1、烏魯木齊市信息安全,等級化保護工作培訓(xùn)內(nèi)容,關(guān)于等級保護,一、什么是信息安全等級保護,信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。開展信息安全等級保護工作是保護信息化發(fā)展、維護國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。,二、我國在信息安全保障工作中為什么要實行等級保護制度,當(dāng)前，我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全面臨的形勢十分嚴峻，既有外部威脅，又有自身脆弱性和薄弱環(huán)節(jié)。 一是針對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪持續(xù)上升； 二是基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全隱患嚴重； 三是我國的信息安全保障工作基礎(chǔ)還很薄弱。,三、實行信息安全等級保護制度能夠解決哪些

2、主要問題,有效解決我國信息安全面臨的威脅和存在的主要問題，充分體現(xiàn)“適度安全、保護重點”的目的，將有限的財力、物力、人力投入到重要信息系統(tǒng)安全保護中，按標準建設(shè)安全保護措施，建立安全保護制度，落實安全責(zé)任，有效保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定的重要信息系統(tǒng)的安全，有效提高我國信息安全保障工作的整體水平。,四、信息系統(tǒng)安全保護等級的劃分,國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人、和其他組織的合法權(quán)益的危害程度等因素確定。,四、

3、信息系統(tǒng)安全保護等級的劃分,第一級為自主保護級 適用于一般的信息系統(tǒng),其受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第一級信息系統(tǒng)運營、使用單位或者個人可以依據(jù)國家管理規(guī)范和技術(shù)標準進行保護。,四、信息系統(tǒng)安全保護等級的劃分,第二級為指導(dǎo)保護級 適用于一般的信息系統(tǒng),其受到破壞后，會對社會秩序和公共利益造成輕微損害，但不損害國家安全。第二級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范和技術(shù)標準進行保護。必要時,國家有關(guān)信息安全職能部門可以對其信息安全等級保護工作進行指導(dǎo)。,四、信息系統(tǒng)安全保護等級的劃分,第三級為監(jiān)督保護級 適用于涉及國家安全、社

4、會秩序和公共利益的重要信息系統(tǒng),其受到破壞后，會對國家安全、社會秩序和公共利益造成損害。第三級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范和技術(shù)標準進行保護，國家有關(guān)信息安全職能部門對其信息安全等級保護工作進行監(jiān)督、檢查。,四、信息系統(tǒng)安全保護等級的劃分,第四級為強制保護級 適用于涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng),其受到破壞后，會對國家安全、社會秩序和公共利益造成損害。第四級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范和技術(shù)標準進行保護，國家有關(guān)信息安全職能部門對其信息安全等級保護工作進行強制監(jiān)督、檢查。,四、信息系統(tǒng)安全保護等級的劃分,第五級為專控保護級 適用于涉及國家安全、社會秩

5、序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后,會對國家安全、社會秩序和公共利益造成特別嚴重損害。第五級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家管理規(guī)范和技術(shù)標準進行保護,國家指定的專門部門或者專門機構(gòu)對其信息安全等級保護工作進行專門監(jiān)督、檢查。,五、開展等級保護工作的總體要求, 各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，按照“準確定級、嚴格審批、及時備案、認真整改、科學(xué)測評”的要求完成等級保護的定級、備案、整改、測評等工作 。 公安機關(guān)和保密、密碼工作部門要及時開展監(jiān)督檢查，嚴格審查信息系統(tǒng)所定級別，嚴格檢查信息系統(tǒng)開展備案、整改、測評等工作。 對故意將信息系統(tǒng)安全級別定低，逃避公安、保密、密碼部門監(jiān)管

