管理制度-信息安全等级保护制度 精品.ppt

《管理制度-信息安全等级保护制度 精品.ppt》由会员分享，可在线阅读，更多相关《管理制度-信息安全等级保护制度 精品.ppt（38页珍藏版）》请在第一文库网上搜索。

1、信息安全等级保护制度信息安全等级保护制度信息安全等级保护定级和备案信息安全等级保护定级和备案广东省公安厅网警总队广东省公安厅网警总队 林雁飞林雁飞20072007年年8 8月月提提 纲纲 一、主要工作措施一、主要工作措施 二、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 四、备案和备案审核四、备案和备案审核五、时间要求五、时间要求 一、一、主要工作措施主要工作措施 开展信息系统基本情况的摸底调查开展信息系统基本情况的摸底调查 初步确定安全保护等级初步确定安全保护等级评审与审批评审与审批 备案备案备案管理备案管理 二、

2、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 信息系统的安全保护等级应当根信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益及公民、法人和其他组织的合法权益的危害程度等因素确定。的危害程度等因素确定。 二、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 第一级，信息系统受到破坏后，第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法会对公民、法人和其他组织的合

3、法权益造成损害，但不损害国家安全、权益造成损害，但不损害国家安全、社会秩序和公共利益。社会秩序和公共利益。 二、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 第二级，信息系统受到破坏后，会第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。益造成损害，但不损害国家安全。 二、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 第三级，信息系统受到破坏后，第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重会对社会秩序和公

4、共利益造成严重损害，或者对国家安全造成损害。损害，或者对国家安全造成损害。 二、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 第四级，信息系统受到破坏后，会第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。害，或者对国家安全造成严重损害。 二、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 第五级，信息系统受到破坏后，会第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。对国家安全造成特别严重损害。 二、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 决定信息系统的

5、安全保护等级由两个定决定信息系统的安全保护等级由两个定级要素级要素等级保护对象受到破坏时所侵害的客体等级保护对象受到破坏时所侵害的客体对客体造成侵害的程度对客体造成侵害的程度二、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 决定信息系统的安全保护等级由两个定决定信息系统的安全保护等级由两个定级要素级要素等级保护对象受到破坏时所侵害的客体等级保护对象受到破坏时所侵害的客体公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益社会秩序、公共利益社会秩序、公共利益国家安全国家安全 二、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 对客体造成侵害的程度对客体造成侵

6、害的程度造成一般损害造成一般损害造成严重损害造成严重损害造成特别严重损害造成特别严重损害三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 定级范围定级范围 电信、广电行业的公用通信网、广播电视传输网等基础信电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。务单位、数据中心等单位的重要信息系统。铁路、银行、海关、税务、民航、电力、证券、保险、外铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会交、科

7、技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。生产、调度、管理、办公等重要信息系统。市（地）级以上党政机关的重要网站和办公信息系统。市（地）级以上党政机关的重要网站和办公信息系统。涉及国家秘密的信息系统（以下简称涉密信息系统）涉及国家秘密的信息系统（以下简称涉密信息系统） 三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 定级工作步骤定级工作步骤

8、 第一步：确定定级对象第一步：确定定级对象 作为定级对象的信息系统应具有如下基本特征：作为定级对象的信息系统应具有如下基本特征： 1 .具有唯一确定的安全责任单位。具有唯一确定的安全责任单位。 2 .具有信息系统的基本要素。具有信息系统的基本要素。 3 .承载单一或相对独立的业务应用。承载单一或相对独立的业务应用。三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 定级工作步骤定级工作步骤 第二步：第二步：初步确定信息系统等级初步确定信息系统等级1定级的一般流程。定级的一般流程。 三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 3、综合评定对客体的侵害程度2、确定业务信

9、息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级依据表2依据表31、确定定级对象三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 2确定受侵害的客体。确定受侵害的客体。 定级对象受到破坏时所侵害的客体包括国家定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。和其他组织的合法权益。 三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 侵害国家安全的事项包括以下方面侵害国家安全

