信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座

一、相關(guān)概念信息網(wǎng)絡(luò)安全：指計算機(jī)網(wǎng)絡(luò)硬件設(shè)備、軟件、數(shù)據(jù)不因偶然或惡意原因而遭到破壞、更改、泄漏。包含：基礎(chǔ)信息網(wǎng)絡(luò)和主要信息系統(tǒng)。信息網(wǎng)絡(luò)安全等級保護(hù)：指將安全策略、安全責(zé)任和安全保障等計算機(jī)信息網(wǎng)絡(luò)安全需求劃分不一樣等級，國家、企業(yè)和個人依據(jù)不一樣等級要求有針對性地保護(hù)信息網(wǎng)絡(luò)安全。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第1頁二、目標(biāo)和依據(jù)目標(biāo)：為了加強(qiáng)信息安全等級保護(hù)定級工作組織實施和監(jiān)督指導(dǎo)，科學(xué)、準(zhǔn)確、合理地評審、確定信息系統(tǒng)等級，促進(jìn)等級保護(hù)管理工作規(guī)范化、制度化。依據(jù)：《浙江信息安全等級保護(hù)管理方法》省政府223號令。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第2頁三、確定基礎(chǔ)信息網(wǎng)絡(luò)和主要信息系統(tǒng)依據(jù)主要是依據(jù)其在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中主要程度及實際安全需要，遭到破壞后對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益以及公民、法人和其它組織正當(dāng)權(quán)益危害程度來確定?；A(chǔ)信息網(wǎng)絡(luò)主要包含公用通信網(wǎng)、廣播電視傳輸網(wǎng)等。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第3頁主要信息系統(tǒng)主要包含：黨政事務(wù)處理信息系統(tǒng)；金融、財稅、海關(guān)業(yè)務(wù)信息系統(tǒng)；鐵路、機(jī)場、交通（港口）等業(yè)務(wù)信息系統(tǒng)；醫(yī)療、社（醫(yī)）保、供水、電力、燃?xì)獾葮I(yè)務(wù)信息系統(tǒng)；國家和省要求其它主要信息系統(tǒng)。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第4頁四、等級評審流程1、提交申請資料保護(hù)等級應(yīng)該在信息系統(tǒng)規(guī)劃設(shè)計時按照223號令第十條要求報經(jīng)審定。（新建、擴(kuò)建，現(xiàn)在已建成）省級部門在確定安全保護(hù)等級后，直接向省信息化行政主管部門（省信息產(chǎn)業(yè)廳）提交申請資料。設(shè)區(qū)市：各信息系統(tǒng)運(yùn)行、使用單位確定安全保護(hù)等級后，定為二、三級向當(dāng)?shù)厥行畔⒒姓鞴懿块T提交申請資料；定為四級直接向省信息化行政主管部門（省信息產(chǎn)業(yè)廳）提交申請資料。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第5頁提交申請材料內(nèi)容4個方面（1個情況、1個信息、2個資料）㈠申報單位基本情況：單位名稱、法定代表人、通信地址、聯(lián)絡(luò)方式等基本情況。㈡信息系統(tǒng)基本信息1、信息系統(tǒng)行業(yè)特征、主管機(jī)構(gòu)、地理位置、業(yè)務(wù)范圍、業(yè)務(wù)種類和特征等基本情況。2、信息系統(tǒng)管理框架，主要包含組織管理結(jié)構(gòu)、管理策略、部門設(shè)置和部門在業(yè)務(wù)運(yùn)行中作用、崗位職責(zé)、用戶范圍和用戶類型基本情況；3、信息系統(tǒng)網(wǎng)絡(luò)及設(shè)備布署，主要包含信息系統(tǒng)物理環(huán)境、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)邊界描述和硬件設(shè)備布署等情況。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第6頁㈢信息系統(tǒng)劃分資料1、劃分標(biāo)準(zhǔn)和方法；2、信息系統(tǒng)列表；3、每個信息系統(tǒng)概述；4、每個信息系統(tǒng)支撐業(yè)務(wù)應(yīng)用列表；5、每個業(yè)務(wù)應(yīng)用處理信息資產(chǎn)類型；6、每個業(yè)務(wù)應(yīng)用服務(wù)范圍和用戶類型；7、每個業(yè)務(wù)應(yīng)用其它特征。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第7頁㈣等級確定資料1、安全需求分析：安全需求分析匯報、等級保護(hù)基本要求；2、總體安全設(shè)計規(guī)劃（總體安全策略、總體安全方案、安全技術(shù)防護(hù)辦法、安全保護(hù)管理制度、信息安全應(yīng)急預(yù)案等）；3、信息系統(tǒng)安全自評定匯報；4、安全保護(hù)等級自定級匯報；信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第8頁

