信息安全等級保護制度的主要內容和工作要求-課件

信息安全等級保護制度的

主要內容和工作要求信息安全等級保護制度的

主要內容和工作要求1目錄一、信息安全等級保護制度的主要內容二、信息安全等級保護政策、標準體系三、等級保護工作的具體內容和工作要求目錄一、信息安全等級保護制度的主要內容2一、等級保護制度的主要內容（一）國家為什么要實施信息安全等級保護制度1.信息安全形勢嚴峻◆敵對勢力的入侵、攻擊、破壞◆針對基礎信息網(wǎng)絡和重要信息系統(tǒng)的違法犯罪持續(xù)上升◆基礎信息網(wǎng)絡和重要信息系統(tǒng)安全隱患嚴重一、等級保護制度的主要內容（一）國家為什么要實施信息安全等級32.是維護國家安全的需要基礎信息網(wǎng)絡和重要信息系統(tǒng)已成為國家關鍵基礎設施信息安全是國家安全的重要組成部分信息安全是非傳統(tǒng)安全，信息安全本質是信息對抗、技術對抗3、是國際上通行的做法。一、等級保護制度的主要內容2.是維護國家安全的需要一、等級保護制度的主要內容4（二）國家對等級保護制度的要求1.《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院147號令）：“計算機信息系統(tǒng)實行安全等級保護，等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定?！币弧⒌燃壉Ｗo制度的主要內容（二）國家對等級保護制度的要求一、等級保護制度的主要內容52、《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2019]27號）規(guī)定：要重點保護基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南。一、等級保護制度的主要內容2、《國家信息化領導小組關于加強信息安全保障工作的意見》（中6（三）等級保護制度的地位和作用是國家信息安全保障工作的基本制度、基本國策。是開展信息安全工作的基本辦法。是促進國家信息化、維護國家信息安全的根本保障。一、等級保護制度的主要內容（三）等級保護制度的地位和作用一、等級保護制度的主要內容7一、等級保護制度的主要內容

（四）實施等級保護制度的主要目的◆明確重點、突出重點、保護重點◆有利于同步建設、協(xié)調發(fā)展?！魞?yōu)化信息安全資源的配置。◆明確信息安全責任。◆推動信息安全產(chǎn)業(yè)發(fā)展。

國家發(fā)展改革部門、財政部門、科技部門、公安機關對重要信息系統(tǒng)在政策上給予支持。

一、等級保護制度的主要內容（四）實施等級保護制度的主要目的8一、等級保護制度的主要內容(五)公安機關組織開展等級保護工作的依據(jù)

1、《警察法》規(guī)定：警察履行“監(jiān)督管理計算機信息系統(tǒng)的安全保護工作”的職責。2、國務院第147號令規(guī)定：“公安部主管全國計算機信息系統(tǒng)安全保護工作”，“等級保護的具體辦法，由公安部會同有關部門制定”。3、2019年國務院三定方案，公安機關新增職能：“監(jiān)督、檢查、指導信息安全等級保護工作”。一、等級保護制度的主要內容(五)公安機關組織開展等級保護工作9（六）等級保護工作的主要內容對信息系統(tǒng)分等級進行安全保護和監(jiān)管。

五個規(guī)定動作：信息系統(tǒng)定級、備案、安全建設整改、等級測評、監(jiān)督檢查。信息安全產(chǎn)品分等級使用管理。信息安全事件分等級響應、處置。一、等級保護制度的主要內容（六）等級保護工作的主要內容一、等級保護制度的主要內容10一、等級保護制度的主要內容（七）相關部門的責任和義務職能部門：制定管理規(guī)范和技術標準，組織實施，開展監(jiān)督、檢查、指導。

行業(yè)主管部門：督促、檢查、指導本行業(yè)、本部門開展等級保護工作。

運營使用單位：開展信息系統(tǒng)定級、備案、建設整改、等級測評、自查等工作，落實等級保護制度的各項要求安全服務機構：開展技術支持、服務等工作，并接受監(jiān)管部門的監(jiān)督管理。一、等級保護制度的主要內容（七）相關部門的責任和義務11一、等級保護制度的主要內容國家信息安全職能部門職責分工公安機關：牽頭部門，監(jiān)督、檢查、指導信息安全等級保護工作。國家保密部門：負責等級保護工作中有關保密工作的監(jiān)督、檢查、指導。并負責涉及國家秘密信息系統(tǒng)分級保護國家密碼管理部門：負責等級保護工作中有關密碼工作的監(jiān)督、檢查、指導工業(yè)和信息化部門：負責等級保護工作中部門間的協(xié)調。一、等級保護制度的主要內容國家信息安全職能部門職責12一、等級保護制度的主要內容（八）開展等級保護工作的基本要求各單位、各部門，按照“準確定級、嚴格審批、及時備案、認真整改、科學測評”的要求開展等級保護的定級、備案、整改、測評等工作。公安機關要及時開展監(jiān)督檢查，嚴格審查信息系統(tǒng)所定級別，嚴格檢查信息系統(tǒng)開展備案、整改、測評等工作。對故意將信息系統(tǒng)安全級別定低，逃避公安、保密、密碼部門監(jiān)管，造成信息系統(tǒng)出現(xiàn)重大安全事故的，要追究單位和人員的責任。一、等級保護制度的主要內容（八）開展等級保護工作的基本要求13（一）信息安全等級保護政策體系近幾年，公安部根據(jù)國務院147號令的授權，會同國家保密局、國家密碼管理局、發(fā)改委、原國務院信息辦出臺了一些文件，公安部和省廳對有些具體工作出臺了一些指導意見和規(guī)范，構成了信息安全等級保護政策體系。匯集成《信息安全等級保護工作匯編》供有關單位、部門使用。二、等級保護政策體系和標準體系（一）信息安全等級保護政策體系二、等級保護政策體系和標準體系14

政策體系信息安全等級保護工作定級備案安全建設整改等級測評《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2019]861號）檢查信息安全等級保護管理辦法（公通字[2019]43號)關于信息安全等級保護工作的實施意見（公通字[2019]66號）中華人民共和國計算機信息系統(tǒng)安全保護條例(國務院147號令)《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2019]27號）《信息安全等級保護備案實施細則》（公信安[2019]1360號）《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安[2009]1429號)關于加強國家電子政務工程建設項目信息安全風險評估工作的通知（發(fā)改高技[2019]2071號）《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》（公信安[2019]303號）信息系統(tǒng)安全等級測評報告模版（試行）（公信安[2009]1487）公安機關信息安全等級保護檢查工作規(guī)范（公信安[2019]736號）信息安全等級保護工作定級備案安全建設整改等級測評《關于開15（一）信息安全等級保護政策體系1、《關于信息安全等級保護工作的實施意見》（公通字[2019]66號）2、《信息安全等級保護管理辦法》公通字[2019]43號）

3、《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公通字[2019]861號）4、《信息安全等級保護備案實施細則》（公信安[2019]1360號）

