信息安全等級(jí)保護(hù)制度的主要內(nèi)容和工作要求-曾科長(zhǎng)

信息安全等級(jí)愛(ài)護(hù)制度的

主要內(nèi)容和工作要求目錄一、信息安全等級(jí)愛(ài)護(hù)制度的主要內(nèi)容二、信息安全等級(jí)愛(ài)護(hù)政策、標(biāo)準(zhǔn)體系三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和工作要求一、等級(jí)愛(ài)護(hù)制度的主要內(nèi)容〔一〕國(guó)家為什么要實(shí)施信息安全等級(jí)愛(ài)護(hù)制度1.信息安全形勢(shì)嚴(yán)峻◆敵對(duì)勢(shì)力的入侵、攻擊、破壞◆針對(duì)根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪持續(xù)上升◆根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全隱患嚴(yán)峻2.是維護(hù)國(guó)家安全的需要根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)已成為國(guó)家關(guān)鍵根底設(shè)施信息安全是國(guó)家安全的重要組成局部信息安全是非傳統(tǒng)安全，信息安全本質(zhì)是信息對(duì)抗、技術(shù)對(duì)抗3、是國(guó)際上通行的做法。一、等級(jí)愛(ài)護(hù)制度的主要內(nèi)容〔二〕國(guó)家對(duì)等級(jí)愛(ài)護(hù)制度的要求1.《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全愛(ài)護(hù)條例》〔國(guó)務(wù)院147號(hào)令〕：“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)愛(ài)護(hù)，等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)愛(ài)護(hù)的具體方法，由公安部會(huì)同有關(guān)部門(mén)制定。”一、等級(jí)愛(ài)護(hù)制度的主要內(nèi)容2、《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》〔中辦發(fā)[2023]27號(hào)〕規(guī)定：要重點(diǎn)愛(ài)護(hù)根底信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)愛(ài)護(hù)制度，制定信息安全等級(jí)愛(ài)護(hù)的治理方法和技術(shù)指南。一、等級(jí)愛(ài)護(hù)制度的主要內(nèi)容〔三〕等級(jí)愛(ài)護(hù)制度的地位和作用是國(guó)家信息安全保障工作的根本制度、根本國(guó)策。是開(kāi)展信息安全工作的根本方法。是促進(jìn)國(guó)家信息化、維護(hù)國(guó)家信息安全的根本保障。一、等級(jí)愛(ài)護(hù)制度的主要內(nèi)容一、等級(jí)愛(ài)護(hù)制度的主要內(nèi)容〔四〕實(shí)施等級(jí)愛(ài)護(hù)制度的主要目的◆明確重點(diǎn)、突出重點(diǎn)、愛(ài)護(hù)重點(diǎn)◆有利于同步建設(shè)、協(xié)調(diào)進(jìn)展?！魞?yōu)化信息安全資源的配置?！裘鞔_信息安全責(zé)任?！敉苿?dòng)信息安全產(chǎn)業(yè)進(jìn)展。

國(guó)家進(jìn)展改革部門(mén)、財(cái)政部門(mén)、科技部門(mén)、公安機(jī)關(guān)對(duì)重要信息系統(tǒng)在政策上賜予支持。

一、等級(jí)愛(ài)護(hù)制度的主要內(nèi)容(五)公安機(jī)關(guān)組織開(kāi)展等級(jí)愛(ài)護(hù)工作的依據(jù)1、《警察法》規(guī)定：警察履行“監(jiān)視治理計(jì)算機(jī)信息系統(tǒng)的安全愛(ài)護(hù)工作”的職責(zé)。2、國(guó)務(wù)院第147號(hào)令規(guī)定：“公安部主管全國(guó)計(jì)算機(jī)信息系統(tǒng)安全愛(ài)護(hù)工作”，“等級(jí)愛(ài)護(hù)的具體方法，由公安部會(huì)同有關(guān)部門(mén)制定”。3、2023年國(guó)務(wù)院三定方案，公安機(jī)關(guān)新增職能：“監(jiān)視、檢查、指導(dǎo)信息安全等級(jí)愛(ài)護(hù)工作”?！擦车燃?jí)愛(ài)護(hù)工作的主要內(nèi)容對(duì)信息系統(tǒng)分等級(jí)進(jìn)展安全愛(ài)護(hù)和監(jiān)管。 五個(gè)規(guī)定動(dòng)作：信息系統(tǒng)定級(jí)、備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)視檢查。信息安全產(chǎn)品分等級(jí)使用治理。信息安全大事分等級(jí)響應(yīng)、處置。一、等級(jí)愛(ài)護(hù)制度的主要內(nèi)容一、等級(jí)愛(ài)護(hù)制度的主要內(nèi)容〔七〕相關(guān)部門(mén)的責(zé)任和義務(wù)職能部門(mén)：制定治理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)，組織實(shí)施，開(kāi)展監(jiān)視、檢查、指導(dǎo)。行業(yè)主管部門(mén)：催促、檢查、指導(dǎo)本行業(yè)、本部門(mén)開(kāi)展等級(jí)愛(ài)護(hù)工作。運(yùn)營(yíng)使用單位：開(kāi)展信息系統(tǒng)定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、自查等工作，落實(shí)等級(jí)愛(ài)護(hù)制度的各項(xiàng)要求安全效勞機(jī)構(gòu)：開(kāi)展技術(shù)支持、效勞等工作，并承受監(jiān)管部門(mén)的監(jiān)視治理。一、等級(jí)愛(ài)護(hù)制度的主要內(nèi)容國(guó)家信息安全職能部門(mén)職責(zé)分工公安機(jī)關(guān)：牽頭部門(mén)，監(jiān)視、檢查、指導(dǎo)信息安全等級(jí)愛(ài)護(hù)工作。國(guó)家保密部門(mén)：負(fù)責(zé)等級(jí)愛(ài)護(hù)工作中有關(guān)保密工作的監(jiān)視、檢查、指導(dǎo)。并負(fù)責(zé)涉及國(guó)家隱秘信息系統(tǒng)分級(jí)愛(ài)護(hù)國(guó)家密碼治理部門(mén)：負(fù)責(zé)等級(jí)愛(ài)護(hù)工作中有關(guān)密碼工作的監(jiān)視、檢查、指導(dǎo)工業(yè)和信息化部門(mén)：負(fù)責(zé)等級(jí)愛(ài)護(hù)工作中部門(mén)間的協(xié)調(diào)。一、等級(jí)愛(ài)護(hù)制度的主要內(nèi)容〔八〕開(kāi)展等級(jí)愛(ài)護(hù)工作的根本要求各單位、各部門(mén)，依據(jù)“準(zhǔn)確定級(jí)、嚴(yán)格審批、準(zhǔn)時(shí)備案、認(rèn)真整改、科學(xué)測(cè)評(píng)”的要求開(kāi)展等級(jí)愛(ài)護(hù)的定級(jí)、備案、整改、測(cè)評(píng)等工作。公安機(jī)關(guān)要準(zhǔn)時(shí)開(kāi)展監(jiān)視檢查，嚴(yán)格審查信息系統(tǒng)所定級(jí)別，嚴(yán)格檢查信息系統(tǒng)開(kāi)展備案、整改、測(cè)評(píng)等工作。對(duì)有意將信息系統(tǒng)安全級(jí)別定低，躲避公安、保密、密碼部門(mén)監(jiān)管，造成信息系統(tǒng)消失重大安全事故的，要追究單位和人員的責(zé)任?！惨弧承畔踩燃?jí)愛(ài)護(hù)政策體系近幾年，公安部依據(jù)國(guó)務(wù)院147號(hào)令的授權(quán)，會(huì)同國(guó)家保密局、國(guó)家密碼治理局、發(fā)改委、原國(guó)務(wù)院信息辦出臺(tái)了一些文件，公安部和省廳對(duì)有些具體工作出臺(tái)了一些指導(dǎo)意見(jiàn)和標(biāo)準(zhǔn)，構(gòu)成了信息安全等級(jí)愛(ài)護(hù)政策體系。集合成《信息安全等級(jí)愛(ài)護(hù)工作匯編》供有關(guān)單位、部門(mén)使用。二、等級(jí)愛(ài)護(hù)政策體系和標(biāo)準(zhǔn)體系

政策體系信息安全等級(jí)保護(hù)工作定級(jí)備案安全建設(shè)整改等級(jí)測(cè)評(píng)《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安[2007]861號(hào)）檢查信息安全等級(jí)保護(hù)管理辦法（公通字[2007]43號(hào))關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)（公通字[2004]66號(hào)）中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例(國(guó)務(wù)院147號(hào)令)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》（公信安[2007]1360號(hào)）《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》(公信安[2009]1429號(hào))關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知（發(fā)改高技[2008]2071號(hào)）《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等級(jí)測(cè)評(píng)工作的通知》（公信安[2010]303號(hào)）信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（試行）（公信安[2009]1487）公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范（公信安[2008]736號(hào)）〔一〕信息安全等級(jí)愛(ài)護(hù)政策體系1、《關(guān)于信息安全等級(jí)愛(ài)護(hù)工作的實(shí)施意見(jiàn)》〔公通字[2023]66號(hào)〕2、《信息安全等級(jí)愛(ài)護(hù)治理方法》公通字[2023]43號(hào)〕3、《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)愛(ài)護(hù)定級(jí)工作的通知》〔公通字[2023]861號(hào)〕4、《信息安全等級(jí)愛(ài)護(hù)備案實(shí)施細(xì)則》〔公信安[2023]1360號(hào)〕5、《關(guān)于開(kāi)展信息系統(tǒng)等級(jí)愛(ài)護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》公信安[2023]1429號(hào)〕〔一〕信息安全等級(jí)愛(ài)護(hù)政策體系6、《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)工程信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》〔發(fā)改高技[2023]2071號(hào)〕7、《關(guān)于推動(dòng)信息安全等級(jí)愛(ài)護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等級(jí)測(cè)評(píng)工作的通知》〔公信安[2023]303號(hào)〕。8、《關(guān)于印發(fā)〈信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版〔試行〕〉的通知》〔公信安[2023]1487號(hào)〕9、《公安機(jī)關(guān)信息安全等級(jí)愛(ài)護(hù)檢查工作標(biāo)準(zhǔn)》〔公信安[2023]736號(hào)〕〔二〕信息安全等級(jí)愛(ài)護(hù)標(biāo)準(zhǔn)體系多年來(lái)，在有關(guān)部門(mén)支持下，在國(guó)內(nèi)有關(guān)專家、企業(yè)的共同努力下，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)和公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織制訂了信息安全等級(jí)愛(ài)護(hù)工作系列標(biāo)準(zhǔn)，形成了比較完整的信息安全等級(jí)愛(ài)護(hù)標(biāo)準(zhǔn)體系?！捕承畔踩燃?jí)愛(ài)護(hù)標(biāo)準(zhǔn)體系根底標(biāo)準(zhǔn)：《計(jì)算機(jī)信息系統(tǒng)安全愛(ài)護(hù)等級(jí)劃分準(zhǔn)則》。在此根底上制定出技術(shù)類、治理類、產(chǎn)品類標(biāo)準(zhǔn)。安全要求：《信息系統(tǒng)安全等級(jí)愛(ài)護(hù)根本要求》信息系統(tǒng)安全等級(jí)愛(ài)護(hù)的行業(yè)標(biāo)準(zhǔn)〔二〕信息安全等級(jí)愛(ài)護(hù)標(biāo)準(zhǔn)體系系統(tǒng)定級(jí)：《信息系統(tǒng)安全等級(jí)愛(ài)護(hù)定級(jí)指南》信息系統(tǒng)安全等級(jí)愛(ài)護(hù)行業(yè)定級(jí)細(xì)則方法指導(dǎo)：《信息系統(tǒng)安全等級(jí)愛(ài)護(hù)實(shí)施指南》《信息系統(tǒng)等級(jí)愛(ài)護(hù)安全設(shè)計(jì)技術(shù)要求》現(xiàn)狀分析：《信息系統(tǒng)安全等級(jí)愛(ài)護(hù)測(cè)評(píng)要求》《信息系統(tǒng)安全等級(jí)愛(ài)護(hù)測(cè)評(píng)過(guò)程指南》〔二〕信息安全等級(jí)愛(ài)護(hù)標(biāo)準(zhǔn)體系在應(yīng)用有關(guān)標(biāo)準(zhǔn)中需留意的幾個(gè)問(wèn)題：1、《根本要求》是階段性目標(biāo)，《信息系統(tǒng)等級(jí)愛(ài)護(hù)安全設(shè)計(jì)技術(shù)要求》是實(shí)現(xiàn)該目標(biāo)的方法和途徑之一。2、《根本要求》中不包含安全設(shè)計(jì)和工程實(shí)施等內(nèi)容，因此可以參照《信息系統(tǒng)等級(jí)愛(ài)護(hù)安全設(shè)計(jì)技術(shù)要求》等標(biāo)準(zhǔn)進(jìn)展。〔二〕信息安全等級(jí)愛(ài)護(hù)標(biāo)準(zhǔn)體系3、在進(jìn)展安全建設(shè)整改時(shí)，應(yīng)依據(jù)業(yè)務(wù)信息安全等級(jí)和系統(tǒng)效勞安全等級(jí)確定《根本要求》中相應(yīng)的安全愛(ài)護(hù)要求。4、重點(diǎn)行業(yè)可以依據(jù)《根本要求》等國(guó)家標(biāo)準(zhǔn)，結(jié)合行業(yè)特點(diǎn)和特殊安全需求，在公安部等有關(guān)部門(mén)指導(dǎo)下，制定行業(yè)標(biāo)準(zhǔn)標(biāo)準(zhǔn)或細(xì)則。三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求〔一〕信息安全等級(jí)愛(ài)護(hù)定級(jí)工作信息系統(tǒng)定級(jí)原則：“自主定級(jí)、專家評(píng)審、主管部門(mén)審批、公安機(jī)關(guān)審核”。具體可依據(jù)《關(guān)于開(kāi)展全省重要信息系統(tǒng)安全等級(jí)愛(ài)護(hù)定級(jí)工作的通知》〔贛公字[2023]155號(hào)〕要求執(zhí)行。定級(jí)工作流程：確定定級(jí)對(duì)象、確定信息系統(tǒng)安全愛(ài)護(hù)等級(jí)、組織專家評(píng)審、主管部門(mén)審批、公安機(jī)關(guān)審核。三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求1、確定定級(jí)對(duì)象◆起支撐、傳輸作用的信息網(wǎng)絡(luò)〔包括專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)、網(wǎng)管系統(tǒng)〕?！粲糜谏a(chǎn)、調(diào)度、治理、指揮、作業(yè)、掌握、辦公等目的各類業(yè)務(wù)系統(tǒng)?！舾鲉挝痪W(wǎng)站。三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求2、確定信息系統(tǒng)安全愛(ài)護(hù)等級(jí)《治理方法》規(guī)定的五個(gè)等級(jí)：◆第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益?！羝浯渭?jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)峻損害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全?！舻谌?jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)峻損害，或者對(duì)國(guó)家安全造損害?！舻谒募?jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特殊嚴(yán)峻損害，或者對(duì)國(guó)家安全造成嚴(yán)峻損害。◆第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特殊嚴(yán)峻損害。三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求 實(shí)際操作中參考確定信息系統(tǒng)等級(jí)：◆第一級(jí)信息系統(tǒng)：適用于小型私營(yíng)、個(gè)體企業(yè)、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級(jí)單位中一般的信息系統(tǒng)?！羝浯渭?jí)信息系統(tǒng)：適用于縣級(jí)某些單位中的重要信息系統(tǒng)；地市級(jí)以上國(guó)家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作隱秘、商業(yè)隱秘、敏感信息的辦公系統(tǒng)和治理系統(tǒng)等。三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求第三級(jí)信息系統(tǒng)：一般適用于地市級(jí)以上國(guó)家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)，例如涉及工作隱秘、商業(yè)隱秘、敏感信息的辦公系統(tǒng)和治理系統(tǒng)；跨省或全國(guó)聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、治理、指揮、作業(yè)、掌握等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中心各部委、省〔區(qū)、市〕門(mén)戶網(wǎng)站和重要網(wǎng)站；跨省聯(lián)接的網(wǎng)絡(luò)系統(tǒng)等。三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求第四級(jí)信息系統(tǒng)：一般適用于國(guó)家重要領(lǐng)域、部門(mén)中涉及國(guó)計(jì)民生、國(guó)家利益、國(guó)家安全，影響社會(huì)穩(wěn)定的核心系統(tǒng)。例如電力生產(chǎn)掌握系統(tǒng)、銀行核心業(yè)務(wù)系統(tǒng)、電信核心網(wǎng)絡(luò)、鐵路客票系統(tǒng)、列車(chē)指揮調(diào)度系統(tǒng)等。3、定級(jí)工作需要留意的問(wèn)題◆同類信息系統(tǒng)的安全愛(ài)護(hù)等級(jí)不能隨著部、省、市行政級(jí)別的降低而降低?！粜陆ㄏ到y(tǒng)在規(guī)劃設(shè)計(jì)階段應(yīng)確定等級(jí)，依據(jù)信息系統(tǒng)等級(jí)，同步規(guī)劃、同步設(shè)計(jì)、同步實(shí)施安全愛(ài)護(hù)技術(shù)措施和治理措施。三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求〔二〕信息系統(tǒng)備案工作備案工作包括：信息系統(tǒng)備案、受理、審核和備案信息治理。具體依據(jù)《關(guān)于開(kāi)展全省重要信息系統(tǒng)安全等級(jí)愛(ài)護(hù)定級(jí)工作的通知》要求開(kāi)展。1、備案◆其次級(jí)以上信息系統(tǒng)，由信息系統(tǒng)運(yùn)營(yíng)適用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門(mén)辦理備案手續(xù)，填寫(xiě)《信息系統(tǒng)安全等級(jí)愛(ài)護(hù)備案表》。三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求省直單位、跨市或者全省統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)，由主管部門(mén)向省公安廳備案；各行業(yè)統(tǒng)肯定級(jí)信息系統(tǒng)在各地的分支系統(tǒng)，即使是上級(jí)主管部門(mén)定級(jí)的，也要到當(dāng)?shù)毓簿W(wǎng)絡(luò)安全保衛(wèi)部門(mén)備案。2、受理備案與審核公安機(jī)關(guān)受理備案，依據(jù)《信息安全等級(jí)愛(ài)護(hù)備案實(shí)施細(xì)則》要求，對(duì)備案材料進(jìn)展審核，定級(jí)準(zhǔn)確、材料符合要求的頒發(fā)由公安部統(tǒng)一監(jiān)制的備案證明。三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求〔三〕信息系統(tǒng)安全建設(shè)整改工作充分生疏工作的簡(jiǎn)單性和困難性：◆政策性和技術(shù)性很強(qiáng)?！羯婕胺秶鷱V?！粜畔⑾到y(tǒng)安全加固改造，需要國(guó)家在經(jīng)費(fèi)上予以支持?！艨缡∪珖?guó)聯(lián)網(wǎng)的大系統(tǒng)構(gòu)造簡(jiǎn)單、運(yùn)行實(shí)時(shí)保障性高、數(shù)據(jù)重要，加固改造周期長(zhǎng)。三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求1、工作目標(biāo)◆利用三年時(shí)間。力爭(zhēng)2023前完成?！糸_(kāi)展三項(xiàng)重點(diǎn)工作：安全治理制度建設(shè)、技術(shù)措施建設(shè)和等級(jí)測(cè)評(píng)?！魧?shí)現(xiàn)五方面目標(biāo)：一是信息系統(tǒng)安全治理水平明顯提高，二是信息系統(tǒng)安全防范力量明顯增加，三是信息系統(tǒng)安全隱患和安全事故明顯削減，四是有效保障信息化安康進(jìn)展，五是有效維護(hù)國(guó)家安全、社會(huì)秩序和公共利益?！踩承畔⑾到y(tǒng)安全建設(shè)整改工作2、工作范圍和工作特點(diǎn)◆工作范圍：已備案的其次級(jí)〔含〕以上信息系統(tǒng)納入安全建設(shè)整改的范圍。尚未開(kāi)展定級(jí)備案的信息系統(tǒng)，要先定級(jí)備案，定級(jí)不準(zhǔn)的要先訂正，再開(kāi)展安全建設(shè)整改。建系統(tǒng)要同步開(kāi)展安全建設(shè)工作。◆工作特點(diǎn)：繼承進(jìn)展、引入標(biāo)準(zhǔn)、外部監(jiān)視、政策牽引

