信息安全等级保护体系培训

信息安全等级爱护体系名目1等级保护概念等级保护的实施方法及其过程23等级保护相关文件的组织结构4如何确定信息系统的安全保护等级1、国际形势要求我们重视国家关键信息根底设施爱护美国自克林顿政府以来，公布了一系列网络空间战略，特殊是奥巴马政府公布了《网络空间国际战略》、《网络空间行动战略》，明确说明白实施网络战略威慑、主导网络空间的图谋。境外敌对势力、敌对分子对我重要信息系统大肆进展入侵、攻击，窃取我国家隐秘。2、国内形势要求我们重视国家关键信息根底设施爱护针对根底信息网络和重要信息系统的违法犯罪持续上升根底信息网络和重要信息系统安全隐患严峻3、信息安全性质打算了工作的简单性和困难性。信息安全是国家安全的重要组成局部信息安全的本质是信息对抗、技术对抗是网络空间的政治斗争为什么要实施等级爱护制度官方说法：信息安全等级爱护是指对国家隐秘信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全爱护，对信息系统中使用的信息安全产品实行按等级治理，对信息系统中发生的信息安全大事分等级响应、处置。规定动作：信息系统定级、备案、安全建设整改、等级测评、监视检查。公安机关牵头，制定政策标准，并进展监视、检查、指导国家保密部门、密码治理部门负责有关保密工作和密码工作的监视、检查、指导工信部及地方经信部门负责等级爱护工作中部门间的协调其中，涉及国家隐秘信息系统由国家保密部门负责；非涉及国家隐秘信息系统由公安机关负责什么是信息安全等级爱护信息系统安全爱护等级划分及监管要求第一级自主爱护其次级指导爱护第三级监视爱护第四级强制爱护对社会秩序和公共利益造成特殊严峻损害，或者对国家安全造成严峻损害。依据国家有关治理标准、技术标准和业务特地需求进展爱护必需进展专家评审、备案、测评〔每半年一次〕，并承受国家信息安全监管部门的强制监视、检查对社会秩序和公共利益造成严峻损害，或者对国家安全造成损害。依据国家有关治理标准和技术标准进展爱护要求备案〔可以进展专家评审〕、测评〔每年一次〕，并承受国家信息安全监管部门的监视、检查对公民、法人和其他组织的合法权益产生严峻损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。依据国家有关治理标准和技术标准进展爱护要求备案，并承受国家信息安全监管部门的指导对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。依据国家有关治理标准和技术标准进展爱护常见的二级系统举例〔仅做参考〕地市政府办公自动化系统〔内部使用的〕地市政府邮件系统地市政府间协同办公系统企业门户网站〔用于对外宣传〕银行网站特点：与核心业务无关常见的三级系统举例〔仅做参考〕部委级门户网站省政府政务公开系统〔交互式〕医疗行业核心内网系统交通行业卫星定位系统银行生产网特点：与业务亲密相关的常见的四级系统举例〔仅做参考〕国家电力调度系统〔EMS)中国人民银行官方网站财政部财政支付系统交通部应急指挥调度系统银行生产系统特点：重要部门与核心业务亲密相关的信息系统安全爱护力量目标其次级信息系统第三级信息系统第四级信息系统经过安全建设和等级测评工作，信息系统在统一的安全爱护策略下具有抵挡敌对势力有组织的大规模攻击的力量，反抗严峻的自然灾难的力量，防范计算机病毒和恶意代码危害的力量；具有检测、觉察、报警、记录入侵行为的力量；具有对安全大事进展快速响应处置，并能够追踪安全责任的力量；在系统遭到损害后，具有能够较快恢复正常运行状态的力量；对于效劳保障性要求高的系统，应能快速恢复正常运行状态；具有对系统资源、用户、安全机制等进展集中控管的力量。经过安全建设和等级测评工作，信息系统在统一的安全爱护策略下具有抵挡大规模、较强恶意攻击的力量，反抗较为严峻的自然灾难的力量，防范计算机病毒和恶意代码危害的力量；具有检测、觉察、报警、记录入侵行为的力量；具有对安全大事进展响应处置，并能够追踪安全责任的力量；在系统遭到损害后，具有能够较快恢复正常运行状态的力量；对于效劳保障性要求高的系统，应能马上恢复正常运行状态；具有对系统资源、用户、安全机制等进展集中控管的力量。经过安全建设和等级测评工作，信息系统具有抵挡小规模、较弱强度恶意攻击的力量，反抗一般的自然灾难的力量，防范一般性计算机病毒和恶意代码危害的力量；具有检测常见的攻击行为，并对安全大事进展记录的力量；系统遭到损害后，具有恢复系统正常运行状态的力量。