管理制度标准与管理体系课件_第1页
管理制度标准与管理体系课件_第2页
管理制度标准与管理体系课件_第3页
管理制度标准与管理体系课件_第4页
管理制度标准与管理体系课件_第5页
已阅读5页,还剩259页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

信息安全xx管理

第三章信息安全xx管理制度、标准

与管理体系2014秋信息安全xx管理

第三章信息安全xx管理制度、标准

与本章课程提纲信息安全、密码管理体制概述保密管理制度与标准体系安全保密管理体系2本章课程提纲信息安全、密码管理体制概述2本章课程提纲信息安全、密码管理体制概述信息安全管理体制现状国家信息安全管理体制建设国家信息安全管理机构框架我国国家信息安全监控管理体系我国国家信息安全测评认证管理体制我国国家密码管理体制3本章课程提纲信息安全、密码管理体制概述3本章课程提纲信息安全、密码管理体制概述信息安全管理体制现状国家信息安全管理体制建设国家信息安全管理机构框架我国国家信息安全监控管理体系我国国家信息安全测评认证管理体制我国国家密码管理体制4本章课程提纲信息安全、密码管理体制概述4信息安全管理体制现状5我国长期以来一直十分重视信息安全工作敏感性、特殊性和战略性的高度自始至终置于党和国家的绝对领导之下国家密码管理部门、安全机关、公安机关和保密主管部门等分工协作信息安全管理体制现状5我国长期以来一直十分重视信息安全工作6我国信息安全管理工作的机构格局国家信息化领导小组对信息化建设中的重大问题进行管理成员包括中央、国务院和军队有关部门的主要负责人信息化领导小组办公室为办事机构国家信息化专家咨询委员会聘请有关专家组成,负责就我国信息化发展中的重大问题向国家信息化领导小组提出建议信息安全管理体制现状6我国信息安全管理工作的机构格局信息安全管理体制现状7我国信息安全管理工作的机构格局政府有关信息安全的其他管理和执法部门公安部、国家安全部、国家保密局、国家密码管理委员会、国务院新闻办公室国家网络与信息安全协调小组负责对信息安全工作的领导和协调信息安全管理体制现状7我国信息安全管理工作的机构格局信息安全管理体制现状本章课程提纲信息安全、密码管理体制概述信息安全管理体制现状国家信息安全管理体制建设国家信息安全管理机构框架我国国家信息安全监控管理体系我国国家信息安全测评认证管理体制我国国家密码管理体制8本章课程提纲信息安全、密码管理体制概述8建设原则

统一管理、分级负责、群防群治、以人为本统一管理原则要健全信息安全行政管理体制按照中央统一领导、充分发挥地方主动性积极性的原则,明确中央各部门和地方对信息安全的管理权责要加强国家信息安全组织协调逐步建立中央统一协调、地方密切配合的管理体系9国家信息安全管理体制建设建设原则9国家信息安全管理体制建设建设原则分级负责原则中央政府各部门:承担国家信息安全保障体系建设、管理和运行任务。各省级的政府部门:承担所辖范围信息安全保障体系建设、管理和运行。大企业承担国家信息安全基础设施的建设、管理和运行,按照隶属关系实行归口管理。各级各类信息安全机构和人员必须严格遵守信息安全管理制度。10国家信息安全管理体制建设建设原则10国家信息安全管理体制建设建设原则群防群治原则各级政府:主要承担国家信息安全保障的立法、执法、规划、计划、监督、检查和掌握关键技术、要害部位企业:主要承担产品开发、体系建设、运营保障、技术服务等任务个人:主要承担依法获取信息、利用信息和保护信息安全的责任军队:军队信息安全保障是国家信息安全保障的重要组成部分11国家信息安全管理体制建设建设原则11国家信息安全管理体制建设建设原则以人为本原则多层次、多渠道、大规模的开展人才培训积极营造国家信息安全优秀人才脱颖而出和人尽其用的政策环境大力提高全民信息安全意识各级政府应成立信息安全专家咨询委员会12国家信息安全管理体制建设建设原则12国家信息安全管理体制建设本章课程提纲信息安全、密码管理体制概述信息安全管理体制现状国家信息安全管理体制建设国家信息安全管理机构框架我国国家信息安全监控管理体系我国国家信息安全测评认证管理体制我国国家密码管理体制13本章课程提纲信息安全、密码管理体制概述13国家信息化领导小组对信息化建设中重大问题进行管理信息化领导小组办公室作为信息安全工作的办事机构,负责组织和制定有关信息安全的政策、法规和标准,并监督其执行情况国家网络与信息安全协调小组负责对信息安全工作的领导和跨部门的协调成员有工信部、公安部、国家保密局、国家密码管理委员会、国家安全部等14国家信息安全管理机构框架国家信息化领导小组14国家信息安全管理机构框架国家保密局:主管全国计算机信息系统的保密工作国家密码管理委员会:主管密码算法与设备的审批和使用工作国务院新闻办公室:负责信息内容的监察15国家信息安全管理机构框架国家保密局:主管全国计算机信息系统的保密工作15国家信息安全公安部公共信息网络安全监察局:负责计算机信息系统安全专业产品的生产销售认证许可工作公安部计算机信息系统安全产品质量监督检验中心:承担国内计算机信息系统产品的质量监督检测工作国家安全部:主管计算机网络国际联网的国家安全防护管理工作16国家信息安全管理机构框架公安部公共信息网络安全监察局:负责计算机信息系统安全专业产品国家信息安全委员会由国家信息化领导小组领导,是国家信息安全保障工作的最高领导机构,承担国家信息安全保障的组织指挥、计划协调、执法管理等重要任务。成员由来自政府和军队各部门领导人员组成,包括外交部长、财政部长、国家安全部长、国家保密局长、科技部长、国家发展改革委员会主任、国防部长、工信部部长、公安部长、教育部长、中央机要局长、交通部长、广电总局局长、总参谋长等。主席由主管信息安全工作的副总理担任。下设12个分委员会17国家信息安全管理机构框架国家信息安全委员会17国家信息安全管理机构框架本章课程提纲信息安全、密码管理体制概述信息安全管理体制现状国家信息安全管理体制建设国家信息安全管理机构框架我国国家信息安全监控管理体系我国国家信息安全测评认证管理体制我国国家密码管理体制18本章课程提纲信息安全、密码管理体制概述18我国国家信息安全监控管理体系国家信息安全监控的作用信息安全监控已成为维护国家安全、不断加强自身获取有用信息能力的重要手段之一保密法、国家安全法等为国家和军队的监控行为提供了法律基础信息安全监控已逐渐成为执法部门进行犯罪调查取证时广泛采用的手段之一19我国国家信息安全监控管理体系国家信息安全监控的作用19我国国家信息安全监控管理体系国家信息安全监控的作用政治方面可及时发现国外反动势力的政治图谋、恐怖计划可及时掌握国内反政府势力、分裂分子、恐怖分子和刑事犯罪分子的活动情况可及时掌握舆论方向,更有针对性的进行引导经济方面可及时发现贪污受贿、走私贩毒、金融诈骗、洗钱炒汇等经济犯罪信息军事方面可及时发现和掌握国外军事集团发展、军事装备研究、军事组织调动、军事理论研究、军事情报传递等军事信息20我国国家信息安全监控管理体系国家信息安全监控的作用20我国国家信息安全监控管理体系国家信息安全监控的作用文化方面特别是对国际互联网等计算机网络的实时监控,可及时发现和处置网络攻击、病毒传播、文化入侵等情况,是对网络和系统实施保护、监测和过滤有害信息、打击网络犯罪的有效方法。我国应建立以全球信息安全监控系统和国内信息安全监控系统相结合的管理体制。