管理制度-信息安全等级保护制度的主要内容和工作要求精品.ppt

上传人：lao****ou

文档编号：24674

上传时间：2022-10-20

格式：PPT

页数：39

大小：1.11MB

《管理制度-信息安全等级保护制度的主要内容和工作要求精品.ppt》由会员分享，可在线阅读，更多相关《管理制度-信息安全等级保护制度的主要内容和工作要求精品.ppt（39页珍藏版）》请在第一文库网上搜索。

1、信息安全等级保护制度的主要内容和工作要求一、信息安全等级保护制度的主要内容一、信息安全等级保护制度的主要内容二、信息安全等级保护政策、标准体系二、信息安全等级保护政策、标准体系三、等级保护工作的具体内容和工作要求三、等级保护工作的具体内容和工作要求一、等级保护制度的主要内容一、等级保护制度的主要内容（一）国家为什么要实施信息安全等级保（一）国家为什么要实施信息安全等级保护制度护制度1.信息安全形势严峻敌对势力的入侵、攻击、破坏针对基础信息网络和重要信息系统的违法犯罪持续上升基础信息网络和重要信息系统安全隐患严重2. 是维护国家安全的需要是维护国家安全的需要l基础信息网络和重要信息系统已成为国家

2、关基础信息网络和重要信息系统已成为国家关键基础设施键基础设施l信息安全是国家安全的重要组成部分信息安全是国家安全的重要组成部分l信息安全是非传统安全，信息安全本质是信信息安全是非传统安全，信息安全本质是信息对抗、技术对抗息对抗、技术对抗3、是国际上通行的做法。、是国际上通行的做法。一、等级保护制度的主要内容一、等级保护制度的主要内容（二）国家对等级保护制度的要求（二）国家对等级保护制度的要求1.中华人民共和国计算机信息系统安全保护中华人民共和国计算机信息系统安全保护条例条例（国务院（国务院147号令）：号令）：“计算机信息计算机信息系统实行安全等级保护，等级的划分标准和系统实行安全等级保护，等

3、级的划分标准和安全等级保护的具体办法，由公安部会同有安全等级保护的具体办法，由公安部会同有关部门制定。关部门制定。”一、等级保护制度的主要内容一、等级保护制度的主要内容2、国家信息化领导小组关于加强信息安全国家信息化领导小组关于加强信息安全保障工作的意见保障工作的意见（中办发（中办发200327号）规号）规定：要重点保护基础信息网络和关系国家定：要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和度，制定信息安全等级保护的管理办法和技术

4、指南。技术指南。一、等级保护制度的主要内容一、等级保护制度的主要内容（三）等级保护制度的地位和作用（三）等级保护制度的地位和作用l是国家信息安全保障工作的基本制度、基是国家信息安全保障工作的基本制度、基本国策。本国策。l是开展信息安全工作的基本办法。是开展信息安全工作的基本办法。l是促进国家信息化、维护国家信息安全是促进国家信息化、维护国家信息安全的的根本保障。根本保障。一、等级保护制度的主要内容一、等级保护制度的主要内容一、等级保护制度的主要内容一、等级保护制度的主要内容（四）实施等级保护制度的主要目的（四）实施等级保护制度的主要目的明确重点、突出重点、保护重点明确重点、突出重点、保护重

5、点有利于同步建设、协调发展。有利于同步建设、协调发展。优化信息安全资源的配置。优化信息安全资源的配置。明确信息安全责任。明确信息安全责任。推动信息安全产业发展。推动信息安全产业发展。国家发展改革部门、财政部门、科技部门、公国家发展改革部门、财政部门、科技部门、公安机关对重要信息系统在政策上给予支持。安机关对重要信息系统在政策上给予支持。一、等级保护制度的主要内容一、等级保护制度的主要内容( (五五) )公安机关组织开展等级保护工作的依据公安机关组织开展等级保护工作的依据 1 1、警察法警察法规定：警察履行规定：警察履行“监督管理计算机信监督管理计算机信息系统的安全保护工作息系统的安全保护工

