信息网络安全等级保护

信息网络安全等级保护工作介绍一、相关概念信息网络安全：指计算机网络硬件设备、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、泄漏。包括：基础信息网络和重要信息系统。信息网络安全等级保护：指将安全策略、安全责任和安全保障等计算机信息网络安全需求划分不同的等级，国家、企业和个人依据不同等级的要求有针对性地保护信息网络安全。二、目的和依据目的：为了加强信息安全等级保护定级工作的组织实施和监督指导，科学、准确、合理地评审、确定信息系统等级，促进等级保护管理工作规范化、制度化。依据：《浙江信息安全等级保护管理办法》省政府223号令。三、确定基础信息网络和重要信息系统的依据主要是根据其在国家安全、经济建设、社会生活中的重要程度及实际安全需要，遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及公民、法人和其他组织的合法权益的危害程度来确定的。基础信息网络主要包括公用通信网、广播电视传输网等。重要信息系统主要包括：党政事务处理信息系统；金融、财税、海关业务信息系统；铁路、机场、交通（港口）等业务信息系统；医疗、社（医）保、供水、电力、燃气等业务信息系统；国家和省规定的其他重要信息系统。四、等级评审流程1、提交申请资料保护等级应当在信息系统规划设计时按照223号令第十条规定报经审定。（新建、扩建，现在已建成）省级部门在确定安全保护等级后，直接向省信息化行政主管部门（省信息产业厅）提交申请资料。设区的市：各信息系统运营、使用单位确定安全保护等级后，定为二、三级的向当地的市信息化行政主管部门提交申请资料；定为四级的直接向省信息化行政主管部门（省信息产业厅）提交申请资料。提交申请材料内容4个方面（1个情况、1个信息、2个资料）㈠申报单位基本情况：单位名称、法定代表人、通信地址、联络方式等基本情况。㈡信息系统基本信息1、信息系统的行业特征、主管机构、地理位置、业务范围、业务种类和特性等基本情况。2、信息系统管理框架，主要包括组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责、用户范围和用户类型基本情况；3、信息系统的网络及设备部署，主要包括信息系统的物理环境、网络拓扑结构、网络边界描述和硬件设备的部署等情况。㈢信息系统划分资料1、划分原则和方法；2、信息系统列表；3、每个信息系统的概述；4、每个信息系统支撑的业务应用的列表；5、每个业务应用处理的信息资产类型；6、每个业务应用的服务范围和用户类型；7、每个业务应用的其他特性。㈣等级确定资料1、安全需求分析：安全需求分析报告、等级保护基本要求；2、总体安全设计规划（总体安全策略、总体安全方案、安全技术防护措施、安全保护管理制度、信息安全应急预案等）；3、信息系统安全自评估报告；4、安全保护等级自定级报告；

2、受理省信息化行政主管部门受理省级单位信息系统安全等级定级、等级变更的评审申请；受理四级重要信息系统安全等级的评审申请；设区的市信息化行政主管部门受理二、三级信息系统安全等级定级、等级变更的评审申请。3、评审受理申请的的信息化行行政主管部部门，应当当自受理之之日起20个工作日日内，委托托专家组进进行评审。。信息化行行政主管部部门应当自自评审之日日起45个个工作日内内审定专家家组提出评评审意见并并书面通报报。省信息化行行政主管部部门组织专专家组进行行评审，审审定省级及及三级专家家组评审意意见；对拟拟确定为四四级信息系系统安全等等级申请提提出初审意意见。设区的市信信息化行政政主管部门门组织专家家组进行评评审，审定定二级专家家组评审意意见，并向向省信息化化行政主管管部门报备备；对三级级信息系统统安全等级级定级、等等级变更的的申请提出出初审意见见。4、复审申申请对审定结果果有异议的的，应当自自收到该审审定结果之之日起60日内，可可以向省信信息化行政政主管部门门提出复审审申请。5、变更信息系统运运营、使用用单位需要要变更安全全等级的，，应当向原原审定的信信息化行政政主管部门门提出等级级变更申请请。受理申申请的信息息化行政主主管部门按按照本细则则第十条规规定重新组组织审定。。五、实施等等级保护工工作的主要要阶段第一阶段：：系统定级级第二阶段：：定级评审审第三阶段：：系统备案案第四阶段：：等级测评评、整改第五阶段：：安全管理理、建设第一阶段：：系统定级级信息系统使使用单位按按照等级保保护的管理理规范和技技术标准，，确定其信信息系统的的安全保护护等级，并并报其主管管部门审批批同意。系统涉及国国家秘密的的部分按照照《涉密信信息系统分分级保护管管理办法》》(国保发发[2005]16号)和《《涉及国家家秘密的信信息系统分分级保护技技术要求》》（国家保保密标准BMBl7-2006）确定定信息系统统的安全保保护等级。。跨市或者者全省统一一联网运行行的信息系系统可以由由主管部门门统一确定定安全保护护等级。