信息安全等級保護培訓(xùn)

信息平安等級保護培訓(xùn)

一、我國在信息平安保障工作中為什么要實行等級保護制度

當(dāng)前，我國根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)平安面臨的形勢十分嚴(yán)峻，既有外部威脅，又有自身脆弱性和薄弱環(huán)節(jié)。一是針對根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪持續(xù)上升。二是根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)平安隱患嚴(yán)重。三是我國的信息平安保障工作根底還很薄弱。二、實行信息平安等級保護制度能夠解決哪些主要問題信息平安等級保護是國家信息平安保障工作的根本制度、根本策略、根本方法。開展信息平安等級保護工作是保護信息化開展、維護國家信息平安的根本保障，是信息平安保障工作中國家意志的表達。有效解決我國信息平安面臨的威脅和存在的主要問題，充分表達“適度平安、保護重點〞的目的，將有限的財力、物力、人力投入到重要信息系統(tǒng)平安保護中，按標(biāo)準(zhǔn)建設(shè)平安保護措施，建立平安保護制度，落實平安責(zé)任，有效保護根底信息網(wǎng)絡(luò)和關(guān)系國家平安、經(jīng)濟命脈、社會穩(wěn)定的重要信息系統(tǒng)的平安，有效提高我國信息平安保障工作的整體水平。三、國家、有關(guān)部門和企業(yè)在等級保

護工作中各自的責(zé)任和義務(wù)是什么

1、國家層面2、信息平安監(jiān)管部門〔包括公安機關(guān)、保密部門、國家密碼工作部門〕3、信息系統(tǒng)主管部門4、信息系統(tǒng)運營使用單位5、平安效勞機構(gòu)等級保護工作的職責(zé)分工公安機關(guān)是等級保護工作的牽頭部門，承擔(dān)著信息平安等級保護工作的監(jiān)督、檢查、指導(dǎo)；國家保密工作部門、國家密碼管理部門負責(zé)等級保護工作中有關(guān)保密工作和密碼工作的監(jiān)督、檢查、指導(dǎo)；國信辦及地方信息化領(lǐng)導(dǎo)小組辦事機構(gòu)負責(zé)等級保護工作部門間的協(xié)調(diào)。其中，涉及國家秘密信息系統(tǒng)的等級保護監(jiān)督管理工作由國家保密工作部門負責(zé)；非涉及國家秘密信息系統(tǒng)的等級保護監(jiān)督管理工作由公安機關(guān)負責(zé)。公安機關(guān)牽頭開展等級保護工作的法律政策依據(jù)

1994年，?中華人民共和國計算機信息系統(tǒng)平安保護條例?規(guī)定，“計算機信息系統(tǒng)實行平安等級保護，平安等級的劃分標(biāo)準(zhǔn)和平安等級保護的具體方法，由公安部會同有關(guān)部門制定〞。1995年2月18日人大12次會議通過并實施的?中華人民共和國警察法?第二章第六條第十二款規(guī)定，公安機關(guān)人民警察依法履行“監(jiān)督管理計算機信息系統(tǒng)的平安保護工作〞。2003年?國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息平安保障工作的意見?〔中辦發(fā)[2003]27號〕明確指出“實行信息平安等級保護〞。“要重點保護根底信息網(wǎng)絡(luò)和關(guān)系國家平安、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息平安等級保護制度，制定信息平安等級保護的管理方法和技術(shù)指南〞。

四、近幾年來開展了哪些具體工作一是制定了50多個國標(biāo)和行標(biāo)，初步形成了信息平安等級保護標(biāo)準(zhǔn)體系二是開展了等級保護根底調(diào)查工作三是開展了等級保護試點工作四是出臺了公安部、國務(wù)院信息化工作辦公室等四部門?關(guān)于信息平安等級保護工作的實施意見?66號文、?信息平安等級保護管理方法?43號文、861號文等政策文件。五是召開“全國重要信息系統(tǒng)平安等級保護定級工作電視會議〞六是成立“國家信息平安等級保護協(xié)調(diào)小組〞五、等級保護工作的主要流程包括哪