6、作”的职责。的职责。2 2、国务院第、国务院第147147号令规定：号令规定：“公安部主管全国计算公安部主管全国计算机信息系统安全保护工作机信息系统安全保护工作”，“等级保护的具体等级保护的具体办法，由公安部会同有关部门制定办法，由公安部会同有关部门制定”。3 3、20082008年国务院三定方案，公安机关新增职能：年国务院三定方案，公安机关新增职能：“监督、检查、指导信息安全等级保护工作监督、检查、指导信息安全等级保护工作”。（六）等级保护工作的主要内容（六）等级保护工作的主要内容l对信息系统分等级进行安全保护和监管。对信息系统分等级进行安全保护和监管。五个规定动作五个规定动作：信息系统定

7、级、备案、安全：信息系统定级、备案、安全建设整改、等级测评、监督检查。建设整改、等级测评、监督检查。l信息安全产品分等级使用管理。信息安全产品分等级使用管理。l信息安全事件分等级响应、处置。信息安全事件分等级响应、处置。一、等级保护制度的主要内容一、等级保护制度的主要内容一、等级保护制度的主要内容一、等级保护制度的主要内容（七）相关部门的责任和义务（七）相关部门的责任和义务职能部门：制定管理规范和技术标准，组织实施，开展职能部门：制定管理规范和技术标准，组织实施，开展监督、检查、指导。监督、检查、指导。行业主管部门：督促、检查、指导本行业、本部门开展行业主管部门：督促、检查、指导本行业、本

8、部门开展等级保护工作等级保护工作。运营使用单位：开展信息系统定级、备案、建设整改、运营使用单位：开展信息系统定级、备案、建设整改、等级测评、自查等工作，落实等级保护制度的各项要求等级测评、自查等工作，落实等级保护制度的各项要求安全服务机构：开展技术支持、服务等工作，并接受监安全服务机构：开展技术支持、服务等工作，并接受监管部门的监督管理。管部门的监督管理。一、等级保护制度的主要内容一、等级保护制度的主要内容国家信息安全职能部门职责分工国家信息安全职能部门职责分工公安机关：公安机关：牵头部门牵头部门，监督、检查、指导信息安全等级，监督、检查、指导信息安全等级保护工作。保护工作。国家保密部门：

9、负责等级保护工作中有关保密工作的监国家保密部门：负责等级保护工作中有关保密工作的监督、检查、指导。并负责涉及国家秘密信息系统分级保督、检查、指导。并负责涉及国家秘密信息系统分级保护护国家密码管理部门：负责等级保护工作中有关密码工作国家密码管理部门：负责等级保护工作中有关密码工作的监督、检查、指导的监督、检查、指导工业和信息化部门：负责等级保护工作中部门间的协调。工业和信息化部门：负责等级保护工作中部门间的协调。一、等级保护制度的主要内容一、等级保护制度的主要内容（八）开展等级保护工作的基本要求（八）开展等级保护工作的基本要求各单位、各部门，按照“准确定级、严格审批、及时备案、认真整改、科学测评

10、”的要求开展等级保护的定级、备案、整改、测评等工作。公安机关要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。（一）信息安全等级保护政策体系近几年，公安部根据国务院147号令的授权，会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了一些文件，公安部和省厅对有些具体工作出台了一些指导意见和规范，构成了信息安全等级保护政策体系。汇集成信息安全等级保护工作汇编供有关单位、部门使用。二、等级保护政策体系和标准体系二、等级保护政策体系和