信息系统等等级安全保保护定级原原则信息系统安安全保护等等级既不是是信息系统统安全保障障等级，也也不是信息息系统所能能达到的技技术能力等等级，而是是从国家管管理的需要要出发，从从信息系统统对国家安安全、经济济建设、公公共利益等等方面的重重要性，以以及信息或或信息系统统被破坏后后造成危害害的严重性性角度确定定的信息系系统应达到到的安全等等级。定级工作原原则原则一：自自主定级原原则。“依依照标准，，自行保护护”，因此此定级工作作必须由单单位依照相相关法律规规范和标准准来自行定定级。定级级工作的责责任主体为为信息系统统主管单位位。原则二：满满足国家管管理要求原原则。信息息系统安全全保护等级级既不是信信息系统安安全保障等等级，也不不是信息系系统所能达达到的技术术能力等级级，而是从从国家管理理的需要出出发，立足足信息系统统对国家安安全、经济济建设、公公共利益等等方面的重重要性角度度，及信息息或信息系系统被破坏坏后造成危危害的严重重性角度来来确定的信信息系统应应达到的安安全等级。。定级工作原原则原则三：全全局性原则则。信息息系统安全全等级保护护是针对全全国范围内内、涵盖各各个行业信信息系统的的管理制度度，信息系系统安全保保护等级的的划分也必必须从国家家层面考虑虑，体现全全局性。原则四：业业务为核心心原则。信信息系统是是为业务应应用服务的的，信息系系统的安全全保护等级级应当依据据信息系统统承载业务务的重要性性、业务对对信息系统统的依赖度度和系统特特殊的安全全需求确定定。原则五：合合理性原则则。不同于于信息安全全产品，信信息系统千千差万别，，各具特色色，只有在在划分安全全保护等级级的过程中中，尽可能能反映出信信息系统的的主要安全全特征，合合理划分等等级，才能能做到突出出重点，适适度保护。。五级安全等等级描述第一级:受受到破坏后后，会对公公民、法人人和其他组组织的合法法权益造成成损害，但但不损害国国家安全、、社会秩序序和公共利利益会秩序序和公共利利益。第二级:受受到破坏后后，会对公公民、法人人和其他组组织的合法法权益产生生严重损害害，或者对对社会秩序序和公共利利益造成损损害，但不不损害国家家安全。第三级:受受到破坏后后，会对社社会秩序和和公共利益益造成严重重损害，或或者对国家家安全造成成损害。第四级:受受到破坏后后，会对社社会秩序和和公共利益益造成特别别严重损害害，或者对对国家安全全造成严重重损害。第五级:受受到破坏后后，会对国国家安全造造成特别严严重损害。。系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级一级信息系系统举例：：公民个人的的单机系统统，小型集集体、民营营企业所所属的信信息系统，，中、小学学校的信息息系统，乡乡镇级党政政机关、事事业单位的的信息系统统，其他小小型组织的的信息系统统。二级信息系系统举例：：县级、地市市级电信、、广电、银银行、铁道道、海关、、税务、民民航、证券券、电力、、保险、公公安、财务务、财政、、金融、社社保、工商商、审计、、能源、化化工、社会会服务保障障、卫生、、交通运输输、国土资资源、邮政政、应急急抢险、农农业等行业业所属独立立的信息系系统，中型型集体、民民营企业、、小型国有有企业所属属的信息系系统，县级级党政机关关、事业单单位的信息息系统，普普通高等院院校和科研研机构的信信息系统，，其他中型型组织的信信息系统。。三级信息系系统举例：：省级和副省省级电信、、广电、银银行、铁道道、海关、、税务、民民航、证券券、电力、、保险、公公安、财政政、金融、、社保、工工商、审计计、能源、、化工、社社会服金金融、社保保、工商、、审计、能能源、化工工、社会服服务保障、、卫生、交交通运输、、国土资源源、邮政、、应急抢险险、农业等等行业所属属独立的重重要信息系系统，大型型集体、民民营企业、、大中型国国有企业所所属的重要要信息系统统，地市级级党政机关关、事业单单位的重要要信息系统统，重点高高等院校和和科研机构构的重要信信息系统，，其他大中中型组织的的信息系统统。四级信息系系统举例：：国家级电信信、广电、、银行、铁铁道、海关关、税务、、民航、证证券、电力力、保险、、公安、财财政、金融融、社保、、工商、审审计、能源源、化工、、社会服务务保障、卫卫生、交通通运输、国国土资源、、邮政、应应急抢险等等行业所属属全程全网网的特大型型信息系统统，特大型型国有企业业所属全全程全网的的特大型信信息系统，，省级党政政机关、事事业单位所所属的重要要信息系统统，重点科科研机构的的重要信息息系统。五级信息系系统举例：：国家级电信信、广电、、银行、铁铁道、海关关、税务、、民航、证证券、电力力、保险等等重要信息息系统中的的核心子系系统，涉及及国防、重重大外交、、航天航空空、核能源源、尖端端科学技术术等重要信信息系统中中的核心子子系统，国国家级党政政机关重要要信息系统统中的核心心子系统。。第二阶段：：定级评审审使用单位初初步确定安安全保护等等级后，应应聘请专家家进行评审审。