5、《關于開展信息系統(tǒng)等級保護安全建設整改工作的指導意見》公信安[2009]1429號）（一）信息安全等級保護政策體系1、《關于信息安全等級保護工16（一）信息安全等級保護政策體系6、《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》（發(fā)改高技[2019]2071號）7、《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》（公信安[2019]303號）。8、《關于印發(fā)〈信息系統(tǒng)安全等級測評報告模版（試行）〉的通知》（公信安[2009]1487號）9、《公安機關信息安全等級保護檢查工作規(guī)范》（公信安[2019]736號）（一）信息安全等級保護政策體系6、《關于加強國家電子政務工程17（二）信息安全等級保護標準體系

多年來，在有關部門支持下，在國內有關專家、企業(yè)的共同努力下，全國信息安全標準化技術委員會和公安部信息系統(tǒng)安全標準化技術委員會組織制訂了信息安全等級保護工作系列標準，形成了比較完整的信息安全等級保護標準體系。（二）信息安全等級保護標準體系多年來，在18信息安全等級保護制度的主要內容和工作要求--課件19（二）信息安全等級保護標準體系基礎標準：

《計算機信息系統(tǒng)安全保護等級劃分準則》。在此基礎上制定出技術類、管理類、產(chǎn)品類標準。安全要求：

《信息系統(tǒng)安全等級保護基本要求》信息系統(tǒng)安全等級保護的行業(yè)規(guī)范（二）信息安全等級保護標準體系基礎標準：20（二）信息安全等級保護標準體系系統(tǒng)定級：《信息系統(tǒng)安全等級保護定級指南》信息系統(tǒng)安全等級保護行業(yè)定級細則方法指導：《信息系統(tǒng)安全等級保護實施指南》《信息系統(tǒng)等級保護安全設計技術要求》現(xiàn)狀分析：《信息系統(tǒng)安全等級保護測評要求》《信息系統(tǒng)安全等級保護測評過程指南》（二）信息安全等級保護標準體系系統(tǒng)定級：21（二）信息安全等級保護標準體系在應用有關標準中需注意的幾個問題：1、《基本要求》是階段性目標，《信息系統(tǒng)等級保護安全設計技術要求》是實現(xiàn)該目標的方法和途徑之一。2、《基本要求》中不包含安全設計和工程實施等內容，因此可以參照《信息系統(tǒng)等級保護安全設計技術要求》等標準進行。（二）信息安全等級保護標準體系在應用有關標準中需注意的幾個問22（二）信息安全等級保護標準體系3、在進行安全建設整改時，應根據(jù)業(yè)務信息安全等級和系統(tǒng)服務安全等級確定《基本要求》中相應的安全保護要求。4、重點行業(yè)可以按照《基本要求》等國家標準，結合行業(yè)特點和特殊安全需求，在公安部等有關部門指導下，制定行業(yè)標準規(guī)范或細則。（二）信息安全等級保護標準體系3、在進行安全建設整改時，應根23三、等級保護工作的具體內容和要求（一）信息安全等級保護定級工作

信息系統(tǒng)定級原則：“自主定級、專家評審、主管部門審批、公安機關審核”。具體可按照《關于開展全省重要信息系統(tǒng)安全等級保護定級工作的通知》（贛公字[2019]155號）要求執(zhí)行。

定級工作流程：確定定級對象、確定信息系統(tǒng)安全保護等級、組織專家評審、主管部門審批、公安機關審核。三、等級保護工作的具體內容和要求（一）信息安全等級保護定級工24三、等級保護工作的具體內容和要求1、確定定級對象◆起支撐、傳輸作用的信息網(wǎng)絡（包括專網(wǎng)、內網(wǎng)、外網(wǎng)、網(wǎng)管系統(tǒng)）?！粲糜谏a(chǎn)、調度、管理、指揮、作業(yè)、控制、辦公等目的各類業(yè)務系統(tǒng)?！舾鲉挝痪W(wǎng)站。三、等級保護工作的具體內容和要求1、確定定級對象25三、等級保護工作的具體內容和要求2、確定信息系統(tǒng)安全保護等級《管理辦法》規(guī)定的五個等級：◆第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益?！舻诙墸畔⑾到y(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。三、等級保護工作的具體內容和要求2、確定信息系統(tǒng)安全保護等級26◆第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造損害。◆第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。◆第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。三、等級保護工作的具體內容和要求◆第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重27

實際操作中參考確定信息系統(tǒng)等級：◆第一級信息系統(tǒng)：適用于小型私營、個體企業(yè)、中小學、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)?！舻诙壭畔⑾到y(tǒng)：適用于縣級某些單位中的重要信息系統(tǒng)；地市級以上國家機關、企事業(yè)單位內部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。三、等級保護工作的具體內容和要求 實際操作中參考確定信息系統(tǒng)等級：三、等級保護工作的具體內容28第三級信息系統(tǒng)：一般適用于地市級以上國家機關、企業(yè)、事業(yè)單位內部重要的信息系統(tǒng)，例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、?。▍^(qū)、市）門戶網(wǎng)站和重要網(wǎng)站；跨省聯(lián)接的網(wǎng)絡系統(tǒng)等。三、等級保護工作的具體內容和要求第三級信息系統(tǒng)：一般適用于地市級以上國家機關、企業(yè)、事業(yè)單位29第四級信息系統(tǒng)：一般適用于國家重要領域、部門中涉及國計民生、國家利益、國家安全，影響社會穩(wěn)定的核心系統(tǒng)。例如電力生產(chǎn)控制系統(tǒng)、銀行核心業(yè)務系統(tǒng)、電信核心網(wǎng)絡、鐵路客票系統(tǒng)、列車指揮調度系統(tǒng)等。3、定級工作需要注意的問題

◆同類信息系統(tǒng)的安全保護等級不能隨著部、省、市行政級別的降低而降低。

◆新建系統(tǒng)在規(guī)劃設計階段應確定等級，按照信息系統(tǒng)等級，同步規(guī)劃、同步設計、同步實施安全保護技術措施和管理措施。三、等級保護工作的具體內容和要求第四級信息系統(tǒng)：一般適用于國家重要領域、部門中涉及國計民生、30（二）信息系統(tǒng)備案工作

備案工作包括：信息系統(tǒng)備案、受理、審核和備案信息管理。具體按照《關于開展全省重要信息系統(tǒng)安全等級保護定級工作的通知》要求開展。1、備案◆第二級以上信息系統(tǒng)，由信息系統(tǒng)運營適用單位到所在地設區(qū)的市級以上公安機關網(wǎng)絡安全保衛(wèi)部門辦理備案手續(xù)，填寫《信息系統(tǒng)安全等級保護備案表》。三、等級保護工作的具體內容和要求（二）信息系統(tǒng)備案工作三、等級保護工作的具體內容和要求31三、等級保護工作的具體內容和要求省直單位、跨市或者全省統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)，由主管部門向省公安廳備案；各行業(yè)統(tǒng)一定級信息系統(tǒng)在各地的分支系統(tǒng)，即使是上級主管部門定級的，也要到當?shù)毓簿W(wǎng)絡安全保衛(wèi)部門備案。三、等級保護工作的具體內容和要求省直單位、跨市或者全省統(tǒng)一聯(lián)322、受理備案與審核

