信息安全等級保護工作

信息平安等級保護工作吳江市公安局網(wǎng)絡(luò)平安監(jiān)察大隊二OO八年十月--定級、備案工作培訓(xùn)講義目錄一、信息平安等級保護工作概述二、信息平安等級保護定級工作具體實施1、備案表的填寫2、形成?定級報告?三、系統(tǒng)定級技術(shù)環(huán)節(jié)一、信息平安等級保護工作概述〔一〕根本概念

信息平安等級保護是國家信息平安保障的根本制度、根本策略和根本方法。開展信息平安等級保護工作是保護信息化開展、維護國家信息平安的根本保障,是信息平安保障工作中國家意志的表達。

一、信息平安等級保護工作概述〔二〕政策和法律依據(jù)1994年，?中華人民共和國計算機信息系統(tǒng)平安保護條例?規(guī)定，“計算機信息系統(tǒng)實行平安等級保護，平安等級的劃分標準和平安等級保護的具體方法，由公安部會同有關(guān)部門制定〞。1995年,?中華人民共和國警察法?規(guī)定，公安機關(guān)人民警察依法履行“監(jiān)督管理計算機信息系統(tǒng)的平安保護工作〞。1999年，強制性國家標準－?計算機信息系統(tǒng)平安保護等級劃分準那么?GB17859〕。2003年，中辦、國辦轉(zhuǎn)發(fā)的?國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息平安保障工作的意見?〔中辦發(fā)[2003]27號〕明確指出“實行信息平安等級保護〞。“要重點保護根底信息網(wǎng)絡(luò)和關(guān)系國家平安、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息平安等級保護制度，制定信息平安等級保護的管理方法和技術(shù)指南〞。2004年，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合印發(fā)了?關(guān)于信息平安等級保護工作的實施意見?〔66號文件〕2007年6月，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合制定了?信息平安等級保護管理方法?〔公通字[2007]43號〕一、信息平安等級保護工作概述〔三〕信息平安等級保護的根本原那么一是明確責任，共同保護；二是依照標準，自行保護；三是同步建設(shè)，動態(tài)調(diào)整；四是監(jiān)督指導(dǎo)，重點保護?！菜摹池熑瘟x務(wù)信息平安監(jiān)管部門的職責分工公安機關(guān)負責信息平安等級保護工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門負責等級保護工作中有關(guān)保密工作監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負責等級保護工作中有關(guān)密碼工作監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項，由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機構(gòu)負責等級保護工作的部門間協(xié)調(diào)。一、信息平安等級保護工作概述信息系統(tǒng)主管部門責任義務(wù)信息系統(tǒng)主管部門應(yīng)當依照?管理方法?及相關(guān)標準標準，催促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營、使用單位的信息平安等級保護工作。運營使用單位的責任義務(wù)信息系統(tǒng)的運營、使用單位應(yīng)當依照本方法及其相關(guān)標準標準，履行信息平安等級保護的義務(wù)和責任。涉及國家秘密信息系統(tǒng)的分級保護管理涉及國家秘密信息系統(tǒng)的等級保護監(jiān)督管理工作由國家保密工作部門負責；非涉及國家秘密信息系統(tǒng)的等級保護監(jiān)督管理工作由公安機關(guān)負責。

一、信息平安等級保護工作概述〔五〕主要流程1、定級與審批；2、等級評審；3、備案；4、備案管理；5、系統(tǒng)建設(shè)；6、等級測評；7、自查自糾；8、監(jiān)督檢查。等級變更局部調(diào)整信息系統(tǒng)定級總體平安規(guī)劃平安設(shè)計與實施平安運行維護信息系統(tǒng)終止備案管理監(jiān)督檢查一、信息平安等級保護工作概述〔六〕總體要求按照“準確定級、嚴格審批、及時備案、認真整改、科學(xué)測評〞的要求完成等級保護的定級、備案、整改、測評等工作。對成心將信息系統(tǒng)平安級別定低，逃避公安、保密、密碼部門監(jiān)管，造成信息系統(tǒng)出現(xiàn)重大平安事故的，要追究單位和人員的責任。一、信息平安等級保護工作概述定級工作日程安排１、第一階段自現(xiàn)在起-10月19日發(fā)動、培訓(xùn)、調(diào)查摸底階段。２、第二階段10月20日-10月27日自評和初評階段。３、第三階段10月28日-12月10日上報蘇州評審和備案階段，備案方式：電子備案和書面?zhèn)浒浮?、第四階段12月11日-12月20日總結(jié)階段。備案表備案表模板二、信息平安等級保護定級工作具體實施

〔一〕定級原那么堅持“自主定級、自主保護〞與國家監(jiān)管相結(jié)合的原那么〔二〕等級劃分等級對象侵害客體侵害程度監(jiān)管強度第一級一般系統(tǒng)合法權(quán)益損害自主保護第二級合法權(quán)益嚴重損害指導(dǎo)保護社會秩序和公共利益損害第三級重要系統(tǒng)社會秩序和公共利益嚴重損害監(jiān)督檢查保護國家安全損害第四級社會秩序和公共利益特別嚴重損害強制監(jiān)督檢查保護國家安全嚴重損害第五級極端重要系統(tǒng)國家安全特別嚴重損害專門監(jiān)督檢查保護二、信息平安等級保護定級工作具體實施