对拟确定为为第四级、、第五级信信息系统，，使用单位位或主管部部门应经省省信息化行行政主管部部门初审后后，请国家家信息安全全等级保护护专家评审审委员会评评审。其它定级评评审，依照照《浙江省省信息安全全等级评审审实施细则则》执行。。第三阶段：：系统备案案在信息系统统安全保护护等级确定定三十天内内，使用单单位填写备备案表，向向公安机关关办理备案案手续，提提交有关备备案材料及及电子数据据文件。系系统涉及国国家秘密的的，向保密密工作部门门备案。系系统中使用用的密码设设备向密码码管理部门门备案。二级以上的的信息系统统，由使用用单位报送送本地区地地市级公安安机关备案案。跨地域域的信息系系统由其主主管部门向向其所在地地的同级公公安机关进进行总备案案，分系统统分别由当当地运营、、使用单位位向本地地地市级公安安机关备案案。第四阶段：：安全等级级测评与整整改评测单位依依照《信息息系统安全全等级保护护基本要求求》、《信信息安全等等级保护实实施指南》》、《信息息系统安全全等级保护护测评准则则》等标准准对信息系系统进行安安全等级测测评，给出出相应的系系统安全检检测评估报报告。对已有的信信息系统，，使用单位位应根据已已确定的信信息安全保保护等级，，按照等级级保护的管管理规范和和技术标准准，采购和和使用相应应等级的信信息安全产产品，建设设安全设施施，落实安安全技术措措施，完成成系统整改改。第五阶段：：安全管理理与建设安全管理包包括安全技技术和设备备的管理，，安全管理理制度，部部门与人员员的组织规规则等。管管理的制度度化程度极极大地影响响着整个网网络的安全全，严格的的安全管理理制度、明明确的部门门安全职责责划分、合合理的人员员角色定义义都可以在在很大程度度上降低其其它层次的的安全漏洞洞。9、静静夜夜四四无无邻邻，，荒荒居居旧旧业业贫贫。。。。12月月-2212月月-22Thursday,December29,202210、雨雨中中黄黄叶叶树树，，灯灯下下白白头头人人。。。。03:49:2203:49:2203:4912/29/20223:49:22AM11、以我独沈沈久，愧君君相见频。。。12月-2203:49:2203:49Dec-2229-Dec-2212、故人江江海别，，几度隔隔山川。。。03:49:2203:49:2203:49Thursday,December29,202213、乍见翻疑疑梦，相悲悲各问年。。。12月-2212月-2203:49:2203:49:22December29,202214、他乡乡生白白发，，旧国国见青青山。。。29十十二二月20223:49:22上上午03:49:2212月月-2215、比不了了得就不不比，得得不到的的就不要要。。。十二月223:49上午午12月-2203:49December29,202216、行动动出成成果，，工作作出财财富。。。2022/12/293:49:2203:49:2229December202217、做前，能能够环视四四周；做时时，你只能能或者最好好沿着以脚脚为起点的的射线向前前。。3:49:22上上午3:49上上午03:49:2212月-229、没没有有失失败败，，只只有有暂暂时时停停止止成成功功！！。。12月月-2212月月-22Thursday,December29,202210、很很多多事事情情努努力力了了未未必必有有结结果果，，但但是是不不努努力力却却什什么么改改变变也也没没有有。。。。03:49:2203:49:2203:4912/29/20223:49:22AM11、成成功功就就是是日日复复一一日日那那一一点点点点小小小小努努力力的的积积累累。。。。12月月-2203:49:2203:49Dec-2229-Dec-2212、世间成成事，不不求其绝绝对圆满满，留一一份不足足，可得得无限完完美。。。03:49:2203:49:2203:49Thursday,December29,202213、不知知香积积寺，，数里里入云云峰。。。12月月-2212月月-2203:49:2203:49:22December29,202214、意志坚坚强的人人能把世世界放在在手中像像泥块一一样任意意揉捏。。29十十二月20223:49:22上午午03:49:2212月-2215、楚楚塞塞三三湘湘接接，，荆荆门门九九派派通通。。。。。十二二月月223:49上上午午12月月-2203:49December29,202216、少年年十五五二十十时，，步行行夺得得胡马马骑。。。2022/12/293:49:2203:49:2229December202217、空山新新雨后，，天气晚晚来秋。。。3:49:22上午午3:49上午午03:49:2212月-229、杨柳散和和风，青山山澹吾虑。。。12月-2212月-22Thursday,December29,202210、阅读一切切好书如同同和过去最最杰出的人人谈话。03:49:2203:49: