1培训教材.ppt

1、重要信息系统安全等级保护工作培训,目 录,一、我国在信息安全保障工作中为什么要实行等级保护制度 二、实行信息安全等级保护制度的目的 三、等级保护工作的主要流程有哪些？开展等级保护基本要求是什么 四、重要信息系统安全等级保护定级工作的主要步骤是什么 五、当前定级工作存在的主要问题及分析 六、定级工作完成后需要开展哪些工作 七、开展安全等级保护工作依据的主要标准有哪些 八、公安机关组织开展等级保护中的职责任务是什么 九、信息安全等级保护管理办法释义,一、我国在信息安全保障工作中为什么要实行等级保护制度,当前，我国基础信息网络和重要信息系统安全面临的形势十分严峻，既有外部威胁，又有自身脆弱性和薄弱环

2、节。 一是针对基础信息网络和重要信息系统的违法犯罪持续上升。 二是基础信息网络和重要信息系统安全隐患严重。 三是我国的信息安全保障工作基础还很薄弱。,一、我国在信息安全保障工作中为什么要实行等级保护制度,一是针对基础信息网络和重要信息系统的违法犯 罪持续上升。 不法分子利用一些安全漏洞，使用病毒、木马、网络钓鱼等技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪，对我国的经济秩序、社会管理秩序和公民的合法权益造成严重侵害。,一、我国在信息安全保障工作中为什么要实行等级保护制度,二是基础信息网络和重要信息系统安全隐患严重。 由于各基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口，

3、在操作系统、专用芯片和大型应用软件等方面不能自主可控，给我国的信息安全带来了深层的技术隐患。,一、我国在信息安全保障工作中为什么要实行等级保护制度,三是我国的信息安全保障工作基础还很薄弱。 信息安全意识和安全防范能力薄弱，信息系统安全建设、监管缺乏依据和标准，安全保护措施和安全制度不落实，监管措施不到位。,二、实行信息安全等级保护制度的目的,信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。 有效解决我国信息安全面临的威胁和存在的主要问题，充分体现“适度安全、保护重点”

4、的目的，将有限的财力、物力、人力投入到重要信息系统安全保护中，按标准建设安全保护措施，建立安全保护制度，落实安全责任，有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全，有效提高我国信息安全保障工作的整体水平。,二、实行信息安全等级保护制度的目的,信息安全等级保护就是将全国的信息系统分成五个等级，定级后到公安机关备案（立户口），按标准建设整改，开展测评，公安机关开展监督检查。信息安全等级保护是国家意志的体现，在国家信息安全保障工作只有等级保护制度是强制实施的，也只有等级保护工作是四个部委共同组织实施的。 信息安全等级保护是当今发达国家保护关键信息基础设施，保障信息安全的

5、通行做法，也是我国多年来信息安全工作经验的总结,三、等级保护工作的主要流程包括哪些?,主要流程包括六项内容： 一、自主定级与审批。 二、评审。 三、备案。 四、系统安全建设。 五、等级测评。 六、监督检查。,三、等级保护工作的主要流程包括哪些?,一、自主定级与审批 信息系统运营使用单位按照信息安全等级保护管理办法（以下简称管理办法）和信息系统安全保护定级指南，自主确定信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。,三、等级保护工作的主要流程包括哪些?,二、评审 在信息系统确定安全保护等级过程中，可以组织专

6、家进行评审。对拟确定为第四级以上信息系统的，运营使用单位或主管部门应当邀请国家信息安全保护等级专家评审委员会评审。,三、等级保护工作的主要流程包括哪些?,三、备案 第二级以上信息系统定级单位到所在地设区的市级以上公安机关办理备案手续 。,三、等级保护工作的主要流程包括哪些?,四、系统安全建设 信息系统安全保护等级确定后，运营使用单位按照管理规范和技术标准，选择管理办法（第二十一条，共六项）要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。,三、等级保护工作的主要流程包括哪些?,五、等级测评 信息系统建设完成后，运营使用单位选择符合管理办法（第二十二条，共

7、八项）要求的检测机构，对信息系统安全等级状况开展等级测评。,三、等级保护工作的主要流程包括哪些?,六、监督检查 公安机关依据信息安全等级保护管理规范，监督检查运营使用单位开展等级保护工作，定期对第三级以上的信息系统进行安全检查。信息系统运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。,开展等级保护工作的总体要求,各基础信息网络和重要信息系统，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作 。 公安机关和保密、密码工作部门要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工

8、作。 对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和相关人员的责任。,四、定级工作的主要步骤是什么,第一步：开展摸底调查 第二步：确定定级对象 第三步：初步确定信息系统等级 第四步：信息系统等级评审 第五步：信息系统等级的最终确定与审批 第六步：备案 第七步：备案审核 第八步：及时总结并提交总结报告,四、定级工作的主要步骤是什么,第一步 开展摸底调查 按照等级保护管理规范，各单位、各部门可以组织开展对所属信息系统进行摸底调查，摸清信息系统底数，掌握信息系统（包括信息网络）的业务类型、应用或服务范围、系统结构等基本情况，为下一步明确要求、

9、落实责任奠定基础。,四、定级工作的主要步骤是什么,第二步 确定定级对象 在全国重要信息系统安全等级保护定级工作（以下简称“定级工作”）中，如何科学、合理地确定定级对象是最关键、最复杂的问题。信息系统运营使用单位或主管部门按如下原则确定定级对象：,四、定级工作的主要步骤是什么,第二步 确定定级对象 确定定级对象的三个原则： 1、承载相对独立或单一业务应用的信息系统； 2、信息系统的信息安全由本单位主管； 3、具有信息系统的基本要素。（计算机及其相关配套设备、设施构成的人机系统） 只有同时满足上述三个条件，才可由本单位对其进行定级。,四、定级工作的主要步骤是什么,第二步 确定定级对象 一是起传输作

10、用的信息网络（专网、内网、外网等）要作为定级对象。 二是各单位网站要作为独立的定级对象。如果网站的后台数据库管理系统安全级别高，也要作为独立的定级对象。网站上运行的信息系统（例如对社会服务的报名考试系统）也要作为独立的定级对象。,四、定级工作的主要步骤是什么,第二步 确定定级对象 三是用于生产、调度、管理、作业、指挥、办公等目的的各类应用系统，要按照不同业务类别单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象条件。新建系统要在规划设计阶段定级。 不能将某一类信息系统作为一个定级对象。这里也有特例，例如，某个单位的管理系统，最初设计时，就把办公、车辆管理、人事管理等业务集

11、中在该系统中，该系统应作为一个定级对象。,四、定级工作的主要步骤是什么,第二步 确定定级对象 四是确认负责定级的单位是否对所定级系统负有业务主管责任。 也就是说，业务部门应主导对业务信息系统定级，运维部门（例如信息中心、托管方）可以协助定级并按照业务部门的要求开展后续安全保护工作。,四、定级工作的主要步骤是什么,第二步 确定定级对象 五是具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件（如服务器、终端、网络设备等）作为定级对象。,四、定级工作的主要步骤是什么,第二步 确定定级对象 准确划分定级

12、对象是系统定级的前提。定级对象划分太细，会增加工作量，不利于限定责任主体，不利于整体保护；定级对象划分太粗，对整个系统要求实施统一级别的安全保护，不利于明确重点，不利于信息安全资源的优化配置。,四、定级工作的主要步骤是什么,第二步 确定定级对象 跨地域或跨级别应用的大系统，如果各地或各级运营、使用单位都有安全保护责任，建议每地或每级都要单独确定一个定级对象，而不应将全行业划分为一个定级对象；在一个大的网络平台上运行的多个业务应用系统，应将各个业务应用系统认定为各自独立系统，并分别确定为定级对象。,四、定级工作的主要步骤是什么,第二步 确定定级对象 起传输通道作用的基础信息网络以及承载单一业务的

13、信息系统都可以作为一个定级对象。,四、定级工作的主要步骤是什么,第三步 初步确定信息系统等级 信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护措施为依据，也不以风险评估为依据。即从国家、人民群众的根本利益出发，考虑了信息系统出现问题后的最大风险。,四、定级工作的主要步骤是什么,第三步 初步确定信息系统等级 信息系统的安全保护等级是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全保护等级。既要防止个别单位片面追求绝对安全而定级过高，也要防止为了逃避监管定级偏低。,四、定级工作的主要步骤是什么,第三步 初步确

14、定信息系统等级 （一）确定受侵害客体 定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。确定侵害客体时从定级对象的两方面进行考虑：一是业务信息安全被破坏时所侵害的客体 ；二是系统服务安全被破坏时所侵害的客体。 侵害国家安全的事项包括以下方面：影响国家政权稳固和国防实力；影响国家统一、民族团结和社会安定；影响国家对外活动中的政治、经济利益等； 侵害社会秩序、公共利益的事项包括以下方面：影响国家机关社会管理和公共服务的工作秩序；影响各种类型的经济活动秩序等；影响社会成员使用公共设施；影响社会成员获取公开信息资源等； 影响公民、法人和其他组织的合法权益

15、是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。,四、定级工作的主要步骤是什么,第三步 初步确定信息系统等级 （二）确定对客体的侵害程度 一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的资产损失，有限的社会不良影响，对其他组织和个人造成较低损害。 严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。 特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的

16、法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。,四、定级工作的主要步骤是什么,第三步 初步确定信息系统等级 （三）确定信息系统的安全保护等级 表2、确定业务信息安全等级,四、定级工作的主要步骤是什么,第三步 初步确定信息系统等级 （三）确定信息系统的安全保护等级 表3、确定系统服务安全等级,四、定级工作的主要步骤是什么,第三步 初步确定信息系统等级 （三）确定信息系统的安全保护等级 3、信息系统安全保护等级由业务信息安全等级和系统服务安全等级两个等级的较高者决定。（取高的原则）,四、定级工作的主要步骤是什么,定级一般流程如图所示,四、定级工作的主要步骤是什么

17、,第三步 初步确定信息系统等级 （四）各级如何确定（针对具体单位、行业） 第一级信息系统： 一般适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。,四、定级工作的主要步骤是什么,第三步 初步确定信息系统等级 （四）各级如何确定（针对具体单位、行业） 第二级信息系统： 一般适用于县级单位的信息系统、地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及工作秘密、商业秘密、敏感信息的办公系统等。,四、定级工作的主要步骤是什么,第三步 初步确定信息系统等级 （四）各级如何确定（针对具体单位、行业） 第三级信息系统： 一般

18、适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行的重要信息系统在省、地市的分支系统；各部委官方网站和重要网站；跨省联接的信息网络等。,四、定级工作的主要步骤是什么,第三步 初步确定信息系统等级 （四）各级如何确定（针对具体单位、行业） 第四级信息系统： 一般适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等几十个重要行业中的核心系统。,四、定级工作的主要步骤是什么,第三步 初步确定信息系统

19、等级 （四）各级如何确定（针对具体单位、行业） 第五级信息系统： 一般适用于重要领域、重要部门中的极端重要系统。,四、定级工作的主要步骤是什么,第三步 初步确定信息系统等级 （四）各级如何确定 信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级。,四、定级工作的主要步骤是什么,第三步 初步确定信息系统等级 （五）由谁确定与审批系统等级 1、各地自建的系统（与上级单位无关），自己定级。是否报上级主管部门审批，由各行业自行决定。,四、定级工作的主要步骤是什么,第三步 初步确定信息系统等级 （五）由谁确定与审批系统等级 2、跨省或者全国统一联网运行

20、的信息系统，可以由主管部门统一确定安全保护等级。其中：由各行业统一规划、统一建设、统一安全保护策略的全国联网系统，应由各部委统一对部、省、市系统分别确定等级；由各部委统一规划、分级建设、全国联网的信息系统，应由部、省、地市分别确定系统等级，但各行业应对该类系统提出定级意见，避免出现同类系统下级定级比上级高的现象。对于该类系统的等级，下级确定后需报上级主管部门审批。,四、定级工作的主要步骤是什么,第三步 初步确定信息系统等级 （五）由谁确定与审批系统等级 对于仅提供系统网络传输服务的单位，可以要求其单独将传输网络按照该网络所承载系统的最高等级确定网络的安全保护等级，实施网络安全防护。,四、定级工