〔三〕確定需要定級的系統(tǒng)〔1〕省轄市以上黨政機關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)；〔2〕電信、廣電行業(yè)的公用通信網(wǎng)、播送電視傳輸網(wǎng)等根底信息網(wǎng)絡(luò)，經(jīng)營性公眾互聯(lián)網(wǎng)信息效勞單位、互聯(lián)網(wǎng)接入效勞單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)；〔3〕鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、科技、開展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)；〔4〕涉及國家秘密的信息系統(tǒng)。二、信息平安等級保護定級工作概述(四)對五級信息系統(tǒng)的具體說明1、一級信息系統(tǒng)定義：適用于一般信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生損害，但不損害國家平安、社會秩序和公共利益。舉例：公民個人的單機系統(tǒng)，小型集體、民營企業(yè)所屬的信息系統(tǒng)，中、小學(xué)校的信息系統(tǒng)，鄉(xiāng)鎮(zhèn)級黨政機關(guān)、事業(yè)單位的信息系統(tǒng)等。2、二級信息系統(tǒng)定義：適用于一般的信息系統(tǒng)，其受到破壞后，會對社會秩序和公共利益造成輕微損害，但不損害國家平安.舉例縣級、地市級電信、廣電、銀行、鐵道、海關(guān)、稅務(wù)、民航、證券、電力、保險、公安、財政、金融、社保、工商、審計、能源、化工、社會效勞保障、衛(wèi)生、交通運輸、國土資源、郵政、應(yīng)急搶險、農(nóng)業(yè)等行業(yè)所屬獨立的信息系統(tǒng)；中型集體、民營企業(yè)、小型國有企業(yè)所屬的信息系統(tǒng)；縣級黨政機關(guān)、事業(yè)單位的信息系統(tǒng)；普通高等院校和科研機構(gòu)的信息系統(tǒng)；其他中型組織的信息系統(tǒng)。二、信息平安等級保護定級工作概述3.三級信息系統(tǒng)定義：適用于涉及國家平安、社會秩序和公共利益的重要信息系統(tǒng)，其受到破壞后，會對國家平安、社會秩序和公共利益造成一定損害。舉例：省級和副省級電信、廣電、銀行、鐵道、海關(guān)、稅務(wù)、民航、證券、電力、保險、公安、財政、金融、社保、工商、審計、能源、化工、社會效勞保障、衛(wèi)生、交通運輸、國土資源、郵政、應(yīng)急搶險、農(nóng)業(yè)等行業(yè)所屬獨立的重要信息系統(tǒng)；大型集體、民營企業(yè)、大中型國有企業(yè)所屬的重要信息系統(tǒng)；地市級黨政機關(guān)、事業(yè)單位的重要信息系統(tǒng)；重點高等院校和科研機構(gòu)的重要信息系統(tǒng)；其他大中型組織的信息系統(tǒng)。

二、信息平安等級保護定級工作具體實施

〔二〕形成?定級報告?一、、XXX信息系統(tǒng)的描述；二、XXX信息系統(tǒng)平安保護等級確定〔1〕確定業(yè)務(wù)信息平安等級1、業(yè)務(wù)信息描述；2、業(yè)務(wù)信息受到破壞時所侵害客體確實定；3、業(yè)務(wù)信息受到破壞后對侵害客體的侵害程度；4、業(yè)務(wù)信息平安等級確實定〔2〕確定系統(tǒng)效勞平安等級1、系統(tǒng)效勞描述；2、系統(tǒng)效勞受到破壞時所侵害客體確實定；3、系統(tǒng)效勞受到破壞后對侵害客體的侵害程度；4、系統(tǒng)效勞平安等級確實定三、平安保護等級確實定信息系統(tǒng)平安保護等級由業(yè)務(wù)信息平安等級和系統(tǒng)效勞平安等級較高者決定二、信息平安等級保護定級工作具體實施1、確定定級對象2、確定業(yè)務(wù)信息平安受到破壞時所侵害的客體5、確定系統(tǒng)效勞平安受到破壞時所侵害的客體3、綜合評定對客體的侵害程度6、綜合評定對客體的侵害程度依據(jù)表1依據(jù)表2業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級7、系統(tǒng)效勞平安等級4、業(yè)務(wù)信息平安等級8、定級對象的平安保護等級表1表2初步確定信息系統(tǒng)等級三、信息平安等級保護定級工作流程系統(tǒng)描述責任單位根本要素業(yè)務(wù)情況等級確定業(yè)務(wù)信息平安等級確定系統(tǒng)效勞平安等級確定平安保護等級確定1、描述2、受到破壞時所侵害客體確實定3、受到破壞時對侵害客體侵害程度確實定4、平安等級確實定定級報告二、信息平安等級保護定級工作具體實施

