1培訓(xùn)教材.ppt

1、重要信息系統(tǒng)安全等級保護工作培訓(xùn),目 錄,一、我國在信息安全保障工作中為什么要實行等級保護制度 二、實行信息安全等級保護制度的目的 三、等級保護工作的主要流程有哪些？開展等級保護基本要求是什么 四、重要信息系統(tǒng)安全等級保護定級工作的主要步驟是什么 五、當前定級工作存在的主要問題及分析 六、定級工作完成后需要開展哪些工作 七、開展安全等級保護工作依據(jù)的主要標準有哪些 八、公安機關(guān)組織開展等級保護中的職責(zé)任務(wù)是什么 九、信息安全等級保護管理辦法釋義,一、我國在信息安全保障工作中為什么要實行等級保護制度,當前，我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全面臨的形勢十分嚴峻，既有外部威脅，又有自身脆弱性和薄弱環(huán)

2、節(jié)。 一是針對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪持續(xù)上升。 二是基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全隱患嚴重。 三是我國的信息安全保障工作基礎(chǔ)還很薄弱。,一、我國在信息安全保障工作中為什么要實行等級保護制度,一是針對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯 罪持續(xù)上升。 不法分子利用一些安全漏洞，使用病毒、木馬、網(wǎng)絡(luò)釣魚等技術(shù)進行網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博等違法犯罪，對我國的經(jīng)濟秩序、社會管理秩序和公民的合法權(quán)益造成嚴重侵害。,一、我國在信息安全保障工作中為什么要實行等級保護制度,二是基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全隱患嚴重。 由于各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的核心設(shè)備、技術(shù)和高端服務(wù)主要依賴國外進口，

3、在操作系統(tǒng)、專用芯片和大型應(yīng)用軟件等方面不能自主可控，給我國的信息安全帶來了深層的技術(shù)隱患。,一、我國在信息安全保障工作中為什么要實行等級保護制度,三是我國的信息安全保障工作基礎(chǔ)還很薄弱。 信息安全意識和安全防范能力薄弱，信息系統(tǒng)安全建設(shè)、監(jiān)管缺乏依據(jù)和標準，安全保護措施和安全制度不落實，監(jiān)管措施不到位。,二、實行信息安全等級保護制度的目的,信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法。開展信息安全等級保護工作是保護信息化發(fā)展、維護國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。 有效解決我國信息安全面臨的威脅和存在的主要問題，充分體現(xiàn)“適度安全、保護重點”

4、的目的，將有限的財力、物力、人力投入到重要信息系統(tǒng)安全保護中，按標準建設(shè)安全保護措施，建立安全保護制度，落實安全責(zé)任，有效保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定的重要信息系統(tǒng)的安全，有效提高我國信息安全保障工作的整體水平。,二、實行信息安全等級保護制度的目的,信息安全等級保護就是將全國的信息系統(tǒng)分成五個等級，定級后到公安機關(guān)備案（立戶口），按標準建設(shè)整改，開展測評，公安機關(guān)開展監(jiān)督檢查。信息安全等級保護是國家意志的體現(xiàn)，在國家信息安全保障工作只有等級保護制度是強制實施的，也只有等級保護工作是四個部委共同組織實施的。 信息安全等級保護是當今發(fā)達國家保護關(guān)鍵信息基礎(chǔ)設(shè)施，保障信息安全的

5、通行做法，也是我國多年來信息安全工作經(jīng)驗的總結(jié),三、等級保護工作的主要流程包括哪些?,主要流程包括六項內(nèi)容： 一、自主定級與審批。 二、評審。 三、備案。 四、系統(tǒng)安全建設(shè)。 五、等級測評。 六、監(jiān)督檢查。,三、等級保護工作的主要流程包括哪些?,一、自主定級與審批 信息系統(tǒng)運營使用單位按照信息安全等級保護管理辦法（以下簡稱管理辦法）和信息系統(tǒng)安全保護定級指南，自主確定信息系統(tǒng)的安全保護等級。有上級主管部門的，應(yīng)當經(jīng)上級主管部門審批?？缡』蛉珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護等級。,三、等級保護工作的主要流程包括哪些?,二、評審 在信息系統(tǒng)確定安全保護等級過程中，可以組織專

