包頭市信息系統(tǒng)安全等級保護培訓(xùn)

議題 包頭市信息系統(tǒng)平安等級保護培訓(xùn)

-定級、備案實例局部吳海燕1定級|審批|備案一般流程回憶 系統(tǒng)平安等級劃分： 第一級自主保護級 第二級指導(dǎo)保護級 第三級監(jiān)督保護級 第四級強制保護級 第五級?？乇Ｗo級1定級|審批|備案一般流程回憶根本流程如以下圖所示：2.備案表填寫說明備案表的組成備案表由四張表單構(gòu)成：表一是單位信息，每個單位填寫一張。表二是信息系統(tǒng)根本信息。表三是信息系統(tǒng)定級信息；〔表二、表三每個信息系統(tǒng)填寫一張〕。表四為第三級以上信息系統(tǒng)需要在系統(tǒng)整改、測評等工作完成后再行提交的信息。表二、三、四可以復(fù)印使用，使用時要注意編號。如一個單位有6個信息系統(tǒng)，那么只需要填寫一張表一，分別填寫六個表二、三、四。備案表一式二份，由備案單位和受理備案的公安機關(guān)分別蓋章后，一份由備案單位保存，一份交受理備案公安機關(guān)存檔。2.備案表填寫說明填表范圍：本表由第二級〔含〕以上信息系統(tǒng)運營使用單位或主管部門〔以下簡稱“備案單位〞〕填寫；如某單位共有6個信息系統(tǒng)進行備案，那么填寫過程中要遵循表二〔1/6〕、表二〔2/6〕……表二〔6/6〕的編號和命名規(guī)那么。如果6個信息系統(tǒng)中有3個是第三級以上信息系統(tǒng)，那么表四的編號要和同一信息系統(tǒng)的表二、三的編號保持一致。如，單位共有6個信息系統(tǒng)，其中有一個第三級以上信息系統(tǒng)A，那么該單位需要填寫1張表一，6張表二和表三，1張表四。假設(shè)A系統(tǒng)表二的編號為表二〔2/6〕，那么相對應(yīng)的表四的編號也應(yīng)當(dāng)是表四〔2/6〕。2.備案表填寫說明六、備案單位：本表封面中的“備案單位〞填寫運營使用信息系統(tǒng)的法人單位全稱。七、受理備案單位：本表封面中的“受理備案單位〞填寫受理備案民警所在部門的名稱。此項由受理備案的公安機關(guān)負(fù)責(zé)填寫。八、行政區(qū)劃代碼：表一中04項“行政區(qū)劃代碼〞中6位代碼是指單位所在地縣(區(qū)、市、旗)的代碼，該代碼需與?中華人民共和國行政區(qū)劃代碼?〔GB2260-1995〕一致。以北京市舉例，標(biāo)準(zhǔn)6位地址碼的構(gòu)成如下：

110000北京市，110101東城區(qū)……。2.備案表填寫說明九、單位負(fù)責(zé)人：表一中的“單位負(fù)責(zé)人〞是指負(fù)責(zé)本單位信息平安的領(lǐng)導(dǎo)。十、責(zé)任部門：表一中的“責(zé)任部門〞是指單位內(nèi)負(fù)責(zé)信息系統(tǒng)平安的部門。如果單位內(nèi)的信息系統(tǒng)分別由不同的責(zé)任部門管理，那么可以分別填寫表一。責(zé)任部門聯(lián)系人：表一中的“責(zé)任部門聯(lián)系人〞是指本單位開展信息平安等級保護工作的聯(lián)系人。如果責(zé)任部門聯(lián)系人有多個，那么可以分別填寫表一。2.備案表填寫說明隸屬關(guān)系：表一中第08項“隸屬關(guān)系〞是指本單位隸屬于哪一級行政管理單位，按照國家標(biāo)準(zhǔn)?單位隸屬關(guān)系代碼?(GB/T12404-1997)分為：中央、省、市(地區(qū))、縣、街道、鎮(zhèn)、鄉(xiāng)、社區(qū)(居委會)、村民委員會和其他單位類型：黨委機關(guān)是指隸屬于各級中國共產(chǎn)黨委員會及其所屬專門部門。政府機關(guān)是指隸屬于各級人民政府的部門或單位。