21、作的主要步骤是什么,第三步 初步确定信息系统等级 （五）由谁确定与审批系统等级 特别注意：不能随着部、省、市行政级别降低，信息系统级别同步降低，例如地市级的重要行业的重要系统不能定为一、二级。,五级监管,四、定级工作的主要步骤是什么,第四步 信息系统等级评审 在信息系统安全保护等级确定过程中，可以聘请专家进行咨询评审，并出具定级评审意见。对拟确定为第四级以上信息系统的，运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审，出具评审意见。,二、定级工作的主要步骤是什么,第五步 信息系统等级的最终确定与审批 信息系统运营使用单位参考专家定级评审意见，最终确定信息系统等级，形成定级报

22、告。如果专家评审意见与运营使用单位意见不一致时，由运营使用单位自主决定系统等级，信息系统运营使用单位有上级主管部门的，应当经上级主管部门对安全保护等级进行审核批准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统，则必须由其上级主管部门审批，确保同类系统或分支系统在各地域分别定级的一致性。,四、定级工作的主要步骤是什么,第六步 备案 第二级以上信息系统，在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续（管理办法第十六条）。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办

23、理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。,四、定级工作的主要步骤是什么,第六步 备案 各部委数据集中的信息系统，在各地只有终端联网访问，没有分数据库的，联网终端可以不备案。各部委统一定级的信息系统在各地的分系统（有分数据库，在各地安装运行的），即使是上级主管部门定级的，也要到当地公安网监部门备案。 定级工作的结束是以备案完成为标志。,四、定级工作的主要步骤是什么,第七步 备案审核 受理备案的公安机关要公布备案受理地点、备案联系方式等。在受理备案时，应对提交的备案材料（共八项）进行完整性审核和定级准确性审核。对符合等级保护要

24、求的，应颁发信息系统安全等级保护备案证明。发现定级不准的，通知备案单位重新审核确定。,四、定级工作的主要步骤是什么,第八步 及时总结并提交总结报告 各地区、各部门要结合本地区、本行业开展定级工作的实际，认真总结经验和不足，提出改进和完善定级方法的意见和建议，及时总结定级工作经验，形成定级工作总结报告。,五、当前定级工作存在的主要问题及分析,（一）少数行业信息系统定级偏低。有以下几方面原因：一是对信息系统五个安全等级掌握不准，未能站在国家安全、社会稳定的高度统筹考虑信息系统等级，仅从行业和信息系统自身安全角度考虑。二是认为信息系统级别定高，要花费更多的资金，单位负担加重。三是对本行业上级主管部门

25、定级指导不力，同类信息系统下级部门定级偏低，特别是一些重要行业地市级单位的系统级别偏低。四是少数部门以信息系统运维单位为主进行定级，业务单位参与定级不够。五是极少数部门故意将系统级别定低，逃避信息安全监管部门的监管。,（二）定级时既要考虑信息系统重要性、受到破坏后对业务开展和公众利益损害等因素，更要考虑信息系统破坏后对国家安全、社会稳定的影响，考虑西方敌对势力、敌对分子攻击、破坏、窃取秘密的因素。确定为三级以上的信息系统，均属于国家的重要信息系统，是国家要保护的重点，国家财政、有关部门要投入资金，保证其安全。,五、当前定级工作存在的主要问题及分析,五、当前定级工作存在的主要问题及分析,（三）重

26、要信息系统属于国家关键基础设施，需要运营使用单位、主管部门真正负起其安全责任，同时，信息安全监管部门要代表国家进行监管。在重要信息系统安全方面，运营使用单位、主管部门负第一责任，信息安全监管部门负监管责任，即第二责任，运营使用单位、主管部门和信息安全监管部门密切配合，共同承担责任，才能保护好国家基础信息网络和重要信息系统的安全。,六、定级工作完成后信息系统运营、使用单位需要开展哪些工作,一是开展安全建设和整改。 二是开展等级测评。 三是开展自查。,一是开展安全建设和整改。 信息系统定级、备案工作完成后，运营使用单位应按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定、满足信息系统