〔三〕信息系統(tǒng)安全建設(shè)整改工作 3、工作方法◆突出重要系統(tǒng)，兼顧二級(jí)。◆試點(diǎn)示范，行業(yè)推廣?！糁卫碇贫冉ㄔO(shè)和技術(shù)措施建設(shè)同步或分步實(shí)施?！艏庸谈脑欤笔裁囱a(bǔ)什么；也可以進(jìn)展總體安全建設(shè)整改規(guī)劃。◆利用信息安全等級(jí)愛(ài)護(hù)綜合工作平臺(tái)，使等級(jí)愛(ài)護(hù)工作常態(tài)化。〔三〕信息系統(tǒng)安全建設(shè)整改工作4、工作內(nèi)容〔1〕等級(jí)愛(ài)護(hù)安全治理制度建設(shè)一是落實(shí)信息安全責(zé)任制。二是落實(shí)人員安全治理制度。三是落實(shí)系統(tǒng)建設(shè)治理制度。四使落實(shí)系統(tǒng)運(yùn)維治理制度?！踩承畔⑾到y(tǒng)安全建設(shè)整改工作◆落實(shí)信息安全責(zé)任制：成立信息安全工作領(lǐng)導(dǎo)機(jī)構(gòu)，明確信息安全工作的主管領(lǐng)導(dǎo)。成立特地的信息安全治理部門(mén)或落實(shí)信息安全責(zé)任部門(mén)，確定安全崗位，落實(shí)專職人員或兼職人員。明確落實(shí)領(lǐng)導(dǎo)機(jī)構(gòu)、責(zé)任部門(mén)和有關(guān)人員的信息安全責(zé)任?！袈鋵?shí)人員安全治理制度：制定人員錄用、離崗、考核、教育培訓(xùn)等治理制度，落實(shí)治理的具體措施。對(duì)安全崗位人員要進(jìn)展安全審查，定期進(jìn)展培訓(xùn)、考核和安全。提高安全崗位人員的專業(yè)水平，逐步實(shí)現(xiàn)安全崗位人員持證上崗。〔三〕信息系統(tǒng)安全建設(shè)整改工作◆落實(shí)系統(tǒng)建設(shè)治理制度：建立信息系統(tǒng)定級(jí)備案、方案設(shè)計(jì)、產(chǎn)品選購(gòu)使用、軟件開(kāi)發(fā)、工程實(shí)施、驗(yàn)收交付、等級(jí)測(cè)評(píng)、安全效勞等治理制度，明確工作內(nèi)容、工作方法、工作流程和工作要求?！袈鋵?shí)系統(tǒng)運(yùn)維治理制度：建立機(jī)房環(huán)境安全、存儲(chǔ)介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、網(wǎng)絡(luò)安全、系統(tǒng)安全、惡意代碼防范、密碼愛(ài)護(hù)、備份與恢復(fù)、大事處置等治理制度，制定應(yīng)急預(yù)案并定期開(kāi)展演練，實(shí)行相應(yīng)的治理技術(shù)措施和手段，確保了、系統(tǒng)運(yùn)維治理制度的有效落實(shí)?！踩承畔⑾到y(tǒng)安全建設(shè)整改工作〔2〕等級(jí)愛(ài)護(hù)安全技術(shù)措施建設(shè)結(jié)合行業(yè)特點(diǎn)和安全需求，制定符合相應(yīng)等級(jí)要求的信息系統(tǒng)安全技術(shù)建設(shè)整改方案，開(kāi)展安全技術(shù)措施建設(shè)?？梢詫?shí)行“一個(gè)中心三維防護(hù)”的防護(hù)策略，實(shí)現(xiàn)相應(yīng)級(jí)別信息系統(tǒng)的安全愛(ài)護(hù)技術(shù)要求?！踩承畔⑾到y(tǒng)安全建設(shè)整改工作信息系統(tǒng)安全建設(shè)整改方案主要內(nèi)容：工程背景政策和技術(shù)標(biāo)準(zhǔn)依據(jù)安全需求分析安全建設(shè)整改技術(shù)方案設(shè)計(jì)安全建設(shè)整改治理體系設(shè)計(jì)信息系統(tǒng)安全產(chǎn)品選型及技術(shù)指標(biāo)安全監(jiān)視整改后信息系統(tǒng)剩余風(fēng)險(xiǎn)分析安全建設(shè)整改建設(shè)工程實(shí)施打算工程預(yù)算〔三〕信息系統(tǒng)安全建設(shè)整改工作5、工作流程第一步：制定安全建設(shè)整改工作打算，對(duì)安全建設(shè)整改工作進(jìn)展總體部署。其次步：開(kāi)展信息系統(tǒng)安全現(xiàn)狀分析，從治理和技術(shù)兩方面確定安全建設(shè)整改需求。第三步：確定安全愛(ài)護(hù)策略，制定信息系統(tǒng)哦安全建設(shè)整改方案。第四步：開(kāi)展信息系統(tǒng)安全建設(shè)整改工作，建立并落實(shí)安全治理制度，落實(shí)安全責(zé)任制，建設(shè)安全設(shè)施，落實(shí)安全措施。第五步：開(kāi)展安全自查和等級(jí)測(cè)評(píng)，準(zhǔn)時(shí)覺(jué)察問(wèn)題并進(jìn)一步整改?！