信息系統(tǒng)等級評審對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應(yīng)當邀請國家信息平安保護等級專家評審委員會評審；對擬確定為第三級以上信息系統(tǒng)的，運營、使用單位或者主管部門應(yīng)當邀請省信息平安保護等級專家評審組評審，出具評審意見。對擬確定為第二級以上信息系統(tǒng)的，運營、使用單位或者主管部門應(yīng)當邀請市信息平安保護等級專家評審組評審，出具評審意見四、系統(tǒng)定級的技術(shù)環(huán)節(jié)定級對象確實定業(yè)務(wù)信息和系統(tǒng)效勞確定受侵害客體和侵害程度的分析確定定級對象—定級對象識別與劃分依據(jù)平安責任單位可以根據(jù)平安責任單位的不同劃分成不同的信息系統(tǒng)。業(yè)務(wù)類型和業(yè)務(wù)重要性可能涉及不同客體的系統(tǒng)可能對客體造成不同程度損害的系統(tǒng)處理不同類型業(yè)務(wù)的系統(tǒng)。物理位置物理位置也可以作為信息系統(tǒng)劃分的考慮因素之一。確定業(yè)務(wù)信息和系統(tǒng)效勞業(yè)務(wù)信息業(yè)務(wù)系統(tǒng)處理的主要業(yè)務(wù)信息等系統(tǒng)效勞業(yè)務(wù)系統(tǒng)的效勞范圍、效勞對象等四、系統(tǒng)定級的技術(shù)環(huán)節(jié)

受侵害的客體：公民、法人和其他組織的合法權(quán)益；社會秩序、公共利益；國家平安。

對客體的侵害程度：造成一般損害；造成嚴重損害；造成特別嚴重損害。侵害客體和侵害程度國家平安表達了國家層面、與全局相關(guān)的國家政治平安、軍事平安、經(jīng)濟平安、社會平安、科技平安等方面利益。社會秩序和公共利益包括政治、經(jīng)濟、生產(chǎn)、生活、科研、工作等各方面的正常秩序和社會公眾生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。合法權(quán)益是法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權(quán)利和利益。確定對客體的侵害程度—綜合判定侵害程度一般損害工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的資產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。嚴重損害工作職能受到嚴重影響，業(yè)務(wù)能力顯著下降且嚴重影響主要功能執(zhí)行，出現(xiàn)較嚴重的法律問題，較高的資產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。特別嚴重損害工作職能受到特別嚴重影響或喪失行使能力，業(yè)務(wù)能力嚴重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴重的法律問題，極高的資產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害北京奧運會信息系統(tǒng)的定級案例奧運網(wǎng)絡(luò)主要包括，“奧組委辦公外網(wǎng)〞、“奧組委內(nèi)部辦公局域網(wǎng)〞、“奧運票務(wù)網(wǎng)〞〔票務(wù)網(wǎng)站和票務(wù)管理系統(tǒng)〕、“奧運官方網(wǎng)站〞、“奧運互聯(lián)網(wǎng)接入〞等五個奧運網(wǎng)絡(luò)和信息系統(tǒng)。確定奧組委辦公外網(wǎng)、奧組委內(nèi)部辦公局域網(wǎng)、票務(wù)網(wǎng)站、票務(wù)管理系統(tǒng)和奧運官方網(wǎng)站為定級對象。“奧組委辦公內(nèi)網(wǎng)〞承載奧組委內(nèi)部的人事、財務(wù)等業(yè)務(wù)，僅在奧組委少數(shù)部門內(nèi)應(yīng)用，不傳輸秘密信息和敏感信息。其受到破壞后，僅會影響內(nèi)部辦公，會對社會秩序、公共利益造成損害，定為二級；“奧組委辦公外網(wǎng)〞通過唯一出口與互聯(lián)網(wǎng)相連，承載奧組委內(nèi)部的電子郵件、物流、短信平臺、場館管理等業(yè)務(wù)，在奧組委總部范圍應(yīng)用，其受到破壞后，會對社會秩序、公共利益造成損害，定為二級；“票務(wù)網(wǎng)站〞負責提供票務(wù)申請、信息填寫等業(yè)務(wù)，采集購票者信息和定票信息，不與“票務(wù)管理系統(tǒng)〞直接相連，其受到破壞后，會對社會秩序、公共利益造成損害，定為二級；“票務(wù)管理系統(tǒng)〞存儲處理通過各種方式申請、購置奧運票務(wù)的個人數(shù)據(jù),是“票務(wù)網(wǎng)站〞的核心，其受到破壞后，會對社會秩序、公共利益造成嚴重損害，定為三級；“奧運官方網(wǎng)站〞承擔在互聯(lián)網(wǎng)上對外宣傳、報道奧運重大事項，是北京奧運通過互聯(lián)網(wǎng)對外宣傳的門戶，其效勞保障性要求很高，受到破壞后，會對社會秩序、公共利益造成嚴重損害，定為三級。四、系統(tǒng)定級的技術(shù)環(huán)節(jié)

定級工作中需要關(guān)注的幾個問題１、業(yè)務(wù)主管部門為主。２、主要參考?定級指南?對要素的描述。３、對客體的危害和影響是預(yù)估的，必須依據(jù)實踐經(jīng)驗