6、，造成信息系統(tǒng)出現(xiàn)重大安全事故的，要追究單位和人員的責(zé)任。,六、等級保護工作職責(zé)的分工,公安機關(guān)是等級保護工作的牽頭部門，負責(zé)信息安全等級保護工作的監(jiān)督、檢查、指導(dǎo)； 國家保密工作部門、國家密碼管理部門負責(zé)等級保護工作中有關(guān)保密工作和密碼工作的監(jiān)督、檢查、指導(dǎo)； 國信辦及地方信息化領(lǐng)導(dǎo)小組辦事機構(gòu)負責(zé)等級保護工作部門間的協(xié)調(diào)。 其中，涉及國家秘密信息系統(tǒng)的等級保護監(jiān)督管理工作由國家保密工作部門負責(zé)；非涉及國家秘密信息系統(tǒng)的等級保護監(jiān)督管理工作由公安機關(guān)負責(zé)。,七、等級保護工作的主要流程,主要流程包括六項內(nèi)容： 一是自主定級與審批。 二是評審。 三是備案。 （二級以上信息系統(tǒng)） 四是系統(tǒng)安全建設(shè)

7、、整改（按條件選擇產(chǎn)品）。 五是等級測評（按條件選擇測評機構(gòu)）。 六是信息安全監(jiān)管部門定期開展監(jiān)督檢查。,關(guān)于定級備案,一、定級工作的主要步驟,定級是等級保護工作的首要環(huán)節(jié)，是開展信息系統(tǒng)建設(shè)、整改、測評、備案、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。 第一步: 摸底調(diào)查，掌握信息系統(tǒng)底數(shù); 第二步: 確定定級對象; 第三步: 初步確定信息系統(tǒng)等級; 第四步: 信息系統(tǒng)等級評審; 第五步: 信息系統(tǒng)等級的最終確定與審批; 第六步：備案; 第七步：備案審核; 第八步：及時總結(jié)并提交總結(jié)報告。,一、定級工作的主要步驟,第一步，摸底調(diào)查，掌握信息系統(tǒng)底數(shù) 按照定級工作通知確定的定級范圍，各單位、各部門可以組織

8、開展對所屬信息系統(tǒng)進行摸底調(diào)查，摸清信息系統(tǒng)底數(shù)，掌握信息系統(tǒng)（包括信息網(wǎng)絡(luò)）的業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，為下一步明確要求、落實責(zé)任奠定基礎(chǔ)。,一、定級工作的主要步驟,第二步，確定定級對象 一是應(yīng)用系統(tǒng)應(yīng)按照不同業(yè)務(wù)類別單獨確定為定級對象，不以系統(tǒng)是否進行數(shù)據(jù)交換、是否獨享設(shè)備為確定定級對象條件。起傳輸作用的基礎(chǔ)網(wǎng)絡(luò)要作為單獨的定級對象。 二是確認負責(zé)定級的單位是否對所定級系統(tǒng)具有安全管理責(zé)任。 三是具有信息系統(tǒng)的基本要素。作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標和規(guī)則組合而成的有形實體。應(yīng)避免將某個單一的系統(tǒng)組件，如單臺的服務(wù)器、終端或網(wǎng)絡(luò)

9、設(shè)備等作為定級對象 。,一 、定級工作的主要步驟,第三步，初步確定信息系統(tǒng)等級 信息系統(tǒng)的安全保護等級是信息系統(tǒng)的客觀屬性，不以已采取或?qū)⒉扇∈裁窗踩Ｗo措施為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、社會穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，來確定信息系統(tǒng)的安全保護等級。既要防止個別單位片面追求絕對安全而定級過高，也要防止為了逃避監(jiān)管定級偏低。,一 、定級工作的主要步驟,跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)，可以由主管部門統(tǒng)一確定安全保護等級。由各行業(yè)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一安全保護策略的信息系統(tǒng)，應(yīng)由各部委統(tǒng)一確定一個級別；由各部委統(tǒng)一規(guī)劃、分級建設(shè)、運行的信息系統(tǒng)，應(yīng)由

