單位信息安全等級(jí)保護(hù)PPT幻燈片

1、單位名稱,我們畢業(yè)啦 其實(shí)是答辯的標(biāo)題地方,信息安全等級(jí)保護(hù)工作匯報(bào),2016-01-18,1,29/7/2020,當(dāng)前，我國(guó)信息化發(fā)展正進(jìn)入全面深化的新階段。 新型信息技術(shù)發(fā)展應(yīng)用，給我國(guó)網(wǎng)絡(luò)與信息安全保障工作提出了新任務(wù)。,前言,2,29/7/2020,法律法規(guī)： 信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào)） 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 廣東省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 最高人民法院、最高人民檢察院2015年10月30日聯(lián)合發(fā)布關(guān)于執(zhí)行中華人民共和國(guó)刑法確定罪名的補(bǔ)充規(guī)定(六)對(duì)適用刑法的部分罪名進(jìn)行了補(bǔ)充或修改，其中增加了拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪、非法利用信息網(wǎng)絡(luò)

2、罪、幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪。,3,29/7/2020,一、等級(jí)保護(hù)背景 二、等級(jí)保護(hù)概念 三、等保評(píng)定內(nèi)容 四、推進(jìn)等保工作的一些探討 五、本單位的問題和建議,目錄,4,29/7/2020,一、等級(jí)保護(hù)背景,5,29/7/2020,等保背景,中央網(wǎng)信辦 ,2016年第1期網(wǎng)絡(luò)安全信息與動(dòng)態(tài)周報(bào)(12月28日-01月03日),6,29/7/2020,等保背景,當(dāng)前面臨的安全威脅： 獨(dú)立黑客：黑客攻擊越來越頻繁，影響企事業(yè)正常的業(yè)務(wù)運(yùn)作。 內(nèi)部員工： 1、信息安全意識(shí)薄弱的員工誤用、濫用等； 2、管理員權(quán)限過大，如：系統(tǒng)管理員越權(quán)訪問數(shù)據(jù)； 3、不穩(wěn)定、情緒不滿的員工。如：?jiǎn)T工離職帶走企業(yè)秘密。

3、競(jìng)爭(zhēng)對(duì)手：法制環(huán)境不健全，行業(yè)不正當(dāng)競(jìng)爭(zhēng)（如：竊取機(jī)密）。 國(guó)外政府或機(jī)構(gòu)：法制環(huán)境不健全，行業(yè)不正當(dāng)競(jìng)爭(zhēng)（如：竊取機(jī)密，破壞企業(yè)的業(yè)務(wù)服務(wù)）。,7,29/7/2020,等保背景,2014年8月1日，浙江溫州有線數(shù)字電視被攻擊，電視屏幕疊加反動(dòng)字幕和圖片，50萬用戶、80萬機(jī)頂盒受影響。,8,29/7/2020,等保背景,9,29/7/2020,等保背景,重要網(wǎng)站和信息系統(tǒng)被植入木馬后門,10,29/7/2020,等保背景,網(wǎng)絡(luò)病毒和網(wǎng)絡(luò)攻擊已形成一個(gè)黑色產(chǎn)業(yè)鏈，侵害政府公信力、社會(huì)公共安全、公民個(gè)人利益和隱私。,破壞數(shù)據(jù)、應(yīng)用、服務(wù)、硬件； 盜取數(shù)據(jù)、資金； 對(duì)外傳播危害信息，對(duì)內(nèi)傳播木馬擴(kuò)

4、大危害范圍； 利用被控制的電腦從事犯罪活動(dòng)。,11,29/7/2020,等保背景,一個(gè)巴掌拍不響！ 外因是條件，內(nèi)因才是根本。,全省3523個(gè)重點(diǎn)網(wǎng)站安全技術(shù)檢測(cè)結(jié)果： 存在安全漏洞的網(wǎng)站2621個(gè)，占被檢網(wǎng)站數(shù)量74.4%；其中高危網(wǎng)站1633個(gè)，占檢測(cè)網(wǎng)站的46.35%； 發(fā)現(xiàn)安全漏洞數(shù)量93760個(gè)，其中高危漏洞25578個(gè)。 平均1個(gè)網(wǎng)站有26個(gè)漏洞，7個(gè)高危漏洞。 本行業(yè)的漏洞，本單位網(wǎng)站漏洞：詳見粵等保辦201413號(hào) 2014年上半年我省重點(diǎn)網(wǎng)站安全檢測(cè)情況通報(bào),12,29/7/2020,等保背景,安全意識(shí)薄弱,人、財(cái)、物等保障不到位； 重建設(shè)、重應(yīng)用、輕安全、輕管理； 系統(tǒng)建設(shè)