行業(yè)類別：該項為單項選擇項。以單位主要從事的業(yè)務(wù)為依據(jù)進行選擇，如公安院校，那么應(yīng)選擇教育而非公安。信息系統(tǒng)總數(shù)：是指本單位內(nèi)所擁有的信息系統(tǒng)個數(shù)，包括第一級信息系統(tǒng)。系統(tǒng)名稱：表二中“系統(tǒng)名稱〞是指信息系統(tǒng)進行立項建設(shè)或有明文規(guī)定的全稱。2.備案表填寫說明 十二、系統(tǒng)編號：由備案單位給出的本單位備案信息系統(tǒng)的編號。備案單位所屬信息系統(tǒng)編號不能重復(fù)； 系統(tǒng)承載業(yè)務(wù)情況：〔1〕業(yè)務(wù)類型：該項為單項選擇項。是指信息系統(tǒng)所承載的主要業(yè)務(wù)。其中1生產(chǎn)作業(yè)是指：主要為完本錢單位生產(chǎn)直接提供效勞的。2指揮調(diào)度是指：主要用于本單位內(nèi)進行指揮、調(diào)度等工作的。3管理控制是指：主要進行管理工作的。4內(nèi)部辦公是指：主要為單位內(nèi)部辦公提供效勞的。5公眾效勞是指：主要為社會公眾提供效勞的?！?〕業(yè)務(wù)描述：是指系統(tǒng)所承載業(yè)務(wù)的具體描述，主要包括系統(tǒng)所承載的業(yè)務(wù)信息包括哪些，信息系統(tǒng)的主要功能等。 系統(tǒng)效勞情況：〔1〕效勞范圍：該項為單項選擇項。如果信息系統(tǒng)跨全國的所有省，那么選擇10全國，如果沒有跨全國所有省，那么選擇11跨省，同時填寫具體的跨省數(shù)。跨地〔市、區(qū)〕類似?！?〕效勞對象：該項為單項選擇項。單位內(nèi)部人員：是指僅為本單位內(nèi)部人員效勞。社會公眾人員：是指為社會群眾提供效勞。兩者均包括：是指既包括單位內(nèi)部人員也包括社會公眾人員。如果僅為某些特定人群效勞，請選擇其它，并填寫具體效勞的對象名稱。2.備案表填寫說明十三、系統(tǒng)網(wǎng)絡(luò)平臺：〔1〕覆蓋范圍：該項為單項選擇項。1局域網(wǎng)：信息系統(tǒng)所依托的網(wǎng)絡(luò)結(jié)構(gòu)是在某一區(qū)域內(nèi)由多臺計算機互聯(lián)成的計算機組?！澳骋粎^(qū)域〞指的是同一辦公室、同一建筑物、同一公司和同一學(xué)校等；2城域網(wǎng)：是指該信息系統(tǒng)所依托的網(wǎng)絡(luò)是一種大型的局域網(wǎng)，通常使用與局域網(wǎng)相似的技術(shù)。它可以覆蓋一組鄰近的公司辦公室和一個城市，既可能是私有的也可能是公用的。比較常見的一個城市的政府公務(wù)網(wǎng)、教育城域網(wǎng)等；3廣域網(wǎng)：是指信息系統(tǒng)所依托的網(wǎng)絡(luò)是一種跨越大的、地域性的計算機網(wǎng)絡(luò)的集合。通?？缭绞?、市，甚至一個國家；如上述三個選項均不是，請選擇其他，并在其后的橫線中填寫具體的網(wǎng)絡(luò)覆蓋范圍類型名稱?！?〕網(wǎng)絡(luò)性質(zhì)：1業(yè)務(wù)專網(wǎng)：是指信息系統(tǒng)所依托的網(wǎng)絡(luò)是單位為開展某項業(yè)務(wù)專門架設(shè)或租用專門線路構(gòu)成的；2互聯(lián)網(wǎng)：是指承載信息系統(tǒng)的網(wǎng)絡(luò)是完全依托互聯(lián)網(wǎng)〔Internet〕的。2.備案表填寫說明系統(tǒng)互聯(lián)情況：該項為多項選擇項。1與其它行業(yè)系統(tǒng)連接：是指該信息系統(tǒng)與本行業(yè)以外的其他行業(yè)的信息系統(tǒng)進行連接或共享數(shù)據(jù)。