2、受理省信息化行政主管部門受理省級單位信息系統(tǒng)安全等級定級、等級變更評審申請；受理四級主要信息系統(tǒng)安全等級評審申請；設(shè)區(qū)市信息化行政主管部門受理二、三級信息系統(tǒng)安全等級定級、等級變更評審申請。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第9頁

3、評審受理申請信息化行政主管部門，應(yīng)該自受理之日起20個工作日內(nèi)，委托教授組進(jìn)行評審。信息化行政主管部門應(yīng)該自評審之日起45個工作日內(nèi)審定教授組提出評審意見并書面通報。省信息化行政主管部門組織教授組進(jìn)行評審，審定省級及三級教授組評審意見；對擬確定為四級信息系統(tǒng)安全等級申請?zhí)岢龀鯇徱庖?。設(shè)區(qū)市信息化行政主管部門組織教授組進(jìn)行評審，審定二級教授組評審意見，并向省信息化行政主管部門報備；對三級信息系統(tǒng)安全等級定級、等級變更申請?zhí)岢龀鯇徱庖?。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第10頁

4、復(fù)審申請對審定結(jié)果有異議，應(yīng)該自收到該審定結(jié)果之日起60日內(nèi)，能夠向省信息化行政主管部門提出復(fù)審申請。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第11頁

5、變更信息系統(tǒng)運(yùn)行、使用單位需要變更安全等級，應(yīng)該向原審定信息化行政主管部門提出等級變更申請。受理申請信息化行政主管部門按照本細(xì)則第十條要求重新組織審定。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第12頁五、實施等級保護(hù)工作主要階段第一階段：系統(tǒng)定級第二階段：定級評審第三階段：系統(tǒng)立案第四階段：等級測評、整改第五階段：安全管理、建設(shè)信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第13頁第一階段：系統(tǒng)定級信息系統(tǒng)使用單位按照等級保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，確定其信息系統(tǒng)安全保護(hù)等級，并報其主管部門審批同意。系統(tǒng)包括國家秘密部分按照《涉密信息系統(tǒng)分級保護(hù)管理方法》(國保發(fā)[]16號)和《包括國家秘密信息系統(tǒng)分級保護(hù)技術(shù)要求》（國家保密標(biāo)準(zhǔn)BMBl7-）確定信息系統(tǒng)安全保護(hù)等級?？缡谢蛘呷〗y(tǒng)一聯(lián)網(wǎng)運(yùn)行信息系統(tǒng)能夠由主管部門統(tǒng)一確定安全保護(hù)等級。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第14頁信息系統(tǒng)等級安全保護(hù)定級標(biāo)準(zhǔn)信息系統(tǒng)安全保護(hù)等級既不是信息系統(tǒng)安全保障等級，也不是信息系統(tǒng)所能到達(dá)技術(shù)能力等級，而是從國家管理需要出發(fā)，從信息系統(tǒng)對國家安全、經(jīng)濟(jì)建設(shè)、公共利益等方面主要性，以及信息或信息系統(tǒng)被破壞后造成危害嚴(yán)重性角度確定信息系統(tǒng)應(yīng)到達(dá)安全等級。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第15頁