名目1等级保护概念等级保护的实施方法及其过程23等级保护相关文件的组织结构4如何确定信息系统的安全保护等级信息系统安全等级爱护相关文件之间的关系政策文件四大标准技术标准治理标准供给指导供给方法安全等级的信息系统供给技术要求供给治理要求国务院147号令－《中华人民共和国计算机信息系统安全爱护条例》中办发[2023]27号－《国家信息化领导小组关于加强信息安全保障工作的意见》公通字[2023]66号－《关于信息安全等级爱护工作的实施意见》公通字[2023]43号－《信息安全等级爱护治理方法》信息系统安全等级爱护实施的政策文件政策文件信息安全等级爱护政策体系计算机信息系统安全爱护等级划分准则〔GB17859-1999〕信息系统安全爱护等级定级指南〔GB/T22240-2023〕信息系统安全等级爱护实施指南〔GB/T

25058-2023〕信息系统安全等级爱护根本要求〔GB/T22239-2023〕信息系统安全等级爱护实施的政策文件四大标准《计算机信息系统安全爱护等级划分准则》〔GB17859-1999〕《信息安全技术信息系统通用安全技术要求》〔GB/T20271-2023〕《信息安全技术网络根底安全技术要求》〔GB/T20270-2023〕《信息安全技术操作系统安全技术要求》〔GB/T20272-2023〕《信息安全技术数据库治理系统安全技术要求》〔GB/T20273-2023〕《信息安全技术效劳器技术要求》〔GB/T21028-2023〕《信息安全技术终端计算机系统安全等级技术要求》〔GA/T671-2023〕《涉及国家隐秘的信息系统分级爱护技术要求》〔BMB17-2023〕………信息系统安全等级爱护实施的技术标准技术标准《信息安全技术信息系统安全治理要求》〔GB/T20269-2023〕《信息安全技术信息系统安全工程治理要求》〔GB/T20282-2023〕《涉及国家隐秘的信息系统分级爱护治理标准》〔BMB20-2023〕………信息系统安全等级爱护实施的治理标准治理标准信息安全等级爱护标准体系等级爱护根本要求的组织方式某级系统物理安全技术要求治理要求根本要求网络安全主机安全应用安全数据安全安全治理机构安全治理制度人员安全治理系统建设治理系统运维治理不同级别信息系统的要求点及其数量差异安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差//9011528名目1等级保护概念等级保护的实施方法及其过程23等级保护相关文件的组织结构4如何确定信息系统的安全保护等级等级爱护的核心是对信息系统分等级、按标准进展建设、治理和监视。等级爱护在实施过程中应遵循以下根本原则：a)自主爱护原则由各主管部门和运营使用单位依据国家相关法规和标准，自主确定信息系统的安全等级，自行组织实施安全爱护。b)同步建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入肯定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。信息系统安全等级爱护实施的根本原则c)重点爱护原则依据信息系统的重要程度、业务特点，通过划分不同安全等级的信息系统，实现不同强度的安全爱护，集中资源优先爱护涉及核心业务或关键信息资产的信息系统。d)适当调整原则要跟踪信息系统的变化状况，调整安全爱护措施。由于信息系统的应用类型、范围等条件的变化及其他缘由，安全等级需要变更的，应当依据等级爱护的治理标准和技术标准的要求，重新确定信息系统的安全等级，依据信息系统安全等级的调整状况，重新实施安全爱护。信息系统安全等级爱护实施的根本原则信息系统安全等级爱护过程中涉及到的各类角色及其职责国家治理部门信息系统主管部门信息系统运营使用单位信息安全效劳机构信息安全等级测评机构信息系统安全等级爱护过程中涉及到的各类角色及其职责公安机关负责信息安全等级爱护工作的监视、检查、指导；国家保密工作部门负责等级爱护工作中有关保密工作的监视、检查、指导；国家密码治理部门负责等级爱护工作中有关密码工作的监视、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进展治理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级爱护工作的部门间协调国家治理部门负责依照国家信息安全等级爱护的治理标准和技术标准，催促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级爱护工作。