5、與安全建設(shè)不同步，有的廢棄后仍未關(guān)停，有的服務(wù)器長(zhǎng)期未打補(bǔ)丁，有的雖然配備安全設(shè)備但配置不科學(xué)。,13,29/7/2020,等保背景,14,29/7/2020,等保背景,信息安全責(zé)任不清 未成立領(lǐng)導(dǎo)機(jī)構(gòu)、未明確責(zé)任、缺乏追責(zé)制度等。 缺乏長(zhǎng)遠(yuǎn)信息安全規(guī)劃 安全策略不當(dāng)、安全措施不合理、沒有數(shù)據(jù)備份和恢復(fù)等。 監(jiān)測(cè)預(yù)警和應(yīng)急處理能力欠缺 缺乏人員、技術(shù)、系統(tǒng)和預(yù)案、演練，各單位發(fā)現(xiàn)問題、處理問題能力有待提高。,15,29/7/2020,二、等級(jí)保護(hù)概念,16,29/7/2020,等保概念,什么是信息安全等級(jí)保護(hù)工作？ 概念：,信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息以及

6、公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。 信息安全等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。,17,29/7/2020,等保概念,什么是信息安全等級(jí)保護(hù)工作？ 意義：,信息安全等級(jí)保護(hù)制度是國(guó)家信息安全保障的基本制度、基本策略、基本方法 ；是當(dāng)今發(fā)達(dá)國(guó)家的通行做法，也是我國(guó)多年來信息安全工作經(jīng)驗(yàn)的總結(jié) 。 開展信息安全等級(jí)保護(hù)工作：有利于同步建設(shè) ；有利于指導(dǎo)和服務(wù)；有利于保障重點(diǎn)；有利于明確責(zé)任 ；有利于企事業(yè)單位保護(hù)商業(yè)秘密和知識(shí)產(chǎn)權(quán)。,18,29/7/

7、2020,等保概念,實(shí)施等級(jí)保護(hù)工作的基本原則：,自主保護(hù)原則：信息系統(tǒng)運(yùn)營(yíng)、使用單位及其主管部門按照國(guó)家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全保護(hù)等級(jí)，自行組織實(shí)施安全保護(hù)。 重點(diǎn)保護(hù)原則：根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過劃分不同安全保護(hù)等級(jí)的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。 同步建設(shè)原則：信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。 動(dòng)態(tài)調(diào)整原則：要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護(hù)措施。由于信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其他原因，安全保護(hù)

8、等級(jí)需要變更的，應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全保護(hù)等級(jí)，根據(jù)信息系統(tǒng)安全保護(hù)等級(jí)的調(diào)整情況，重新實(shí)施安全保護(hù)。,19,29/7/2020,等保概念,信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)： 第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益； 第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家安全； 第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害； 第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共

9、利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害； 第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。,20,29/7/2020,等保概念,21,29/7/2020,等保概念,等級(jí)保護(hù)實(shí)施過程中涉及的角色和職責(zé)：,22,29/7/2020,等保概念,等級(jí)保護(hù)實(shí)施的基本流程：,23,29/7/2020,三、等保評(píng)定內(nèi)容,24,29/7/2020,評(píng)定內(nèi)容,等級(jí)測(cè)評(píng)內(nèi)容：,物理安全,技術(shù)要求,管理要求,基本要求,網(wǎng)絡(luò)安全,主機(jī)安全,應(yīng)用安全,數(shù)據(jù)安全,安全管理機(jī)構(gòu),安全管理制度,人員安全管理,系統(tǒng)建設(shè)管理,系統(tǒng)運(yùn)維管理,25,29/7/2020,評(píng)定內(nèi)容,等級(jí)測(cè)評(píng)內(nèi)容：,物理層面構(gòu)成組件包