21我国国家信息安全监控管理体系国家信息安全监控的作用21我国国家信息安全监控管理体系国家信息安全监控管理机构国际信息安全监控系统国安信息安全监控系统由国家安全部负责负责国外政治、经济、文化、外交等信息的拦截、分析、分类和处理等监控工作国防信息安全监控系统由总参谋部负责负责对国外军事信息的拦截、破译、分析、处理等双方的有效合作形成完整的国际信息安全监控系统22我国国家信息安全监控管理体系国家信息安全监控管理机构22我国国家信息安全监控管理体系国家信息安全监控管理机构国内信息安全监控系统国家公众信息安全监控系统由公安部负责主要实施对利用通信网、广电网、互联网进行计算机病毒传播、网络犯罪、有害信息传播、网络恐怖活动等危害公众安全利益活动的监控、刑侦、处理工作。国家信息安全监控系统由国家安全部负责主要实施对国内外敌对势力利用计算机网络进行反动宣传、渗透和攻击,策划和制造事端,破坏社会稳定等活动的信息收集和分析、处理等工作。23我国国家信息安全监控管理体系国家信息安全监控管理机构23我国国家信息安全监控管理体系国家信息安全监控管理机构国内信息安全监控系统军事信息安全监控系统由总参谋部负责主要实施对国防信息、军事信息、外交信息等各种信息的整理、存储、分析和监控工作国家保密信息安全监控系统由国家保密局负责主要实施对涉及国家政治、经济、军事、科技、文化等各种涉密信息的监控、分析和处理。其中军事信息由总参谋部负责。24我国国家信息安全监控管理体系国家信息安全监控管理机构24本章课程提纲信息安全、密码管理体制概述信息安全管理体制现状国家信息安全管理体制建设国家信息安全管理机构框架我国国家信息安全监控管理体系我国国家信息安全测评认证管理体制我国国家密码管理体制25本章课程提纲信息安全、密码管理体制概述25我国国家信息安全测评认证管理体制国家信息安全测评认证管理原则科学不断完善先进的技术方法,采用统一的测试标准,形成模块化、表格化的测试流程。公正按照科学的标准,客观公正的面向送检单位,形成测、评、认相对独立、互相制约的监督机制。严谨要有严谨的工作作风,要有严格的审核、检测和审批制度。高效不断提高工作效率,特别强调服务态度和服务质量。26我国国家信息安全测评认证管理体制国家信息安全测评认证管理原则我国国家信息安全测评认证管理体制国家信息安全测评认证工作的特点权威性中国信息安全产品测评认证管理委员会是代表国家从事信息安全(保密)产品测评认证工作的唯一管理机构,颁发的证书必须得到全国使用信息安全产品的各专业领域的认可强制性国家选用的信息安全保密产品必须经过国家测评认证,未经认证的产品不得使用监督性中国信息安全测评认证管理委员会有关部门负有对全国信息安全保密产品进行监督检查的职能27我国国家信息安全测评认证管理体制国家信息安全测评认证工作的特我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构国家信息安全测评认证管理委员会是中国信息安全测评认证管理的最高机构负责指导、管理和授权有关测评认证机构,包括中国信息安全产品测评认证中心,各行业、各部门测评认证中心,实验室等28我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构中国信息安全测评中心与中国信息安全认证中心对国内外信息安全产品和信息技术进行测评和认证对国内信息系统和工程进行安全性评估和认证对提供信息安全服务的组织和单位进行评估和认证对信息安全专业人员的资质进行评估和认证29我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构中国人民解放军信息安全测评认证中心为军队和国内的信息安全保密产品研发单位提供测评认证技术服务为军队信息安全保密产品用户提供相应的技术支持服务30我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构公安部计算机信息系统安全产品质量监督检验中心承担对网络安全保护、防雷击、防病毒三大类产品的销售许可检测工作。检测范围包括:功能检测、性能检测和系统评估。公安部信息安全等级保护评估中心按照有关标准对部分安全专用产品进行分级测试,目的是验证等级保护配套标准、评估工具、评估方法和评估内容。31我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构国家保密局涉密信息系统安全保密产品测评认证中心对用于涉密信息系统的保密产品进行检测,对涉密信息系统进行安全保密测评国家信息安全授权测评实验室是由中国信息安全测评认证管理委员会批准和授权的实验机构32我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构我国国家信息安全测评认证管理体制国家信息安全测评认证管理过程信息系统安全测评认证流程申请及文档审查阶段项目启动阶段系统安全要求检查及现场核查阶段安全性测试阶段认证与认可阶段33我国国家信息安全测评认证管理体制国家信息安全测评认证管理过程本章课程提纲信息安全、密码管理体制概述信息安全管理体制现状国家信息安全管理体制建设国家信息安全管理机构框架我国国家信息安全监控管理体系我国国家信息安全测评认证管理体制我国国家密码管理体制34本章课程提纲信息安全、密码管理体制概述34密码是国家的重要战略资源。密码是信息时代社会生活不可或缺的基本要素密码是信息安全的核心和关键技术密码的生产、使用和传播往往牵涉着一个国家的重大安全利益世界各国均对密码实施严格的管制35我国国家密码管理体制密码是国家的重要战略资源。35我国国家密码管理体制我国国家密码管理体制国家密码管理的基本原则党管密码原则密码是党和国家的核心机密。必须加强党对信息安全密码保障工作的领导。统一管理原则实现密码集中统一管理,统一组织密码的研制、生产、配备、使用,确保密码和密码设施安全、可靠运行。分级负责原则健全密码组织管理体系,合理划分中央、地方、军队在密码管理上的职能权限,充分发挥各级密码管理部门的作用。36我国国家密码管理体制国家密码管理的基本原则36我国国家密码管理体制国家密码管理的基本原则依法治理原则坚持依法治理密码工作的方针,完善密码管理政策法规,加大执法力度,严格密码科研、生产、配备、使用程序。行政监控原则密码产品和技术对国家安全而言是一种支持力量,同时也是一种威胁。国家行政部门有责任依法对密码及其产品的使用实施监控。满足需求原则密码管理工作必须适应经济全球化和进一步开放的大环境,遵从“满足需求、方便使用”的原则。37我国国家密码管理体制国家密码管理的基本原则37我国国家密码管理体制国家密码管理机构和职能38国家商业密码管理委员会军队密码技术研究所国家密码技术研究所地方密码管理委员会国家密码管理委员会军队密码管理委员会中央密码工作领导小组密码方案分析审定机构密码产品测评认证机构我国国家密码管理体制国家密码管理机构和职能38国家商业密码管我国国家密码管理体制密码产品测评认证在密码产品使用或集成到系统之前,对其本身及相关组件的安全性进行测试,给予认证,并以此作为国家各部门尤其是政府机构采购密码产品的标准要求,是非常有意义且相当重要的环节。密码产品通常用于确保计算机和信息系统的安全性,保护敏感数据或有价值的数据和信息。密码产品设计和实现中的问题将对系统的安全性造成致命的危害。39我国国家密码管理体制密码产品测评认证39我国国家密码管理体制40认可的密码产品测试实验室密码产品制造厂商证书国家测评认证机构国家测评认证机构国家测评认证机构密码产品测试报告国家测评认证机构国家测评认证机构已认证的密码产品清单1.国家测评认证机构发布测试和实现指南2.