱秘。2、國內(nèi)形勢要求我們重視國家關(guān)鍵信息根底設(shè)施愛護針對根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪持續(xù)上升根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全隱患嚴峻3、信息安全性質(zhì)打算了工作的簡單性和困難性。信息安全是國家安全的重要組成局部信息安全的本質(zhì)是信息對抗、技術(shù)對抗是網(wǎng)絡(luò)空間的政治斗爭為什么要實施等級愛護制度官方說法：信息安全等級愛護是指對國家隱秘信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全愛護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級治理，對信息系統(tǒng)中發(fā)生的信息安全大事分等級響應(yīng)、處置。規(guī)定動作：信息系統(tǒng)定級、備案、安全建設(shè)整改、等級測評、監(jiān)視檢查。公安機關(guān)牽頭，制定政策標(biāo)準，并進展監(jiān)視、檢查、指導(dǎo)國家保密部門、密碼治理部門負責(zé)有關(guān)保密工作和密碼工作的監(jiān)視、檢查、指導(dǎo)工信部及地方經(jīng)信部門負責(zé)等級愛護工作中部門間的協(xié)調(diào)其中，涉及國家隱秘信息系統(tǒng)由國家保密部門負責(zé)；非涉及國家隱秘信息系統(tǒng)由公安機關(guān)負責(zé)什么是信息安全等級愛護信息系統(tǒng)安全愛護等級劃分及監(jiān)管要求第一級自主愛護其次級指導(dǎo)愛護第三級監(jiān)視愛護第四級強制愛護對社會秩序和公共利益造成特殊嚴峻損害，或者對國家安全造成嚴峻損害。依據(jù)國家有關(guān)治理標(biāo)準、技術(shù)標(biāo)準和業(yè)務(wù)特地需求進展愛護必需進展專家評審、備案、測評〔每半年一次〕，并承受國家信息安全監(jiān)管部門的強制監(jiān)視、檢查對社會秩序和公共利益造成嚴峻損害，或者對國家安全造成損害。依據(jù)國家有關(guān)治理標(biāo)準和技術(shù)標(biāo)準進展愛護要求備案〔可以進展專家評審〕、測評〔每年一次〕，并承受國家信息安全監(jiān)管部門的監(jiān)視、檢查對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴峻損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。依據(jù)國家有關(guān)治理標(biāo)準和技術(shù)標(biāo)準進展愛護要求備案，并承受國家信息安全監(jiān)管部門的指導(dǎo)對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。依據(jù)國家有關(guān)治理標(biāo)準和技術(shù)標(biāo)準進展愛護常見的二級系統(tǒng)舉例〔僅做參考〕地市政府辦公自動化系統(tǒng)〔內(nèi)部使用的〕地市政府郵件系統(tǒng)地市政府間協(xié)同辦公系統(tǒng)企業(yè)門戶網(wǎng)站〔用于對外宣傳〕銀行網(wǎng)站特點：與核心業(yè)務(wù)無關(guān)常見的三級系統(tǒng)舉例〔僅做參考〕部委級門戶網(wǎng)站省政府政務(wù)公開系統(tǒng)〔交互式〕醫(yī)療行業(yè)核心內(nèi)網(wǎng)系統(tǒng)交通行業(yè)衛(wèi)星定位系統(tǒng)銀行生產(chǎn)網(wǎng)特點：與業(yè)務(wù)親密相關(guān)的常見的四級系統(tǒng)舉例〔僅做參考〕國家電力調(diào)度系統(tǒng)〔EMS)中國人民銀行官方網(wǎng)站財政部財政支付系統(tǒng)交通部應(yīng)急指揮調(diào)度系統(tǒng)銀行生產(chǎn)系統(tǒng)特點：重要部門與核心業(yè)務(wù)親密相關(guān)的信息系統(tǒng)安全愛護力量目標(biāo)其次級信息系統(tǒng)第三級信息系統(tǒng)第四級信息系統(tǒng)經(jīng)過安全建設(shè)和等級測評工作，信息系統(tǒng)在統(tǒng)一的安全愛護策略下具有抵擋敵對勢力有組織的大規(guī)模攻擊的力量，反抗嚴峻的自然災(zāi)難的力量，防范計算機病毒和惡意代碼危害的力量；具有檢測、覺察、報警、記錄入侵行為的力量；具有對安全大事進展快速響應(yīng)處置，并能夠追蹤安全責(zé)任的力量；在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運行狀態(tài)的力量；對于效勞保障性要求高的系統(tǒng)，應(yīng)能快速恢復(fù)正常運行狀態(tài)；具有對系統(tǒng)資源、用戶、安全機制等進展集中控管的力量。經(jīng)過安全建設(shè)和等級測評工作，信息系統(tǒng)在統(tǒng)一的安全愛護策略下具有抵擋大規(guī)模、較強惡意攻擊的力量，反抗較為嚴峻的自然災(zāi)難的力量，防范計算機病毒和惡意代碼危害的力量；具有檢測、覺察、報警、記錄入侵行為的力量；具有對安全大事進展響應(yīng)處置，并能夠追蹤安全責(zé)任的力量；在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運行狀態(tài)的力量；對于效勞保障性要求高的系統(tǒng)，應(yīng)能馬上恢復(fù)正常運行狀態(tài)；具有對系統(tǒng)資源、用戶、安全機制等進展集中控管的力量。經(jīng)過安全建設(shè)和等級測評工作，信息系統(tǒng)具有抵擋小規(guī)模、較弱強度惡意攻擊的力量，反抗一般的自然災(zāi)難的力量，防范一般性計算機病毒和惡意代碼危害的力量；具有檢測常見的攻擊行為，并對安全大事進展記錄的力量；系統(tǒng)遭到損害后，具有恢復(fù)系統(tǒng)正常運行狀態(tài)的力量。名目1等級保護概念等級保護的實施方法及其過程23等級保護相關(guān)文件的組織結(jié)構(gòu)4如何確定信息系統(tǒng)的安全保護等級信息系統(tǒng)安全等級愛護相關(guān)文件之間的關(guān)系政策文件四大標(biāo)準技術(shù)標(biāo)準治理標(biāo)準供給指導(dǎo)供給方法安全等級的信息系統(tǒng)供給技術(shù)要求供給治理要求國務(wù)院147號令－《中華人民共和國計算機信息系統(tǒng)安全愛護條例》中辦發(fā)[2023]27號－《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》公通字[2023]66號－《關(guān)于信息安全等級愛護工作的實施意見》公通字[2023]43號－《信息安全等級愛護治理方法》信息系統(tǒng)安全等級愛護實施的政策文件政策文件信息安全等級愛護政策體系計算機信息系統(tǒng)安全愛護等級劃分準則〔GB17859-1999〕信息系統(tǒng)安全愛護等級定級指南〔GB/T22240-2023〕信息系統(tǒng)安全等級愛護實施指南〔GB/T

25058-2023〕信息系統(tǒng)安全等級愛護根本要求〔GB/T22239-2023〕信息系統(tǒng)安全等級愛護實施的政策文件四大標(biāo)準《計算機信息系統(tǒng)安全愛護等級劃分準則》〔GB17859-1999〕《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》〔GB/T20271-2023〕《信息安全技術(shù)網(wǎng)絡(luò)根底安全技術(shù)要求》〔GB/T20270-2023〕《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》〔GB/T20272-2023〕《信息安全技術(shù)數(shù)據(jù)庫治理系統(tǒng)安全技術(shù)要求》〔GB/T20273-2023〕《信息安全技術(shù)效勞器技術(shù)要求》〔GB/T21028-2023〕《信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求》〔GA/T671-2023〕《涉及國家隱秘的信息系統(tǒng)分級愛護技術(shù)要求》〔BMB17-2023〕………信息系統(tǒng)安全等級愛護實施的技術(shù)標(biāo)準技術(shù)標(biāo)準《信息安全技術(shù)信息系統(tǒng)安全治理要求》〔GB/T20269-2023〕《信息安全技術(shù)信息系統(tǒng)安全工程治理要求》〔GB/T20282-2023〕《涉及國家隱秘的信息系統(tǒng)分級愛護治理標(biāo)準》〔BMB20-2023〕………信息系統(tǒng)安全等級愛護實施的治理標(biāo)準治理標(biāo)準信息安全等級愛護標(biāo)準體系等級愛護根本要求的組織方式某級系統(tǒng)物理安全技術(shù)要求治理要求根本要求網(wǎng)絡(luò)安全主機安全應(yīng)用安全數(shù)據(jù)安全安全治理機構(gòu)安全治理制度人員安全治理系統(tǒng)建設(shè)治理系統(tǒng)運維治理不同級別信息系統(tǒng)的要求點及其數(shù)量差異安全要求類層面一級二級三級四級技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機安全6193236應(yīng)用安全7193136數(shù)據(jù)安全及備份恢復(fù)24811管理要求安全管理制度371114安全管理機構(gòu)492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運維管理18416270合計/85175290318級差//9011528名目1等級保護概念等級保護的實施方法及其過程23等級保護相關(guān)文件的組織結(jié)構(gòu)4如何確定信息系統(tǒng)的安全保護等級等級愛護的核心是對信息系統(tǒng)分等級、按標(biāo)準進展建設(shè)、治理和監(jiān)視。