些，開展等級保護工作的根本要求

是什么主要流程包括六項內(nèi)容：一是自主定級與審批。二是評審。三是備案。四是系統(tǒng)平安建設(shè)。五是等級測評。六是監(jiān)督檢查。六、開展等級保護工作的總體要求各根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)，按照“準(zhǔn)確定級、嚴(yán)格審批、及時備案、認真整改、科學(xué)測評〞的要求完成等級保護的定級、備案、整改、測評等工作。公安機關(guān)和保密、密碼工作部門要及時開展監(jiān)督檢查，嚴(yán)格審查信息系統(tǒng)所定級別，嚴(yán)格檢查信息系統(tǒng)開展備案、整改、測評等工作。對成心將信息系統(tǒng)平安級別定低，逃避公安、保密、密碼部門監(jiān)管，造成信息系統(tǒng)出現(xiàn)重大平安事故的，要追究單位和人員的責(zé)任。七、定級工作的主要步驟是什么

定級是等級保護工作的首要環(huán)節(jié)，是開展信息系統(tǒng)建設(shè)、整改、測評、備案、監(jiān)督檢查等后續(xù)工作的重要根底。第一步，摸底調(diào)查，掌握信息系統(tǒng)底數(shù)第二步，確定定級對象第三步，初步確定信息系統(tǒng)等級第四步，信息系統(tǒng)等級評審

第五步，信息系統(tǒng)等級的最終確定與審批第六步：備案。第七步：備案審核。第八步：及時總結(jié)并提交總結(jié)報告。第一步，摸底調(diào)查，掌握信息系統(tǒng)底數(shù)

按照?定級工作通知?確定的定級范圍，各單位、各部門可以組織開展對所屬信息系統(tǒng)進行摸底調(diào)查，摸清信息系統(tǒng)底數(shù)，掌握信息系統(tǒng)〔包括信息網(wǎng)絡(luò)〕的業(yè)務(wù)類型、應(yīng)用或效勞范圍、系統(tǒng)結(jié)構(gòu)等根本情況，為下一步明確要求、落實責(zé)任奠定根底。第二步，確定定級對象一是應(yīng)用系統(tǒng)應(yīng)按照不同業(yè)務(wù)類別單獨確定為定級對象，不以系統(tǒng)是否進行數(shù)據(jù)交換、是否獨享設(shè)備為確定定級對象條件。起傳輸作用的根底網(wǎng)絡(luò)要作為單獨的定級對象。二是確認負責(zé)定級的單位是否對所定級系統(tǒng)具有平安管理責(zé)任。三是具有信息系統(tǒng)的根本要素。

第三步，初步確定信息系統(tǒng)等級信息系統(tǒng)的平安保護等級是信息系統(tǒng)的客觀屬性，不以已采取或?qū)⒉扇∈裁雌桨脖Ｗo措施為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家平安、社會穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定信息系統(tǒng)的平安保護等級。既要防止個別單位片面追求絕對平安而定級過高，也要防止為了逃避監(jiān)管定級偏低。信息網(wǎng)絡(luò)的平安等級可以參照在其上運行的信息系統(tǒng)的等級、網(wǎng)絡(luò)的效勞范圍和自身的平安需求確定適當(dāng)?shù)谋Ｗo等級，不以在其上運行的信息系統(tǒng)的最高等級或最低等級為標(biāo)準(zhǔn)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)，可以由主管部門統(tǒng)一確定平安保護等級。由各行業(yè)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一平安保護策略的信息系統(tǒng)，應(yīng)由各部委統(tǒng)一確定一個級別；由各部委統(tǒng)一規(guī)劃、分級建設(shè)、運行的信息系統(tǒng)，應(yīng)由部、省、地市分別確定系統(tǒng)等級，但各行業(yè)應(yīng)對該類系統(tǒng)提出定級意見，防止出現(xiàn)同類系統(tǒng)定級出現(xiàn)較大偏差問題。平安保護等級的劃分

業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重損害特別嚴(yán)重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級五級監(jiān)管等級對象侵害客體侵害程度監(jiān)管強度第一級一般系統(tǒng)合法權(quán)益損害自主保護第二級合法權(quán)益嚴(yán)重損害指導(dǎo)社會秩序和公共利益損害第三級重要系統(tǒng)社會秩序和公共利益嚴(yán)重損害監(jiān)督檢查國家安全損害第四級社會秩序和公共利益特別嚴(yán)重損害強制監(jiān)督檢查國家安全嚴(yán)重損害第五級極端重要系統(tǒng)國家安全特別嚴(yán)重損害專門監(jiān)督檢查第四步，信息系統(tǒng)等級評審

在信息系統(tǒng)平安保護等級確定過程中，可以聘請專家進行咨詢評審，并出具定級評審意見。對擬確定為第四級以上信息系統(tǒng)的，運營使用單位或者主管部門應(yīng)當(dāng)請國家信息平安保護等級專家評審委員會評審，出具評審意見。當(dāng)專家意見與運營使用單位或者主管部門不一致時，以運營使用單位或者主管部門意見為準(zhǔn)。

在信息系統(tǒng)平安保護等級確定過程中，可以聘請專家進行咨詢評審，并出具定級評審意見。對擬確定為第四級以上信息系統(tǒng)的，運營使用單位或者主管部門應(yīng)當(dāng)請國家信息平安保護等級專家評審委員會評審，出具評審意見。當(dāng)專家意見與運營使用單位或者主管部門不一致時，以運營使用單位或者主管部門意見為準(zhǔn)。第五步，信息系統(tǒng)等級的最終確定與審批

信息系統(tǒng)運營使用單位參考專家定級評審意見，最終確定信息系統(tǒng)等級，形成?定級報告?。信息系統(tǒng)運營使用單位有上級主管部門的，應(yīng)當(dāng)經(jīng)上級主管部門對平安保護等級進行審核批準(zhǔn)。主管部門一般是指行業(yè)的上級主管部門或監(jiān)管部門。如果是跨地域聯(lián)網(wǎng)運營使用的信息系統(tǒng)，那么必須由其上級主管部門審批，確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級的一致性。第六步，備案

第二級以上信息系統(tǒng)，在平安保護等級確定后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。定級工作的結(jié)果是以備案完成為標(biāo)志。根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的定級、備案工作9月底前完成。第七步，備案審核

受理備案的公安機關(guān)要公布備案受理地點、備案聯(lián)系方式等。在受理備案時，應(yīng)對提交的備案材料進行完整性審核和定級準(zhǔn)確性審核。對符合等級保護要求的，應(yīng)頒發(fā)信息系統(tǒng)平安等級保護備案證明。發(fā)現(xiàn)定級不準(zhǔn)的，通知備案單位重新審核確定。第八步，及時總結(jié)并提交總結(jié)報告

各地區(qū)、各部門要結(jié)合本地區(qū)、本行業(yè)開展定級工作的實際，認真總結(jié)經(jīng)驗和缺乏，提出改進和完善定級方法的意見和建議，及時總結(jié)定級工作經(jīng)驗，形成定級工作總結(jié)報告，并于10月中旬報送公安部。八、定級工作完成后需要開展哪些工作

一是開展平安建設(shè)和整改。二是開展等級測評。三是開展自查。九、開展平安等級保護工作依據(jù)的主要標(biāo)準(zhǔn)有哪些1、根底標(biāo)準(zhǔn)－劃分準(zhǔn)那么〔GB17859〕2、基線標(biāo)準(zhǔn)－?信息系統(tǒng)平安等級保護根本要求?3、輔助標(biāo)準(zhǔn)－定級指南、實施指南、測評準(zhǔn)那么4、目標(biāo)標(biāo)準(zhǔn)－?信息系統(tǒng)通用平安技術(shù)要求?〔GB/T20271〕?網(wǎng)絡(luò)根底平安技術(shù)要求?〔GB/T20270〕?操作系統(tǒng)平安技術(shù)要求?〔GB/T20272〕?數(shù)據(jù)庫管理系統(tǒng)平安技術(shù)要求?〔GB/T20273〕?終端計算機系統(tǒng)平安等級技術(shù)要求?〔GA/T671〕?信息系統(tǒng)平安管理要求?〔GB/T20269〕?信息系統(tǒng)平安工程管理要求?〔GB/T20282〕5、產(chǎn)品標(biāo)準(zhǔn)－防火墻、入侵檢測、終端設(shè)備隔離部件等十、公安機關(guān)組織開展等級保護中的職責(zé)任務(wù)是什么

1、監(jiān)督、檢查、指導(dǎo)信息系統(tǒng)運營使用單位和主管部門開展信息平安等級保護工作；2、監(jiān)督、檢查信息系統(tǒng)運營使用單位的平安保護管理制度和技術(shù)措施落實情況、定級和備案情況、平安整改、等級測評、產(chǎn)品使用、自查等情況。十一、公安機關(guān)如何對實施信息平安等級保護進行監(jiān)督管理

一是指導(dǎo)定級。二是受理備案。三是定期檢查。系統(tǒng)定級的具體實施定級根本流程13、綜合評定對客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體7、系統(tǒng)服務(wù)安全保護等級4、業(yè)務(wù)信息安全保護等級8、定級對象的安全保護等級依據(jù)表2依據(jù)表31、確定定級對象表2業(yè)務(wù)信息平安等級矩陣表根據(jù)系統(tǒng)效勞平安被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度，依據(jù)表2系統(tǒng)效勞平安等級矩陣表，即可得到系統(tǒng)效勞平安等級。業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重損害特別嚴(yán)重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級表3系統(tǒng)效勞平安等級矩陣表作為定級對象的信息系統(tǒng)的平安保護等級由業(yè)務(wù)信息平安等級和系統(tǒng)效勞平安等級的較高者決定。定級對象等級確定后，可參照附件中的?信息系統(tǒng)平安保護等級定級報告?模版起草定級報告。系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重損害特別嚴(yán)重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級不同危害后果的三種危害程度描述如下：一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的資產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。嚴(yán)重損害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的資產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴(yán)重損害。特別嚴(yán)重損害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的資產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴(yán)重損害。信息平安和系統(tǒng)效勞平安被破壞后對客體的侵害程度，由對不同危害結(jié)果的危害程度進行綜合評定得出。由于各行業(yè)信息系統(tǒng)所處理的信息種類和系統(tǒng)效勞特點各不相同，信息平安和系統(tǒng)效勞平安受到破壞后關(guān)注的危害結(jié)果、危害程度的計算方式均可能不同，各行業(yè)可根據(jù)本行業(yè)信息特點和系統(tǒng)效勞特點，制定危害程度的綜合評定方法，并給出侵害不同客體造成損害、嚴(yán)重損害、特別嚴(yán)重損害的具體定義。 三種受侵害的客體:國家平安表達了國家層面、與全局相關(guān)的國家政治平安、軍事平安、經(jīng)濟平安、社會平安、科技平安等方面利益。社會秩序和公共利益包括政治、經(jīng)濟、生產(chǎn)、生活、科研、工作等各方面的正常秩序和社會公眾生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。合法權(quán)益是法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權(quán)利和利益，關(guān)于侵害客體和侵害程度關(guān)于國家平安重要的國家事務(wù)處理系統(tǒng)、國防工業(yè)生產(chǎn)系統(tǒng)和國防設(shè)施的控制系統(tǒng)等；播送、電視、網(wǎng)絡(luò)等重要新聞媒體的發(fā)布或播出系統(tǒng)，其受到非法控制可能引發(fā)影響國家統(tǒng)一、民族團結(jié)和社會安定的重大事件；尖端科技領(lǐng)域的研發(fā)、生產(chǎn)系統(tǒng)等影響國家經(jīng)濟競爭力和科技實力的信息系統(tǒng)，以及電力、通信、能源、交通運輸、金融等國家重要根底設(shè)施的生產(chǎn)、控制、管理系統(tǒng)等。