信息平安等級保護(hù)工作吳江市公安局網(wǎng)絡(luò)平安監(jiān)察大隊(duì)二OO八年十月--定級、備案工作培訓(xùn)講義目錄一、信息平安等級保護(hù)工作概述二、信息平安等級保護(hù)定級工作具體實(shí)施1、備案表的填寫2、形成?定級報(bào)告?三、系統(tǒng)定級技術(shù)環(huán)節(jié)一、信息平安等級保護(hù)工作概述〔一〕根本概念

信息平安等級保護(hù)是國家信息平安保障的根本制度、根本策略和根本方法。開展信息平安等級保護(hù)工作是保護(hù)信息化開展、維護(hù)國家信息平安的根本保障,是信息平安保障工作中國家意志的表達(dá)。

一、信息平安等級保護(hù)工作概述〔二〕政策和法律依據(jù)1994年，?中華人民共和國計(jì)算機(jī)信息系統(tǒng)平安保護(hù)條例?規(guī)定，“計(jì)算機(jī)信息系統(tǒng)實(shí)行平安等級保護(hù)，平安等級的劃分標(biāo)準(zhǔn)和平安等級保護(hù)的具體方法，由公安部會同有關(guān)部門制定〞。1995年,?中華人民共和國警察法?規(guī)定，公安機(jī)關(guān)人民警察依法履行“監(jiān)督管理計(jì)算機(jī)信息系統(tǒng)的平安保護(hù)工作〞。1999年，強(qiáng)制性國家標(biāo)準(zhǔn)－?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級劃分準(zhǔn)那么?GB17859〕。2003年，中辦、國辦轉(zhuǎn)發(fā)的?國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息平安保障工作的意見?〔中辦發(fā)[2003]27號〕明確指出“實(shí)行信息平安等級保護(hù)〞。“要重點(diǎn)保護(hù)根底信息網(wǎng)絡(luò)和關(guān)系國家平安、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息平安等級保護(hù)制度，制定信息平安等級保護(hù)的管理方法和技術(shù)指南〞。2004年，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合印發(fā)了?關(guān)于信息平安等級保護(hù)工作的實(shí)施意見?〔66號文件〕2007年6月，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合制定了?信息平安等級保護(hù)管理方法?〔公通字[2007]43號〕一、信息平安等級保護(hù)工作概述〔三〕信息平安等級保護(hù)的根本原那么一是明確責(zé)任，共同保護(hù)；二是依照標(biāo)準(zhǔn)，自行保護(hù)；三是同步建設(shè)，動(dòng)態(tài)調(diào)整；四是監(jiān)督指導(dǎo)，重點(diǎn)保護(hù)?！菜摹池?zé)任義務(wù)信息平安監(jiān)管部門的職責(zé)分工公安機(jī)關(guān)負(fù)責(zé)信息平安等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門負(fù)責(zé)等級保護(hù)工作中有關(guān)保密工作監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負(fù)責(zé)等級保護(hù)工作中有關(guān)密碼工作監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項(xiàng)，由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進(jìn)行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級保護(hù)工作的部門間協(xié)調(diào)。一、信息平安等級保護(hù)工作概述信息系統(tǒng)主管部門責(zé)任義務(wù)信息系統(tǒng)主管部門應(yīng)當(dāng)依照?管理方法?及相關(guān)標(biāo)準(zhǔn)標(biāo)準(zhǔn)，催促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營、使用單位的信息平安等級保護(hù)工作。運(yùn)營使用單位的責(zé)任義務(wù)信息系統(tǒng)的運(yùn)營、使用單位應(yīng)當(dāng)依照本方法及其相關(guān)標(biāo)準(zhǔn)標(biāo)準(zhǔn)，履行信息平安等級保護(hù)的義務(wù)和責(zé)任。涉及國家秘密信息系統(tǒng)的分級保護(hù)管理涉及國家秘密信息系統(tǒng)的等級保護(hù)監(jiān)督管理工作由國家保密工作部門負(fù)責(zé)；非涉及國家秘密信息系統(tǒng)的等級保護(hù)監(jiān)督管理工作由公安機(jī)關(guān)負(fù)責(zé)。

