信息安全等级保护培训

信息平安等级保护培训

一、我国在信息平安保障工作中为什么要实行等级保护制度

当前，我国根底信息网络和重要信息系统平安面临的形势十分严峻，既有外部威胁，又有自身脆弱性和薄弱环节。一是针对根底信息网络和重要信息系统的违法犯罪持续上升。二是根底信息网络和重要信息系统平安隐患严重。三是我国的信息平安保障工作根底还很薄弱。二、实行信息平安等级保护制度能够解决哪些主要问题信息平安等级保护是国家信息平安保障工作的根本制度、根本策略、根本方法。开展信息平安等级保护工作是保护信息化开展、维护国家信息平安的根本保障，是信息平安保障工作中国家意志的表达。有效解决我国信息平安面临的威胁和存在的主要问题，充分表达“适度平安、保护重点〞的目的，将有限的财力、物力、人力投入到重要信息系统平安保护中，按标准建设平安保护措施，建立平安保护制度，落实平安责任，有效保护根底信息网络和关系国家平安、经济命脉、社会稳定的重要信息系统的平安，有效提高我国信息平安保障工作的整体水平。三、国家、有关部门和企业在等级保

护工作中各自的责任和义务是什么

1、国家层面2、信息平安监管部门〔包括公安机关、保密部门、国家密码工作部门〕3、信息系统主管部门4、信息系统运营使用单位5、平安效劳机构等级保护工作的职责分工公安机关是等级保护工作的牵头部门，承担着信息平安等级保护工作的监督、检查、指导；国家保密工作部门、国家密码管理部门负责等级保护工作中有关保密工作和密码工作的监督、检查、指导；国信办及地方信息化领导小组办事机构负责等级保护工作部门间的协调。其中，涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责；非涉及国家秘密信息系统的等级保护监督管理工作由公安机关负责。公安机关牵头开展等级保护工作的法律政策依据

1994年，?中华人民共和国计算机信息系统平安保护条例?规定，“计算机信息系统实行平安等级保护，平安等级的划分标准和平安等级保护的具体方法，由公安部会同有关部门制定〞。1995年2月18日人大12次会议通过并实施的?中华人民共和国警察法?第二章第六条第十二款规定，公安机关人民警察依法履行“监督管理计算机信息系统的平安保护工作〞。2003年?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号〕明确指出“实行信息平安等级保护〞。“要重点保护根底信息网络和关系国家平安、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息平安等级保护制度，制定信息平安等级保护的管理方法和技术指南〞。

四、近几年来开展了哪些具体工作一是制定了50多个国标和行标，初步形成了信息平安等级保护标准体系二是开展了等级保护根底调查工作三是开展了等级保护试点工作四是出台了公安部、国务院信息化工作办公室等四部门?关于信息平安等级保护工作的实施意见?66号文、?信息平安等级保护管理方法?43号文、861号文等政策文件。五是召开“全国重要信息系统平安等级保护定级工作电视会议〞六是成立“国家信息平安等级保护协调小组〞五、等级保护工作的主要流程包括哪

些，开展等级保护工作的根本要求

是什么主要流程包括六项内容：一是自主定级与审批。二是评审。三是备案。四是系统平安建设。五是等级测评。六是监督检查。六、开展等级保护工作的总体要求各根底信息网络和重要信息系统，按照“准确定级、严格审批、及时备案、认真整改、科学测评〞的要求完成等级保护的定级、备案、整改、测评等工作。公安机关和保密、密码工作部门要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。对成心将信息系统平安级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大平安事故的，要追究单位和人员的责任。七、定级工作的主要步骤是什么

定级是等级保护工作的首要环节，是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要根底。第一步，摸底调查，掌握信息系统底数第二步，确定定级对象第三步，初步确定信息系统等级第四步，信息系统等级评审

第五步，信息系统等级的最终确定与审批第六步：备案。第七步：备案审核。第八步：及时总结并提交总结报告。第一步，摸底调查，掌握信息系统底数

按照?定级工作通知?确定的定级范围，各单位、各部门可以组织开展对所属信息系统进行摸底调查，摸清信息系统底数，掌握信息系统〔包括信息网络〕的业务类型、应用或效劳范围、系统结构等根本情况，为下一步明确要求、落实责任奠定根底。第二步，确定定级对象一是应用系统应按照不同业务类别单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象条件。起传输作用的根底网络要作为单独的定级对象。二是确认负责定级的单位是否对所定级系统具有平安管理责任。三是具有信息系统的根本要素。