6、家進行評審。對擬確定為第四級以上信息系統(tǒng)的，運營使用單位或主管部門應(yīng)當邀請國家信息安全保護等級專家評審委員會評審。,三、等級保護工作的主要流程包括哪些?,三、備案 第二級以上信息系統(tǒng)定級單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù) 。,三、等級保護工作的主要流程包括哪些?,四、系統(tǒng)安全建設(shè) 信息系統(tǒng)安全保護等級確定后，運營使用單位按照管理規(guī)范和技術(shù)標準，選擇管理辦法（第二十一條，共六項）要求的信息安全產(chǎn)品，建設(shè)符合等級要求的信息安全設(shè)施，建立安全組織，制定并落實安全管理制度。,三、等級保護工作的主要流程包括哪些?,五、等級測評 信息系統(tǒng)建設(shè)完成后，運營使用單位選擇符合管理辦法（第二十二條，共

7、八項）要求的檢測機構(gòu)，對信息系統(tǒng)安全等級狀況開展等級測評。,三、等級保護工作的主要流程包括哪些?,六、監(jiān)督檢查 公安機關(guān)依據(jù)信息安全等級保護管理規(guī)范，監(jiān)督檢查運營使用單位開展等級保護工作，定期對第三級以上的信息系統(tǒng)進行安全檢查。信息系統(tǒng)運營使用單位應(yīng)當接受公安機關(guān)的安全監(jiān)督、檢查、指導(dǎo)，如實向公安機關(guān)提供有關(guān)材料。,開展等級保護工作的總體要求,各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，按照“準確定級、嚴格審批、及時備案、認真整改、科學(xué)測評”的要求完成等級保護的定級、備案、整改、測評等工作 。 公安機關(guān)和保密、密碼工作部門要及時開展監(jiān)督檢查，嚴格審查信息系統(tǒng)所定級別，嚴格檢查信息系統(tǒng)開展備案、整改、測評等工

8、作。 對故意將信息系統(tǒng)安全級別定低，逃避公安、保密、密碼部門監(jiān)管，造成信息系統(tǒng)出現(xiàn)重大安全事故的，要追究單位和相關(guān)人員的責(zé)任。,四、定級工作的主要步驟是什么,第一步：開展摸底調(diào)查 第二步：確定定級對象 第三步：初步確定信息系統(tǒng)等級 第四步：信息系統(tǒng)等級評審 第五步：信息系統(tǒng)等級的最終確定與審批 第六步：備案 第七步：備案審核 第八步：及時總結(jié)并提交總結(jié)報告,四、定級工作的主要步驟是什么,第一步 開展摸底調(diào)查 按照等級保護管理規(guī)范，各單位、各部門可以組織開展對所屬信息系統(tǒng)進行摸底調(diào)查，摸清信息系統(tǒng)底數(shù)，掌握信息系統(tǒng)（包括信息網(wǎng)絡(luò)）的業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，為下一步明確要求、

9、落實責(zé)任奠定基礎(chǔ)。,四、定級工作的主要步驟是什么,第二步 確定定級對象 在全國重要信息系統(tǒng)安全等級保護定級工作（以下簡稱“定級工作”）中，如何科學(xué)、合理地確定定級對象是最關(guān)鍵、最復(fù)雜的問題。信息系統(tǒng)運營使用單位或主管部門按如下原則確定定級對象：,四、定級工作的主要步驟是什么,第二步 確定定級對象 確定定級對象的三個原則： 1、承載相對獨立或單一業(yè)務(wù)應(yīng)用的信息系統(tǒng)； 2、信息系統(tǒng)的信息安全由本單位主管； 3、具有信息系統(tǒng)的基本要素。（計算機及其相關(guān)配套設(shè)備、設(shè)施構(gòu)成的人機系統(tǒng)） 只有同時滿足上述三個條件，才可由本單位對其進行定級。,四、定級工作的主要步驟是什么,第二步 確定定級對象 一是起傳輸作

10、用的信息網(wǎng)絡(luò)（專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)等）要作為定級對象。 二是各單位網(wǎng)站要作為獨立的定級對象。如果網(wǎng)站的后臺數(shù)據(jù)庫管理系統(tǒng)安全級別高，也要作為獨立的定級對象。網(wǎng)站上運行的信息系統(tǒng)（例如對社會服務(wù)的報名考試系統(tǒng)）也要作為獨立的定級對象。,四、定級工作的主要步驟是什么,第二步 確定定級對象 三是用于生產(chǎn)、調(diào)度、管理、作業(yè)、指揮、辦公等目的的各類應(yīng)用系統(tǒng)，要按照不同業(yè)務(wù)類別單獨確定為定級對象，不以系統(tǒng)是否進行數(shù)據(jù)交換、是否獨享設(shè)備為確定定級對象條件。新建系統(tǒng)要在規(guī)劃設(shè)計階段定級。 不能將某一類信息系統(tǒng)作為一個定級對象。這里也有特例，例如，某個單位的管理系統(tǒng)，最初設(shè)計時，就把辦公、車輛管理、人事管理等業(yè)務(wù)集