2與本行業(yè)其他單位系統(tǒng)連接：是指該信息系統(tǒng)與行業(yè)內(nèi)其他單位的信息系統(tǒng)進行連接或共享數(shù)據(jù)。3與本單位其他系統(tǒng)連接：是指該信息系統(tǒng)與本單位內(nèi)的其他信息系統(tǒng)進行連接。如果上述選項均不是，那么選擇其它，并在其后的橫線中注明具體的互聯(lián)情況。2.備案表填寫說明十四、關(guān)鍵產(chǎn)品使用情況：〔1〕產(chǎn)品類型：是指信息系統(tǒng)〔包括網(wǎng)絡(luò)〕中使用的信息技術(shù)產(chǎn)品的類型，其中平安專用產(chǎn)品：是指根據(jù)?計算機信息系統(tǒng)平安專用產(chǎn)品檢測和銷售許可證管理方法?規(guī)定，用于保護計算機信息系統(tǒng)平安的專用硬件和軟件產(chǎn)品，主要包括：掃描類產(chǎn)品〔包括入侵檢測、防御等產(chǎn)品〕，防雷產(chǎn)品，防火墻，數(shù)據(jù)完整類〔包括身份認(rèn)證、訪問控制、簽章、指紋識別等〕，網(wǎng)絡(luò)平安〔包括網(wǎng)吧平安管理、審計產(chǎn)品等〕，病毒產(chǎn)品等。網(wǎng)絡(luò)產(chǎn)品：是指除上述平安產(chǎn)品外的其它網(wǎng)絡(luò)產(chǎn)品，主管包括：路由器、網(wǎng)關(guān)、網(wǎng)閘等。操作系統(tǒng)：是指管理計算機系統(tǒng)全部硬件、軟件資源及數(shù)據(jù)資源，控制程序運行，改善人機界面，為其它應(yīng)用軟件提供支持等的，使計算機系統(tǒng)所有資源最大限度地發(fā)揮作用，為用戶提供方便的、有效的、友善的效勞界面的專用軟件，常見的操作系統(tǒng)有Windows系列，Linux系列，Unix系列等；數(shù)據(jù)庫：是指幫助用戶依照某種數(shù)據(jù)模型組織起來并存放數(shù)據(jù)的軟件，這里主要指數(shù)據(jù)庫軟件。常見的數(shù)據(jù)庫軟件有Oracle、Sybase、DB2、SQLserver、Access、MySQL、BD2等；效勞器：又叫主機。主要是為信息系統(tǒng)集中提供各種類型效勞的主機。2.備案表填寫說明〔2〕數(shù)量：軟件產(chǎn)品的數(shù)量按購置的套數(shù)算，不以實際安裝的臺數(shù)計算。硬件產(chǎn)品的數(shù)量以購置的臺〔件〕數(shù)計算，如果沒有那么數(shù)量填0?！?〕使用國產(chǎn)品率：是指信息系統(tǒng)中使用國產(chǎn)的某類信息技術(shù)產(chǎn)品數(shù)量占使用該類信息技術(shù)產(chǎn)品總數(shù)量的比例。全部使用，是指該信息系統(tǒng)中使用的該類信息技術(shù)產(chǎn)品全都是國產(chǎn)品〔品牌、型號等可以不同〕。全部未使用，是指該信息系統(tǒng)中使用的該類信息技術(shù)產(chǎn)品全都不是國產(chǎn)品。局部使用率，是指當(dāng)某類產(chǎn)品局部使用國產(chǎn)品時，國產(chǎn)品的使用率。以某類操作系統(tǒng)為例，如某信息系統(tǒng)的主機〔效勞器〕上共使用了3套操作系統(tǒng)，其中微軟操作系統(tǒng)2套，紅旗操作系統(tǒng)1套，那么該信息系統(tǒng)中使用操作系統(tǒng)的國產(chǎn)品率就是33%〔1/3〕，再如某信息系統(tǒng)中共使用了20個路由器，其中10個國內(nèi)產(chǎn)品，10個國外產(chǎn)品，此外還使用了20個網(wǎng)關(guān)，其中15個國內(nèi)產(chǎn)品，5個國外產(chǎn)品，那么該信息系統(tǒng)中使用網(wǎng)絡(luò)產(chǎn)品的國產(chǎn)品率就是62.5%〔10+15/20+20〕。