一、信息平安等級保護(hù)工作概述〔五〕主要流程1、定級與審批；2、等級評審；3、備案；4、備案管理；5、系統(tǒng)建設(shè)；6、等級測評；7、自查自糾；8、監(jiān)督檢查。等級變更局部調(diào)整信息系統(tǒng)定級總體平安規(guī)劃平安設(shè)計(jì)與實(shí)施平安運(yùn)行維護(hù)信息系統(tǒng)終止備案管理監(jiān)督檢查一、信息平安等級保護(hù)工作概述〔六〕總體要求按照“準(zhǔn)確定級、嚴(yán)格審批、及時(shí)備案、認(rèn)真整改、科學(xué)測評〞的要求完成等級保護(hù)的定級、備案、整改、測評等工作。對成心將信息系統(tǒng)平安級別定低，逃避公安、保密、密碼部門監(jiān)管，造成信息系統(tǒng)出現(xiàn)重大平安事故的，要追究單位和人員的責(zé)任。一、信息平安等級保護(hù)工作概述定級工作日程安排１、第一階段自現(xiàn)在起-10月19日發(fā)動(dòng)、培訓(xùn)、調(diào)查摸底階段。２、第二階段10月20日-10月27日自評和初評階段。３、第三階段10月28日-12月10日上報(bào)蘇州評審和備案階段，備案方式：電子備案和書面?zhèn)浒浮?、第四階段12月11日-12月20日總結(jié)階段。備案表備案表模板二、信息平安等級保護(hù)定級工作具體實(shí)施

〔一〕定級原那么堅(jiān)持“自主定級、自主保護(hù)〞與國家監(jiān)管相結(jié)合的原那么〔二〕等級劃分等級對象侵害客體侵害程度監(jiān)管強(qiáng)度第一級一般系統(tǒng)合法權(quán)益損害自主保護(hù)第二級合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)保護(hù)社會秩序和公共利益損害第三級重要系統(tǒng)社會秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查保護(hù)國家安全損害第四級社會秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢查保護(hù)國家安全嚴(yán)重?fù)p害第五級極端重要系統(tǒng)國家安全特別嚴(yán)重?fù)p害專門監(jiān)督檢查保護(hù)二、信息平安等級保護(hù)定級工作具體實(shí)施

〔三〕確定需要定級的系統(tǒng)〔1〕省轄市以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)；〔2〕電信、廣電行業(yè)的公用通信網(wǎng)、播送電視傳輸網(wǎng)等根底信息網(wǎng)絡(luò)，經(jīng)營性公眾互聯(lián)網(wǎng)信息效勞單位、互聯(lián)網(wǎng)接入效勞單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)；〔3〕鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、開展改革、國防科技、公安、人事勞動(dòng)和社會保障、財(cái)政、審計(jì)、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計(jì)、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)；〔4〕涉及國家秘密的信息系統(tǒng)。二、信息平安等級保護(hù)定級工作概述(四)對五級信息系統(tǒng)的具體說明1、一級信息系統(tǒng)定義：適用于一般信息系統(tǒng)，其受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生損害，但不損害國家平安、社會秩序和公共利益。舉例：公民個(gè)人的單機(jī)系統(tǒng)，小型集體、民營企業(yè)所屬的信息系統(tǒng)，中、小學(xué)校的信息系統(tǒng)，鄉(xiāng)鎮(zhèn)級黨政機(jī)關(guān)、事業(yè)單位的信息系統(tǒng)等。2、二級信息系統(tǒng)定義：適用于一般的信息系統(tǒng)，其受到破壞后，會對社會秩序和公共利益造成輕微損害，但不損害國家平安.舉例縣級、地市級電信、廣電、銀行、鐵道、海關(guān)、稅務(wù)、民航、證券、電力、保險(xiǎn)、公安、財(cái)政、金融、社保、工商、審計(jì)、能源、化工、社會效勞保障、衛(wèi)生、交通運(yùn)輸、國土資源、郵政、應(yīng)急搶險(xiǎn)、農(nóng)業(yè)等行業(yè)所屬獨(dú)立的信息系統(tǒng)；中型集體、民營企業(yè)、小型國有企業(yè)所屬的信息系統(tǒng)；縣級黨政機(jī)關(guān)、事業(yè)單位的信息系統(tǒng)；普通高等院校和科研機(jī)構(gòu)的信息系統(tǒng)；其他中型組織的信息系統(tǒng)。二、信息平安等級保護(hù)定級工作概述3.三級信息系統(tǒng)定義：適用于涉及國家平安、社會秩序和公共利益的重要信息系統(tǒng)，其受到破壞后，會對國家平安、社會秩序和公共利益造成一定損害。舉例：省級和副省級電信、廣電、銀行、鐵道、海關(guān)、稅務(wù)、民航、證券、電力、保險(xiǎn)、公安、財(cái)政、金融、社保、工商、審計(jì)、能源、化工、社會效勞保障、衛(wèi)生、交通運(yùn)輸、國土資源、郵政、應(yīng)急搶險(xiǎn)、農(nóng)業(yè)等行業(yè)所屬獨(dú)立的重要信息系統(tǒng)；大型集體、民營企業(yè)、大中型國有企業(yè)所屬的重要信息系統(tǒng)；地市級黨政機(jī)關(guān)、事業(yè)單位的重要信息系統(tǒng)；重點(diǎn)高等院校和科研機(jī)構(gòu)的重要信息系統(tǒng)；其他大中型組織的信息系統(tǒng)。