踩承畔⑾到y(tǒng)安全建設(shè)整改工作6、信息系統(tǒng)應(yīng)到達(dá)的愛(ài)護(hù)力量目標(biāo)其次級(jí)信息系統(tǒng)：經(jīng)過(guò)安全建設(shè)整改工作，信息系統(tǒng)具有抵擋小規(guī)模、較弱強(qiáng)度惡意攻擊的力量，反抗一般的自然災(zāi)難的力量，防范一般性計(jì)算機(jī)病毒和惡意代碼危害的力量；具有檢測(cè)常見(jiàn)的攻擊行為，并對(duì)安全大事進(jìn)展記錄的力量；系統(tǒng)遭到損害后，具有恢復(fù)系統(tǒng)正常運(yùn)行狀態(tài)的力量?！踩承畔⑾到y(tǒng)安全建設(shè)整改工作第三級(jí)信息系統(tǒng)：經(jīng)過(guò)安全建設(shè)整改工作，信息系統(tǒng)在統(tǒng)一的安全愛(ài)護(hù)策略下具有抵擋大規(guī)模、較強(qiáng)惡意攻擊的力量，反抗較為嚴(yán)峻的自然災(zāi)難的力量，防范計(jì)算機(jī)病毒和惡意代碼危害的力量；具有檢測(cè)、覺(jué)察報(bào)警、記錄入侵行為的力量；具有對(duì)安全大事進(jìn)展相應(yīng)處置，并能夠追蹤安全責(zé)任的力量；在系統(tǒng)遭到損害后，具有較快恢復(fù)正常運(yùn)行狀態(tài)的力量；對(duì)于效勞保障性要求高的系統(tǒng)，應(yīng)能馬上恢復(fù)正常運(yùn)行狀態(tài)；具有對(duì)系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)展集中控管的力量。〔三〕信息系統(tǒng)安全建設(shè)整改工作第四級(jí)信息系統(tǒng)：經(jīng)過(guò)安全建設(shè)整改工作，信息系統(tǒng)在統(tǒng)一的安全愛(ài)護(hù)策略下具有抵擋敵對(duì)勢(shì)力有組織的大規(guī)模攻擊的力量，反抗嚴(yán)峻的自然災(zāi)難的力量，防范計(jì)算機(jī)病毒和惡意代碼危害的力量：具有檢測(cè)、覺(jué)察報(bào)警、記錄入侵行為的力量；具有對(duì)安全大事進(jìn)展快速相應(yīng)處置，并能夠追蹤安全責(zé)任的力量；在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的力量；對(duì)于效勞保障性要求高的系統(tǒng)，應(yīng)能快速恢復(fù)正常運(yùn)行狀態(tài)，具有對(duì)系統(tǒng)資源、用戶、安全機(jī)制等進(jìn)展集中控管的力量?！踩承畔⑾到y(tǒng)安全建設(shè)整改工作〔四〕信息安全等級(jí)愛(ài)護(hù)測(cè)評(píng)工作等級(jí)測(cè)評(píng)是測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)愛(ài)護(hù)制度規(guī)定，依據(jù)有關(guān)治理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國(guó)家隱秘信息系統(tǒng)安全等級(jí)愛(ài)護(hù)狀況進(jìn)展檢測(cè)評(píng)估的活動(dòng)。是信息安全等級(jí)愛(ài)護(hù)工作的重要環(huán)節(jié)。公安機(jī)關(guān)依據(jù)《關(guān)于推動(dòng)信息安全等級(jí)愛(ài)護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等級(jí)測(cè)評(píng)工作的通知》〔公信安[2023]303號(hào)〕要求，開(kāi)展測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員的治理工作，保證等級(jí)測(cè)評(píng)的客觀、公正和安全。三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求1、測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員的治理〔1〕職責(zé)分工◆國(guó)家信息安全等級(jí)愛(ài)護(hù)工作協(xié)調(diào)小組辦公室〔以下簡(jiǎn)稱“等保辦”〕負(fù)責(zé)隸屬國(guó)家信息安全職能部門(mén)和重點(diǎn)行業(yè)測(cè)評(píng)機(jī)構(gòu)的申請(qǐng)受理、審批推舉和監(jiān)視檢查等工作?！舾魇〖?jí)等保辦負(fù)責(zé)等級(jí)測(cè)評(píng)機(jī)構(gòu)的申請(qǐng)受理、審核推舉和監(jiān)視檢查等工作?！艄膊啃畔踩燃?jí)愛(ài)護(hù)評(píng)估中心〔以下簡(jiǎn)稱“評(píng)估中心”〕負(fù)責(zé)測(cè)評(píng)機(jī)構(gòu)的力量評(píng)估和培訓(xùn)工作。