等級愛護在實施過程中應(yīng)遵循以下根本原則：a)自主愛護原則由各主管部門和運營使用單位依據(jù)國家相關(guān)法規(guī)和標(biāo)準，自主確定信息系統(tǒng)的安全等級，自行組織實施安全愛護。b)同步建設(shè)原則信息系統(tǒng)在新建、改建、擴建時應(yīng)當(dāng)同步規(guī)劃和設(shè)計安全方案，投入肯定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。信息系統(tǒng)安全等級愛護實施的根本原則c)重點愛護原則依據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點，通過劃分不同安全等級的信息系統(tǒng)，實現(xiàn)不同強度的安全愛護，集中資源優(yōu)先愛護涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。d)適當(dāng)調(diào)整原則要跟蹤信息系統(tǒng)的變化狀況，調(diào)整安全愛護措施。由于信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他緣由，安全等級需要變更的，應(yīng)當(dāng)依據(jù)等級愛護的治理標(biāo)準和技術(shù)標(biāo)準的要求，重新確定信息系統(tǒng)的安全等級，依據(jù)信息系統(tǒng)安全等級的調(diào)整狀況，重新實施安全愛護。信息系統(tǒng)安全等級愛護實施的根本原則信息系統(tǒng)安全等級愛護過程中涉及到的各類角色及其職責(zé)國家治理部門信息系統(tǒng)主管部門信息系統(tǒng)運營使用單位信息安全效勞機構(gòu)信息安全等級測評機構(gòu)信息系統(tǒng)安全等級愛護過程中涉及到的各類角色及其職責(zé)公安機關(guān)負責(zé)信息安全等級愛護工作的監(jiān)視、檢查、指導(dǎo)；國家保密工作部門負責(zé)等級愛護工作中有關(guān)保密工作的監(jiān)視、檢查、指導(dǎo)；國家密碼治理部門負責(zé)等級愛護工作中有關(guān)密碼工作的監(jiān)視、檢查、指導(dǎo)；涉及其他職能部門管轄范圍的事項，由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進展治理；國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機構(gòu)負責(zé)等級愛護工作的部門間協(xié)調(diào)國家治理部門負責(zé)依照國家信息安全等級愛護的治理標(biāo)準和技術(shù)標(biāo)準，催促、檢查和指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息安全等級愛護工作。信息系統(tǒng)安全等級愛護過程中涉及到的各類角色及其職責(zé)信息系統(tǒng)主管部門負責(zé)依照國家信息安全等級愛護的治理標(biāo)準和技術(shù)標(biāo)準，確定其信息系統(tǒng)的安全愛護等級，有主管部門的，應(yīng)當(dāng)報其主管部門審核批準；依據(jù)已經(jīng)確定的安全愛護等級，到公安機關(guān)辦理備案手續(xù)；依據(jù)國家信息安全等級愛護治理標(biāo)準和技術(shù)標(biāo)準，進展信息系統(tǒng)安全愛護的規(guī)劃設(shè)計；使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全愛護等級需求的信息技術(shù)產(chǎn)品和信息安全產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作；制定、落實各項安全治理制度，定期對信息系統(tǒng)的安全狀況、安全愛護制度及措施的落實狀況進展自查，選擇符合國家相關(guān)規(guī)定的等級測評機構(gòu)，定期進展等級測評；制定不同等級信息安全大事的響應(yīng)、處置預(yù)案，對信息系統(tǒng)的信息安全大事分等級進展應(yīng)急處置。信息系統(tǒng)安全等級愛護過程中涉及到的各類角色及其職責(zé)信息系統(tǒng)運營使用單位負責(zé)依據(jù)信息系統(tǒng)運營、使用單位的托付，依照國家信息安全等級愛護的治理標(biāo)準和技術(shù)標(biāo)準，幫助信息系統(tǒng)運營、使用單位完成等級愛護的相關(guān)工作具體工作包括確定其信息系統(tǒng)的安全愛護等級、進展安全需求分析、安全總體規(guī)劃、實施安全建設(shè)和安全改造等。