进行一致性测试:编写测试报告实验室提交问题寻求指导并得到解释3.提交给国家测评认证机构待确认4.发布认证证书国家测评认证机构发已认证的密码模块清单我国国家密码管理体制40认可的密码产品密码产品证书国家测评国本节课程提纲信息安全、密码管理体制概述信息安全保密管理标准体系分级保护制度体系分级保护标准体系信息安全保密管理体系41本节课程提纲信息安全、密码管理体制概述41涉密网络分级保护定义是指涉密网络的实施使用单位根据分级保护管理办法和有关标准,对涉密网络分等级进行保护,各级保密行政管理部门根据涉密网络的保护等级进行监督管理,确保网络和信息的安全、保密。涉密网络分级保护分级标准涉密网络按照所涉及到的国家秘密的最高级别,由低到高划分为秘密、机密(机密增强)和绝密三个等级42分级保护制度体系涉密网络分级保护定义42分级保护制度体系分级保护基本原则规范定密,准确定级依据标准,同步建设突出重点,确保核心明确责任,加强监督43分级保护制度体系分级保护基本原则43分级保护制度体系分级保护基本原则规范定密,准确定级涉密网络的建设、使用单位应当依据保密法和相关的实施条例,建立科学的定密机制,规范定密准确界定涉密网络所处理信息的最高密级,并依此确定系统的保护等级44分级保护制度体系分级保护基本原则44分级保护制度体系分级保护基本原则依据标准,同步建设建设使用单位在涉密网络的规划中,应当符合国家相关的保密管理规定和标准,采取的方案应当符合对应的技术要求和管理规范在规划、建设网络的同时,应同步进行保密设施设备的规划和建设,从技术和管理两个方面对涉密网络整体防护45分级保护制度体系分级保护基本原则45分级保护制度体系分级保护基本原则突出重点,确保核心建设使用单位应充分考虑自身实际,根据业务需求,充分考虑网络存储、处理信息的密级和数量、网络所面临的风险与威胁等因素,明确所要保护的重点,优化资源配置涉密网络的规划与建设需要紧紧围绕国家秘密信息这一核心,确保网络和信息的安全46分级保护制度体系分级保护基本原则46分级保护制度体系分级保护基本原则明确责任,加强监督涉密网的建设使用单位需要建立并落实完善的安全保密责任制度,明确安全保密策略,设置安全保密管理人员,制度明晰,责任到人涉密单位还应当定期开展保密自查,接受并积极配合保密管理部门的监督检查47分级保护制度体系分级保护基本原则47分级保护制度体系分级保护工作体制国家保密管理部门负责指导、监督和检查全国涉密网络的分级保护工作地方各级保密管理部门负责指导、监督和检查本行政区域内涉密网络分级保护工作中央和国家机关各部门在职权范围内,主管、指导本部门和本系统涉密网络的分级保护工作48分级保护制度体系分级保护工作体制48分级保护制度体系分级保护工作体制国家保密科技测评中心经国家保密局授权,负责中央和国家机关及其所属单位涉密网络安全保密的测评工作各省、自治区、直辖市分中心经国家保密局授权,负责本地区省直机关、市县直机关及其所属单位涉密网络安全保密的测评工作国防科工与各集团公司分中心经国家保密局授权,负责各集团公司总部以及下属单位涉密网络安全保密测评工作49分级保护制度体系分级保护工作体制49分级保护制度体系分级保护工作体制涉密网络使用单位按照“谁主管谁负责,谁使用谁负责”的原则,负责本单位涉密网络分级保护工作的具体实施各部门之间需要通力协作,合理保障网络分级保护工作(保密部门、信息化部门、业务部门、保卫、人事等)单位领导应高度重视,加强组织领导,保障措施到位、人员到位和资金到位50分级保护制度体系分级保护工作体制50分级保护制度体系分级保护过程管理分级保护过程系统定级方案设计论证工程实施系统测评系统审批日常管理测评与检查系统废止51分级保护制度体系八个环节贯穿涉密网络的整个生命周期,每个环节都应满足相应的保密管理要求使用单位应按照分级保护工作流程,突出重点环节,强化过程管理系统规划设计阶段系统建设阶段系统不再使用系统投入使用阶段分级保护过程管理51分级保护制度体系八个环节贯穿涉密网络的整分级保护过程管理分级保护系统定级环节按照网络规划设计处理信息的最高密级,秘密、机密、绝密。按照相应级别的保护要求进行保护根据信息密级、部门职责和安全策略等因素,划分不同安全级别的安全域,采取不同强度的防护措施52分级保护制度体系分级保护过程管理52分级保护制度体系分级保护过程管理分级保护方案设计论证环节结合自身实际和业务需求,在安全保密风险与成本中找到平衡点依据相关规范与指南中的要求设计系统建设保护方案设计中要注意安全保密防护措施与实际系统的结合,设计符合实际系统的方案对方案进行审查论证时,应当与保密管理部门共同参与53分级保护制度体系分级保护过程管理53分级保护制度体系分级保护过程管理分级保护工程实施环节组织自身力量或通过具有涉密信息系统集成资质的单位,严格依据分级保护建设方案,实施工程建设。组织自身力量或选择工程监理资质单位,依据相关要求,在质量控制、进度控制、成本控制等方面进行工程监理54分级保护制度体系分级保护过程管理54分级保护制度体系分级保护过程管理分级保护系统测评环节投入使用前必须经过安全保密测评系统工程实施完毕后,建设使用单位向保密工作部门申请进行系统测评测评工作由国家保密局涉密信息系统安全保密测评中心及分中心负责进行系统测评55分级保护制度体系分级保护过程管理55分级保护制度体系分级保护过程管理分级保护系统审批环节涉密信息系统在投入运行后前,应经过保密工作部门根据系统测评结果进行的审批对符合标准的批准使用,对不符合的提出整改意见,整改后继续审批。未经审批,不得擅自使用涉密网络环境或保密设施设备变更时,须向审批单位报告56分级保护制度体系分级保护过程管理56分级保护制度体系分级保护过程管理分级保护日常管理环节网络投入使用后,应根据规范要求,结合实际制定责任明确的安全保密管理策略日常管理包括基本管理要求,人员管理、物理环境与设施管理、信息保密管理等57分级保护制度体系分级保护过程管理57分级保护制度体系分级保护过程管理分级保护测评与检查环节涉密信息系统投入运行后还应定期进行安全保密测评和检查使用单位应进行自查,并接受保密管理部门的监督检查秘密级、机密级信息系统应每两年至少进行一次安全保密测评或保密检查绝密级信息系统应每年至少进行一次安全保密测评或保密检查58分级保护制度体系分级保护过程管理58分级保护制度体系分级保护过程管理分级保护系统废止环节涉密信息系统不再使用时,使用单位需向保密管理部门备案按要求对涉密设备、产品、信息载体等进行处理59分级保护制度体系分级保护过程管理59分级保护制度体系本章课程提纲信息安全保密管理标准体系分级保护制度体系分级保护标准体系60本章课程提纲信息安全保密管理标准体系60分级保护标准的体系框架涉密网分级保护标准是根据分级保护工作的实际需要,结合国内外的先进经验,与国家相关法规和标准体系有机结合其体系框架61分级保护标准体系分级保护标准的体系框架61分级保护标准体系62《中华人民共和国保守国家秘密法》《关于加强信息安全保障工作中保密管理的若干意见》《涉及国家秘密的信息系统分级保护管理办法》《涉及国家秘密的信息系统分级保护技术要求》BMB17-2006《涉及国家秘密的信息系统工程监理规范》BMB18-2006《涉及国家秘密的信息系统分级保护管理规范》BMB020-2007《涉及国家秘密的信息系统分级保护测评指南》BMB22-2007《涉及国家秘密的信息系统分级保护方案设计指南》BMB23-2008《涉及国家秘密的信息系统保密检查技术指南》BMB25-2011《涉及国家秘密的信息系统安全检测评估实施规范》BMB2-201