11、中在該系統(tǒng)中，該系統(tǒng)應(yīng)作為一個定級對象。,四、定級工作的主要步驟是什么,第二步 確定定級對象 四是確認負責(zé)定級的單位是否對所定級系統(tǒng)負有業(yè)務(wù)主管責(zé)任。 也就是說，業(yè)務(wù)部門應(yīng)主導(dǎo)對業(yè)務(wù)信息系統(tǒng)定級，運維部門（例如信息中心、托管方）可以協(xié)助定級并按照業(yè)務(wù)部門的要求開展后續(xù)安全保護工作。,四、定級工作的主要步驟是什么,第二步 確定定級對象 五是具有信息系統(tǒng)的基本要素。 作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標和規(guī)則組合而成的有形實體。應(yīng)避免將某個單一的系統(tǒng)組件（如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等）作為定級對象。,四、定級工作的主要步驟是什么,第二步 確定定級對象 準確劃分定級

12、對象是系統(tǒng)定級的前提。定級對象劃分太細，會增加工作量，不利于限定責(zé)任主體，不利于整體保護；定級對象劃分太粗，對整個系統(tǒng)要求實施統(tǒng)一級別的安全保護，不利于明確重點，不利于信息安全資源的優(yōu)化配置。,四、定級工作的主要步驟是什么,第二步 確定定級對象 跨地域或跨級別應(yīng)用的大系統(tǒng)，如果各地或各級運營、使用單位都有安全保護責(zé)任，建議每地或每級都要單獨確定一個定級對象，而不應(yīng)將全行業(yè)劃分為一個定級對象；在一個大的網(wǎng)絡(luò)平臺上運行的多個業(yè)務(wù)應(yīng)用系統(tǒng)，應(yīng)將各個業(yè)務(wù)應(yīng)用系統(tǒng)認定為各自獨立系統(tǒng)，并分別確定為定級對象。,四、定級工作的主要步驟是什么,第二步 確定定級對象 起傳輸通道作用的基礎(chǔ)信息網(wǎng)絡(luò)以及承載單一業(yè)務(wù)的

13、信息系統(tǒng)都可以作為一個定級對象。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 信息系統(tǒng)的安全保護等級是信息系統(tǒng)的客觀屬性，不以已采取或?qū)⒉扇∈裁窗踩Ｗo措施為依據(jù)，也不以風(fēng)險評估為依據(jù)。即從國家、人民群眾的根本利益出發(fā)，考慮了信息系統(tǒng)出現(xiàn)問題后的最大風(fēng)險。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 信息系統(tǒng)的安全保護等級是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、社會穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定信息系統(tǒng)的安全保護等級。既要防止個別單位片面追求絕對安全而定級過高，也要防止為了逃避監(jiān)管定級偏低。,四、定級工作的主要步驟是什么,第三步 初步確

14、定信息系統(tǒng)等級 （一）確定受侵害客體 定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權(quán)益。確定侵害客體時從定級對象的兩方面進行考慮：一是業(yè)務(wù)信息安全被破壞時所侵害的客體 ；二是系統(tǒng)服務(wù)安全被破壞時所侵害的客體。 侵害國家安全的事項包括以下方面：影響國家政權(quán)穩(wěn)固和國防實力；影響國家統(tǒng)一、民族團結(jié)和社會安定；影響國家對外活動中的政治、經(jīng)濟利益等； 侵害社會秩序、公共利益的事項包括以下方面：影響國家機關(guān)社會管理和公共服務(wù)的工作秩序；影響各種類型的經(jīng)濟活動秩序等；影響社會成員使用公共設(shè)施；影響社會成員獲取公開信息資源等； 影響公民、法人和其他組織的合法權(quán)益

15、是指由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權(quán)利和利益。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （二）確定對客體的侵害程度 一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的資產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。 嚴重損害：工作職能受到嚴重影響，業(yè)務(wù)能力顯著下降且嚴重影響主要功能執(zhí)行，出現(xiàn)較嚴重的法律問題，較高的資產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。 特別嚴重損害：工作職能受到特別嚴重影響或喪失行使能力，業(yè)務(wù)能力嚴重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴重的