信息系统安全等级爱护过程中涉及到的各类角色及其职责信息系统主管部门负责依照国家信息安全等级爱护的治理标准和技术标准，确定其信息系统的安全爱护等级，有主管部门的，应当报其主管部门审核批准；依据已经确定的安全爱护等级，到公安机关办理备案手续；依据国家信息安全等级爱护治理标准和技术标准，进展信息系统安全爱护的规划设计；使用符合国家有关规定，满足信息系统安全爱护等级需求的信息技术产品和信息安全产品，开展信息系统安全建设或者改建工作；制定、落实各项安全治理制度，定期对信息系统的安全状况、安全爱护制度及措施的落实状况进展自查，选择符合国家相关规定的等级测评机构，定期进展等级测评；制定不同等级信息安全大事的响应、处置预案，对信息系统的信息安全大事分等级进展应急处置。信息系统安全等级爱护过程中涉及到的各类角色及其职责信息系统运营使用单位负责依据信息系统运营、使用单位的托付，依照国家信息安全等级爱护的治理标准和技术标准，帮助信息系统运营、使用单位完成等级爱护的相关工作具体工作包括确定其信息系统的安全爱护等级、进展安全需求分析、安全总体规划、实施安全建设和安全改造等。信息系统安全等级爱护过程中涉及到的各类角色及其职责信息安全效劳机构负责依据信息系统运营、使用单位的托付或依据国家治理部门的授权，帮助信息系统运营、使用单位或国家治理部门，依据国家信息安全等级爱护的治理标准和技术标准，对已经完成等级爱护建设的信息系统进展等级测评；对信息安全产品供给商供给的信息安全产品进展安全测评。信息系统安全等级爱护过程中涉及到的各类角色及其职责信息安全等级测评机构负责依据国家信息安全等级爱护的治理标准和技术标准，开发符合等级爱护相关要求的信息安全产品，承受安全测评；依据等级爱护相关要求销售信息安全产品并供给相关效劳。信息系统安全等级爱护过程中涉及到的各类角色及其职责信息安全产品供给商信息系统安全等级爱护实施的根本流程信息系统终止信息系统定级总体安全规划安全设计与实施安全运行维护等级变更局部调整等级爱护实施过程的主要活动监视检查存储介质的去除或销毁设备迁移或废弃系统备案等级测评安全检查和持续改进安全大事处置和应急预案安全状态监控变更治理和掌握技术措施实施治理措施实现系统定级安全规划设计安全实施安全运维系统终止等级爱护实施过程的主要活动安全等级确定安全建设规划安全总体设计安全需求分析安全方案具体设计运行治理和掌握信息转移、暂存或去除信息系统分析名目1等级保护概念等级保护的实施方法及其过程23等级保护相关文件的组织结构4如何确定信息系统的安全保护等级确定信息系统安全等级的一般流程1、确定定级对象2、确定业务信息安全受到破坏时所侵害的客体5、确定系统效劳安全受到破坏时所侵害的客体3、综合评定对客体的侵害程度6、综合评定对客体的侵害程度4、业务信息安全等级7、系统效劳安全等级8、定级对象的安全爱护等级业务信息安全爱护等级矩阵表系统效劳安全爱护等级矩阵表业务信息安全爱护等级矩阵表业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级4、业务信息安全爱护等级确定受侵害的客体影响国家政权稳固和国防实力；影响国家统一、民族团结和社会安定；影响国家对外活动中的政治、经济利益；影响国家重要的安全保卫工作；影响国家经济竞争力和科技实力；其他影响国家安全的事项。侵害的客体公民、法人和其他组织的合法权益社会秩序、公共利益国家安全确定受侵害的客体侵害的客体公民、法人和其他组织的合法权益社会秩序、公共利益国家安全影响国家机关社会治理和公共效劳的工作秩序；影响各种类型的经济活动秩序；影响各行业的科研、生产秩序；影响公众在法律约束和道德标准下的正常生活秩序等；其他影响社会秩序的事项。确定受侵害的客体侵害的客体公民、法人和其他组织的合法权益社会秩序、公共利益国家安全影响社会成员使用公共设施；影响社会成员猎取公开信息资源；影响社会成员承受公共效劳等方面；其他影响公共利益的事项。确定对客体的侵害程度对相应客体的侵害程度一般损害严重损害特别严重损害工作职能受到局部影响，业务力量有所降低但不影响主要功能的执行，消失较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害。确定对客体的侵害程度对相应客体的侵害程度一般损害严重损害特别严重损害工作职能受到严峻影响，业务力量显著下降且严峻影响主要功能执行，消失较严峻的法律问题，较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严峻损害。确定对客体的侵害程度对相应客体的侵害程度