信息系统安全等级保护定级报告.ppt
《信息系统安全等级保护定级报告.ppt》由会员分享,可在线阅读,更多相关《信息系统安全等级保护定级报告.ppt(71页珍藏版)》请在三一办公上搜索。
1、北京市教委各直属单位信息安全等级保护工作培训,主讲:市公安局网监处信息安全等级保护办公室 高媛,2007年10月24日,信息安全等级保护工作概述,信息安全保护等级的划分,2,信息系统的定级工作,4,信息系统的备案工作,5,培训提纲,1,一、信息安全等级保护工作概述,信息安全等级保护工作的定位,信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作不仅是实现国家对重要信息系统重点保护的重大措施,也是一项事关国家安全、社会稳定和北京奥运会成功举办的政治任务。,信息安全等级保护工作法律法规标准依据,国家层面:,中华人民共和国计算机信息系统安全保护条例(1994
2、年,国务院147号令)国家信息化领导小组关于加强信息安全保障工作的意见(2003年,中办27号文),关于信息安全等级保护工作的实施意见(2004年9月,公通字200466号文件)信息安全等级保护管理办法(2007年6月,公通字200743号文件,北京市:,北京市公共服务网络与信息系统安全管理规定(2005年11月,市政府第163号令)关于开展信息安全等级保护工作的通知(2006年3月)北京市开展信息安全等级保护工作的实施方案(2007年8月)北京市信息化促进条例(2007年9月通过,12月1日施行),信息安全等级保护工作法律法规标准依据,二、信息安全保护等级的划分,信息系统安全保护等级的决定要
3、素,信息系统的安全保护等级由两个要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。,受侵害的客体:,一是公民、法人和其他组织的合法权益;二是社会秩序、公共利益;三是国家安全。,对客体的侵害程度:,一是造成损害;二是造成严重损害;三是造成特别严重损害。,侵害国家安全的事项包括以下方面:影响国家政权稳固和国防实力;影响国家统一、民族团结和社会安定;影响国家对外活动中的政 治、经济利益等侵害社会秩序的事项包括以下方面:影响国家机关社会管理和公共服务的工作秩序;影响各种类型的经济活动秩序等;影响公共利益的事项包括以下方面:影响社会成员使用公共设施;影响社会成员获取 公开信息资源等;影
4、响公民、法人和其他组织的合法权益是指:由法律确认的并受法律保护的公民、法 人和其他组织所享有的一定的社会权利和利益。,受侵害的客体的具体事项体现,侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同。在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。,如何确定对
5、客体的侵害程度,对客体的三种危害程度,损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的 执行,出现较轻的法律问题,较低的资产损失,有限的社会不良 影响,对其他组织和个人造成较低损害。严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能 执行,出现较严重的法律问题,较高的资产损失,较大范围的社 会不良影响,对其他组织和个人造成较严重损害。特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重 下降且或功能无法执行,出现极其严重的法律问题,极高的资产 损失,大范围的社会不良影响,对其他组织和个人造成非常严重 损害。,五个等级的划分,第一级,信息系统受到破坏后
6、,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。,五级保护和监管,第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技
7、术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。,信息系统等级对照表,三、信息系统安全保护工作流程,1、系统定
8、级和审批2、备案3、评估与整改建设4、等级测评5、监督检查,3.信息系统安全评估与整改建设,(一)信息系统安全建设整改(管理办法第十一、十二、十三条),第十一条:信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。第十二条:在信息系统建设过程中,运营、使用单位应当按照计算机信息系统安全保护等级划分准则(GB17859-1999)、信息系统安全等级保护基本要求等技术标准,参照信息安全技术 信息系统通用安全技术要求(GB/T20271-2006)、信息安全技术
9、 网络基础安全技术要求(GB/T20270-2006)、信息安全技术 操作系统安全技术要求(GB/T20272-2006)、信息安全技术 数据库管理系统安全技术要求(GB/T20273-2006)、信息安全技术 服务器技术要求、信息安全技术 终端计算机系统安全等级技术要求(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。第十三条:运营、使用单位应当参照信息安全技术 信息系统安全管理要求(GB/T20269-2006)、信息安全技术 信息系统安全工程管理要求(GB/T20282-2006)、信息系统安全等级保护基本要求等管理规范,制定并落实符合本系统安全保护等级要求的安
10、全管理制度。,(二)有关技术标准和管理标准的简要说明,计算机信息系统安全保护等级划分准则强制性基础性标准信息系统安全等级保护实施指南过程控制信息系统安全等级保护定级指南管理规范信息系统安全等级保护基本要求具体要求安全技术服务器安全技术要求关键设备,3.信息系统安全评估与整改建设,3.信息系统安全评估与整改建设,(三)信息安全产品分等级使用管理(管理办法第二十一条)第三级以上信息系统应当选择使用符合以下条件的信息安全产品:(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;(二)产品的核心技术、关键部件具有我国自主知识产权;(三)产品研制
11、、生产单位及其主要业务、技术人员无犯罪记录;(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;(五)对国家安全、社会秩序、公共利益不构成危害;(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。,4.信息系统安全等级测评,第三级(含)以上信息系统运营使用单位信息系统整改建设完成后,应当按照管理办法要求选择符合管理规范和相关部门文件要求的测评机构,依据技术标准对信息系统安全等级状况开展技术测评,并出具测评报告。完成后上报等级保护工作主管部门。(管理办法第十四条),5.监督检查,在各阶段工作中,相关职能部门和主管部门要加大对信息安全等级