16、法律問題，極高的資產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （三）確定信息系統(tǒng)的安全保護等級 表2、確定業(yè)務(wù)信息安全等級,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （三）確定信息系統(tǒng)的安全保護等級 表3、確定系統(tǒng)服務(wù)安全等級,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （三）確定信息系統(tǒng)的安全保護等級 3、信息系統(tǒng)安全保護等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級兩個等級的較高者決定。（取高的原則）,四、定級工作的主要步驟是什么,定級一般流程如圖所示,四、定級工作的主要步驟是什么

17、,第三步 初步確定信息系統(tǒng)等級 （四）各級如何確定（針對具體單位、行業(yè)） 第一級信息系統(tǒng)： 一般適用于鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級某些單位中不重要的信息系統(tǒng)。小型個體、私營企業(yè)中的信息系統(tǒng)。中小學(xué)中的信息系統(tǒng)。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （四）各級如何確定（針對具體單位、行業(yè)） 第二級信息系統(tǒng)： 一般適用于縣級單位的信息系統(tǒng)、地市級以上國家機關(guān)、企業(yè)、事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如小的局域網(wǎng)，非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)等。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （四）各級如何確定（針對具體單位、行業(yè)） 第三級信息系統(tǒng)： 一般

18、適用于地市級以上國家機關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)，例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)；重要領(lǐng)域、重要部門跨省、跨市或全國（省）聯(lián)網(wǎng)運行的信息系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行的重要信息系統(tǒng)在省、地市的分支系統(tǒng)；各部委官方網(wǎng)站和重要網(wǎng)站；跨省聯(lián)接的信息網(wǎng)絡(luò)等。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （四）各級如何確定（針對具體單位、行業(yè)） 第四級信息系統(tǒng)： 一般適用于重要領(lǐng)域、重要部門三級信息系統(tǒng)中的部分重要系統(tǒng)。例如全國鐵路、民航、電力等調(diào)度系統(tǒng)，銀行、證券、保險、稅務(wù)、海關(guān)等幾十個重要行業(yè)中的核心系統(tǒng)。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)

19、等級 （四）各級如何確定（針對具體單位、行業(yè)） 第五級信息系統(tǒng)： 一般適用于重要領(lǐng)域、重要部門中的極端重要系統(tǒng)。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （四）各級如何確定 信息網(wǎng)絡(luò)的安全等級可以參照在其上運行的信息系統(tǒng)的等級、網(wǎng)絡(luò)的服務(wù)范圍和自身的安全需求確定適當?shù)谋Ｗo等級。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （五）由誰確定與審批系統(tǒng)等級 1、各地自建的系統(tǒng)（與上級單位無關(guān)），自己定級。是否報上級主管部門審批，由各行業(yè)自行決定。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （五）由誰確定與審批系統(tǒng)等級 2、跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行

20、的信息系統(tǒng)，可以由主管部門統(tǒng)一確定安全保護等級。其中：由各行業(yè)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一安全保護策略的全國聯(lián)網(wǎng)系統(tǒng)，應(yīng)由各部委統(tǒng)一對部、省、市系統(tǒng)分別確定等級；由各部委統(tǒng)一規(guī)劃、分級建設(shè)、全國聯(lián)網(wǎng)的信息系統(tǒng)，應(yīng)由部、省、地市分別確定系統(tǒng)等級，但各行業(yè)應(yīng)對該類系統(tǒng)提出定級意見，避免出現(xiàn)同類系統(tǒng)下級定級比上級高的現(xiàn)象。對于該類系統(tǒng)的等級，下級確定后需報上級主管部門審批。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （五）由誰確定與審批系統(tǒng)等級 對于僅提供系統(tǒng)網(wǎng)絡(luò)傳輸服務(wù)的單位，可以要求其單獨將傳輸網(wǎng)絡(luò)按照該網(wǎng)絡(luò)所承載系統(tǒng)的最高等級確定網(wǎng)絡(luò)的安全保護等級，實施網(wǎng)絡(luò)安全防護。,四、定級工

21、作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （五）由誰確定與審批系統(tǒng)等級 特別注意：不能隨著部、省、市行政級別降低，信息系統(tǒng)級別同步降低，例如地市級的重要行業(yè)的重要系統(tǒng)不能定為一、二級。,五級監(jiān)管,四、定級工作的主要步驟是什么,第四步 信息系統(tǒng)等級評審 在信息系統(tǒng)安全保護等級確定過程中，可以聘請專家進行咨詢評審，并出具定級評審意見。對擬確定為第四級以上信息系統(tǒng)的，運營使用單位或者主管部門應(yīng)當請國家信息安全保護等級專家評審委員會評審，出具評審意見。,二、定級工作的主要步驟是什么,第五步 信息系統(tǒng)等級的最終確定與審批 信息系統(tǒng)運營使用單位參考專家定級評審意見，最終確定信息系統(tǒng)等級，形成定級報