10、部、省、地市分別確定系統(tǒng)等級，但各行業(yè)應(yīng)對該類系統(tǒng)提出定級意見，避免出現(xiàn)同類系統(tǒng)定級出現(xiàn)較大偏差問題。,一 、定級工作的主要步驟,第四步，信息系統(tǒng)等級評審 在信息系統(tǒng)安全保護等級確定過程中，可以聘請專家進行咨詢評審，并出具定級評審意見。對擬確定為第四級以上信息系統(tǒng)的，運營使用單位或者主管部門應(yīng)當(dāng)請國家信息安全保護等級專家評審委員會評審，出具評審意見。 當(dāng)專家意見與運營使用單位或者主管部門不一致時，以運營使用單位或者主管部門意見為準。,一 、定級工作的主要步驟,第五步，信息系統(tǒng)等級的最終確定與審批 信息系統(tǒng)運營使用單位參考專家定級評審意見，最終確定信息系統(tǒng)等級，形成定級報告。信息系統(tǒng)運營使用單位

11、有上級主管部門的，應(yīng)當(dāng)經(jīng)上級主管部門對安全保護等級進行審核批準。主管部門一般是指行業(yè)的上級主管部門或監(jiān)管部門。如果是跨地域聯(lián)網(wǎng)運營使用的信息系統(tǒng)，則必須由其上級主管部門審批，確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級的一致性。,一 、定級工作的主要步驟,第六步：備案。 第二級以上信息系統(tǒng)，在安全保護等級確定后，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。定級工作的結(jié)果是以

12、備案完成為標志。,一 、定級工作的主要步驟,第七步：備案審核。 受理備案的公安機關(guān)要公布備案受理地點、備案聯(lián)系方式等。在受理備案時，應(yīng)對提交的備案材料進行完整性審核和定級準確性審核。對符合等級保護要求的，應(yīng)頒發(fā)信息系統(tǒng)安全等級保護備案證明。發(fā)現(xiàn)定級不準的，通知備案單位重新審核確定。,一 、定級工作的主要步驟,第八步：及時總結(jié)并提交總結(jié)報告。 各地區(qū)、各部門要結(jié)合本地區(qū)、本行業(yè)開展定級工作的實際，認真總結(jié)經(jīng)驗和不足，提出改進和完善定級方法的意見和建議，及時總結(jié)定級工作經(jīng)驗，形成定級工作總結(jié)，按要求上報。,（一）、受侵害的客體 1、國家安全 2、社會秩序和公共利益 3、公民、法人和其他組織合法權(quán)益

13、 （二）、對客體的侵害程度 1、一般損害 2、嚴重損害 3、特別嚴重損害,二、定級要素：,二、定級要素：,關(guān)于國家安全 重要的國家事務(wù)處理系統(tǒng)、國防工業(yè)生產(chǎn)系統(tǒng)和國防設(shè)施的控制系統(tǒng)等；廣播、電視、網(wǎng)絡(luò)等重要新聞媒體的發(fā)布或播出系統(tǒng)，其受到非法控制可能引發(fā)影響國家統(tǒng)一、民族團結(jié)和社會安定的重大事件；尖端科技領(lǐng)域的研發(fā)、生產(chǎn)系統(tǒng)等影響國家經(jīng)濟競爭力和科技實力的信息系統(tǒng)，以及電力、通信、能源、交通運輸、金融等國家重要基礎(chǔ)設(shè)施的生產(chǎn)、控制、管理系統(tǒng)等。,二、定級要素：,關(guān)于社會秩序 各級政府機構(gòu)的社會管理和公共服務(wù)系統(tǒng)，如財政、金融、工商、稅務(wù)、公檢法、海關(guān)、社保等領(lǐng)域的信息系統(tǒng)，也包括教育、科研機構(gòu)

14、的工作系統(tǒng)，以及所有為公眾提供醫(yī)療衛(wèi)生、應(yīng)急服務(wù)、供水、供電、郵政等必要服務(wù)的生產(chǎn)系統(tǒng)或管理系統(tǒng)。,二、定級要素：,關(guān)于公共利益 借助信息化手段為社會成員提供使用的公共設(shè)施和通過信息系統(tǒng)對公共設(shè)施進行管理控制都應(yīng)當(dāng)是要考慮的方面，例如：公共通信設(shè)施、公共衛(wèi)生設(shè)施、公共休閑娛樂設(shè)施、公共管理設(shè)施、公共服務(wù)設(shè)施等。 公共利益與社會秩序密切相關(guān)，社會秩序的破壞一般會造成對公共利益的損害。,二、定級要素：,對客體的侵害程度： 一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。 嚴重損害：工作職能