二、信息平安等級保護(hù)定級工作具體實(shí)施

〔二〕形成?定級報(bào)告?一、、XXX信息系統(tǒng)的描述；二、XXX信息系統(tǒng)平安保護(hù)等級確定〔1〕確定業(yè)務(wù)信息平安等級1、業(yè)務(wù)信息描述；2、業(yè)務(wù)信息受到破壞時(shí)所侵害客體確實(shí)定；3、業(yè)務(wù)信息受到破壞后對侵害客體的侵害程度；4、業(yè)務(wù)信息平安等級確實(shí)定〔2〕確定系統(tǒng)效勞平安等級1、系統(tǒng)效勞描述；2、系統(tǒng)效勞受到破壞時(shí)所侵害客體確實(shí)定；3、系統(tǒng)效勞受到破壞后對侵害客體的侵害程度；4、系統(tǒng)效勞平安等級確實(shí)定三、平安保護(hù)等級確實(shí)定信息系統(tǒng)平安保護(hù)等級由業(yè)務(wù)信息平安等級和系統(tǒng)效勞平安等級較高者決定二、信息平安等級保護(hù)定級工作具體實(shí)施1、確定定級對象2、確定業(yè)務(wù)信息平安受到破壞時(shí)所侵害的客體5、確定系統(tǒng)效勞平安受到破壞時(shí)所侵害的客體3、綜合評定對客體的侵害程度6、綜合評定對客體的侵害程度依據(jù)表1依據(jù)表2業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級7、系統(tǒng)效勞平安等級4、業(yè)務(wù)信息平安等級8、定級對象的平安保護(hù)等級表1表2初步確定信息系統(tǒng)等級三、信息平安等級保護(hù)定級工作流程系統(tǒng)描述責(zé)任單位根本要素業(yè)務(wù)情況等級確定業(yè)務(wù)信息平安等級確定系統(tǒng)效勞平安等級確定平安保護(hù)等級確定1、描述2、受到破壞時(shí)所侵害客體確實(shí)定3、受到破壞時(shí)對侵害客體侵害程度確實(shí)定4、平安等級確實(shí)定定級報(bào)告二、信息平安等級保護(hù)定級工作具體實(shí)施

信息系統(tǒng)等級評審對擬確定為第四級以上信息系統(tǒng)的，運(yùn)營、使用單位或者主管部門應(yīng)當(dāng)邀請國家信息平安保護(hù)等級專家評審委員會評審；對擬確定為第三級以上信息系統(tǒng)的，運(yùn)營、使用單位或者主管部門應(yīng)當(dāng)邀請省信息平安保護(hù)等級專家評審組評審，出具評審意見。對擬確定為第二級以上信息系統(tǒng)的，運(yùn)營、使用單位或者主管部門應(yīng)當(dāng)邀請市信息平安保護(hù)等級專家評審組評審，出具評審意見四、系統(tǒng)定級的技術(shù)環(huán)節(jié)定級對象確實(shí)定業(yè)務(wù)信息和系統(tǒng)效勞確定受侵害客體和侵害程度的分析確定定級對象—定級對象識別與劃分依據(jù)平安責(zé)任單位可以根據(jù)平安責(zé)任單位的不同劃分成不同的信息系統(tǒng)。業(yè)務(wù)類型和業(yè)務(wù)重要性可能涉及不同客體的系統(tǒng)可能對客體造成不同程度損害的系統(tǒng)處理不同類型業(yè)務(wù)的系統(tǒng)。物理位置物理位置也可以作為信息系統(tǒng)劃分的考慮因素之一。確定業(yè)務(wù)信息和系統(tǒng)效勞業(yè)務(wù)信息業(yè)務(wù)系統(tǒng)處理的主要業(yè)務(wù)信息等系統(tǒng)效勞業(yè)務(wù)系統(tǒng)的效勞范圍、效勞對象等四、系統(tǒng)定級的技術(shù)環(huán)節(jié)