公安機關受理備案，按照《信息安全等級保護備案實施細則》要求，對備案材料進行審核，定級準確、材料符合要求的頒發(fā)由公安部統(tǒng)一監(jiān)制的備案證明。三、等級保護工作的具體內容和要求2、受理備案與審核三、等級保護工作的具體內容和要求33（三）信息系統(tǒng)安全建設整改工作充分認識工作的復雜性和艱巨性：◆政策性和技術性很強。◆涉及范圍廣?！粜畔⑾到y(tǒng)安全加固改造，需要國家在經(jīng)費上予以支持?！艨缡∪珖?lián)網(wǎng)的大系統(tǒng)結構復雜、運行實時保障性高、數(shù)據(jù)重要，加固改造周期長。三、等級保護工作的具體內容和要求（三）信息系統(tǒng)安全建設整改工作三、等級保護工作的具體內容和要341、工作目標◆利用三年時間。力爭2019前完成?！糸_展三項重點工作：安全管理制度建設、技術措施建設和等級測評?！魧崿F(xiàn)五方面目標：一是信息系統(tǒng)安全管理水平明顯提高，二是信息系統(tǒng)安全防范能力明顯增強，三是信息系統(tǒng)安全隱患和安全事故明顯減少，四是有效保障信息化健康發(fā)展，五是有效維護國家安全、社會秩序和公共利益。（三）信息系統(tǒng)安全建設整改工作1、工作目標（三）信息系統(tǒng)安全建設整改工作352、工作范圍和工作特點◆工作范圍：

已備案的第二級（含）以上信息系統(tǒng)納入安全建設整改的范圍。

尚未開展定級備案的信息系統(tǒng)，要先定級備案，定級不準的要先糾正，再開展安全建設整改。

新建系統(tǒng)要同步開展安全建設工作?！艄ぷ魈攸c：繼承發(fā)展、引入標準、外部監(jiān)督、政策牽引

（三）信息系統(tǒng)安全建設整改工作2、工作范圍和工作特點（三）信息系統(tǒng)安全建設整改工作36 3、工作方法◆突出重要系統(tǒng)，兼顧二級?！粼圏c示范，行業(yè)推廣?！艄芾碇贫冉ㄔO和技術措施建設同步或分步實施?！艏庸谈脑?，缺什么補什么；也可以進行總體安全建設整改規(guī)劃。◆利用信息安全等級保護綜合工作平臺，使等級保護工作常態(tài)化。（三）信息系統(tǒng)安全建設整改工作 3、工作方法（三）信息系統(tǒng)安全建設整改工作374、工作內容（1）等級保護安全管理制度建設

一是落實信息安全責任制。

二是落實人員安全管理制度。

三是落實系統(tǒng)建設管理制度。

四使落實系統(tǒng)運維管理制度。（三）信息系統(tǒng)安全建設整改工作4、工作內容（三）信息系統(tǒng)安全建設整改工作38◆落實信息安全責任制：成立信息安全工作領導機構，明確信息安全工作的主管領導。成立專門的信息安全管理部門或落實信息安全責任部門，確定安全崗位，落實專職人員或兼職人員。明確落實領導機構、責任部門和有關人員的信息安全責任。◆落實人員安全管理制度：制定人員錄用、離崗、考核、教育培訓等管理制度，落實管理的具體措施。對安全崗位人員要進行安全審查，定期進行培訓、考核和安全保密教育。提高安全崗位人員的專業(yè)水平，逐步實現(xiàn)安全崗位人員持證上崗。（三）信息系統(tǒng)安全建設整改工作◆落實信息安全責任制：成立信息安全工作領導機構，明確信息安全39◆落實系統(tǒng)建設管理制度：建立信息系統(tǒng)定級備案、方案設計、產(chǎn)品采購使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務等管理制度，明確工作內容、工作方法、工作流程和工作要求。◆落實系統(tǒng)運維管理制度：建立機房環(huán)境安全、存儲介質安全、設備設施安全、安全監(jiān)控、網(wǎng)絡安全、系統(tǒng)安全、惡意代碼防范、密碼保護、備份與恢復、事件處置等管理制度，制定應急預案并定期開展演練，采取相應的管理技術措施和手段，確保了、系統(tǒng)運維管理制度的有效落實。（三）信息系統(tǒng)安全建設整改工作◆落實系統(tǒng)建設管理制度：建立信息系統(tǒng)定級備案、方案設計、產(chǎn)品40（2）等級保護安全技術措施建設

結合行業(yè)特點和安全需求，制定符合相應等級要求的信息系統(tǒng)安全技術建設整改方案，開展安全技術措施建設。

可以采取“一個中心三維防護”的防護策略，實現(xiàn)相應級別信息系統(tǒng)的安全保護技術要求。（三）信息系統(tǒng)安全建設整改工作（2）等級保護安全技術措施建設（三）信息系統(tǒng)安全建設整改工作41信息安全等級保護制度的主要內容和工作要求--課件42信息系統(tǒng)安全建設整改方案主要內容：項目背景政策和技術標準依據(jù)安全需求分析安全建設整改技術方案設計安全建設整改管理體系設計信息系統(tǒng)安全產(chǎn)品選型及技術指標安全監(jiān)視整改后信息系統(tǒng)殘余風險分析安全建設整改建設項目實施計劃項目預算（三）信息系統(tǒng)安全建設整改工作信息系統(tǒng)安全建設整改方案主要內容：（三）信息系統(tǒng)安全建設整改435、工作流程第一步：制定安全建設整改工作計劃，對安全建設整改工作進行總體部署。第二步：開展信息系統(tǒng)安全現(xiàn)狀分析，從管理和技術兩方面確定安全建設整改需求。第三步：確定安全保護策略，制定信息系統(tǒng)哦安全建設整改方案。第四步：開展信息系統(tǒng)安全建設整改工作，建立并落實安全管理制度，落實安全責任制，建設安全設施，落實安全措施。第五步：開展安全自查和等級測評，及時發(fā)現(xiàn)問題并進一步整改。（三）信息系統(tǒng)安全建設整改工作5、工作流程（三）信息系統(tǒng)安全建設整改工作44信息安全等級保護制度的主要內容和工作要求--課件456、信息系統(tǒng)應達到的保護能力目標

第二級信息系統(tǒng)：經(jīng)過安全建設整改工作，信息系統(tǒng)具有抵御小規(guī)模、較弱強度惡意攻擊的能力，抵抗一般的自然災害的能力，防范一般性計算機病毒和惡意代碼危害的能力；具有檢測常見的攻擊行為，并對安全事件進行記錄的能力；系統(tǒng)遭到損害后，具有恢復系統(tǒng)正常運行狀態(tài)的能力。（三）信息系統(tǒng)安全建設整改工作6、信息系統(tǒng)應達到的保護能力目標（三）信息系統(tǒng)安全46

第三級信息系統(tǒng)：經(jīng)過安全建設整改工作，信息系統(tǒng)在統(tǒng)一的安全保護策略下具有抵御大規(guī)模、較強惡意攻擊的能力，抵抗較為嚴重的自然災害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)報警、記錄入侵行為的能力；具有對安全事件進行相應處置，并能夠追蹤安全責任的能力；在系統(tǒng)遭到損害后，具有較快恢復正常運行狀態(tài)的能力；對于服務保障性要求高的系統(tǒng)，應能立即恢復正常運行狀態(tài)；具有對系統(tǒng)資源、用戶、安全機制等進行集中控管的能力。（三）信息系統(tǒng)安全建設整改工作第三級信息系統(tǒng)：經(jīng)過安全建設整改工作，信47第四級信息系統(tǒng)：經(jīng)過安全建設整改工作，信息系統(tǒng)在統(tǒng)一的安全保護策略下具有抵御敵對勢力有組織的大規(guī)模攻擊的能力，抵抗嚴重的自然災害的能力，防范計算機病毒和惡意代碼危害的能力：具有檢測、發(fā)現(xiàn)報警、記錄入侵行為的能力；具有對安全事件進行快速相應處置，并能夠追蹤安全責任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復正常運行狀態(tài)的能力；對于服務保障性要求高的系統(tǒng)，應能迅速恢復正常運行狀態(tài)，具有對系統(tǒng)資源、用戶、安全機制等進行集中控管的能力。（三）信息系統(tǒng)安全建設整改工作第四級信息系統(tǒng)：經(jīng)過安全建設整改工作48（四）信息安全等級保護測評工作

等級測評是測評機構依據(jù)國家信息安全等級保護制度規(guī)定，按照有關管理規(guī)范和技術標準，對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。是信息安全等級保護工作的重要環(huán)節(jié)。

公安機關按照《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》（公信安[2019]303號）要求，開展測評機構和測評人員的管理工作，保證等級測評的客觀、公正和安全。三、等級保護工作的具體內容和要求（四）信息安全等級保護測評工作三、等級保護工作的具體內容和要49三、等級保護工作的具體內容和要求1、測評機構和測評人員的管理

（1）職責分工◆國家信息安全等級保護工作協(xié)調小組辦公室（以下簡稱“等保辦”）負責隸屬國家信息安全職能部門和重點行業(yè)測評機構的申請受理、審批推薦和監(jiān)督檢查等工作?！舾魇〖壍缺＾k負責等級測評機構的申請受理、審核推薦和監(jiān)督檢查等工作。◆公安部信息安全等級保護評估中心（以下簡稱“評估中心”）負責測評機構的能力評估和培訓工作。

三、等級保護工作的具體內容和要求1、測評機構和測評人員的管理50（2）測評機構申請流程◆申請：申請單位向省級以上等保辦書公面申請，提交《信息安全等級保護測評機構申請表》?！羰芾怼⒊鯇彛旱缺＾k受理申請，并對申請材料進行初審?！裟芰υu估：公安部信息安全等級保護評估中心對申請單位進行能力評估，對測評師進行培訓、考試、發(fā)證。三、等級保護工作的具體內容和要求（2）測評機構申請流程三、等級保護工作的具體內容和要求51三、等級保護工作的具體內容和要求專家審核：等保辦組織專家對測評能力評估合格的申請單位進行審核。推薦：等保辦向通過評審的申請單位頒發(fā)信息安全等級保護測評機構推薦證書。公布：省級等保辦向社會公布測評機構推薦目錄并報國家等保辦，國家等保辦匯總公布《全國信息安全等級保護測評機構推薦目錄》。三、等級保護工作的具體內容和要求專家審核：等保辦組織52三、等級保護工作的具體內容和要求（3）監(jiān)督管理日常監(jiān)督：測評報告、測評過程、測評服務用。變更處理：機構名稱、法人、測評師等變動的，在30日內到等保辦辦理變更。違規(guī)處置：限期整改、警告、取消證書。年度檢查：檢查時間、內容、方式。三、等級保護工作的具體內容和要求（3）監(jiān)督管理日常監(jiān)督：53三、等級保護工作的具體內容和要求測評機構不得從事下列活動：（一）影響被測評信息系統(tǒng)正常運行，危害被測評信息系統(tǒng)安全；（二）泄露知悉的被測評單位及被測評信息系統(tǒng)的國家秘密和工作秘密；（三）故意隱瞞測評過程中發(fā)現(xiàn)的安全 問題，或者在測評過程中弄虛作假，未如實出具等級測評報告；（四）未按規(guī)定格式出具等級測評報告；三、等級保護工作的具體內容和要求測評機構不得從事下列活動：（54

三、等級保護工作的具體內容和要求（五）非授權占有、使用等級測評相關資料及數(shù)據(jù)文件；（六）分包或轉包等級測評項目；（七）信息安全產(chǎn)品開發(fā)、銷售和信息系統(tǒng)安全集成；（八）限定被測評單位購買、使用其指定的信息安全產(chǎn)品；（九）其他危害國家安全、社會秩序、公共利益以及被測單位利益的活動。 三、等級保護工作的具體內容和要求（五）非授權占有、使用等級55三、等級保護工作的具體內容和要求2、等級測評工作的開展測評目的：一是掌握信息系統(tǒng)安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設整改需求；二是能夠衡量出信息系統(tǒng)安全保護措施是否符合等級保護基本要求，是否具備了相應等級的安全保護能力。三、等級保護工作的具體內容和要求2、等級測評工作的開展測評56三、等級保護工作的具體內容和要求測評時機：建設整改前：等級測評，現(xiàn)狀分析；建設整改后：等級測評，檢驗整改效果。測評頻率：第三級以上定期；第二級參照。測評費用：參照國家信息化項目人工計費標準或根據(jù)被測設備數(shù)量與測評項預算測評費用。三、等級保護工作的具體內容和要求測評時機：建設整改前：等級57三、等級保護工作的具體內容和要求3、測評業(yè)務范圍職能部門測評機構在全國范圍內開展測評業(yè)務，到地方時，應當事先告知屬地省級等保辦。行業(yè)測評機構原則上在本行業(yè)內開展測評，到地方時應與屬地省級等保辦協(xié)調?？梢猿袚渌袠I(yè)信息系統(tǒng)的測評任務。地方測評機構原則上在本地開展測評，也可以到異地開展測評，但事先須與當?shù)氐缺＾k協(xié)調。可以承擔各部委信息系統(tǒng)的測評任務。特殊情況由公安機關進行協(xié)調。三、等級保護工作的具體內容和要求3、測評業(yè)務范圍職能部門58三、等級保護工作的具體內容和要求3、測評業(yè)務范圍職能部門測評機構在全國范圍內開展測評業(yè)務，到地方時，應當事先告知屬地省級等保辦。行業(yè)測評機構原則上在本行業(yè)內開展測評，到地方時應與屬地省級等保辦協(xié)調。可以承擔其他行業(yè)信息系統(tǒng)的測評任務。地方測評機構原則上在本地開展測評，也可以到異地開展測評，但事先須與當?shù)氐缺＾k協(xié)調?？梢猿袚鞑课畔⑾到y(tǒng)的測評任務。特殊情況由公安機關進行協(xié)調。三、等級保護工作的具體內容和要求3、測評業(yè)務范圍職能部門59三、等級保護工作的具體內容和要求（五）安全自查和監(jiān)督檢查備案單位、行業(yè)主管部門、公安機關要分別建立并落實監(jiān)督檢查機制，定期開展監(jiān)督檢查。1、備案單位的定期自查定期開展自查，掌握信息系統(tǒng)安全狀況、安全管理制度及技術保護措施的落實情況等。配合公安機關的監(jiān)督檢查工作，如實提供有關資料及文件。當重要信息系統(tǒng)發(fā)生事件、案件時，備案單位應當及時向受理備案的公安機關報告。三、等級保護工作的具體內容和要求（五）安全自查和監(jiān)督檢查60三、等級保護工作的具體內容和要求2、行業(yè)主管部門的督導檢查行業(yè)主管部門要建立督導檢查制度，組織制定本行業(yè)、本部門的信息安全等級保護檢查工作規(guī)范。定期組織對本行業(yè)、本部門等級保護工作開展情況進行檢查，督促落實信息安全等級保護制度，達到重點督促，以點帶面的目的。三、等級保護工作的具體內容和要求2、行業(yè)主管部門的督導檢查61三、等級保護工作的具體內容和要求3、公安機關的監(jiān)督檢查“誰受理備案、誰負責檢查”。依據(jù)《公安機關信息安全等級保護檢查工作規(guī)范（試行）》開展監(jiān)督檢查。會同主管部門共同開展，建立監(jiān)督檢查配合機制。對重要信息系統(tǒng)發(fā)生的事件、案件及時進行調查和立案偵查，并指導開展應急處置工作。三、等級保護工作的具體內容和要求3、公安機關的監(jiān)督檢查“62三、等級保護工作的具體內容和要求（六）信息安全產(chǎn)品的選擇使用

1、信息安全產(chǎn)品在市場上銷售，必須通過公安部信息安全產(chǎn)品檢測中心檢測，并獲得公安部頒發(fā)的銷售許可證。

2、公安部發(fā)布了《關于調整更新計算機信息系統(tǒng)安全專用產(chǎn)品檢測執(zhí)行標準規(guī)范的公告》（公信安[2009]1157號），對已有分級標準的29類信息安全產(chǎn)品開展分級檢測工作。對于檢測并審核通過的產(chǎn)品，產(chǎn)品銷售許可證書標注產(chǎn)品分級信息，便于用戶選擇使用。三、等級保護工作的具體內容和要求（六）信息安全產(chǎn)品的選擇使用63三、等級保護工作的具體內容和要求3、《管理辦法》規(guī)定，第三級以上信息系統(tǒng)應當選擇使用我國自主研發(fā)的信息安全產(chǎn)品。信息安全產(chǎn)品是信息系統(tǒng)安全的重要基礎，尤其是進入到重要信息系統(tǒng)中的信息安全產(chǎn)品將直接影響信息系統(tǒng)安全。因此，應在滿足使用要求的前提下，優(yōu)先選擇國內產(chǎn)品。三、等級保護工作的具體內容和要求3、《管理辦法》規(guī)定，第三級64謝謝！信息安全等級保護制度的主要內容和工作要求--課件65信息安全等級保護制度的

主要內容和工作要求信息安全等級保護制度的

主要內容和工作要求66目錄一、信息安全等級保護制度的主要內容二、信息安全等級保護政策、標準體系三、等級保護工作的具體內容和工作要求目錄一、信息安全等級保護制度的主要內容67一、等級保護制度的主要內容（一）國家為什么要實施信息安全等級保護制度1.信息安全形勢嚴峻◆敵對勢力的入侵、攻擊、破壞◆針對基礎信息網(wǎng)絡和重要信息系統(tǒng)的違法犯罪持續(xù)上升◆基礎信息網(wǎng)絡和重要信息系統(tǒng)安全隱患嚴重一、等級保護制度的主要內容（一）國家為什么要實施信息安全等級682.是維護國家安全的需要基礎信息網(wǎng)絡和重要信息系統(tǒng)已成為國家關鍵基礎設施信息安全是國家安全的重要組成部分信息安全是非傳統(tǒng)安全，信息安全本質是信息對抗、技術對抗3、是國際上通行的做法。一、等級保護制度的主要內容2.是維護國家安全的需要一、等級保護制度的主要內容69（二）國家對等級保護制度的要求1.《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務院147號令）：“計算機信息系統(tǒng)實行安全等級保護，等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定?！币?、等級保護制度的主要內容（二）國家對等級保護制度的要求一、等級保護制度的主要內容702、《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2019]27號）規(guī)定：要重點保護基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南。一、等級保護制度的主要內容2、《國家信息化領導小組關于加強信息安全保障工作的意見》（中71（三）等級保護制度的地位和作用是國家信息安全保障工作的基本制度、基本國策。是開展信息安全工作的基本辦法。是促進國家信息化、維護國家信息安全的根本保障。一、等級保護制度的主要內容（三）等級保護制度的地位和作用一、等級保護制度的主要內容72一、等級保護制度的主要內容

（四）實施等級保護制度的主要目的◆明確重點、突出重點、保護重點◆有利于同步建設、協(xié)調發(fā)展?！魞?yōu)化信息安全資源的配置?！裘鞔_信息安全責任?！敉苿有畔踩a(chǎn)業(yè)發(fā)展。

國家發(fā)展改革部門、財政部門、科技部門、公安機關對重要信息系統(tǒng)在政策上給予支持。

一、等級保護制度的主要內容（四）實施等級保護制度的主要目的73一、等級保護制度的主要內容(五)公安機關組織開展等級保護工作的依據(jù)

1、《警察法》規(guī)定：警察履行“監(jiān)督管理計算機信息系統(tǒng)的安全保護工作”的職責。2、國務院第147號令規(guī)定：“公安部主管全國計算機信息系統(tǒng)安全保護工作”，“等級保護的具體辦法，由公安部會同有關部門制定”。3、2019年國務院三定方案，公安機關新增職能：“監(jiān)督、檢查、指導信息安全等級保護工作”。一、等級保護制度的主要內容(五)公安機關組織開展等級保護工作74（六）等級保護工作的主要內容對信息系統(tǒng)分等級進行安全保護和監(jiān)管。

五個規(guī)定動作：信息系統(tǒng)定級、備案、安全建設整改、等級測評、監(jiān)督檢查。信息安全產(chǎn)品分等級使用管理。信息安全事件分等級響應、處置。一、等級保護制度的主要內容（六）等級保護工作的主要內容一、等級保護制度的主要內容75一、等級保護制度的主要內容（七）相關部門的責任和義務職能部門：制定管理規(guī)范和技術標準，組織實施，開展監(jiān)督、檢查、指導。

行業(yè)主管部門：督促、檢查、指導本行業(yè)、本部門開展等級保護工作。

運營使用單位：開展信息系統(tǒng)定級、備案、建設整改、等級測評、自查等工作，落實等級保護制度的各項要求安全服務機構：開展技術支持、服務等工作，并接受監(jiān)管部門的監(jiān)督管理。一、等級保護制度的主要內容（七）相關部門的責任和義務76一、等級保護制度的主要內容國家信息安全職能部門職責分工公安機關：牽頭部門，監(jiān)督、檢查、指導信息安全等級保護工作。國家保密部門：負責等級保護工作中有關保密工作的監(jiān)督、檢查、指導。并負責涉及國家秘密信息系統(tǒng)分級保護國家密碼管理部門：負責等級保護工作中有關密碼工作的監(jiān)督、檢查、指導工業(yè)和信息化部門：負責等級保護工作中部門間的協(xié)調。一、等級保護制度的主要內容國家信息安全職能部門職責77一、等級保護制度的主要內容（八）開展等級保護工作的基本要求各單位、各部門，按照“準確定級、嚴格審批、及時備案、認真整改、科學測評”的要求開展等級保護的定級、備案、整改、測評等工作。公安機關要及時開展監(jiān)督檢查，嚴格審查信息系統(tǒng)所定級別，嚴格檢查信息系統(tǒng)開展備案、整改、測評等工作。對故意將信息系統(tǒng)安全級別定低，逃避公安、保密、密碼部門監(jiān)管，造成信息系統(tǒng)出現(xiàn)重大安全事故的，要追究單位和人員的責任。一、等級保護制度的主要內容（八）開展等級保護工作的基本要求78（一）信息安全等級保護政策體系近幾年，公安部根據(jù)國務院147號令的授權，會同國家保密局、國家密碼管理局、發(fā)改委、原國務院信息辦出臺了一些文件，公安部和省廳對有些具體工作出臺了一些指導意見和規(guī)范，構成了信息安全等級保護政策體系。匯集成《信息安全等級保護工作匯編》供有關單位、部門使用。二、等級保護政策體系和標準體系（一）信息安全等級保護政策體系二、等級保護政策體系和標準體系79

政策體系信息安全等級保護工作定級備案安全建設整改等級測評《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公信安[2019]861號）檢查信息安全等級保護管理辦法（公通字[2019]43號)關于信息安全等級保護工作的實施意見（公通字[2019]66號）中華人民共和國計算機信息系統(tǒng)安全保護條例(國務院147號令)《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2019]27號）《信息安全等級保護備案實施細則》（公信安[2019]1360號）《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安[2009]1429號)關于加強國家電子政務工程建設項目信息安全風險評估工作的通知（發(fā)改高技[2019]2071號）《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》（公信安[2019]303號）信息系統(tǒng)安全等級測評報告模版（試行）（公信安[2009]1487）公安機關信息安全等級保護檢查工作規(guī)范（公信安[2019]736號）信息安全等級保護工作定級備案安全建設整改等級測評《關于開80（一）信息安全等級保護政策體系1、《關于信息安全等級保護工作的實施意見》（公通字[2019]66號）2、《信息安全等級保護管理辦法》公通字[2019]43號）

3、《關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公通字[2019]861號）4、《信息安全等級保護備案實施細則》（公信安[2019]1360號）

5、《關于開展信息系統(tǒng)等級保護安全建設整改工作的指導意見》公信安[2009]1429號）（一）信息安全等級保護政策體系1、《關于信息安全等級保護工81（一）信息安全等級保護政策體系6、《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》（發(fā)改高技[2019]2071號）7、《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》（公信安[2019]303號）。8、《關于印發(fā)〈信息系統(tǒng)安全等級測評報告模版（試行）〉的通知》（公信安[2009]1487號）9、《公安機關信息安全等級保護檢查工作規(guī)范》（公信安[2019]736號）（一）信息安全等級保護政策體系6、《關于加強國家電子政務工程82（二）信息安全等級保護標準體系

多年來，在有關部門支持下，在國內有關專家、企業(yè)的共同努力下，全國信息安全標準化技術委員會和公安部信息系統(tǒng)安全標準化技術委員會組織制訂了信息安全等級保護工作系列標準，形成了比較完整的信息安全等級保護標準體系。（二）信息安全等級保護標準體系多年來，在83信息安全等級保護制度的主要內容和工作要求--課件84（二）信息安全等級保護標準體系基礎標準：

《計算機信息系統(tǒng)安全保護等級劃分準則》。在此基礎上制定出技術類、管理類、產(chǎn)品類標準。安全要求：

《信息系統(tǒng)安全等級保護基本要求》信息系統(tǒng)安全等級保護的行業(yè)規(guī)范（二）信息安全等級保護標準體系基礎標準：85（二）信息安全等級保護標準體系系統(tǒng)定級：《信息系統(tǒng)安全等級保護定級指南》信息系統(tǒng)安全等級保護行業(yè)定級細則方法指導：《信息系統(tǒng)安全等級保護實施指南》《信息系統(tǒng)等級保護安全設計技術要求》現(xiàn)狀分析：《信息系統(tǒng)安全等級保護測評要求》《信息系統(tǒng)安全等級保護測評過程指南》（二）信息安全等級保護標準體系系統(tǒng)定級：86（二）信息安全等級保護標準體系在應用有關標準中需注意的幾個問題：1、《基本要求》是階段性目標，《信息系統(tǒng)等級保護安全設計技術要求》是實現(xiàn)該目標的方法和途徑之一。2、《基本要求》中不包含安全設計和工程實施等內容，因此可以參照《信息系統(tǒng)等級保護安全設計技術要求》等標準進行。（二）信息安全等級保護標準體系在應用有關標準中需注意的幾個問87（二）信息安全等級保護標準體系3、在進行安全建設整改時，應根據(jù)業(yè)務信息安全等級和系統(tǒng)服務安全等級確定《基本要求》中相應的安全保護要求。4、重點行業(yè)可以按照《基本要求》等國家標準，結合行業(yè)特點和特殊安全需求，在公安部等有關部門指導下，制定行業(yè)標準規(guī)范或細則。（二）信息安全等級保護標準體系3、在進行安全建設整改時，應根88三、等級保護工作的具體內容和要求（一）信息安全等級保護定級工作

信息系統(tǒng)定級原則：“自主定級、專家評審、主管部門審批、公安機關審核”。具體可按照《關于開展全省重要信息系統(tǒng)安全等級保護定級工作的通知》（贛公字[2019]155號）要求執(zhí)行。

定級工作流程：確定定級對象、確定信息系統(tǒng)安全保護等級、組織專家評審、主管部門審批、公安機關審核。三、等級保護工作的具體內容和要求（一）信息安全等級保護定級工89三、等級保護工作的具體內容和要求1、確定定級對象◆起支撐、傳輸作用的信息網(wǎng)絡（包括專網(wǎng)、內網(wǎng)、外網(wǎng)、網(wǎng)管系統(tǒng)）。◆用于生產(chǎn)、調度、管理、指揮、作業(yè)、控制、辦公等目的各類業(yè)務系統(tǒng)?！舾鲉挝痪W(wǎng)站。三、等級保護工作的具體內容和要求1、確定定級對象90三、等級保護工作的具體內容和要求2、確定信息系統(tǒng)安全保護等級《管理辦法》規(guī)定的五個等級：◆第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益?！舻诙?，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。三、等級保護工作的具體內容和要求2、確定信息系統(tǒng)安全保護等級91◆第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造損害?！舻谒募?，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害?！舻谖寮?，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。三、等級保護工作的具體內容和要求◆第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重92