262《中华人民共和国保守国家秘密法》《关于加强信息安全保障工《涉及国家秘密的信息系统分级保护技术要求》BMB17-2006该标准规定了涉密网络等级划分的准则,基本保护要求和不同等级的安全保密技术要求适用于使用单位对涉密信息系统的建设、使用和管理;也适用于保密管理部门对涉密信息系统的管理和审批63分级保护标准体系《涉及国家秘密的信息系统分级保护技术要求》BMB17-20064涉及国家秘密的信息系统分级保护技术要求物理隔离安全保密产品选择安全域边界防护密级标志基本要求备份与恢复计算机病毒与恶意代码防护应急响应运行管理运行安全环境安全设备安全介质安全物理安全身份鉴别访问控制密码保护电磁泄漏发射防护信息完整性校验系统安全性能检测操作系统安全安全审计抗抵赖数据库安全边界安全防护信息安全保密BMB17-2006框架64涉及国家秘密的信息系统分级保护技术要求物理隔离安全保密产《涉及国家秘密的信息系统分级保护技术要求》主要内容有四个方面将技术要求分为基本要求、物理安全、运行安全和信息安全保密四个部分,对秘密级、机密级和绝密级涉密网络的安全保密技术要求分别进行了描述65分级保护标准体系《涉及国家秘密的信息系统分级保护技术要求》主要内容有四个方面《涉及国家秘密的信息系统分级保护技术要求》主要内容提出了机密级增强保护要求属于下列情况之一的机密级信息系统应选择机密级(增强)的要求:信息系统的使用单位为副省级以上的党政首脑机关,以及国防、外交、国家安全、军工等要害部门;信息系统中的机密级信息含量较高或数量较多;信息系统使用单位对信息系统的依赖程度较高。66分级保护标准体系《涉及国家秘密的信息系统分级保护技术要求》主要内容66分级保《涉及国家秘密的信息系统分级保护技术要求》主要内容提出了网络划分安全域的思想不同的安全域可单独确定等级,并按照相应等级的保护要求进行保护同一等级的不同安全域可根据风险分析的结果和实际安全保密需求,选择不同的保护要求进行保护67分级保护标准体系分域分级分域不分级《涉及国家秘密的信息系统分级保护技术要求》主要内容67分级保《涉及国家秘密的信息系统分级保护技术要求》主要内容提出了根据风险分析结果调整保护措施的条款标准规定可对涉密网络保护进行调整。原则是确保国家秘密安全,不降低涉密系统总体保密强度调整考虑相关性调整的数量、原因等需要文档化68分级保护标准体系《涉及国家秘密的信息系统分级保护技术要求》主要内容68分级保《涉及国家秘密的信息系统分级保护管理规范》BMB20-2007该标准规定了涉密网络分级保护管理过程、管理要求和管理内容适用于使用单位对涉密信息系统的建设、使用和管理;也适用于保密管理部门对涉密信息系统的管理和审批69分级保护标准体系《涉及国家秘密的信息系统分级保护管理规范》BMB20-20070BMB20-2007框架70BMB20-2007框架《涉及国家秘密的信息系统分级保护管理规范》主要内容有三个方面提出了涉密网络分级保护管理过程,明确划分了系统周期的各个阶段,指出了安全保密管理的八个具体环节:系统定级、方案设计、工程实施、系统测评、系统审批、日常保密管理、测评与检查和系统废止71分级保护标准体系《涉及国家秘密的信息系统分级保护管理规范》主要内容有三个方面《涉及国家秘密的信息系统分级保护管理规范》主要内容有三个方面提出了对涉密网络保密管理的基本管理要求,对涉密网络保密管理要求进行了分等级描述提出了涉密网络分级保护管理的内容,形成了完整的涉密网络安全保密管理框架。安全保密管理策略制定、组织机构与制度建设、安全保密管理人员配备与权限划分、人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理和信息安全保密管理72分级保护标准体系《涉及国家秘密的信息系统分级保护管理规范》主要内容有三个方面《涉及国家秘密的信息系统分级保护方案设计指南》BMB23-2008该标准规定了涉密网络分级保护方案应包括的主要内容适用于建设单位和集成资质单位对涉密网络分级保护方案的设计与制定;也适用于保密管理部门对涉密信息系统的管理和审批73分级保护标准体系《涉及国家秘密的信息系统分级保护方案设计指南》BMB23-274分级保护方案的主要内容系统分析安全保密风险分析安全保密需求分析方案总体设计方案详细设计残留风险控制实施计划经费预算相关附件《涉及国家秘密的信息系统分级保护方案设计指南》BMB23-2008框架74分级保护方案的主要内容系统分析安全保密风险分析安全保密需《涉及国家秘密的信息系统分级保护方案设计指南》主要内容有四个方面提出了在涉密网络分级保护方案设计之初要进行细粒度的系统分析、安全保密风险分析和安全保密需求分析的要求提出了涉密网络安全保密防护框架结构并对各项内容进行了详细阐述从物理安全、运行安全、信息安全保密三个方面确定防护技术手段从管理机构、管理人员、管理制度和运行维护四个方面进行安全保密管理设计75分级保护标准体系《涉及国家秘密的信息系统分级保护方案设计指南》主要内容有四个《涉及国家秘密的信息系统分级保护方案设计指南》主要内容有四个方面提出了安全域划分的原则与方法,提供了划分依据,对划分工作进行了具体指导,体现了“规范定密,准确定级”的工作思路提出了残留风险控制的概念,明确了残留风险存在的必然性,对涉密网络安全保密防护的理论研究和实际工作有双重意义76分级保护标准体系《涉及国家秘密的信息系统分级保护方案设计指南》主要内容有四个《涉及国家秘密的信息系统分级保护测评指南》BMB22-2007该标准规定了涉密网络分级保护测评工作的工作流程、测评内容、测评方法和测评结果判定的准则适用于获得国家保密局授权的涉密网络风险评估机构或单位对涉密网络进行安全保密测评;可用于保密管理部门检查依据;也可作为涉密网使用单位自评依据77分级保护标准体系《涉及国家秘密的信息系统分级保护测评指南》BMB22-20078BMB22-2007框架78BMB22-2007框架《涉及国家秘密的信息系统分级保护测评指南》主要内容有三个部分分别是:分级保护测评工作流程、测评内容和方法、测评结果判定测评工作流程包括:资料审查、现场考察、制定测评方案、现场检测、检测结果分析、专家评估、给出测评结论七个环节79分级保护标准体系《涉及国家秘密的信息系统分级保护测评指南》主要内容有三个部分80建设使用单位提交申请材料测评机构进行资料审查测评机构现场考察测评结构制定《测评方案》测评机构实施现场监测测评机构分析检测结果、提出检测意见,起草《检测报告》形成专家评估意见编写测评评估报告通过?通过?及格?通过?将监测评估报告交给建设单位并报备保密管理部门建设使用单位修改资料建设使用单位进行整改否否否否80建设使用单位提交申请材料测评机构进行资料审查测评机构现场《涉及国家秘密的信息系统分级保护测评指南》主要内容有三个部分测评内容和方法:根据《涉及国家秘密的信息系统分级保护技术要求》和《涉及国家秘密的信息系统分级保护管理规范》,从技术和管理两个方面衡量涉密网的安全保密措施是否满足安全需求和安全目标基本测评项:一项不符合则不合格一般测评项:除基本项之外的其他指标81分级保护标准体系《涉及国家秘密的信息系统分级保护测评指南》主要内容有三个部分《涉及国家秘密的信息系统分级保护测评指南》主要内容有三个部分测评得分与结果分值分配:技术管理不同比例,技术比例多多个安全域:若存在多个安全域,则需要对其分别检测并给出最后得分,结果取各域中的最低的分结果为0-100分,合格、基本合格、不合格82分级保护标准体系《涉及国家秘密的信息系统分级保护测评指南》主要内容有三个部分本节课程提纲信息安全、密码管理体制概述信息安全保密管理标准体系信息安全保密管理体系安全保密管理机构安全保密管理制度安全保密管理策略安全保密管理人员83本节课程提纲信息安全、密码管理体制概述83信息安全保密管理体系信息安全保密管理体系意义:安全保密管理体系建设是保证涉密网络稳定可靠、安全保密运行的必要条件和基本保证涉密网络安全保密管理体系由管理机构、管理制度、管理策略等要素组成。