〔2〕測(cè)評(píng)機(jī)構(gòu)申請(qǐng)流程◆申請(qǐng)：申請(qǐng)單位向省級(jí)以上等保辦書(shū)公面申請(qǐng)，提交《信息安全等級(jí)愛(ài)護(hù)測(cè)評(píng)機(jī)構(gòu)申請(qǐng)表》?！羰芾?、初審：等保辦受理申請(qǐng)，并對(duì)申請(qǐng)材料進(jìn)展初審。◆力量評(píng)估：公安部信息安全等級(jí)愛(ài)護(hù)評(píng)估中心對(duì)申請(qǐng)單位進(jìn)展力量評(píng)估，對(duì)測(cè)評(píng)師進(jìn)展培訓(xùn)、考試、發(fā)證。三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求專家審核：等保辦組織專家對(duì)測(cè)評(píng)力量評(píng)估合格的申請(qǐng)單位進(jìn)展審核。推舉：等保辦向通過(guò)評(píng)審的申請(qǐng)單位頒發(fā)信息安全等級(jí)愛(ài)護(hù)測(cè)評(píng)機(jī)構(gòu)推舉證書(shū)。

公布：省級(jí)等保辦向社會(huì)公布測(cè)評(píng)機(jī)構(gòu)推薦名目并報(bào)國(guó)家等保辦，國(guó)家等保辦匯總公布《全國(guó)信息安全等級(jí)愛(ài)護(hù)測(cè)評(píng)機(jī)構(gòu)推舉名目》。三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求〔3〕監(jiān)視治理日常監(jiān)視：測(cè)評(píng)報(bào)告、測(cè)評(píng)過(guò)程、測(cè)評(píng)效勞用。