實際操作中參考確定信息系統(tǒng)等級：◆第一級信息系統(tǒng)：適用于小型私營、個體企業(yè)、中小學、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級單位中一般的信息系統(tǒng)。◆第二級信息系統(tǒng)：適用于縣級某些單位中的重要信息系統(tǒng)；地市級以上國家機關、企事業(yè)單位內部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。三、等級保護工作的具體內容和要求 實際操作中參考確定信息系統(tǒng)等級：三、等級保護工作的具體內容93第三級信息系統(tǒng)：一般適用于地市級以上國家機關、企業(yè)、事業(yè)單位內部重要的信息系統(tǒng)，例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、省（區(qū)、市）門戶網(wǎng)站和重要網(wǎng)站；跨省聯(lián)接的網(wǎng)絡系統(tǒng)等。三、等級保護工作的具體內容和要求第三級信息系統(tǒng)：一般適用于地市級以上國家機關、企業(yè)、事業(yè)單位94第四級信息系統(tǒng)：一般適用于國家重要領域、部門中涉及國計民生、國家利益、國家安全，影響社會穩(wěn)定的核心系統(tǒng)。例如電力生產(chǎn)控制系統(tǒng)、銀行核心業(yè)務系統(tǒng)、電信核心網(wǎng)絡、鐵路客票系統(tǒng)、列車指揮調度系統(tǒng)等。3、定級工作需要注意的問題

◆同類信息系統(tǒng)的安全保護等級不能隨著部、省、市行政級別的降低而降低。

◆新建系統(tǒng)在規(guī)劃設計階段應確定等級，按照信息系統(tǒng)等級，同步規(guī)劃、同步設計、同步實施安全保護技術措施和管理措施。三、等級保護工作的具體內容和要求第四級信息系統(tǒng)：一般適用于國家重要領域、部門中涉及國計民生、95（二）信息系統(tǒng)備案工作

備案工作包括：信息系統(tǒng)備案、受理、審核和備案信息管理。具體按照《關于開展全省重要信息系統(tǒng)安全等級保護定級工作的通知》要求開展。1、備案◆第二級以上信息系統(tǒng)，由信息系統(tǒng)運營適用單位到所在地設區(qū)的市級以上公安機關網(wǎng)絡安全保衛(wèi)部門辦理備案手續(xù)，填寫《信息系統(tǒng)安全等級保護備案表》。三、等級保護工作的具體內容和要求（二）信息系統(tǒng)備案工作三、等級保護工作的具體內容和要求96三、等級保護工作的具體內容和要求省直單位、跨市或者全省統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)，由主管部門向省公安廳備案；各行業(yè)統(tǒng)一定級信息系統(tǒng)在各地的分支系統(tǒng)，即使是上級主管部門定級的，也要到當?shù)毓簿W(wǎng)絡安全保衛(wèi)部門備案。三、等級保護工作的具體內容和要求省直單位、跨市或者全省統(tǒng)一聯(lián)972、受理備案與審核

公安機關受理備案，按照《信息安全等級保護備案實施細則》要求，對備案材料進行審核，定級準確、材料符合要求的頒發(fā)由公安部統(tǒng)一監(jiān)制的備案證明。三、等級保護工作的具體內容和要求2、受理備案與審核三、等級保護工作的具體內容和要求98（三）信息系統(tǒng)安全建設整改工作充分認識工作的復雜性和艱巨性：◆政策性和技術性很強?！羯婕胺秶鷱V?！粜畔⑾到y(tǒng)安全加固改造，需要國家在經(jīng)費上予以支持。◆跨省全國聯(lián)網(wǎng)的大系統(tǒng)結構復雜、運行實時保障性高、數(shù)據(jù)重要，加固改造周期長。三、等級保護工作的具體內容和要求（三）信息系統(tǒng)安全建設整改工作三、等級保護工作的具體內容和要991、工作目標◆利用三年時間。力爭2019前完成?！糸_展三項重點工作：安全管理制度建設、技術措施建設和等級測評?！魧崿F(xiàn)五方面目標：一是信息系統(tǒng)安全管理水平明顯提高，二是信息系統(tǒng)安全防范能力明顯增強，三是信息系統(tǒng)安全隱患和安全事故明顯減少，四是有效保障信息化健康發(fā)展，五是有效維護國家安全、社會秩序和公共利益。（三）信息系統(tǒng)安全建設整改工作1、工作目標（三）信息系統(tǒng)安全建設整改工作1002、工作范圍和工作特點◆工作范圍：

已備案的第二級（含）以上信息系統(tǒng)納入安全建設整改的范圍。

尚未開展定級備案的信息系統(tǒng)，要先定級備案，定級不準的要先糾正，再開展安全建設整改。

新建系統(tǒng)要同步開展安全建設工作?！艄ぷ魈攸c：繼承發(fā)展、引入標準、外部監(jiān)督、政策牽引

（三）信息系統(tǒng)安全建設整改工作2、工作范圍和工作特點（三）信息系統(tǒng)安全建設整改工作101 3、工作方法◆突出重要系統(tǒng)，兼顧二級?！粼圏c示范，行業(yè)推廣?！艄芾碇贫冉ㄔO和技術措施建設同步或分步實施?！艏庸谈脑?，缺什么補什么；也可以進行總體安全建設整改規(guī)劃?！衾眯畔踩燃壉Ｗo綜合工作平臺，使等級保護工作常態(tài)化。（三）信息系統(tǒng)安全建設整改工作 3、工作方法（三）信息系統(tǒng)安全建設整改工作1024、工作內容（1）等級保護安全管理制度建設

一是落實信息安全責任制。

二是落實人員安全管理制度。

三是落實系統(tǒng)建設管理制度。

四使落實系統(tǒng)運維管理制度。（三）信息系統(tǒng)安全建設整改工作4、工作內容（三）信息系統(tǒng)安全建設整改工作103◆落實信息安全責任制：成立信息安全工作領導機構，明確信息安全工作的主管領導。成立專門的信息安全管理部門或落實信息安全責任部門，確定安全崗位，落實專職人員或兼職人員。明確落實領導機構、責任部門和有關人員的信息安全責任?！袈鋵嵢藛T安全管理制度：制定人員錄用、離崗、考核、教育培訓等管理制度，落實管理的具體措施。對安全崗位人員要進行安全審查，定期進行培訓、考核和安全保密教育。提高安全崗位人員的專業(yè)水平，逐步實現(xiàn)安全崗位人員持證上崗。（三）信息系統(tǒng)安全建設整改工作◆落實信息安全責任制：成立信息安全工作領導機構，明確信息安全104◆落實系統(tǒng)建設管理制度：建立信息系統(tǒng)定級備案、方案設計、產(chǎn)品采購使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務等管理制度，明確工作內容、工作方法、工作流程和工作要求。◆落實系統(tǒng)運維管理制度：建立機房環(huán)境安全、存儲介質安全、設備設施安全、安全監(jiān)控、網(wǎng)絡安全、系統(tǒng)安全、惡意代碼防范、密碼保護、備份與恢復、事件處置等管理制度，制定應急預案并定期開展演練，采取相應的管理技術措施和手段，確保了、系統(tǒng)運維管理制度的有效落實。（三）信息系統(tǒng)安全建設整改工作◆落實系統(tǒng)建設管理制度：建立信息系統(tǒng)定級備案、方案設計、產(chǎn)品105（2）等級保護安全技術措施建設