84信息安全保密管理体系信息安全保密管理体系84本节课程提纲信息安全、密码管理体制概述信息安全保密管理标准体系信息安全保密管理体系安全保密管理机构安全保密管理制度安全保密管理策略安全保密管理人员85本节课程提纲信息安全、密码管理体制概述85信息安全保密管理体系安全保密管理机构保密委员会机关、单位的保密委员会负责统筹协调涉密网络的安全保密工作。组成:由主管领导作为责任人,信息化、保密、密码、业务部门、保卫和人事部门责任人共同组成86信息安全保密管理体系安全保密管理机构86信息安全保密管理体系安全保密管理机构保密委员会职责(8):根据本单位实际业务和保密工作的实际,提出涉密网络的安全目标和安全要求依据国家相关保密法规,审查和批准本单位涉密信息系统的相关制度、策略和工作规程指导本单位涉密信息系统的设计、建设和运维工作组织开展网络保密检查,对网络管理人员进行教育培训87信息安全保密管理体系安全保密管理机构87信息安全保密管理体系安全保密管理机构保密委员会职责:审查、确定本单位涉密信息系统用户的职责和权限落实保密计划、年度安全报告以及保密宣传教育和培训等工作与相关部门和电力、消防、通信等机构建立日常工作关系,及时报告重大安全事件监督涉密系统运行中执行国家相关保密法律和技术指标的情况88信息安全保密管理体系安全保密管理机构88信息安全保密管理体系安全保密管理机构保密工作机构在保密委员会的领导下,管理日常的保密管理工作,主要对涉密信息系统的设计建设、运行维护等全过程进行监督、检查和指导89信息安全保密管理体系安全保密管理机构89信息安全保密管理体系安全保密管理机构保密工作机构职责(9):组织本单位对涉密信息系统分级保护方案进行审查论证参与、协调本单位涉密信息系统的设计、建设、运维和应用系统的开发制定本机关、单位涉密网络各类规章制度、保密策略、工作规范监督、检查和指导本单位涉密信息系统运维的安全保密情况90信息安全保密管理体系安全保密管理机构90信息安全保密管理体系安全保密管理机构保密工作机构职责:组织、协调对本单位涉密信息系统的检查、应急响应预案编制以及恢复演练对本单位涉密网中设备以及存储介质的授权使用、保管以及维护工作进行指导参与本机关涉密网络管理人员的保密教育与考核组织、审定全年保密计划、年度安全报告负责及时上报、查处泄密事件以及重大安全事件91信息安全保密管理体系安全保密管理机构91信息安全保密管理体系安全保密管理机构信息化工作机构在保密委员会的领导下,在保密工作机构指导下,负责本单位涉密信息系统的建设、日常安全保密管理和运行维护92信息安全保密管理体系安全保密管理机构92信息安全保密管理体系安全保密管理机构信息化工作机构职责(8):按照本单位涉密信息系统运行的管理制度和工作流程要求,组织开展涉密网络的安全方案设计、建设、策略实施、试运行、验收等相关工作负责涉密网络的日常维护根据涉密网络使用人员和授权的原则,进行用户权限设置参与本单位涉密网络的保密检查工作93信息安全保密管理体系安全保密管理机构93信息安全保密管理体系安全保密管理机构信息化工作机构职责:负责单位涉密系统应急预案编制,组织恢复演练对本单位涉密网络中的设备以及存储介质进行授权、维护对涉密网络安全保密情况和安全保密产品的使用情况进行监督、审计制定并落实年度保密计划,编写年度安全报告94信息安全保密管理体系安全保密管理机构94信息安全保密管理体系安全保密管理机构业务部门单位各业务部门负责本部门涉密网的保密管理。业务部门主管领导:负责对本部门的人员配置和用户终端设备提出保密要求,并监督检查落实情况业务部门的安全保密人员:负责本部门日常使用情况的监督检查使用人员:按照保密要求使用和管理信息设备95信息安全保密管理体系安全保密管理机构95信息安全保密管理体系安全保密管理机构业务部门职责(6):结合业务实际,明确涉密网络安全保密工作具体要求和管控措施按照岗位和业务涉密等级,为部门员工申请、配备涉密终端和相关设备建立健全涉密信息设备和存储介质记录组织有关安全保密教育96信息安全保密管理体系安全保密管理机构96信息安全保密管理体系安全保密管理机构业务部门职责:对本部门配置和使用的涉密网络用户终端与外部设备进行安全保密管理和检查督促本部门人员落实信息设备使用和管理的保密责任97信息安全保密管理体系安全保密管理机构97信息安全保密管理体系安全保密管理机构其他部门密码管理部门负责对所配备使用的密码设备进行管理人事管理部门负责对人员进行审查、任用、教育、培训、考核及任免保卫管理部门负责涉密系统周边环境、建筑物、机房、设备间以及相关出入口的安全保卫资产管理部门各类设备和存储介质的记录和配发,以及维修、更换、回收、保存、报废98信息安全保密管理体系安全保密管理机构98信息安全保密管理体系安全保密管理机构人事管理部门负责涉密网络使用人员的政治审查和涉密等级确定负责涉密网络使用人员的保密教育培训和考核负责涉密网络使用人员的调出、离岗、离职、退休前相关保密审查和脱密期管理协助对涉密网络使用人员在出国前进行保密教育和保密提醒对涉密网络使用人员的试用、借调、挂职、学习、实习、返聘、外聘等进行管理99信息安全保密管理体系安全保密管理机构99信息安全保密管理体系安全保密管理机构保卫管理部门负责涉密网络所涉及地区的周边环境、周界、建筑物及要害部门部位的监控和警戒负责对视频监控、电子门禁、防盗报警装置等设备的选型、采购、安装和使用负责对涉密网络所在建筑物的出入进行管理和监控对带入涉密场所的录音、录像及照相设备进行控制,对无线通信设备的携带与使用进行控制对进入涉密场所的值班、工勤服务人员进行保密教育和监督100信息安全保密管理体系安全保密管理机构100信息安全保密管理体系安全保密管理机构资产管理部门负责涉密网络各类设备和存储介质的登记建账和配发负责涉密网络各类设备和存储介质的维修、更换、回收、保存、报废及过程管理101信息安全保密管理体系安全保密管理机构101本节课程提纲信息安全、密码管理体制概述信息安全保密管理标准体系信息安全保密管理体系安全保密管理机构安全保密管理制度安全保密管理策略安全保密管理人员102本节课程提纲信息安全、密码管理体制概述102信息安全保密管理体系安全保密管理制度应依据国家相关保密法规和标准,结合本单位实际业务情况,建立健全涉密信息系统安全保密管理制度安全保密责任制应明确岗位职责,实行领导责任制,层层落实,责任到人涉密信息产生、存储、处理、传输、归档和销毁的全过程人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理和信息安全保密管理103信息安全保密管理体系安全保密管理制度103信息安全保密管理体系安全保密管理制度管理制度一般包括:涉密网络安全保密管理规定涉密信息系统的保密管理机构与职责;系统的安全保密建设和保护要求、运行要求;安全保密监督检查涉密网络中心机房和设备间安全管理规定涉密网络机房和设备间的日常管理;值班人员管理;机房和设备间出入控制管理网络设备与服务器安全保密管理规定交换机、路由器安全保密管理内容;服务器、数据库管理、应用软件的安全保密管