17、18 信息系统等级保护 公安部信息安全等级保护评估中心ppt课件

1、贯彻27号文件积极推进信息系统等级建立公安部信息平安等级维护评价中心 朱建平目录 1等级维护是国家根本政策2建立国家信息平安等级维护机制 3信息系统平安等级维护制度实施方法 4等级化系统的建立1、等级维护是国家根本政策27号文件进一步明确了我国的根底信息网络和关系国家平安、经济命脉、社会稳定等方面的重要信息系统实行等级维护制度；同时要求等级维护任务需求各部门根据职能分工、协同配合。1、等级维护是国家根本政策信息平安等级维护是规定的法定维护制度，具有强迫性；第二是以国家制度推进信息和信息系统平安维护责任的落实；第三是符合客观实践，具有科学性；第四是具有自我维护与国家维护相结合的长效维护机制；第五

2、是突出维护重点，国家优先重点维护涉及国计民生的信息系统，国家根底信息网络和重要信息系统内分级重点维护三级以上的局域网和子系统平安；第六是具有整体维护性，在突出重点，兼顾普通的原那么下，着重加强重点、关键部位,由点到面进展维护，逐渐实现信息平安整体保证。 2、建立国家信息平安等级维护机制国家实行信息平安等级维护，必需紧紧抓住抓好五个关键环节，形生长效信息平安等级维护运转机制。国家信息平安等级维护制度运转机制有以下关键环节构成：1法律规范2管理与技术规范3实施过程控制4结果控制5监视管理。2、建立国家信息平安等级维护机制1法律规范：国家制定和完善信息平安等级维护政策、法律规范以及组织实施规那么和方

3、法,完善信息平安维护法律体系；2管理与技术规范：制定符合国情的规范,建立等级维护体系；3实施过程控制：明确落实系统拥有者的平安责任制，系统拥有者按法律规定和平安等级规范的要求进展信息系统的建立和管理，并承当应急管理责任，在信息系统生命周期内进展自管、自查、自评，建立平安管理体系。平安产品的研发者提供符合平安等级规范要求的技术产品。2、建立国家信息平安等级维护机制4结果控制：建立非盈利并可以覆盖全国的系统平安等级维护的执法检查与评价体系，运用一致规范和工具开展系统平安等级维护检查评价任务。5监视管理：公安机关依法行政，督促平安等级维护责任制的落实，以等级维护规范监视、检查、指点根底信息网络和重要

4、信息系统平安等级维护建立、管理。对平安等级技术产品实行监管，对监测评价机构实施监管。政府其他职能部门该当仔细履行职责，依法行政，按职责开展信息平安等级维护专项制度建立任务，完善信息平安监视体系。3、信息系统平安等级维护制度实施方法首先，公安、国家严密、国家密码管理、技术监视、信息产业等国家有关信息网络平安的行政主管部门要在国家信息化指点小组的一致指点下，制定我国开展信息网络平安等级维护任务的开展政策，一致制定针对不同平安维护等级的管理规定和技术规范，对不同信息网络确定不同平安维护等级和实施不同的监视管理措施，既包括依法进展行政监视、检查和指点，也包括根据国家技术规范进展的技术检查和评价。3、信

5、息系统平安等级维护制度实施方法其次，等级维护坚持“谁主管、谁担任；谁运营、谁担任；谁建立、谁担任；谁运用、谁担任。的原那么。3、信息系统平安等级维护制度实施方法第三，等级维护实行“国家主导；重点单位强迫，普通单位自愿；高维护级别强迫，低维护级别自愿的监管原那么。3、信息系统平安等级维护制度实施方法第四，信息网络平安情况等级的技术检测是等级维护的重点。由国家授权的技术检测机构经过技术检测来进展评定。技术检测机构需获得国家主管部门的技术资质和授权后，方可从事信息网络平安等级维护的技术检测。 3、信息系统平安等级维护制度实施方法方案在五年左右的时间在全国范围内分三个阶段实施信息平安等级维护制度：1、

6、预备阶段2、试行阶段3、全面实行阶段4、等级化系统的建立信息系统等级的划分方法自主评级实施步骤：业务影响分析、划分子系统确定子系统边境确定平安维护等级子系统间访问关系的模型化平安风险分析与控制措施调整确定系统维护平安方案系统等级和平安方案的同意等级维护第一级第一级平安的信息系统具备对信息和系统进展根本维护的才干。在技术方面，第一级要求设置根本的平安功能，使信息免遭非授权的泄露和破坏，能保证根本平安的系统效力。在平安管理方面，第一级要求根据机构本身平安需求，为信息系统正常运转提供根本的平安管理保证。5等级化系统的建立等级维护第二级第二级平安的信息系统具备对信息和系统进展比较完好的系统化的平安维护

7、才干。在技术方面，第二级要求采用系统化的设计方法，实现比较完好的平安维护，并经过平安审计机制，使其它平安机制间接地相衔接，使信息免遭非授权的泄露和破坏，保证一定平安的系统效力。 在平安管理方面，第二级要求建立必要的信息系统平安管理制度，对平安管理和执行过程进展方案、管理和跟踪。根据实践平安需求，明确机构和人员的相应责任。 5等级化系统的建立等级维护第三级第三级平安的信息系统具备对信息和系统进展基于平安战略强迫的平安维护才干。在技术方面，第三级要求按照完好的平安战略模型 ，实施强迫性的平安维护，使数据信息免遭非授权的泄露和破坏，保证较高平安的系统效力。在平安管理方面，第三级要求建立完好的信息系统

8、平安管理体系，对平安管理过程进展规范化的定义，并对过程执行实施监视和检查。根据实践平安需求，建立平安管理机构，配备专职平安管理人员，落实各级指点及相关人员的责任 。5等级化系统的建立等级维护第四级第四级平安的信息系统具备对信息和系统进展基于平安战略强迫的整体的平安维护才干。在技术方面，物理隔离，第四级要求采用构造化设计方法，按照完好的平安战略模型，实现各层面相结合的强迫性的平安维护，使数据信息免遭非授权的泄露和破坏，保证高平安的系统效力。 在平安管理方面，第四级要求建立继续改良的信息系统平安管理体系，在对平安管理过程进展规范化定义，并对过程执行实施监视和检查的根底上，具有对缺陷自我发现、纠正和改良的才干。根据实践平安需求，采取平安隔离措施，限定信息系统规模和运用范围。建立平安管理机构，配备专职平安管理人员，落实各级指点及相关人员的责任。 5等级化系统的建立等级维护第五级第五级平安的信息系统提供对信息和系统进展基于可验证平安战略的强迫的平安维护才干。在技术方面，第五级要求按照确定的平安战略，在整体的实施强迫性的平安维护的根底上，经过可验证设计加强系统的平安性，使其具有抗浸透才干，使数据信息免遭非授权的泄露和破坏，保证最高平安的系统效力。 在平安管理方面，第五级要求由信息系统的主管部门和运用单位根据平安需求，建立