27、安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作，制定并落实符合本系统安全保护等级要求的安全管理制度。,六、定级工作完成后信息系统运营、使用单位需要开展哪些工作,二是开展等级测评。 信息系统建设、整改完成后，运营使用单位或者其主管部门选择符合管理办法规定条件的测评机构，依据信息系统安全等级保护测评要求等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。,六、定级工作完成后信息系统运营、使用单位需要开展哪些工作,三是开展自查。 信息系统运营、使

28、用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营使用单位应当制定方案进行整改。,六、定级工作完成后信息系统运营、使用单位需要开展哪些工作,七、开展安全等级保护工作依据的主要标准有哪些,1、计算机信息系统安全保护等级划分准则（GB17859-1999） 2、信息系统安全等级保护实施指南 3、信息系统安全等级保护定级指南 4、信息系统安全等级保护基本要求（国标报批稿试用，全国信

29、息安全标准化技术委员会文件 信安字200712号） 5、信息安全技术 服务器安全技术要求GB/T20273-2006和信息安全技术 终端计算机系统技术要求GA/T672-2006 6、信息安全技术 系统安全等级防护工程管理要求和信息安全技术 系统安全等级保护管理要求 注：信息安全技术 系统安全等级保护测评准则和信息安全技术 系统安全等级保护测评指南即将出台,八、公安机关组织开展等级保护中的职责任务是什么,一是指导定级。 二是受理备案。 三是定期检查。 1、监督、检查、指导信息系统运营使用单位和主管部门开展信息安全等级保护工作； 2、监督、检查信息系统运营使用单位的安全保护管理制度和技术措施落实

30、情况、定级和备案情况、安全整改、等级测评、产品使用、自查等情况。,八、公安机关组织开展等级保护中的职责任务是什么,一是指导定级。 指导信息系统运营使用单位及其主管部门科学、合理地确定定级对象，准确确定信息系统安全保护等级。既要防止个别单位片面追求绝对安全而定级过高，也要防止忽视安全定级偏低。,八、公安机关组织开展等级保护中的职责任务是什么,二是受理备案。 对备案单位提交的备案材料进行完整性审核和定级准确性审核，对定级不准确的信息系统运行使用单位提出整改意见；对符合等级保护要求的第二级以上信息系统，颁发信息系统安全保护等级备案证明。,八、公安机关组织开展等级保护中的职责任务是什么,三是定期检查。

31、 定期对三级以上重要信息系统的安全保护状况进行检查。检查信息系统运营使用单位的安全保护管理制度和技术措施落实情况。发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的，通知运营使用单位进行整改。,九、信息安全等级保护管理办法,一、依据：（第一条） 1994年，中华人民共和国计算机信息系统安全保护条例 （国务院147号令）规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。该条明确了三个内容：一是确立了等级保护是计算机信息系统安全保护的一项制度；二是出台配套的规章和技术标准；三是明确了公安部的牵头地位。,九、信息安全等

32、级保护管理办法,二、监管部门的职责分工：（第三条） 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。,九、信息安全等级保护管理办法,三、等级确定：（第六条） 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏

33、后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。,九、信息安全等级保护管理办法,四、信息系统运营、使用单位按等级进行保护：（第八条） 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。,九、信息安全等级保护管理办法,四、信息系统运营、使用单位按等级进行保护：（第八条） 第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行

34、监督、检查。 第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。,九、信息安全等级保护管理办法,四、信息系统运营、使用单位按等级进行保护：（第八条） 第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。,九、信息安全等级保护管理办法,五、信息系统运营、使用单位定级工作：（第十条） 信息系统运营、使用单位应当依据本办法和信息系统安全等级保护定级指南确定信息系统的安全保护等级。有主管部门

35、的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。,九、信息安全等级保护管理办法,六、信息系统运营、使用单位信息系统安全建设或者改建工作：（第十二条） 运营、使用单位应当按照计算机信息系统安全保护等级划分准则（GB17859-1999）、信息系统安全等级保护基本要求等技术标准，参照信息安全技术 信息系统通用安全技术要求（GB/T20271-2006）、信息安全技术 网络基础安全技术要求（GB/T20270-2006）、信息安全技术 操作系统安全