信息系統(tǒng)安全等級愛護過程中涉及到的各類角色及其職責(zé)信息安全效勞機構(gòu)負責(zé)依據(jù)信息系統(tǒng)運營、使用單位的托付或依據(jù)國家治理部門的授權(quán)，幫助信息系統(tǒng)運營、使用單位或國家治理部門，依據(jù)國家信息安全等級愛護的治理標(biāo)準和技術(shù)標(biāo)準，對已經(jīng)完成等級愛護建設(shè)的信息系統(tǒng)進展等級測評；對信息安全產(chǎn)品供給商供給的信息安全產(chǎn)品進展安全測評。信息系統(tǒng)安全等級愛護過程中涉及到的各類角色及其職責(zé)信息安全等級測評機構(gòu)負責(zé)依據(jù)國家信息安全等級愛護的治理標(biāo)準和技術(shù)標(biāo)準，開發(fā)符合等級愛護相關(guān)要求的信息安全產(chǎn)品，承受安全測評；依據(jù)等級愛護相關(guān)要求銷售信息安全產(chǎn)品并供給相關(guān)效勞。信息系統(tǒng)安全等級愛護過程中涉及到的各類角色及其職責(zé)信息安全產(chǎn)品供給商信息系統(tǒng)安全等級愛護實施的根本流程信息系統(tǒng)終止信息系統(tǒng)定級總體安全規(guī)劃安全設(shè)計與實施安全運行維護等級變更局部調(diào)整等級愛護實施過程的主要活動監(jiān)視檢查存儲介質(zhì)的去除或銷毀設(shè)備遷移或廢棄系統(tǒng)備案等級測評安全檢查和持續(xù)改進安全大事處置和應(yīng)急預(yù)案安全狀態(tài)監(jiān)控變更治理和掌握技術(shù)措施實施治理措施實現(xiàn)系統(tǒng)定級安全規(guī)劃設(shè)計安全實施安全運維系統(tǒng)終止等級愛護實施過程的主要活動安全等級確定安全建設(shè)規(guī)劃安全總體設(shè)計安全需求分析安全方案具體設(shè)計運行治理和掌握信息轉(zhuǎn)移、暫存或去除信息系統(tǒng)分析名目1等級保護概念等級保護的實施方法及其過程23等級保護相關(guān)文件的組織結(jié)構(gòu)4如何確定信息系統(tǒng)的安全保護等級確定信息系統(tǒng)安全等級的一般流程1、確定定級對象2、確定業(yè)務(wù)信息安全受到破壞時所侵害的客體5、確定系統(tǒng)效勞安全受到破壞時所侵害的客體3、綜合評定對客體的侵害程度6、綜合評定對客體的侵害程度4、業(yè)務(wù)信息安全等級7、系統(tǒng)效勞安全等級8、定級對象的安全愛護等級業(yè)務(wù)信息安全愛護等級矩陣表系統(tǒng)效勞安全愛護等級矩陣表業(yè)務(wù)信息安全愛護等級矩陣表業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級4、業(yè)務(wù)信息安全愛護等級確定受侵害的客體影響國家政權(quán)穩(wěn)固和國防實力；影響國家統(tǒng)一、民族團結(jié)和社會安定；影響國家對外活動中的政治、經(jīng)濟利益；影響國家重要的安全保衛(wèi)工作；影響國家經(jīng)濟競爭力和科技實力；其他影響國家安全的事項。侵害的客體公民、法人和其他組織的合法權(quán)益社會秩序、公共利益國家安全確定受侵害的客體侵害的客體公民、法人和其他組織的合法權(quán)益社會秩序、公共利益國家安全影響國家機關(guān)社會治理和公共效勞的工作秩序；影響各種類型的經(jīng)濟活動秩序；影響各行業(yè)的科研、生產(chǎn)秩序；影響公眾在法律約束和道德標(biāo)準下的正常生活秩序等；其他影響社會秩序的事項。確定受侵害的客體侵害的客體公民、法人和其他組織的合法權(quán)益社會秩序、公共利益國家安全影響社會成員使用公共設(shè)施；影響社會成員獵取公開信息資源；影響社會成員承受公共效勞等方面；其他影響公共利益的事項。確定對客體的侵害程度對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害工作職能受到局部影響，業(yè)務(wù)力量有所降低但不影響主要功能的執(zhí)行，消失較輕的法律問題，較低的財產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。確定對客體的侵害程度對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害工作職能受到嚴峻影響，業(yè)務(wù)力量顯著下降且嚴峻影響主要功能執(zhí)行，消失較嚴峻的法律問題，較高的財產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴峻損害。確定對客體的侵害程度對相應(yīng)客體的侵害程度