國產(chǎn)品是指該類產(chǎn)品的研制、生產(chǎn)單位是由中國公民、法人投資或者國家投資或者控股，在中華人民共和國境內(nèi)具有獨立的法人資格，產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國自主知識產(chǎn)權(quán)。2.備案表填寫說明十五、系統(tǒng)采用效勞情況：是指信息系統(tǒng)在規(guī)劃、設(shè)計、建設(shè)、運維、終止等生命周期的各個階段采用的由供給商、組織機構(gòu)或人員所執(zhí)行的一系列的平安過程或任務(wù)?！?〕效勞類型。等級測評：是指依據(jù)等級保護測評標(biāo)準(zhǔn)對相應(yīng)等級信息系統(tǒng)開展的標(biāo)準(zhǔn)符合性測評，測評完成后出具符合相應(yīng)等級要求〔符合?根本要求?〕的測評報告，報公安機關(guān)備案；風(fēng)險評估：是指信息平安風(fēng)險評估；災(zāi)難恢復(fù)：是指將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運行狀態(tài)，并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)的活動和流程；應(yīng)急響應(yīng)：是指對影響計算機系統(tǒng)和網(wǎng)絡(luò)平安的不當(dāng)行為〔事件〕進行標(biāo)識、記錄、分類和處理，直到受影響的效勞恢復(fù)正常運行的過程；系統(tǒng)集成：是指系統(tǒng)集成商使用硬件和軟件資源來滿足用戶的特定需求的過程；平安咨詢：是指為開展信息系統(tǒng)平安工作，由信息系統(tǒng)運營使用或主管部門發(fā)起的咨詢工作；平安培訓(xùn)：是指為開展平安工作對相應(yīng)人員進行的培訓(xùn)；如果在上述效勞外還采用了其他效勞，可以選其它，并在其后的橫線中標(biāo)明具體的內(nèi)容。2.備案表填寫說明〔2〕效勞責(zé)任方類型：是指提供效勞的效勞單位是屬于本行業(yè)的，還是屬于國內(nèi)其他行業(yè)〔單位〕，還是國外效勞商。國內(nèi)效勞商是指效勞機構(gòu)在我國境內(nèi)注冊成立，由中國公民、法人或國家投資的企事業(yè)單位。等級測評單位名稱：是指開展等級測評工作的測評單位的全稱。何時投入運行使用：是指信息系統(tǒng)正式投入運行使用的時間。試運行時間不算在內(nèi)。系統(tǒng)是否是分系統(tǒng)：分系統(tǒng)是指大系統(tǒng)分支應(yīng)用的信息系統(tǒng)或完成大系統(tǒng)局部功能的信息系統(tǒng)。上級系統(tǒng)名稱：如果該信息系統(tǒng)是分系統(tǒng)，那么需要填寫該項。上級系統(tǒng)是指分系統(tǒng)所隸屬或歸屬的信息系統(tǒng)。2.備案表填寫說明十六、確定業(yè)務(wù)信息平安保護等級、確定系統(tǒng)效勞平安保護等級、信息系統(tǒng)平安保護等級：是指根據(jù)?定級指南?確定業(yè)務(wù)和系統(tǒng)效勞等級后，信息系統(tǒng)最終的平安保護等級由業(yè)務(wù)信息平安等級和系統(tǒng)效勞平安等級兩個較高者確定。專家評審情況：是指請專家對信息系統(tǒng)定級情況進行評審的情況。