受侵害的客體：公民、法人和其他組織的合法權(quán)益；社會秩序、公共利益；國家平安。

對客體的侵害程度：造成一般損害；造成嚴(yán)重?fù)p害；造成特別嚴(yán)重?fù)p害。侵害客體和侵害程度國家平安表達(dá)了國家層面、與全局相關(guān)的國家政治平安、軍事平安、經(jīng)濟(jì)平安、社會平安、科技平安等方面利益。社會秩序和公共利益包括政治、經(jīng)濟(jì)、生產(chǎn)、生活、科研、工作等各方面的正常秩序和社會公眾生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。合法權(quán)益是法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會權(quán)利和利益。確定對客體的侵害程度—綜合判定侵害程度一般損害工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的資產(chǎn)損失，有限的社會不良影響，對其他組織和個(gè)人造成較低損害。嚴(yán)重?fù)p害工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的資產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個(gè)人造成較嚴(yán)重?fù)p害。特別嚴(yán)重?fù)p害工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的資產(chǎn)損失，大范圍的社會不良影響，對其他組織和個(gè)人造成非常嚴(yán)重?fù)p害北京奧運(yùn)會信息系統(tǒng)的定級案例奧運(yùn)網(wǎng)絡(luò)主要包括，“奧組委辦公外網(wǎng)〞、“奧組委內(nèi)部辦公局域網(wǎng)〞、“奧運(yùn)票務(wù)網(wǎng)〞〔票務(wù)網(wǎng)站和票務(wù)管理系統(tǒng)〕、“奧運(yùn)官方網(wǎng)站〞、“奧運(yùn)互聯(lián)網(wǎng)接入〞等五個(gè)奧運(yùn)網(wǎng)絡(luò)和信息系統(tǒng)。確定奧組委辦公外網(wǎng)、奧組委內(nèi)部辦公局域網(wǎng)、票務(wù)網(wǎng)站、票務(wù)管理系統(tǒng)和奧運(yùn)官方網(wǎng)站為定級對象。“奧組委辦公內(nèi)網(wǎng)〞承載奧組委內(nèi)部的人事、財(cái)務(wù)等業(yè)務(wù)，僅在奧組委少數(shù)部門內(nèi)應(yīng)用，不傳輸秘密信息和敏感信息。其受到破壞后，僅會影響內(nèi)部辦公，會對社會秩序、公共利益造成損害，定為二級；“奧組委辦公外網(wǎng)〞通過唯一出口與互聯(lián)網(wǎng)相連，承載奧組委內(nèi)部的電子郵件、物流、短信平臺、場館管理等業(yè)務(wù)，在奧組委總部范圍應(yīng)用，其受到破壞后，會對社會秩序、公共利益造成損害，定為二級；“票務(wù)網(wǎng)站〞負(fù)責(zé)提供票務(wù)申請、信息填寫等業(yè)務(wù)，采集購票者信息和定票信息，不與“票務(wù)管理系統(tǒng)〞直接相連，其受到破壞后，會對社會秩序、公共利益造成損害，定為二級；“票務(wù)管理系統(tǒng)〞存儲處理通過各種方式申請、購置奧運(yùn)票務(wù)的個(gè)人數(shù)據(jù),是“票務(wù)網(wǎng)站〞的核心，其受到破壞后，會對社會秩序、公共利益造成嚴(yán)重?fù)p害，定為三級；“奧運(yùn)官方網(wǎng)站〞承擔(dān)在互聯(lián)網(wǎng)上對外宣傳、報(bào)道奧運(yùn)重大事項(xiàng)，是北京奧運(yùn)通過互聯(lián)網(wǎng)對外宣傳的門戶，其效勞保障性要求很高，受到破壞后，會對社會秩序、公共利益造成嚴(yán)重?fù)p害，定為三級。四、系統(tǒng)定級的技術(shù)環(huán)節(jié)

定級工作中需要關(guān)注的幾個(gè)問題１、業(yè)務(wù)主管部門為主。２、主要參考?定級指南?對要素的描述。３、對客體的危害和影響是預(yù)估的，必須依據(jù)實(shí)踐經(jīng)驗(yàn)