22、告。如果專家評審意見與運營使用單位意見不一致時，由運營使用單位自主決定系統(tǒng)等級，信息系統(tǒng)運營使用單位有上級主管部門的，應(yīng)當經(jīng)上級主管部門對安全保護等級進行審核批準。主管部門一般是指行業(yè)的上級主管部門或監(jiān)管部門。如果是跨地域聯(lián)網(wǎng)運營使用的信息系統(tǒng)，則必須由其上級主管部門審批，確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級的一致性。,四、定級工作的主要步驟是什么,第六步 備案 第二級以上信息系統(tǒng)，在安全保護等級確定后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)（管理辦法第十六條）。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦

23、理備案手續(xù)。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)，應(yīng)當向當?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。,四、定級工作的主要步驟是什么,第六步 備案 各部委數(shù)據(jù)集中的信息系統(tǒng)，在各地只有終端聯(lián)網(wǎng)訪問，沒有分數(shù)據(jù)庫的，聯(lián)網(wǎng)終端可以不備案。各部委統(tǒng)一定級的信息系統(tǒng)在各地的分系統(tǒng)（有分數(shù)據(jù)庫，在各地安裝運行的），即使是上級主管部門定級的，也要到當?shù)毓簿W(wǎng)監(jiān)部門備案。 定級工作的結(jié)束是以備案完成為標志。,四、定級工作的主要步驟是什么,第七步 備案審核 受理備案的公安機關(guān)要公布備案受理地點、備案聯(lián)系方式等。在受理備案時，應(yīng)對提交的備案材料（共八項）進行完整性審核和定級準確性審核。對符合等級保護要

24、求的，應(yīng)頒發(fā)信息系統(tǒng)安全等級保護備案證明。發(fā)現(xiàn)定級不準的，通知備案單位重新審核確定。,四、定級工作的主要步驟是什么,第八步 及時總結(jié)并提交總結(jié)報告 各地區(qū)、各部門要結(jié)合本地區(qū)、本行業(yè)開展定級工作的實際，認真總結(jié)經(jīng)驗和不足，提出改進和完善定級方法的意見和建議，及時總結(jié)定級工作經(jīng)驗，形成定級工作總結(jié)報告。,五、當前定級工作存在的主要問題及分析,（一）少數(shù)行業(yè)信息系統(tǒng)定級偏低。有以下幾方面原因：一是對信息系統(tǒng)五個安全等級掌握不準，未能站在國家安全、社會穩(wěn)定的高度統(tǒng)籌考慮信息系統(tǒng)等級，僅從行業(yè)和信息系統(tǒng)自身安全角度考慮。二是認為信息系統(tǒng)級別定高，要花費更多的資金，單位負擔加重。三是對本行業(yè)上級主管部門

25、定級指導(dǎo)不力，同類信息系統(tǒng)下級部門定級偏低，特別是一些重要行業(yè)地市級單位的系統(tǒng)級別偏低。四是少數(shù)部門以信息系統(tǒng)運維單位為主進行定級，業(yè)務(wù)單位參與定級不夠。五是極少數(shù)部門故意將系統(tǒng)級別定低，逃避信息安全監(jiān)管部門的監(jiān)管。,（二）定級時既要考慮信息系統(tǒng)重要性、受到破壞后對業(yè)務(wù)開展和公眾利益損害等因素，更要考慮信息系統(tǒng)破壞后對國家安全、社會穩(wěn)定的影響，考慮西方敵對勢力、敵對分子攻擊、破壞、竊取秘密的因素。確定為三級以上的信息系統(tǒng)，均屬于國家的重要信息系統(tǒng)，是國家要保護的重點，國家財政、有關(guān)部門要投入資金，保證其安全。,五、當前定級工作存在的主要問題及分析,五、當前定級工作存在的主要問題及分析,（三）重