第三步，初步确定信息系统等级信息系统的平安保护等级是信息系统的客观属性，不以已采取或将采取什么平安保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家平安、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的平安保护等级。既要防止个别单位片面追求绝对平安而定级过高，也要防止为了逃避监管定级偏低。信息网络的平安等级可以参照在其上运行的信息系统的等级、网络的效劳范围和自身的平安需求确定适当的保护等级，不以在其上运行的信息系统的最高等级或最低等级为标准。跨省或者全国统一联网运行的信息系统，可以由主管部门统一确定平安保护等级。由各行业统一规划、统一建设、统一平安保护策略的信息系统，应由各部委统一确定一个级别；由各部委统一规划、分级建设、运行的信息系统，应由部、省、地市分别确定系统等级，但各行业应对该类系统提出定级意见，防止出现同类系统定级出现较大偏差问题。平安保护等级的划分

业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级五级监管等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查第四步，信息系统等级评审

在信息系统平安保护等级确定过程中，可以聘请专家进行咨询评审，并出具定级评审意见。对拟确定为第四级以上信息系统的，运营使用单位或者主管部门应当请国家信息平安保护等级专家评审委员会评审，出具评审意见。当专家意见与运营使用单位或者主管部门不一致时，以运营使用单位或者主管部门意见为准。

在信息系统平安保护等级确定过程中，可以聘请专家进行咨询评审，并出具定级评审意见。对拟确定为第四级以上信息系统的，运营使用单位或者主管部门应当请国家信息平安保护等级专家评审委员会评审，出具评审意见。当专家意见与运营使用单位或者主管部门不一致时，以运营使用单位或者主管部门意见为准。第五步，信息系统等级的最终确定与审批

信息系统运营使用单位参考专家定级评审意见，最终确定信息系统等级，形成?定级报告?。信息系统运营使用单位有上级主管部门的，应当经上级主管部门对平安保护等级进行审核批准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统，那么必须由其上级主管部门审批，确保同类系统或分支系统在各地域分别定级的一致性。第六步，备案

第二级以上信息系统，在平安保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。定级工作的结果是以备案完成为标志。根底信息网络和重要信息系统的定级、备案工作9月底前完成。第七步，备案审核

受理备案的公安机关要公布备案受理地点、备案联系方式等。在受理备案时，应对提交的备案材料进行完整性审核和定级准确性审核。对符合等级保护要求的，应颁发信息系统平安等级保护备案证明。发现定级不准的，通知备案单位重新审核确定。第八步，及时总结并提交总结报告

各地区、各部门要结合本地区、本行业开展定级工作的实际，认真总结经验和缺乏，提出改进和完善定级方法的意见和建议，及时总结定级工作经验，形成定级工作总结报告，并于10月中旬报送公安部。八、定级工作完成后需要开展哪些工作

一是开展平安建设和整改。二是开展等级测评。三是开展自查。九、开展平安等级保护工作依据的主要标准有哪些1、根底标准－划分准那么〔GB17859〕2、基线标准－?信息系统平安等级保护根本要求?3、辅助标准－定级指南、实施指南、测评准那么4、目标标准－?信息系统通用平安技术要求?〔GB/T20271〕?网络根底平安技术要求?〔GB/T20270〕?操作系统平安技术要求?〔GB/T20272〕?数据库管理系统平安技术要求?〔GB/T20273〕?终端计算机系统平安等级技术要求?〔GA/T671〕?信息系统平安管理要求?〔GB/T20269〕?信息系统平安工程管理要求?〔GB/T20282〕5、产品标准－防火墙、入侵检测、终端设备隔离部件等十、公安机关组织开展等级保护中的职责任务是什么

1、监督、检查、指导信息系统运营使用单位和主管部门开展信息平安等级保护工作；2、监督、检查信息系统运营使用单位的平安保护管理制度和技术措施落实情况、定级和备案情况、平安整改、等级测评、产品使用、自查等情况。十一、公安机关如何对实施信息平安等级保护进行监督管理