理104信息安全保密管理体系安全保密管理制度104信息安全保密管理体系安全保密管理制度管理制度一般包括:设备与介质安全保密管理规定设备与介质选型与采购、交付与验收、台账管理、清查核对、标识与安放、接入管理、变更管理、注销管理、维修与管理安全保密产品管理规定防火墙、入侵检测产品、计算机病毒与恶意代码防护产品、漏洞扫描产品、安全监控与审计产品、身份认证系统、电磁泄漏发射防护产品等的管理105信息安全保密管理体系安全保密管理制度105信息安全保密管理体系安全保密管理制度管理制度一般包括:用户终端、应用系统安全保密管理规定用户终端的准入控制、软件安装管理;应用系统的开发、安装、用户管理与授权、涉密信息总量统计保密检查以及风险评估管理规定保密检查相关规定;风险评估内容、程序、工具、人员、实施方式等安全保密管理人员管理规定涉密网络安全保密管理人员与使用人员的审查、确定、变更、备案以及教育培训106信息安全保密管理体系安全保密管理制度106信息安全保密管理体系安全保密管理制度管理制度一般包括:应急预案与应急响应管理规定软硬件的备份要求;应急预案的编制、完善以及恢复演练的要求信息输入输出管理规定涉密网内各类信息的输入输出管理要求;各类文档的打印、刻录、复制输出控制的管理要求;信息的导入导出流程运行维护服务外包管理规定运维委托单位与承接单位的职责;各类设备、系统的管理配置流程;委托单位和承接单位人员配备107信息安全保密管理体系安全保密管理制度107本节课程提纲信息安全、密码管理体制概述信息安全保密管理标准体系信息安全保密管理体系安全保密管理机构安全保密管理制度安全保密管理策略安全保密管理人员108本节课程提纲信息安全、密码管理体制概述108信息安全保密管理体系安全保密管理制度物理安全策略物理隔离、涉密场所环境与区域控制、中心机房与配线间、综合布线、信息设备安全、无线与多媒体设备使用管控109信息安全保密管理体系安全保密管理制度109信息安全保密管理体系安全保密管理制度信息安全技术策略网络层访问控制策略、应用层访问控制策略、身份认证策略、违规外联监控安全策略、安全监控与审计安全策略、入侵检测安全策略、计算机病毒与恶意代码防范策略、信息交换策略、漏洞扫描安全策略、密码保护安全策略、信息完整性策略、抗抵赖策略、电磁泄漏发射防护运维策略涉密网络运行维护策略、备份与恢复策略、应急响应策略110信息安全保密管理体系安全保密管理制度110本节课程提纲信息安全、密码管理体制概述信息安全保密管理标准体系信息安全保密管理体系安全保密管理机构安全保密管理制度安全保密管理策略安全保密管理人员111本节课程提纲信息安全、密码管理体制概述111信息安全保密管理体系安全保密管理人员安全保密管理人员作用安全保密管理人员职责安全保密管理人员任免安全保密管理人员监管112信息安全保密管理体系安全保密管理人员112信息安全保密管理体系安全保密管理人员作用涉密信息系统安全保密形势依然严峻涉密网络安全保密风险需要持续进行降低难以涵盖所有恶意因素风险只能降低到可控范围内,无法消除频率和危害程度难以量化技术不断发展,风险动态变化涉密网络安全保密管理仍需加强针对性、可操作性不强责任未作细化技术防护未达标准监管不到位113信息安全保密管理体系安全保密管理人员作用113信息安全保密管理体系安全保密管理人员作用涉密信息系统安全保密管理仍需加强安全保密管理应建立制衡机制超级管理员:创建、删除各类用户;对任意文件进行任意操作;随意安装软件程序;任意修改系统配置;任意访问、获取各类信息三员的设立:系统管理员、安全保密管理员和安全审计员114信息安全保密管理体系安全保密管理人员作用114信息安全保密管理体系安全保密管理人员职责国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》要求:应指定在编人员担任系统管理员、安全保密管理员、安全审计员,分别负责系统运行维护、安全保密管理和安全审计工作115信息安全保密管理体系安全保密管理人员职责115信息安全保密管理体系安全保密管理人员职责系统管理员职责负责网络系统、服务器等日常运行维护以及技术支持,保障网络系统、服务器系统、数据库系统和各种软硬件正常运行在安全保密管理员配合下,定期升级安全保密设备及其规则库配合安全保密管理员定期进行病毒查杀,保障涉密网与安全保密设备协调,确保系统操作符合安全保密管理策略116信息安全保密管理体系安全保密管理人员职责116信息安全保密管理体系安全保密管理人员职责系统管理员职责对单位涉密网络的系统日志、策略配置文件等数据定期备份负责定期分析网络设备、操作系统的系统日志,针对系统异常、错误或报警等分析原因,提出解决办法负责网络与系统运行状况统计分析,定期编写网络运行报告根据本机关、单位涉密网络运行需求变化,不断优化系统运行环境,合理配置网络与系统资源117信息安全保密管理体系安全保密管理人员职责117信息安全保密管理体系安全保密管理人员职责安全保密管理员职责负责编制涉密网络安全保密策略文件,实施各类安全保密设备的安全策略,根据环境、系统和威胁变化情况及时调整、更新安全保密策略,及时备份安全保密策略负责实施系统用户权限分配及调整协助系统管理员完成操作系统的各项配置,制定和实施安全保密策略118信息安全保密管理体系安全保密管理人员职责118信息安全保密管理体系安全保密管理人员职责安全保密管理员职责检查分析安全保密设备、操作系统和应用系统用户操作日志,负责对用户及安全审计员的操作行为进行审计负责对系统日志审计、异常事件和行为进行统计分析,定期形成文档化的安全保密审计报告负责网络安全日志、事件信息统计分析,定期开展风险评估工作并形成文档化的风险分析报告119信息安全保密管理体系安全保密管理人员职责119信息安全保密管理体系安全保密管理人员职责安全审计员职责对系统管理员和安全保密管理员制定和更改操作系统、应用系统、网络设备、安全设备的安全策略、用户权限以及参数设置等进行审核和监督定期检查系统管理员和安全保密管理员填写的维护记录,通过记录对系统管理员和安全保密管理员的操作行为实行监督,对可疑的信息进行安全审计和跟踪控制,发现违规行为及时向安全保密管理机构报告120信息安全保密管理体系安全保密管理人员职责120信息安全保密管理体系安全保密管理人员职责安全审计员职责负责对系统管理员和安全保密管理员的异常操作和行为统计分析,定期形成文档化的安全保密审计报告121信息安全保密管理体系安全保密管理人员职责121信息安全保密管理体系安全保密管理人员职责“三员”管理流程举例用户使用涉密网时,首先提出书面申请(信息种类、密级、权限),履行必要审批手续,报送本单位保密管理机构备案系统管理员根据用户书面申请审批情况,在涉密系统中为该用户生成标识符,创建用户账号安全保密管理员根据用户书面申请审批情况,配置相应权限,并激活账号122信息安全保密管理体系安全保密管理人员职责122信息安全保密管理体系安全保密管理人员职责“三员”管理流程举例当用户工作变动或者权限发生变化时,由有关部门书面通知安全保密管理员注销用户账号或进行权限调整,并在本单位的保密管理部门备案安全审计员定期查看与系统管理员、安全保密管理员相关操作的审计日志,当发现用户账号增加、删除和用户权限变化的情况时,及时查阅相关文件,以确定系统管理员、安全保密管理员的操作是否经过授权和批准123信息安全保密管理体系安全保密管理人员职责123信息安全保密管理体系124用户本人书面申请领导审批安全审计员审计系统管理员通知保密管理部门备案提出申请设置权限访问审计涉密网