其中第四級以上信息系統(tǒng)須由國家信息平安保護等級專家評審委進行評審。主管部門：是指本單位信息系統(tǒng)所承載業(yè)務(wù)的上級主管部門。只有該類主管部門對信息系統(tǒng)定級的準(zhǔn)確與否具有發(fā)言權(quán)。如果業(yè)務(wù)主管部門不明確，也可以將本單位的上級行政主管部門作為其主管部門。如果業(yè)務(wù)主管部門和行政主管部門均不明確，那么可以不填。一般而言，部委的主管部門就是其自身，省廳的主管部門也是其自身。2.備案表填寫說明系統(tǒng)定級報告：是指依據(jù)?定級報告模版?編寫的定級報告。所有信息系統(tǒng)均應(yīng)該填寫。系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明：是指信息系統(tǒng)中的效勞器、工作站的網(wǎng)絡(luò)配置和相互間的連接方式圖及其說明。系統(tǒng)平安組織機構(gòu)及管理制度：是指根據(jù)?根本要求?進行系統(tǒng)整改后建立的信息平安組織機構(gòu)及管理制度。系統(tǒng)平安保護設(shè)施設(shè)計實施方案或改建實施方案：是指根據(jù)信息系統(tǒng)所定平安保護等級與?根本要求?對相應(yīng)等級的要求，制定的系統(tǒng)設(shè)計實施方案〔新建系統(tǒng)〕或改建實施方案〔已有系統(tǒng)〕。2.備案表填寫說明系統(tǒng)使用的平安產(chǎn)品清單及認(rèn)證、銷售許可證明：是指該信息系統(tǒng)具體使用的信息平安產(chǎn)品名稱、型號、數(shù)量、購置日期、生產(chǎn)單位、銷售單位、是否取得計算機平安專用產(chǎn)品銷售許可證、銷售許可證號、在同類型〔功能〕產(chǎn)品中該產(chǎn)品的使用率等信息。系統(tǒng)等級測評報告：是指由符合條件的等級測評單位根據(jù)信息系統(tǒng)確定的平安保護等級，依據(jù)?根本要求?、?測評準(zhǔn)那么?等標(biāo)準(zhǔn)對信息系統(tǒng)開展測評后出具的報告，提交公安機關(guān)備案的測評報告必須是測評合格的報告。十七、上級主管部門審批意見：是指上級主管部門對信息系統(tǒng)定級情況的審批意見。3定級|備案實例1單位背景:XXX保險股份成立于XXX年，是由中國保險監(jiān)督管理委員會直接管理的全國性保險公司之一。公司十分重視信息化建設(shè)，目前完成了辦公、核心業(yè)務(wù)、電子商務(wù)平臺的建設(shè)。3定級|備案實例1確定定級對象電子商務(wù)系統(tǒng)核心業(yè)務(wù)系統(tǒng)辦公系統(tǒng)3定級|備案實例1定級對象分析——結(jié)構(gòu)示意圖3定級|備案實例1定級對象分析——硬件設(shè)備信息詳細(xì)清單服務(wù)器型號操作系統(tǒng)CPU內(nèi)存硬盤IPWeb服務(wù)IBMx365TurboLinuxx.x.x.xORACLE數(shù)據(jù)庫IBMx365TurboLinuxx.x.x.x前置機IBMx235TurboLinux512x.x.x.x內(nèi)容管理(CMS)IBMx365TurboLinuxx.x.x.x維護專用機IBMx365Windows2000px.x.x.x3定級|備案實例1定級要素分析——業(yè)務(wù)信息核心業(yè)務(wù)數(shù)據(jù)電子商務(wù)數(shù)據(jù)客戶信息數(shù)據(jù)網(wǎng)站內(nèi)容管理數(shù)據(jù)3定級|備案實例1業(yè)務(wù)信息平安等級確定業(yè)務(wù)信息被破壞后受侵害的客體和侵害程度：公民、法人和其他組織的合法