關(guān)于社會秩序各級政府機構(gòu)的社會管理和公共效勞系統(tǒng)，如財政、金融、工商、稅務(wù)、公檢法、海關(guān)、社保等領(lǐng)域的信息系統(tǒng)，也包括教育、科研機構(gòu)的工作系統(tǒng)，以及所有為公眾提供醫(yī)療衛(wèi)生、應(yīng)急效勞、供水、供電、郵政等必要效勞的生產(chǎn)系統(tǒng)或管理系統(tǒng)。關(guān)于公共利益借助信息化手段為社會成員提供使用的公共設(shè)施和通過信息系統(tǒng)對公共設(shè)施進行進行管理控制都應(yīng)當(dāng)是要考慮的方面，例如：公共通信設(shè)施、公共衛(wèi)生設(shè)施、公共休閑娛樂設(shè)施、公共管理設(shè)施、公共效勞設(shè)施等。公共利益與社會秩序密切相關(guān)，社會秩序的破壞一般會造成對公共利益的損害。直接的結(jié)果和間接的影響:威脅直接作用的結(jié)果信息系統(tǒng)的破壞,但是確定對客體侵害的程度時，必須考慮間接的對客體產(chǎn)生的侵害和影響。按照國家平安—社會秩序和公共利益---公民、法人和組織的合法利益的順序考慮一、定級對象的三個條件具有唯一確定的平安責(zé)任單位作為定級對象的信息系統(tǒng)應(yīng)能夠唯一地確定其平安責(zé)任單位，這個平安責(zé)任單位就是負責(zé)等級保護工作部署、實施的單位，也是完成等級保護備案和接受監(jiān)督檢查的直接責(zé)任單位。滿足信息系統(tǒng)的根本要素作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)那么組合而成的有形實體。應(yīng)防止將某個單一的系統(tǒng)組件，如單臺的效勞器、終端或網(wǎng)絡(luò)設(shè)備等作為定級對象。定級階段-關(guān)于定級對象確定承載相對獨立的業(yè)務(wù)應(yīng)用定級對象承載“相對獨立〞的業(yè)務(wù)應(yīng)用是指其中的一個或多個業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程、局部業(yè)務(wù)功能獨立，同時與其他信息系統(tǒng)的業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備?！跋鄬Κ毩ⅷ暤臉I(yè)務(wù)應(yīng)用并不意味著整個業(yè)務(wù)流程，可以使完整的業(yè)務(wù)流程的一局部。定級階段關(guān)鍵技術(shù)環(huán)節(jié)定級對象確定業(yè)務(wù)信息和系統(tǒng)效勞確定受侵害客體和侵害程度的分析定級階段-定級對象舉例電力營銷系統(tǒng)生產(chǎn)管理系統(tǒng)工程管理系統(tǒng)物資管理系統(tǒng)財務(wù)管理系統(tǒng)OA系統(tǒng)EAI/EIP系統(tǒng)等定級階段-定級對象舉例定級對象結(jié)果1本部信息系統(tǒng)供電局信息系統(tǒng)定級對象結(jié)果2本部電力調(diào)度系統(tǒng)綜合信息系統(tǒng)營業(yè)部電力調(diào)度系統(tǒng)綜合信息系統(tǒng)定級階段-定級對象舉例定級對象結(jié)果3本部數(shù)據(jù)中心系統(tǒng)用戶局域網(wǎng)系統(tǒng)骨干網(wǎng)系統(tǒng)供電局數(shù)據(jù)中心系統(tǒng)用戶局域網(wǎng)系統(tǒng)城域網(wǎng)系統(tǒng)定級階段-定級對象舉例定級對象結(jié)果4電力營銷系統(tǒng)生產(chǎn)管理系統(tǒng)工程管理系統(tǒng)物資管理系統(tǒng)財務(wù)管理系統(tǒng)OA系統(tǒng)EAI/EIP系統(tǒng)定級階段-定級對象舉例處理不同類型業(yè)務(wù)的系統(tǒng)。本身運行在不同的網(wǎng)絡(luò)環(huán)境中的系統(tǒng)。分不開的系統(tǒng)，按照高級別保護。系統(tǒng)邊界不應(yīng)出現(xiàn)在效勞器內(nèi)部，效勞器共用的系統(tǒng)一般歸入同一個信息系統(tǒng)，因此不同信息系統(tǒng)的共用設(shè)備一般是網(wǎng)絡(luò)/邊界設(shè)備或終端設(shè)備。兩個信息系統(tǒng)邊界存在共用設(shè)備時，共用設(shè)備的平安保護等級按兩個信息系統(tǒng)平安保護等級較高者確定。例如，一個2級系統(tǒng)和一個3級系統(tǒng)之間有一個防火墻或兩個系統(tǒng)共用一個核心交換機，此時防火墻和交換機可