定級工作標(biāo)準(zhǔn)標(biāo)準(zhǔn)一：自主定級標(biāo)準(zhǔn)?！耙勒諛?biāo)準(zhǔn)，自行保護(hù)”，所以定級工作必須由單位依攝影關(guān)法律規(guī)范和標(biāo)準(zhǔn)來自行定級。定級工作責(zé)任主體為信息系統(tǒng)主管單位。標(biāo)準(zhǔn)二：滿足國家管理要求標(biāo)準(zhǔn)。信息系統(tǒng)安全保護(hù)等級既不是信息系統(tǒng)安全保障等級，也不是信息系統(tǒng)所能到達(dá)技術(shù)能力等級，而是從國家管理需要出發(fā)，立足信息系統(tǒng)對國家安全、經(jīng)濟(jì)建設(shè)、公共利益等方面主要性角度，及信息或信息系統(tǒng)被破壞后造成危害嚴(yán)重性角度來確定信息系統(tǒng)應(yīng)到達(dá)安全等級。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第16頁定級工作標(biāo)準(zhǔn)標(biāo)準(zhǔn)三：全局性標(biāo)準(zhǔn)。信息系統(tǒng)安全等級保護(hù)是針對全國范圍內(nèi)、涵蓋各個行業(yè)信息系統(tǒng)管理制度，信息系統(tǒng)安全保護(hù)等級劃分也必須從國家層面考慮，表達(dá)全局性。標(biāo)準(zhǔn)四：業(yè)務(wù)為關(guān)鍵標(biāo)準(zhǔn)。信息系統(tǒng)是為業(yè)務(wù)應(yīng)用服務(wù)，信息系統(tǒng)安全保護(hù)等級應(yīng)該依據(jù)信息系統(tǒng)承載業(yè)務(wù)主要性、業(yè)務(wù)對信息系統(tǒng)依賴度和系統(tǒng)特殊安全需求確定。標(biāo)準(zhǔn)五：合理性標(biāo)準(zhǔn)。不一樣于信息安全產(chǎn)品，信息系統(tǒng)千差萬別，各具特色，只有在劃分安全保護(hù)等級過程中，盡可能反應(yīng)出信息系統(tǒng)主要安全特征，合理劃分等級，才能做到突出重點，適度保護(hù)。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第17頁五級安全等級描述第一級:受到破壞后，會對公民、法人和其它組織正當(dāng)權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益會秩序和公共利益。第二級:受到破壞后，會對公民、法人和其它組織正當(dāng)權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級:受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。第四級:受到破壞后，會對社會秩序和公共利益造成尤其嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。第五級:受到破壞后，會對國家安全造成尤其嚴(yán)重?fù)p害。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第18頁系統(tǒng)服務(wù)安全被破壞時所侵害客體對對應(yīng)客體侵害程度普通損害嚴(yán)重?fù)p害尤其嚴(yán)重?fù)p害公民、法人和其它組織正當(dāng)權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第19頁一級信息系統(tǒng)舉例：公民個人單機(jī)系統(tǒng)，小型集體、民營企業(yè)所屬信息系統(tǒng)，中、小學(xué)校信息系統(tǒng)，鄉(xiāng)鎮(zhèn)級黨政機(jī)關(guān)、事業(yè)單位信息系統(tǒng)，其它小型組織信息系統(tǒng)。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第20頁二級信息系統(tǒng)舉例：縣級、地市級電信、廣電、銀行、鐵道、海關(guān)、稅務(wù)、民航、證券、電力、保險、公安、財務(wù)、財政、金融、社保、工商、審計、能源、化工、社會服務(wù)保障、衛(wèi)生、交通運(yùn)輸、國土資源、郵政、應(yīng)急搶險、農(nóng)業(yè)等行業(yè)所屬獨立信息系統(tǒng)，中型集體、民營企業(yè)、小型國有企業(yè)所屬信息系統(tǒng)，縣級黨政機(jī)關(guān)、事業(yè)單位信息系統(tǒng)，普通高等院校和科研機(jī)構(gòu)信息系統(tǒng)，其它中型組織信息系統(tǒng)。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第21頁