26、要信息系統(tǒng)屬于國家關(guān)鍵基礎(chǔ)設(shè)施，需要運營使用單位、主管部門真正負起其安全責(zé)任，同時，信息安全監(jiān)管部門要代表國家進行監(jiān)管。在重要信息系統(tǒng)安全方面，運營使用單位、主管部門負第一責(zé)任，信息安全監(jiān)管部門負監(jiān)管責(zé)任，即第二責(zé)任，運營使用單位、主管部門和信息安全監(jiān)管部門密切配合，共同承擔責(zé)任，才能保護好國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。,六、定級工作完成后信息系統(tǒng)運營、使用單位需要開展哪些工作,一是開展安全建設(shè)和整改。 二是開展等級測評。 三是開展自查。,一是開展安全建設(shè)和整改。 信息系統(tǒng)定級、備案工作完成后，運營使用單位應(yīng)按照國家信息安全等級保護管理規(guī)范和技術(shù)標準，使用符合國家有關(guān)規(guī)定、滿足信息系統(tǒng)

27、安全保護等級需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作，制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。,六、定級工作完成后信息系統(tǒng)運營、使用單位需要開展哪些工作,二是開展等級測評。 信息系統(tǒng)建設(shè)、整改完成后，運營使用單位或者其主管部門選擇符合管理辦法規(guī)定條件的測評機構(gòu)，依據(jù)信息系統(tǒng)安全等級保護測評要求等技術(shù)標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當每年至少進行一次等級測評，第四級信息系統(tǒng)應(yīng)當每半年至少進行一次等級測評，第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行等級測評。,六、定級工作完成后信息系統(tǒng)運營、使用單位需要開展哪些工作,三是開展自查。 信息系統(tǒng)運營、使

28、用單位及其主管部門應(yīng)當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應(yīng)當每年至少進行一次自查，第四級信息系統(tǒng)應(yīng)當每半年至少進行一次自查，第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行自查。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，運營使用單位應(yīng)當制定方案進行整改。,六、定級工作完成后信息系統(tǒng)運營、使用單位需要開展哪些工作,七、開展安全等級保護工作依據(jù)的主要標準有哪些,1、計算機信息系統(tǒng)安全保護等級劃分準則（GB17859-1999） 2、信息系統(tǒng)安全等級保護實施指南 3、信息系統(tǒng)安全等級保護定級指南 4、信息系統(tǒng)安全等級保護基本要求（國標報批稿試用，全國信

29、息安全標準化技術(shù)委員會文件 信安字200712號） 5、信息安全技術(shù) 服務(wù)器安全技術(shù)要求GB/T20273-2006和信息安全技術(shù) 終端計算機系統(tǒng)技術(shù)要求GA/T672-2006 6、信息安全技術(shù) 系統(tǒng)安全等級防護工程管理要求和信息安全技術(shù) 系統(tǒng)安全等級保護管理要求 注：信息安全技術(shù) 系統(tǒng)安全等級保護測評準則和信息安全技術(shù) 系統(tǒng)安全等級保護測評指南即將出臺,八、公安機關(guān)組織開展等級保護中的職責(zé)任務(wù)是什么,一是指導(dǎo)定級。 二是受理備案。 三是定期檢查。 1、監(jiān)督、檢查、指導(dǎo)信息系統(tǒng)運營使用單位和主管部門開展信息安全等級保護工作； 2、監(jiān)督、檢查信息系統(tǒng)運營使用單位的安全保護管理制度和技術(shù)措施落實

30、情況、定級和備案情況、安全整改、等級測評、產(chǎn)品使用、自查等情況。,八、公安機關(guān)組織開展等級保護中的職責(zé)任務(wù)是什么,一是指導(dǎo)定級。 指導(dǎo)信息系統(tǒng)運營使用單位及其主管部門科學(xué)、合理地確定定級對象，準確確定信息系統(tǒng)安全保護等級。既要防止個別單位片面追求絕對安全而定級過高，也要防止忽視安全定級偏低。,八、公安機關(guān)組織開展等級保護中的職責(zé)任務(wù)是什么,二是受理備案。 對備案單位提交的備案材料進行完整性審核和定級準確性審核，對定級不準確的信息系統(tǒng)運行使用單位提出整改意見；對符合等級保護要求的第二級以上信息系統(tǒng)，頒發(fā)信息系統(tǒng)安全保護等級備案證明。,八、公安機關(guān)組織開展等級保護中的職責(zé)任務(wù)是什么,三是定期檢查。