11、标准体系政政策策体体系系信息安全等级保护工作信息安全等级保护工作定级定级备案备案安全建设整改安全建设整改等级测评等级测评关于开展全国重要信息系统安全等级保护定级关于开展全国重要信息系统安全等级保护定级工作的通知工作的通知（公信安（公信安20078612007861号）号）检查检查信息安全等级保护管理办法（公通字信息安全等级保护管理办法（公通字200743200743号号) )关于信息安全等级保护工作的实施意见（公通字关于信息安全等级保护工作的实施意见（公通字200466200466号）号）中华人民共和国计算机信息系统安中华人民共和国计算机信息系统安全保护条例全保护条例( (国务院国务院

12、147147号令号令) )国家信息化领导小组关于加强信息安全保国家信息化领导小组关于加强信息安全保障工作的意见障工作的意见（中办发（中办发200327200327号）号）信息安全等级保护备案实施细则信息安全等级保护备案实施细则（公信安（公信安2007136020071360号）号）关于开展信息安全等级保护安全建设整改工作关于开展信息安全等级保护安全建设整改工作的指导意见的指导意见( (公信安公信安2009142920091429号号) )关于加强国家电子政务工程建设项目信息安全风关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技险评估工作的通知（发改高技20082071200

13、82071号）号）关于推动信息安全等级保护测评体系建设和开关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知展等级测评工作的通知（公信安（公信安20103032010303号）号）信息系统安全等级测评报告模版（试行）信息系统安全等级测评报告模版（试行）（公信（公信安安2009148720091487）公安机关信息安全等级保护检查工作规范公安机关信息安全等级保护检查工作规范（公信（公信安安20087362008736号）号）1、关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见（公通（公通字字200466号）号）2、信息安全等级保护管理办法信息安全等级保护管理

14、办法公通字公通字200743号）号） 3、关于开展全国重要信息系统安全等级保护定级工关于开展全国重要信息系统安全等级保护定级工作的通知作的通知（公通字（公通字2007861号）号）4、信息安全等级保护备案实施细则信息安全等级保护备案实施细则（公信安（公信安20071360号）号） 5、关于开展信息系统等级保护安全建设整改工作的关于开展信息系统等级保护安全建设整改工作的指导意见指导意见公信安公信安20091429号）号）6、关于加强国家电子政务工程建设项目信息安全风关于加强国家电子政务工程建设项目信息安全风险评估工作的通知险评估工作的通知（发改高技（发改高技20082071号）号）7、关

15、于推动信息安全等级保护测评体系建设和开展关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知等级测评工作的通知（公信安（公信安2010303号）。号）。8、关于印发关于印发信息系统安全等级测评报告模版（试信息系统安全等级测评报告模版（试行）行）的通知的通知（公信安（公信安20091487号）号）9、公安机关信息安全等级保护检查工作规范公安机关信息安全等级保护检查工作规范（公（公信安信安2008736号号）多年来，在有关部门支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作系列标准，形成了比较完整的

16、信息安全等级保护标准体系。基础标准：计算机信息系统安全保护等级划分准则。在此基础上制定出技术类、管理类、产品类标准。安全要求：信息系统安全等级保护基本要求信息系统安全等级保护的行业规范系统定级：信息系统安全等级保护定级指南信息系统安全等级保护行业定级细则方法指导：信息系统安全等级保护实施指南信息系统等级保护安全设计技术要求现状分析：信息系统安全等级保护测评要求信息系统安全等级保护测评过程指南在应用有关标准中需注意的几个问题：在应用有关标准中需注意的几个问题：1、基本要求基本要求是阶段性目标，是阶段性目标，信息系统等级信息系统等级保护安全设计技术要求保护安全设计技术要求是实现该目标的方法是实现该目标的方法和途径之一。和途径之一。2、基本要求基本要求中不包含安全设计和工程实施等中不包含安全设计和工程实施等内容，因此可以参照内容，因此可以参照信息系统等级保护安全信息系统等级保护安全设计技术要求设计技术要求等标准进行。等标准进行。3、在进行安全建设整改时，应根据业务信息安全、在进行安全建设整改时，应根据业务信息安全等级和系统服务安全等级确定等级和系统服务安全等级确定基本要求基本要求中