12、保护工作的监督检查力度,通过检查督促其落实等级保护各项安全管理制度和技术保护措施。在检查过程中,发现定级不准确、未按要求开展系统整改、未及时申请测评备案等问题要责令其限期整改,发现各类违法违规情况,要依法严肃处理。,法律责任,信息系统的运营、使用单位,尤其是重要信息系统和涉及国家秘密的信息系统的主管部门和运营、使用单位违反信息安全等级保护相关法律法规和政策规定的,造成严重损害的,由相关部门依照有关法律、法规予以处理。,(一)未按本办法规定备案、审批的;(二)未按本办法规定落实安全管理制度、措施的;(三)未按本办法规定开展系统安全状况检查的;(四)未按本办法规定开展系统安全技术测评的;(五)接到
13、整改通知后,拒不整改的;(六)未按本办法规定选择使用信息安全产品和测评机构的;(七)未按本办法规定如实提供有关文件和证明材料的;(八)违反保密管理规定的;(九)违反密码管理规定的;(十)违反本办法其他规定的。,管理办法中第四十条,具体罚则,信息化促进条例第四十五条:,违反本条例规定,有下列行为之一的,由有关部门依照中华人民共和国政府信息公开条例、中华人民共和国计算机信息系统安全保护条例等有关规定责令改正,给予警告或者责令停机整顿,并对直接负责的主管人员和其他直接责任人员依法处理:(一)违反第十九条规定,未按照国家和本市的规定公开政务信息的;(二)违反第三十二条规定,网络与信息系统的建设单位和运
14、行维护单位未 依法进行安全保护等级备案、审批的;(三)违反第三十三条规定,未进行网络与信息系统安全建设或者改建工作,或者未进行网络与信息系统安全等级技术测评的。,具体罚则,处罚方式,罚则,罚款,警告与通报批评,限期 整改,停机整顿,信息系统运营使用 单位,责任人,行政 处分,依法处理,构成犯罪的,依法追究法律责任,四、信息系统的定级工作,信息系统安全保护等级责任划分,“自主定级、自主保护”与国家监管,在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。运营使用单位和主管部门是信息系统安全的第一责任人,
15、对所属信息系统安全负有直接责任;公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。,定级工作的指导思想,信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,也不以风险评估为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级。,定级工作的主要步骤,定级是等级保护工作的首要环节,是开展备案、信息系统建设、整改、测评、监督检查等后续工作的重要基础。,第一步,摸底调查,掌握信息系统底数第二步,确定定级对象第三步,初步确定信息系统等级
16、第四步,信息系统等级评审第五步,信息系统等级的最终确定与审批,作为定级对象的信息系统应具有如下基本特征:(一)具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。,第二步,确定定级对象,(二)具有信息系统的基本要素作为定级对象的信息系统应该是配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组
17、件,如服务器、终端、网络设备等作为定级对象。(三)承载相对独立的业务应用定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有一定的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。特别注意的是:起传输作用的基础网络要单独定级,等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级,不以在其上运行的信息系统的最高等级或最低等级为标准。只有同时满足上述三个条件,才可由本单位对其进行定级。,第二步,确定定级对象,第三步,初步确定信息系统等级,信息系统的安全保护等级以信息系统的重要性和信息系统遭到破坏后对国家安
18、全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全保护等级。既要防止个别单位片面追求绝对安全而定级过高,也要防止为了逃避监管定级偏低。,确定信息系统安全等级的依据,依据管理办法直接确定信息系统等级,依据信息安全等级保护定级指南要求进行信息系统等级确定,等级决定要素与初定等级的关系,业务信息安全和系统服务安全,信息系统与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中:信息安全是指确保信息系统内信息的保密性、完整性和可用性
19、等;系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标;,由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。,信息安全和系统服务安全受到破坏后,可能产生以下危害后果:影响行使工作职能;导致业务能力下降;引起法律纠纷;导致财产损失;造成社会不良影响;对其他组织和个人造成损失;其他影响。,业务信息安全和系统服务安全,每个信息系统的定级流程,确定信息系统的安全保护等级,1、确定业务信息安全等级,2、确定系统服务安全等级,3、信息系统安全保护等级由确定系统服务安全等级由上述两个等级的较高者决定。(取高的
20、原则),确定信息系统的安全保护等级,系统等级的变更,在信息系统的运行过程中,安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更,尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化,可能影响到系统的安全保护等级时,应根据以上定级方法重新定级。,第四步,信息系统等级评审,在信息系统安全保护等级确定过程中,可以聘请专家进行咨询评审,并出具定级评审意见。对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审,出具评审意见。当专家意见与运营使用单位或者主管部门不一致时,以运营使用单位或者主管部
21、门意见为准。,第五步,等级的最终确定与审批,信息系统运营使用单位参考专家定级评审意见,最终确定信息系统等级,形成定级报告。信息系统运营使用单位有上级主管部门的,应当经上级主管部门对安全保护等级进行审核批准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由其上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。,定级报告的编制,(一)定级报告的定义,定级报告是为详细了解和掌握定级过程情况由信息系统运营使用单位负责填写的文档。定级报告要在信息系统备案时一并提交。信息系统运营使用单位在起草定级报告时可以请技术支持单位协助。,定级报告的编制,(二)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全 等级 保护 定级 报告

链接地址:https://www.31ppt.com/p-5230410.html