31、 定期對三級以上重要信息系統(tǒng)的安全保護狀況進行檢查。檢查信息系統(tǒng)運營使用單位的安全保護管理制度和技術(shù)措施落實情況。發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關(guān)管理規(guī)范和技術(shù)標準的，通知運營使用單位進行整改。,九、信息安全等級保護管理辦法,一、依據(jù)：（第一條） 1994年，中華人民共和國計算機信息系統(tǒng)安全保護條例 （國務(wù)院147號令）規(guī)定，“計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定”。該條明確了三個內(nèi)容：一是確立了等級保護是計算機信息系統(tǒng)安全保護的一項制度；二是出臺配套的規(guī)章和技術(shù)標準；三是明確了公安部的牽頭地位。,九、信息安全等

32、級保護管理辦法,二、監(jiān)管部門的職責(zé)分工：（第三條） 公安機關(guān)負責(zé)信息安全等級保護工作的監(jiān)督、檢查、指導(dǎo)。國家保密工作部門負責(zé)等級保護工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門負責(zé)等級保護工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項，由有關(guān)職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機構(gòu)負責(zé)等級保護工作的部門間協(xié)調(diào)。,九、信息安全等級保護管理辦法,三、等級確定：（第六條） 國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應(yīng)當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞

33、后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。,九、信息安全等級保護管理辦法,四、信息系統(tǒng)運營、使用單位按等級進行保護：（第八條） 第一級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。 第二級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導(dǎo)。,九、信息安全等級保護管理辦法,四、信息系統(tǒng)運營、使用單位按等級進行保護：（第八條） 第三級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行

34、監(jiān)督、檢查。 第四級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范、技術(shù)標準和業(yè)務(wù)專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。,九、信息安全等級保護管理辦法,四、信息系統(tǒng)運營、使用單位按等級進行保護：（第八條） 第五級信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)國家管理規(guī)范、技術(shù)標準和業(yè)務(wù)特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。,九、信息安全等級保護管理辦法,五、信息系統(tǒng)運營、使用單位定級工作：（第十條） 信息系統(tǒng)運營、使用單位應(yīng)當依據(jù)本辦法和信息系統(tǒng)安全等級保護定級指南確定信息系統(tǒng)的安全保護等級。有主管部門

35、的，應(yīng)當經(jīng)主管部門審核批準?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應(yīng)當請國家信息安全保護等級專家評審委員會評審。,九、信息安全等級保護管理辦法,六、信息系統(tǒng)運營、使用單位信息系統(tǒng)安全建設(shè)或者改建工作：（第十二條） 運營、使用單位應(yīng)當按照計算機信息系統(tǒng)安全保護等級劃分準則（GB17859-1999）、信息系統(tǒng)安全等級保護基本要求等技術(shù)標準，參照信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求（GB/T20271-2006）、信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T20270-2006）、信息安全技術(shù) 操作系統(tǒng)安全

36、技術(shù)要求（GB/T20272-2006）、信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求（GB/T20273-2006）、信息安全技術(shù) 服務(wù)器技術(shù)要求、信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要求（GA/T671-2006）等技術(shù)標準同步建設(shè)符合該等級要求的信息安全設(shè)施。,九、信息安全等級保護管理辦法,七、信息系統(tǒng)運營、使用單位信息系統(tǒng)安全建設(shè)或者改建工作：（第十三條） 運營、使用單位應(yīng)當參照信息安全技術(shù) 信息系統(tǒng)安全管理要求（GB/T20269-2006）、信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（GB/T20282-2006）、信息系統(tǒng)安全等級保護基本要求等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等

37、級要求的安全管理制度。,九、信息安全等級保護管理辦法,八、信息系統(tǒng)運營、使用單位信息系統(tǒng)安全等級測評工作：（第十四條） 信息系統(tǒng)建設(shè)完成后，運營、使用單位或者其主管部門應(yīng)當選擇符合本辦法規(guī)定條件的測評機構(gòu)，依據(jù)信息系統(tǒng)安全等級保護測評要求等技術(shù)標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。,九、信息安全等級保護管理辦法,八、信息系統(tǒng)運營、使用單位信息系統(tǒng)安全等級測評工作：（第十四條） 第三級信息系統(tǒng)應(yīng)當每年至少進行一次等級測評，第四級信息系統(tǒng)應(yīng)當每半年至少進行一次等級測評，第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行等級測評。,九、信息安全等級保護管理辦法,九、信息系統(tǒng)運營、使用單位信息系統(tǒng)安全自查