创建账号安全保密管理员通知审计信息安全保密管理体系124用户本人书面申请领导审批安全审计员信息安全保密管理体系安全保密管理人员职责“三员”的相关职责配合管理本单位的设备台账配合定期开展对本单位涉密网络使用人员的培训工作配合完成涉密网络安全保密测评和审批工作配合完成涉密网络保密自查以及不定期的保密检查125信息安全保密管理体系安全保密管理人员职责125信息安全保密管理体系安全保密管理人员任免涉密网络三员应当由本单位在编内部人员担任,通过保密管理部门组织的培训,取得保密管理部门统一颁发的资格证书后,方可上岗履行职责126信息安全保密管理体系安全保密管理人员任免126信息安全保密管理体系安全保密管理人员任免三员应具备的条件政治可靠为首要原则具有计算机网络或信息安全保密相关专业背景以及业务能力参加保密管理部门组织的培训并获得培训证书掌握国家保密法规、相关分级保护标准及保密知识定期接受上级部门或者单位组织的安全保密、网络相关专业培训了解本单位涉密网络环境,掌握所管理具体设备或系统的操作127信息安全保密管理体系安全保密管理人员任免127信息安全保密管理体系安全保密管理人员监管系统管理员、安全保密管理员和安全审计管理员是涉密信息系统安全保密策略的具体执行者,因此在开展涉密网络运行维护和使用保密管理的同时,应接受保密管理部门、信息化工作机构的监管128信息安全保密管理体系安全保密管理人员监管128信息安全保密管理体系安全保密管理人员监管单位保密管理部门应对“三员”在涉密网络运行维护中的工作情况进行监督是否遵守涉密网络安全保密工作流程以及相关管理制度运行维护的相关操作是否经过审批后实施日常操作记录是否全面完整是否定期编写提交运行报告和安全审计报告129信息安全保密管理体系安全保密管理人员监管129信息安全保密管理体系安全保密管理人员监管单位信息化机构应对“三员”在涉密网络中的相关运行维护操作工作进行监督,并考核是否具备岗位能力操作是否合规对涉密网络安全运行状况的监控是否到位是否定期编制审计报告和安全风险评估报告是否及时落实安全隐患、安全漏洞和安全风险的整改措施130信息安全保密管理体系安全保密管理人员监管130信息安全保密管理体系安全保密管理人员监管上级单位信息化工作机构可通过审查各类安全审计日志,对三员的运行维护操作工作进行监督检查人事管理部门对“三员”的任用考察、教育培训、个人日常行为表现、工作纪律、社会交往和经济收入等进行监管131信息安全保密管理体系安全保密管理人员监管131演讲完毕,谢谢观看!演讲完毕,谢谢观看!信息安全xx管理

第三章信息安全xx管理制度、标准

与管理体系2014秋信息安全xx管理

第三章信息安全xx管理制度、标准

与本章课程提纲信息安全、密码管理体制概述保密管理制度与标准体系安全保密管理体系134本章课程提纲信息安全、密码管理体制概述2本章课程提纲信息安全、密码管理体制概述信息安全管理体制现状国家信息安全管理体制建设国家信息安全管理机构框架我国国家信息安全监控管理体系我国国家信息安全测评认证管理体制我国国家密码管理体制135本章课程提纲信息安全、密码管理体制概述3本章课程提纲信息安全、密码管理体制概述信息安全管理体制现状国家信息安全管理体制建设国家信息安全管理机构框架我国国家信息安全监控管理体系我国国家信息安全测评认证管理体制我国国家密码管理体制136本章课程提纲信息安全、密码管理体制概述4信息安全管理体制现状137我国长期以来一直十分重视信息安全工作敏感性、特殊性和战略性的高度自始至终置于党和国家的绝对领导之下国家密码管理部门、安全机关、公安机关和保密主管部门等分工协作信息安全管理体制现状5我国长期以来一直十分重视信息安全工作138我国信息安全管理工作的机构格局国家信息化领导小组对信息化建设中的重大问题进行管理成员包括中央、国务院和军队有关部门的主要负责人信息化领导小组办公室为办事机构国家信息化专家咨询委员会聘请有关专家组成,负责就我国信息化发展中的重大问题向国家信息化领导小组提出建议信息安全管理体制现状6我国信息安全管理工作的机构格局信息安全管理体制现状139我国信息安全管理工作的机构格局政府有关信息安全的其他管理和执法部门公安部、国家安全部、国家保密局、国家密码管理委员会、国务院新闻办公室国家网络与信息安全协调小组负责对信息安全工作的领导和协调信息安全管理体制现状7我国信息安全管理工作的机构格局信息安全管理体制现状本章课程提纲信息安全、密码管理体制概述信息安全管理体制现状国家信息安全管理体制建设国家信息安全管理机构框架我国国家信息安全监控管理体系我国国家信息安全测评认证管理体制我国国家密码管理体制140本章课程提纲信息安全、密码管理体制概述8建设原则

统一管理、分级负责、群防群治、以人为本统一管理原则要健全信息安全行政管理体制按照中央统一领导、充分发挥地方主动性积极性的原则,明确中央各部门和地方对信息安全的管理权责要加强国家信息安全组织协调逐步建立中央统一协调、地方密切配合的管理体系141国家信息安全管理体制建设建设原则9国家信息安全管理体制建设建设原则分级负责原则中央政府各部门:承担国家信息安全保障体系建设、管理和运行任务。各省级的政府部门:承担所辖范围信息安全保障体系建设、管理和运行。大企业承担国家信息安全基础设施的建设、管理和运行,按照隶属关系实行归口管理。各级各类信息安全机构和人员必须严格遵守信息安全管理制度。142国家信息安全管理体制建设建设原则10国家信息安全管理体制建设建设原则群防群治原则各级政府:主要承担国家信息安全保障的立法、执法、规划、计划、监督、检查和掌握关键技术、要害部位企业:主要承担产品开发、体系建设、运营保障、技术服务等任务个人:主要承担依法获取信息、利用信息和保护信息安全的责任军队:军队信息安全保障是国家信息安全保障的重要组成部分143国家信息安全管理体制建设建设原则11国家信息安全管理体制建设建设原则以人为本原则多层次、多渠道、大规模的开展人才培训积极营造国家信息安全优秀人才脱颖而出和人尽其用的政策环境大力提高全民信息安全意识各级政府应成立信息安全专家咨询委员会144国家信息安全管理体制建设建设原则12国家信息安全管理体制建设本章课程提纲信息安全、密码管理体制概述信息安全管理体制现状国家信息安全管理体制建设国家信息安全管理机构框架我国国家信息安全监控管理体系我国国家信息安全测评认证管理体制我国国家密码管理体制145本章课程提纲信息安全、密码管理体制概述13国家信息化领导小组对信息化建设中重大问题进行管理信息化领导小组办公室作为信息安全工作的办事机构,负责组织和制定有关信息安全的政策、法规和标准,并监督其执行情况国家网络与信息安全协调小组负责对信息安全工作的领导和跨部门的协调成员有工信部、公安部、国家保密局、国家密码管理委员会、国家安全部等146国家信息安全管理机构框架国家信息化领导小组14国家信息安全管理机构框架国家保密局:主管全国计算机信息系统的保密工作国家密码管理委员会:主管密码算法与设备的审批和使用工作国务院新闻办公室:负责信息内容的监察147国家信息安全管理机构框架国家保密局:主管全国计算机信息系统的保密工作15国家信息安全公安部公共信息网络安全监察局:负责计算机信息系统安全专业产品的生产销售认证许可工作公安部计算机信息系统安全产品质量监督检验中心:承担国内计算机信息系统产品的质量监督检测工作国家安全部:主管计算机网络国际联网的国家安全防护管理工作148国家信息安全管理机构框架公安部公共信息网络安全监察局:负责计算机信息系统安全专业产品国家信息安全委员会由国家信息化领导小组领导,是国家信息安全保障工作的最高领导机构,承担国家信息安全保障的组织指挥、计划协调、执法管理等重要任务。