10、的事项包括以下方面影响国家政权稳固和国防实力影响国家政权稳固和国防实力影响国家统一、民族团结和社会安定影响国家统一、民族团结和社会安定影响国家对外活动中的政治、经济利益影响国家对外活动中的政治、经济利益影响国家重要的安全保卫工作影响国家重要的安全保卫工作影响国家经济竞争力和科技实力影响国家经济竞争力和科技实力其他影响国家安全的事项。其他影响国家安全的事项。三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 侵害社会秩序的事项包括以下方面侵害社会秩序的事项包括以下方面影响国家机关社会管理和公共服务的工作秩序影响国家机关社会管理和公共服务的工作秩序影响各种类型的经济活动秩序影响各种类型的

11、经济活动秩序影响各行业的科研、生产秩序影响各行业的科研、生产秩序影响公众在法律约束和道德规范下的正常生活秩影响公众在法律约束和道德规范下的正常生活秩序等序等其他影响社会秩序的事项其他影响社会秩序的事项三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 影响公共利益的事项包括以下方面影响公共利益的事项包括以下方面 影响社会成员使用公共设施影响社会成员使用公共设施 影响社会成员获取公开信息资源影响社会成员获取公开信息资源 影响社会成员接受公共服务等方面影响社会成员接受公共服务等方面 其他影响公共利益的事项其他影响公共利益的事项 影响公民、法人和其他组织的合法权益是指影响公民、法人和其他组

12、织的合法权益是指 由法律确认的并受法律保护的公民、法人和其由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益他组织所享有的一定的社会权利和利益三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 确定作为定级对象的信息系统受到破坏确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害国家后所侵害的客体时，应首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合最后判断是否侵害公民、法人和其他组织的合法权益。法权益。三、信息系统安全保护等级的确定三、信息系统安

13、全保护等级的确定 3 3确定侵害的客观方面。确定侵害的客观方面。 在客观方面，对客体的侵害外在表现为对在客观方面，对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息安定级对象的破坏，其危害方式表现为对信息安全的破坏和对信息系统服务的破坏。全的破坏和对信息系统服务的破坏。 三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 信息安全和系统服务安全受到破坏后，可能产信息安全和系统服务安全受到破坏后，可能产生以下危害后果：生以下危害后果： 影响行使工作职能影响行使工作职能 导致业务能力下降导致业务能力下降 引起法律纠纷引起法律纠纷 导致财务损失导致财务损失 造成社会不良影响造成

14、社会不良影响 对其他组织和个人造成损失对其他组织和个人造成损失 其他影响。其他影响。 三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 4 4综合判定侵害程度综合判定侵害程度 系统服务安全被破坏导致业务能力下降的程度系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定。数或业务量等不同方面确定。 业务信息安全被破坏导致的财物损失可以从直业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方接的资金损失大小、间接的信息恢复费用等方面进行确定。面进行确定。三、信息系统安

15、全保护等级的确定三、信息系统安全保护等级的确定 不同危害后果的三种危害程度描述如下：不同危害后果的三种危害程度描述如下： 一般损害：工作职能受到局部影响，业务能力有所一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，降低但不影响主要功能的执行，出现较轻的法律问题，较低的资产损失，有限的社会不良影响，对其他组织较低的资产损失，有限的社会不良影响，对其他组织和个人造成较低损害。和个人造成较低损害。 三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 严重损害：工作职能受到严重影响，业务能力显著下严重损害：工作职能受到严重影响，业务能力显著下降且严

16、重影响主要功能执行，出现较严重的法律问题，降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。组织和个人造成较严重损害。 三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 特别严重损害：工作职能受到特别严重影响或丧失行特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社极其严重的法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。会不良影响，对其他组织和个人造成非常严重损害。 三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 5 5确定信息系统安全保护等级。确定信息系统安全保护等级。 业务信息安全被破坏时业务信息安全被破坏时所侵害的客体所侵害的客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重特别严重损害损害公民、法人和其他组织公民、法人和其他组织的合法权益