36、技术要求（GB/T20272-2006）、信息安全技术 数据库管理系统安全技术要求（GB/T20273-2006）、信息安全技术 服务器技术要求、信息安全技术 终端计算机系统安全等级技术要求（GA/T671-2006）等技术标准同步建设符合该等级要求的信息安全设施。,九、信息安全等级保护管理办法,七、信息系统运营、使用单位信息系统安全建设或者改建工作：（第十三条） 运营、使用单位应当参照信息安全技术 信息系统安全管理要求（GB/T20269-2006）、信息安全技术 信息系统安全工程管理要求（GB/T20282-2006）、信息系统安全等级保护基本要求等管理规范，制定并落实符合本系统安全保护等

37、级要求的安全管理制度。,九、信息安全等级保护管理办法,八、信息系统运营、使用单位信息系统安全等级测评工作：（第十四条） 信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据信息系统安全等级保护测评要求等技术标准，定期对信息系统安全等级状况开展等级测评。,九、信息安全等级保护管理办法,八、信息系统运营、使用单位信息系统安全等级测评工作：（第十四条） 第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。,九、信息安全等级保护管理办法,九、信息系统运营、使用单位信息系统安全自查

38、工作：（第十四条） 信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。,九、信息安全等级保护管理办法,十、信息系统运营、使用单位备案工作：（第十五条） 已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统，应当在投入运行后30日

39、内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。,九、信息安全等级保护管理办法,十、信息系统运营、使用单位备案工作：（第十五条） 隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。,九、信息安全等级保护管理办法,十、信息系统运营、使用单位备案工作：（第十六条） 办理信息系统安全保护等级备案手续时，应当填写信息系统安全等级保护备案表，第三级以上信息系统应当同时提供以下材料： （一）系统拓扑结构及说明；（说明可以是对系统

40、结构的简要说明） （二）系统安全组织机构和管理制度；（安全组织机构包括机构名称、负责人、成员、职责分工等。管理制度包括安全管理规范、章程等） （三）系统安全保护设施设计实施方案或者改建实施方案；（简要的安全建设、整改方案）,九、信息安全等级保护管理办法,十、信息系统运营、使用单位备案工作：（第十六条） （四）系统使用的信息安全产品清单及其认证、销售许可证明；（主要信息安全产品的清单，确认有认证、销售许可标记） （五）测评后符合系统安全保护等级的技术检测评估报告；（最近一次测评的简要的等级测评报告） （六）信息系统安全保护等级专家评审意见；（评审意见表，附专家名单） （七）主管部门审核批准信息系

41、统安全保护等级的意见。（审批表，领导审批签字、盖章）,九、信息安全等级保护管理办法,十、信息系统运营、使用单位备案工作：（第十七条） 信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明（备案证明由公安部统一监制） ；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。,九、信息安全等级保护管

42、理办法,十一、公安机关监督检查工作：（第十八条） 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。,九、信息安全等级保护管理办法,十一、公安机关监督检查工作：（第十八条） 公安机关、国家指定的专门部门应当对下列事项进行检查： （一）信息系统安全需求是否发生变化，原定保护等级是否准确； （二）运营、使用单位安全管理制度、措施的落实情况； （三）运营、使用单位及其主管部门对信息系统安全状况的检查情况； （四）系统

43、安全等级测评是否符合要求；,九、信息安全等级保护管理办法,十一、公安机关监督检查工作：（第十八条） （五）信息安全产品使用是否符合要求； （六）信息系统安全整改情况； （七）备案材料与运营、使用单位、信息系统的符合情况； （八）其他应当进行监督检查的事项。,九、信息安全等级保护管理办法,十一、信息系统运营、使用单位配合公安机关监督检查工作：（第十九条） 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件： （一）信息系统备案事项变更情况； （二）安全组织、人员的变动情况； （三）信息安全管理制度、措施变更情况； （四）信息系统运行状况记录；,九、信息安全等级保护管理办法,十一、信息系统运营、使用单位配合公安机关监督检查工作：（第十九条） （五）运营、使用单位及主管部门定期对信息系统安全状况的检查记录； （六）对信息系统开展等级测评的技术测评报告； （七）信息安全产品使用的变更情况； （八）信