成员由来自政府和军队各部门领导人员组成,包括外交部长、财政部长、国家安全部长、国家保密局长、科技部长、国家发展改革委员会主任、国防部长、工信部部长、公安部长、教育部长、中央机要局长、交通部长、广电总局局长、总参谋长等。主席由主管信息安全工作的副总理担任。下设12个分委员会149国家信息安全管理机构框架国家信息安全委员会17国家信息安全管理机构框架本章课程提纲信息安全、密码管理体制概述信息安全管理体制现状国家信息安全管理体制建设国家信息安全管理机构框架我国国家信息安全监控管理体系我国国家信息安全测评认证管理体制我国国家密码管理体制150本章课程提纲信息安全、密码管理体制概述18我国国家信息安全监控管理体系国家信息安全监控的作用信息安全监控已成为维护国家安全、不断加强自身获取有用信息能力的重要手段之一保密法、国家安全法等为国家和军队的监控行为提供了法律基础信息安全监控已逐渐成为执法部门进行犯罪调查取证时广泛采用的手段之一151我国国家信息安全监控管理体系国家信息安全监控的作用19我国国家信息安全监控管理体系国家信息安全监控的作用政治方面可及时发现国外反动势力的政治图谋、恐怖计划可及时掌握国内反政府势力、分裂分子、恐怖分子和刑事犯罪分子的活动情况可及时掌握舆论方向,更有针对性的进行引导经济方面可及时发现贪污受贿、走私贩毒、金融诈骗、洗钱炒汇等经济犯罪信息军事方面可及时发现和掌握国外军事集团发展、军事装备研究、军事组织调动、军事理论研究、军事情报传递等军事信息152我国国家信息安全监控管理体系国家信息安全监控的作用20我国国家信息安全监控管理体系国家信息安全监控的作用文化方面特别是对国际互联网等计算机网络的实时监控,可及时发现和处置网络攻击、病毒传播、文化入侵等情况,是对网络和系统实施保护、监测和过滤有害信息、打击网络犯罪的有效方法。我国应建立以全球信息安全监控系统和国内信息安全监控系统相结合的管理体制。153我国国家信息安全监控管理体系国家信息安全监控的作用21我国国家信息安全监控管理体系国家信息安全监控管理机构国际信息安全监控系统国安信息安全监控系统由国家安全部负责负责国外政治、经济、文化、外交等信息的拦截、分析、分类和处理等监控工作国防信息安全监控系统由总参谋部负责负责对国外军事信息的拦截、破译、分析、处理等双方的有效合作形成完整的国际信息安全监控系统154我国国家信息安全监控管理体系国家信息安全监控管理机构22我国国家信息安全监控管理体系国家信息安全监控管理机构国内信息安全监控系统国家公众信息安全监控系统由公安部负责主要实施对利用通信网、广电网、互联网进行计算机病毒传播、网络犯罪、有害信息传播、网络恐怖活动等危害公众安全利益活动的监控、刑侦、处理工作。国家信息安全监控系统由国家安全部负责主要实施对国内外敌对势力利用计算机网络进行反动宣传、渗透和攻击,策划和制造事端,破坏社会稳定等活动的信息收集和分析、处理等工作。155我国国家信息安全监控管理体系国家信息安全监控管理机构23我国国家信息安全监控管理体系国家信息安全监控管理机构国内信息安全监控系统军事信息安全监控系统由总参谋部负责主要实施对国防信息、军事信息、外交信息等各种信息的整理、存储、分析和监控工作国家保密信息安全监控系统由国家保密局负责主要实施对涉及国家政治、经济、军事、科技、文化等各种涉密信息的监控、分析和处理。其中军事信息由总参谋部负责。156我国国家信息安全监控管理体系国家信息安全监控管理机构24本章课程提纲信息安全、密码管理体制概述信息安全管理体制现状国家信息安全管理体制建设国家信息安全管理机构框架我国国家信息安全监控管理体系我国国家信息安全测评认证管理体制我国国家密码管理体制157本章课程提纲信息安全、密码管理体制概述25我国国家信息安全测评认证管理体制国家信息安全测评认证管理原则科学不断完善先进的技术方法,采用统一的测试标准,形成模块化、表格化的测试流程。公正按照科学的标准,客观公正的面向送检单位,形成测、评、认相对独立、互相制约的监督机制。严谨要有严谨的工作作风,要有严格的审核、检测和审批制度。高效不断提高工作效率,特别强调服务态度和服务质量。158我国国家信息安全测评认证管理体制国家信息安全测评认证管理原则我国国家信息安全测评认证管理体制国家信息安全测评认证工作的特点权威性中国信息安全产品测评认证管理委员会是代表国家从事信息安全(保密)产品测评认证工作的唯一管理机构,颁发的证书必须得到全国使用信息安全产品的各专业领域的认可强制性国家选用的信息安全保密产品必须经过国家测评认证,未经认证的产品不得使用监督性中国信息安全测评认证管理委员会有关部门负有对全国信息安全保密产品进行监督检查的职能159我国国家信息安全测评认证管理体制国家信息安全测评认证工作的特我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构国家信息安全测评认证管理委员会是中国信息安全测评认证管理的最高机构负责指导、管理和授权有关测评认证机构,包括中国信息安全产品测评认证中心,各行业、各部门测评认证中心,实验室等160我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构中国信息安全测评中心与中国信息安全认证中心对国内外信息安全产品和信息技术进行测评和认证对国内信息系统和工程进行安全性评估和认证对提供信息安全服务的组织和单位进行评估和认证对信息安全专业人员的资质进行评估和认证161我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构中国人民解放军信息安全测评认证中心为军队和国内的信息安全保密产品研发单位提供测评认证技术服务为军队信息安全保密产品用户提供相应的技术支持服务162我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构公安部计算机信息系统安全产品质量监督检验中心承担对网络安全保护、防雷击、防病毒三大类产品的销售许可检测工作。检测范围包括:功能检测、性能检测和系统评估。公安部信息安全等级保护评估中心按照有关标准对部分安全专用产品进行分级测试,目的是验证等级保护配套标准、评估工具、评估方法和评估内容。163我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构国家保密局涉密信息系统安全保密产品测评认证中心对用于涉密信息系统的保密产品进行检测,对涉密信息系统进行安全保密测评国家信息安全授权测评实验室是由中国信息安全测评认证管理委员会批准和授权的实验机构164我国国家信息安全测评认证管理体制国家信息安全测评认证管理机构我国国家信息安全测评认证管理体制国家信息安全测评认证管理过程信息系统安全测评认证流程申请及文档审查阶段项目启动阶段系统安全要求检查及现场核查阶段安全性测试阶段认证与认可阶段165我国国家信息安全测评认证管理体制国家信息安全测评认证管理过程本章课程提纲信息安全、密码管理体制概述信息安全管理体制现状国家信息安全管理体制建设国家信息安全管理机构框架我国国家信息安全监控管理体系我国国家信息安全测评认证管理体制我国国家密码管理体制166本章课程提纲信息安全、密码管理体制概述34密

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论