三級信息系統(tǒng)舉例：省級和副省級電信、廣電、銀行、鐵道、海關(guān)、稅務(wù)、民航、證券、電力、保險、公安、財政、金融、社保、工商、審計、能源、化工、社會服金融、社保、工商、審計、能源、化工、社會服務(wù)保障、衛(wèi)生、交通運(yùn)輸、國土資源、郵政、應(yīng)急搶險、農(nóng)業(yè)等行業(yè)所屬獨立主要信息系統(tǒng)，大型集體、民營企業(yè)、大中型國有企業(yè)所屬主要信息系統(tǒng)，地市級黨政機(jī)關(guān)、事業(yè)單位主要信息系統(tǒng)，重點高等院校和科研機(jī)構(gòu)主要信息系統(tǒng)，其它大中型組織信息系統(tǒng)。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第22頁四級信息系統(tǒng)舉例：國家級電信、廣電、銀行、鐵道、海關(guān)、稅務(wù)、民航、證券、電力、保險、公安、財政、金融、社保、工商、審計、能源、化工、社會服務(wù)保障、衛(wèi)生、交通運(yùn)輸、國土資源、郵政、應(yīng)急搶險等行業(yè)所屬全程全網(wǎng)特大型信息系統(tǒng)，特大型國有企業(yè)所屬全程全網(wǎng)特大型信息系統(tǒng)，省級黨政機(jī)關(guān)、事業(yè)單位所屬主要信息系統(tǒng)，重點科研機(jī)構(gòu)主要信息系統(tǒng)。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第23頁五級信息系統(tǒng)舉例：國家級電信、廣電、銀行、鐵道、海關(guān)、稅務(wù)、民航、證券、電力、保險等主要信息系統(tǒng)中關(guān)鍵子系統(tǒng)，包括國防、重大外交、航天航空、核能源、尖端科學(xué)技術(shù)等主要信息系統(tǒng)中關(guān)鍵子系統(tǒng)，國家級黨政機(jī)關(guān)主要信息系統(tǒng)中關(guān)鍵子系統(tǒng)。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第24頁第二階段：定級評審使用單位初步確定安全保護(hù)等級后，應(yīng)聘請教授進(jìn)行評審。對擬確定為第四級、第五級信息系統(tǒng)，使用單位或主管部門應(yīng)經(jīng)省信息化行政主管部門初審后，請國家信息安全等級保護(hù)教授評審委員會評審。其它定級評審，依照《浙江省信息安全等級評審實施細(xì)則》執(zhí)行。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第25頁第三階段：系統(tǒng)立案在信息系統(tǒng)安全保護(hù)等級確定三十天內(nèi)，使用單位填寫立案表，向公安機(jī)關(guān)辦理立案手續(xù)，提交相關(guān)立案材料及電子數(shù)據(jù)文件。系統(tǒng)包括國家秘密，向保密工作部門立案。系統(tǒng)中使用密碼設(shè)備向密碼管理部門立案。二級以上信息系統(tǒng)，由使用單位報送當(dāng)?shù)赜虻厥屑壒矙C(jī)關(guān)立案?？绲赜蛐畔⑾到y(tǒng)由其主管部門向其所在地同級公安機(jī)關(guān)進(jìn)行總立案，分系統(tǒng)分別由當(dāng)?shù)剡\(yùn)行、使用單位向當(dāng)?shù)氐厥屑壒矙C(jī)關(guān)立案。信息網(wǎng)絡(luò)安全等級保護(hù)工作介紹專家講座第26頁第四階段：安全等級測評與整改評測單位依照《信息系統(tǒng)安全等級保護(hù)基本要求》、《信息安全等級保護(hù)實施指南》、《信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則》等標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行安全等級測評，給出對應(yīng)系統(tǒng)安全檢測評定匯報。對已經(jīng)有信