結合行業(yè)特點和安全需求，制定符合相應等級要求的信息系統(tǒng)安全技術建設整改方案，開展安全技術措施建設。

可以采取“一個中心三維防護”的防護策略，實現(xiàn)相應級別信息系統(tǒng)的安全保護技術要求。（三）信息系統(tǒng)安全建設整改工作（2）等級保護安全技術措施建設（三）信息系統(tǒng)安全建設整改工作106信息安全等級保護制度的主要內容和工作要求--課件107信息系統(tǒng)安全建設整改方案主要內容：項目背景政策和技術標準依據(jù)安全需求分析安全建設整改技術方案設計安全建設整改管理體系設計信息系統(tǒng)安全產(chǎn)品選型及技術指標安全監(jiān)視整改后信息系統(tǒng)殘余風險分析安全建設整改建設項目實施計劃項目預算（三）信息系統(tǒng)安全建設整改工作信息系統(tǒng)安全建設整改方案主要內容：（三）信息系統(tǒng)安全建設整改1085、工作流程第一步：制定安全建設整改工作計劃，對安全建設整改工作進行總體部署。第二步：開展信息系統(tǒng)安全現(xiàn)狀分析，從管理和技術兩方面確定安全建設整改需求。第三步：確定安全保護策略，制定信息系統(tǒng)哦安全建設整改方案。第四步：開展信息系統(tǒng)安全建設整改工作，建立并落實安全管理制度，落實安全責任制，建設安全設施，落實安全措施。第五步：開展安全自查和等級測評，及時發(fā)現(xiàn)問題并進一步整改。（三）信息系統(tǒng)安全建設整改工作5、工作流程（三）信息系統(tǒng)安全建設整改工作109信息安全等級保護制度的主要內容和工作要求--課件1106、信息系統(tǒng)應達到的保護能力目標

第二級信息系統(tǒng)：經(jīng)過安全建設整改工作，信息系統(tǒng)具有抵御小規(guī)模、較弱強度惡意攻擊的能力，抵抗一般的自然災害的能力，防范一般性計算機病毒和惡意代碼危害的能力；具有檢測常見的攻擊行為，并對安全事件進行記錄的能力；系統(tǒng)遭到損害后，具有恢復系統(tǒng)正常運行狀態(tài)的能力。（三）信息系統(tǒng)安全建設整改工作6、信息系統(tǒng)應達到的保護能力目標（三）信息系統(tǒng)安全111

第三級信息系統(tǒng)：經(jīng)過安全建設整改工作，信息系統(tǒng)在統(tǒng)一的安全保護策略下具有抵御大規(guī)模、較強惡意攻擊的能力，抵抗較為嚴重的自然災害的能力，防范計算機病毒和惡意代碼危害的能力；具有檢測、發(fā)現(xiàn)報警、記錄入侵行為的能力；具有對安全事件進行相應處置，并能夠追蹤安全責任的能力；在系統(tǒng)遭到損害后，具有較快恢復正常運行狀態(tài)的能力；對于服務保障性要求高的系統(tǒng)，應能立即恢復正常運行狀態(tài)；具有對系統(tǒng)資源、用戶、安全機制等進行集中控管的能力。（三）信息系統(tǒng)安全建設整改工作第三級信息系統(tǒng)：經(jīng)過安全建設整改工作，信112第四級信息系統(tǒng)：經(jīng)過安全建設整改工作，信息系統(tǒng)在統(tǒng)一的安全保護策略下具有抵御敵對勢力有組織的大規(guī)模攻擊的能力，抵抗嚴重的自然災害的能力，防范計算機病毒和惡意代碼危害的能力：具有檢測、發(fā)現(xiàn)報警、記錄入侵行為的能力；具有對安全事件進行快速相應處置，并能夠追蹤安全責任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復正常運行狀態(tài)的能力；對于服務保障性要求高的系統(tǒng)，應能迅速恢復正常運行狀態(tài)，具有對系統(tǒng)資源、用戶、安全機制等進行集中控管的能力。（三）信息系統(tǒng)安全建設整改工作第四級信息系統(tǒng)：經(jīng)過安全建設整改工作113（四）信息安全等級保護測評工作

等級測評是測評機構依據(jù)國家信息安全等級保護制度規(guī)定，按照有關管理規(guī)范和技術標準，對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。是信息安全等級保護工作的重要環(huán)節(jié)。

公安機關按照《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》（公信安[2019]303號）要求，開展測評機構和測評人員的管理工作，保證等級測評的客觀、公正和安全。三、等級保護工作的具體內容和要求（四）信息安全等級保護測評工作三、等級保護工作的具體內容和要114三、等級保護工作的具體內容和要求1、測評機構和測評人員的管理

（1）職責分工◆國家信息安全等級保護工作協(xié)調小組辦公室（以下簡稱“等保辦”）負責隸屬國家信息安全職能部門和重點行業(yè)測評機構的申請受理、審批推薦和監(jiān)督檢查等工作?！舾魇〖壍缺＾k負責等級測評機構的申請受理、審核推薦和監(jiān)督檢查等工作?！艄膊啃畔踩燃壉Ｗo評估中心（以下簡稱“評估中心”）負責測評機構的能力評估和培訓工作。

三、等級保護工作的具體內容和要求1、測評機構和測評人員的管理115（2）測評機構申請流程◆申請：申請單位向省級以上等保辦書公面申請，提交《信息安全等級保護測評機構申請表》?！羰芾?、初審：等保辦受理申請，并對申請材料進行初審。◆能力評估：公安部信息安全等級保護評估中心對申請單位進行能力評估，對測評師進行培訓、考試、發(fā)證。三、等級保護工作的具體內容和要求（2）測評機構申請流程三、等級保護工作的具體內容和要求116三、等級保護工作的具體內容和要求專家審核：等保辦組織專家對測評能力評估合格的申請單位進行審核。推薦：等保辦向通過評審的申請單位頒發(fā)信息安全等級保護測評機構推薦證書。公布：省級等保辦向社會公布測評機構推薦目錄并報國家等保辦，國家等保辦匯總公布《全國信息安全等級保護測評機構推薦目錄》。三、等級保護