一是指导定级。二是受理备案。三是定期检查。系统定级的具体实施定级根本流程13、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全保护等级4、业务信息安全保护等级8、定级对象的安全保护等级依据表2依据表31、确定定级对象表2业务信息平安等级矩阵表根据系统效劳平安被破坏时所侵害的客体以及对相应客体的侵害程度，依据表2系统效劳平安等级矩阵表，即可得到系统效劳平安等级。业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级表3系统效劳平安等级矩阵表作为定级对象的信息系统的平安保护等级由业务信息平安等级和系统效劳平安等级的较高者决定。定级对象等级确定后，可参照附件中的?信息系统平安保护等级定级报告?模版起草定级报告。系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级不同危害后果的三种危害程度描述如下：一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的资产损失，有限的社会不良影响，对其他组织和个人造成较低损害。严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。信息平安和系统效劳平安被破坏后对客体的侵害程度，由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统效劳特点各不相同，信息平安和系统效劳平安受到破坏后关注的危害结果、危害程度的计算方式均可能不同，各行业可根据本行业信息特点和系统效劳特点，制定危害程度的综合评定方法，并给出侵害不同客体造成损害、严重损害、特别严重损害的具体定义。 三种受侵害的客体:国家平安表达了国家层面、与全局相关的国家政治平安、军事平安、经济平安、社会平安、科技平安等方面利益。社会秩序和公共利益包括政治、经济、生产、生活、科研、工作等各方面的正常秩序和社会公众生产、生活、教育、卫生等方面的利益。合法权益是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益，关于侵害客体和侵害程度关于国家平安重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等；播送、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件；尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统，以及电力、通信、能源、交通运输、金融等国家重要根底设施的生产、控制、管理系统等。关于社会秩序各级政府机构的社会管理和公共效劳系统，如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统，也包括教育、科研机构的工作系统，以及所有为公众提供医疗卫生、应急效劳、供水、供电、邮政等必要效劳的生产系统或管理系统。关于公共利益借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面，例如：公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共效劳设施等。公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害。直接的结果和间接的影响:威胁直接作用的结果信息系统的破坏,但是确定对客体侵害的程度时，必须考虑间接的对客体产生的侵害和影响。按照国家平安—社会秩序和公共利益---公民、法人和组织的合法利益的顺序考虑一、定级对象的三个条件具有唯一确定的平安责任单位作为定级对象的信息系统应能够唯一地确定其平安责任单位，这个平安责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。满足信息系统的根本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规那么组合而成的有形实体。应防止将某个单一的系统组件，如单台的效劳器、终端或网络设备等作为定级对象。定级阶段-关于定级对象确定承载相对独立的业务应用定级对象承载“相对独立〞的业务应用是指其中的一个或多个业务应用的主要业务流程、局部业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立〞的业务应用并不意味着整个业务流程，可以使完整的业务流程的一局部。定级阶段关键技术环节定级对象确定业务信息和系统效劳确定受侵害客体和侵害程度的分析定级阶段-定级对象举例电力营销系统生产管理系统工程管理系统物资管理系统财务管理系统OA系统EAI/EIP系统等定级阶段-定级对象举例定级对象结果1本部信息系统供电局信息系统定级对象结果2本部电力调度系统综合信息系统营业部电力调度系统综合信息系统定级阶段-定级对象举例定级对象结果3本部数据中心系统用户局域网系统骨干网系统供电局数据中心系统用户局域网系统城域网系统定级阶段-定级对象举例定级对象结果4电力营销系统生产管理系统工程管理系统物资管理系统财务管理系统OA系统EAI/EIP系统定级阶段-定级对象举例处理不同类型业务的系统。本身运行在不同的网络环境中的系统。分不开的系统，按照高级别保护。系统边界不应出现在效劳器内部，效劳器共用的系统一般归入同一个信息系统，因此不同信息系统的共用设备一般是网络/边界设备或终端设备。两个信息系统边界存在共用设备时，共用设备的平安保护等级按两个信息系统平安保护等级较高者确定。例如，一个2级系统和一个3级系统之间有一个防火墙或两个系统共用一个核心交换机，此时防火墙和交换机可