15、受到嚴重影響，業(yè)務(wù)能力顯著下降且嚴重影響主要功能執(zhí)行，出現(xiàn)較嚴重的法律問題，較高的財產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。,二、定級要素：,特別嚴重損害：工作職能受到特別嚴重影響或喪失行使能力，業(yè)務(wù)能力嚴重下降且功能無法執(zhí)行，出現(xiàn)極其嚴重的法律問題，極高的財產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。,三、表1 業(yè)務(wù)信息安全保護等級矩陣表,四、表2 系統(tǒng)服務(wù)安全保護等級矩陣表,五、定級的基本流程,五、定級的基本流程,注意事項： 作為定級對象的信息系統(tǒng)的安全保護等級由業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級的較高者決定。如：某單位業(yè)務(wù)信息安全保護等

16、級為2級，系統(tǒng)服務(wù)安全保護等級為3級，則該單位信息系統(tǒng)的安全保護等級為3級。,等級保護備案工作流程,等級保護備案工作流程,一、接受備案時所需的材料： 1、信息系統(tǒng)安全等級保護定級報告 2、信息系統(tǒng)安全等級保護備案表 （包括表一單位基本情況、表二信息系統(tǒng)情況、表三信息系統(tǒng)定級情況，注：表四為第三級以上信息系統(tǒng)提交的材料情況） 3、電子數(shù)據(jù)文件（統(tǒng)一存至備案工作站指定路徑下） 材料齊全后，填寫并反饋信息系統(tǒng)安全等級保護備案材料接受回執(zhí)，并編寫回執(zhí)編號。,等級保護備案工作流程,二、填寫電子版?zhèn)浒竼挝磺闆r表 三、審核情況： 如完全符合要求，直接通知備案單位領(lǐng)取信息系統(tǒng)安全等級保護備案證明。并書面告知備

17、案單位在備案事項發(fā)生變化時，應(yīng)當(dāng)在三十日內(nèi)向公安機關(guān)重新備案。,常見問題,常見問題回答,1 、開展信息安全等級保護依據(jù)？ 依據(jù)信息安全等級保護管理辦法（公通字200743號） 2 、開展信息安全等級保護參考資料？ 信息系統(tǒng)安全等級保護定級指南 信息系統(tǒng)安全等級保護基本要求 信息系統(tǒng)安全等級保護實施指南,常見問題回答,3、備案需要提交的材料？ 備案時提交信息系統(tǒng)安全等級保護定級報告、信息系統(tǒng)安全等級保護備案表（以下簡稱備案表）等有關(guān)備案材料及電子數(shù)據(jù)文件。 第二級信息系統(tǒng)需填寫備案表中表一、表二、表三的內(nèi)容，第三級以上信息系統(tǒng)還需在完成系統(tǒng)建設(shè)、整改、測評等工作，投入運行后三十日內(nèi)提交表四所列的附件內(nèi)容,常見問題回答,4、如何使用備案軟件? （1）、先部署java運行環(huán)境,到 （2）、部署及運行備案端軟件 第一步 下載備案端軟件到本地的常用目錄中； 第二步 進入recordeditorbin目錄，點擊recordeditor.bat執(zhí)行即可； 第三步 按照等級保護備案端軟件1.1版說明書070920中的詳細提示操作使用。,常見問題回答,5、如何填寫信息系統(tǒng)安全等級保護定級報告? 請參照信息系統(tǒng)安全等級保護定級報告（實例） 6、如何填寫信息系統(tǒng)安全等級保護備案表? 請參照信息系統(tǒng)安全等級保護備案表填表說明、備案表數(shù)據(jù)項說明070914,常見問題回答,