38、工作：（第十四條） 信息系統(tǒng)運營、使用單位及其主管部門應(yīng)當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應(yīng)當每年至少進行一次自查，第四級信息系統(tǒng)應(yīng)當每半年至少進行一次自查，第五級信息系統(tǒng)應(yīng)當依據(jù)特殊安全需求進行自查。經(jīng)測評或者自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，運營、使用單位應(yīng)當制定方案進行整改。,九、信息安全等級保護管理辦法,十、信息系統(tǒng)運營、使用單位備案工作：（第十五條） 已運營（運行）的第二級以上信息系統(tǒng)，應(yīng)當在安全保護等級確定后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。新建第二級以上信息系統(tǒng)，應(yīng)當在投入運行后30日

39、內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。,九、信息安全等級保護管理辦法,十、信息系統(tǒng)運營、使用單位備案工作：（第十五條） 隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)，應(yīng)當向當?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。,九、信息安全等級保護管理辦法,十、信息系統(tǒng)運營、使用單位備案工作：（第十六條） 辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應(yīng)當填寫信息系統(tǒng)安全等級保護備案表，第三級以上信息系統(tǒng)應(yīng)當同時提供以下材料： （一）系統(tǒng)拓撲結(jié)構(gòu)及說明；（說明可以是對系統(tǒng)

40、結(jié)構(gòu)的簡要說明） （二）系統(tǒng)安全組織機構(gòu)和管理制度；（安全組織機構(gòu)包括機構(gòu)名稱、負責(zé)人、成員、職責(zé)分工等。管理制度包括安全管理規(guī)范、章程等） （三）系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案；（簡要的安全建設(shè)、整改方案）,九、信息安全等級保護管理辦法,十、信息系統(tǒng)運營、使用單位備案工作：（第十六條） （四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認證、銷售許可證明；（主要信息安全產(chǎn)品的清單，確認有認證、銷售許可標記） （五）測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告；（最近一次測評的簡要的等級測評報告） （六）信息系統(tǒng)安全保護等級專家評審意見；（評審意見表，附專家名單） （七）主管部門審核批準信息系

41、統(tǒng)安全保護等級的意見。（審批表，領(lǐng)導(dǎo)審批簽字、蓋章）,九、信息安全等級保護管理辦法,十、信息系統(tǒng)運營、使用單位備案工作：（第十七條） 信息系統(tǒng)備案后，公安機關(guān)應(yīng)當對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，應(yīng)當在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系統(tǒng)安全等級保護備案證明（備案證明由公安部統(tǒng)一監(jiān)制） ；發(fā)現(xiàn)不符合本辦法及有關(guān)標準的，應(yīng)當在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級不準的，應(yīng)當在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應(yīng)當按照本辦法向公安機關(guān)重新備案。,九、信息安全等級保護管

42、理辦法,十一、公安機關(guān)監(jiān)督檢查工作：（第十八條） 受理備案的公安機關(guān)應(yīng)當對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次，對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)的檢查，應(yīng)當會同其主管部門進行。,九、信息安全等級保護管理辦法,十一、公安機關(guān)監(jiān)督檢查工作：（第十八條） 公安機關(guān)、國家指定的專門部門應(yīng)當對下列事項進行檢查： （一）信息系統(tǒng)安全需求是否發(fā)生變化，原定保護等級是否準確； （二）運營、使用單位安全管理制度、措施的落實情況； （三）運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況； （四）系統(tǒng)

43、安全等級測評是否符合要求；,九、信息安全等級保護管理辦法,十一、公安機關(guān)監(jiān)督檢查工作：（第十八條） （五）信息安全產(chǎn)品使用是否符合要求； （六）信息系統(tǒng)安全整改情況； （七）備案材料與運營、使用單位、信息系統(tǒng)的符合情況； （八）其他應(yīng)當進行監(jiān)督檢查的事項。,九、信息安全等級保護管理辦法,十一、信息系統(tǒng)運營、使用單位配合公安機關(guān)監(jiān)督檢查工作：（第十九條） 信息系統(tǒng)運營、使用單位應(yīng)當接受公安機關(guān)、國家指定的專門部門的安全監(jiān)督、檢查、指導(dǎo)，如實向公安機關(guān)、國家指定的專門部門提供下列有關(guān)信息安全保護的信息資料及數(shù)據(jù)文件： （一）信息系統(tǒng)備案事項變更情況； （二）安全組織、人員的變動情況； （三）信息安全管理制度、措施變更情況； （四）信息系統(tǒng)運行狀況記錄；,九、信息安全等級保護管理辦法,十一、信息系統(tǒng)運營、使用單位配合公安機關(guān)監(jiān)督檢查工作：（第十九條） （五）運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄； （六）對信息系統(tǒng)開展等級測評的技術(shù)測評報告； （七）信息安全產(chǎn)品使用的變更情況； （八）信