變更處理：機(jī)構(gòu)名稱、法人、測(cè)評(píng)師等變動(dòng)的，在30日內(nèi)到等保辦辦理變更。

違規(guī)處置：限期整改、警告、取消證書(shū)。

年度檢查：檢查時(shí)間、內(nèi)容、方式。三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求測(cè)評(píng)機(jī)構(gòu)不得從事以下活動(dòng)：〔一〕影響被測(cè)評(píng)信息系統(tǒng)正常運(yùn)行，危害被測(cè)評(píng)信息系統(tǒng)安全；〔二〕泄露知悉的被測(cè)評(píng)單位及被測(cè)評(píng)信息系統(tǒng)的國(guó)家隱秘和工作隱秘；〔三〕有意隱瞞測(cè)評(píng)過(guò)程中覺(jué)察的安全 問(wèn)題，或者在測(cè)評(píng)過(guò)程中弄虛作假，未照實(shí)出具等級(jí)測(cè)評(píng)報(bào)告；〔四〕未按規(guī)定格式出具等級(jí)測(cè)評(píng)報(bào)告； 三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求〔五〕非授權(quán)占有、使用等級(jí)測(cè)評(píng)相關(guān)資料及數(shù)據(jù)文件；〔六〕分包或轉(zhuǎn)包等級(jí)測(cè)評(píng)工程；〔七〕信息安全產(chǎn)品開(kāi)發(fā)、銷售和信息系統(tǒng)安全集成；〔八〕限定被測(cè)評(píng)單位購(gòu)置、使用其指定的信息安全產(chǎn)品；〔九〕其他危害國(guó)家安全、社會(huì)秩序、公共利益以及被測(cè)單位利益的活動(dòng)。三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求2、等級(jí)測(cè)評(píng)工作的開(kāi)展測(cè)評(píng)目的：一是把握信息系統(tǒng)安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設(shè)整改需求；二是能夠衡量出信息系統(tǒng)安全愛(ài)護(hù)措施是否符合等級(jí)愛(ài)護(hù)根本要求，是否具備了相應(yīng)等級(jí)的安全愛(ài)護(hù)力量。三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求

測(cè)評(píng)時(shí)機(jī)：建設(shè)整改前：等級(jí)測(cè)評(píng)，現(xiàn)狀分析；建設(shè)整改后：等級(jí)測(cè)評(píng)，檢驗(yàn)整改效果。測(cè)評(píng)頻率：第三級(jí)以上定期；其次級(jí)參照。測(cè)評(píng)費(fèi)用：參照國(guó)家信息化工程人工計(jì)費(fèi)標(biāo)準(zhǔn)或依據(jù)被測(cè)設(shè)備數(shù)量與測(cè)評(píng)項(xiàng)預(yù)算測(cè)評(píng)費(fèi)用。三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求3、測(cè)評(píng)業(yè)務(wù)范圍

職能部門(mén)測(cè)評(píng)機(jī)構(gòu)在全國(guó)范圍內(nèi)開(kāi)展測(cè)評(píng)業(yè)務(wù)，到地方時(shí)，應(yīng)當(dāng)事先告知屬地省級(jí)等保辦。

行業(yè)測(cè)評(píng)機(jī)構(gòu)原則上在本行業(yè)內(nèi)開(kāi)展測(cè)評(píng)，到地方時(shí)應(yīng)與屬地省級(jí)等保辦協(xié)調(diào)?？梢該?dān)當(dāng)其他行業(yè)信息系統(tǒng)的測(cè)評(píng)任務(wù)。

地方測(cè)評(píng)機(jī)構(gòu)原則上在本地開(kāi)展測(cè)評(píng)，也可以到異地開(kāi)展測(cè)評(píng)，但事先須與當(dāng)?shù)氐缺＾k協(xié)調(diào)?？梢該?dān)當(dāng)各部委信息系統(tǒng)的測(cè)評(píng)任務(wù)。特殊狀況由公安機(jī)關(guān)進(jìn)展協(xié)調(diào)。三、等級(jí)愛(ài)護(hù)工作的具體內(nèi)容和要求3、測(cè)評(píng)業(yè)務(wù)范圍

職能部門(mén)測(cè)評(píng)機(jī)構(gòu)在全國(guó)范圍內(nèi)開(kāi)展