10、括信息系統(tǒng)工作的設(shè)施環(huán)境以及構(gòu)成信息系統(tǒng)的硬件設(shè)備和介質(zhì)等。,26,29/7/2020,評(píng)定內(nèi)容,物理安全解讀,27,29/7/2020,評(píng)定內(nèi)容,物理安全解讀2,28,29/7/2020,評(píng)定內(nèi)容,等級(jí)測(cè)評(píng)內(nèi)容：,結(jié)構(gòu)安全和網(wǎng)段劃分,網(wǎng)絡(luò)安全(三級(jí)),網(wǎng)絡(luò)訪問控制,網(wǎng)絡(luò)安全審計(jì),邊界完整性檢查,網(wǎng)絡(luò)入侵檢測(cè),惡意代碼防護(hù),網(wǎng)絡(luò)設(shè)備防護(hù),29,29/7/2020,評(píng)定內(nèi)容,網(wǎng)絡(luò)安全解讀,30,29/7/2020,評(píng)定內(nèi)容,網(wǎng)絡(luò)安全解讀2,31,29/7/2020,評(píng)定內(nèi)容,等級(jí)測(cè)評(píng)內(nèi)容：,身份鑒別,主機(jī)系統(tǒng)安全(三級(jí)),訪問控制,安全審計(jì),剩余信息保護(hù),入侵防范,惡意代碼防范,資源控制,32,

11、29/7/2020,評(píng)定內(nèi)容,主機(jī)安全解讀,33,29/7/2020,評(píng)定內(nèi)容,主機(jī)安全解讀2,34,29/7/2020,評(píng)定內(nèi)容,等級(jí)測(cè)評(píng)內(nèi)容：,身份鑒別,應(yīng)用安全(三級(jí)),訪問控制,通信完整性,通信保密性,安全審計(jì),剩余信息保護(hù),抗抵賴,軟件容錯(cuò),資源控制,35,29/7/2020,評(píng)定內(nèi)容,應(yīng)用安全解讀,36,29/7/2020,評(píng)定內(nèi)容,等級(jí)測(cè)評(píng)內(nèi)容：,數(shù)據(jù)完整性,數(shù)據(jù)安全(三級(jí)),數(shù)據(jù)保密性,安全備份,37,29/7/2020,評(píng)定內(nèi)容,數(shù)據(jù)安全解讀,38,29/7/2020,評(píng)定內(nèi)容,等級(jí)測(cè)評(píng)內(nèi)容：,崗 位設(shè)置,安全管理機(jī)構(gòu)(三級(jí)),人員配備,授權(quán)和審批,溝 通與合作,審核和檢查,

12、39,29/7/2020,評(píng)定內(nèi)容,等級(jí)測(cè)評(píng)內(nèi)容：,管理制度,安全管理制度(三級(jí)),制訂和發(fā)布,評(píng)審和修訂,安全管理制度一般是文檔化的，被正式制定、評(píng)審、發(fā)布和修訂，內(nèi)容包括策略、制度、規(guī)程、表格和記錄等，構(gòu)成一個(gè)塔式結(jié)構(gòu)的文檔體系。,40,29/7/2020,評(píng)定內(nèi)容,等級(jí)測(cè)評(píng)內(nèi)容：,人員錄用,人員安全管理(三級(jí)),人員離崗,人員考核,安全意識(shí)教育和培訓(xùn),外部人員訪問管理,41,29/7/2020,評(píng)定內(nèi)容,等級(jí)測(cè)評(píng)內(nèi)容：,系統(tǒng)定級(jí),系統(tǒng)建設(shè)管理(三級(jí)),安全方案設(shè)計(jì),產(chǎn)品采購(gòu)和使用,自行軟件開發(fā),外包軟件開發(fā),工程實(shí)施,測(cè)試驗(yàn)收,系統(tǒng)交付,安全服務(wù)商選擇,系統(tǒng)備案,42,29/7/2020

13、,評(píng)定內(nèi)容,等級(jí)測(cè)評(píng)內(nèi)容：,環(huán)境管理,系統(tǒng)運(yùn)維管理(三級(jí)),資產(chǎn)管理,設(shè)備管理,介質(zhì)管理,運(yùn)行管理和監(jiān)控管理,網(wǎng)絡(luò)安全管理,系統(tǒng)安全管理,惡意代碼防范管理,變更管理,密碼管理,備份和恢復(fù)管理,安全事件處置,應(yīng)急預(yù)案管理,43,29/7/2020,評(píng)定內(nèi)容,管理安全解讀,44,29/7/2020,評(píng)定內(nèi)容,管理安全解讀2,45,29/7/2020,評(píng)定內(nèi)容,管理安全解讀3,46,29/7/2020,評(píng)定內(nèi)容,管理安全解讀4,47,29/7/2020,評(píng)定內(nèi)容,管理安全解讀5,48,29/7/2020,四、推進(jìn)等保工作的一些探討,49,29/7/2020,探討,安全管理制度體系典型結(jié)構(gòu),安全方針,

14、管理規(guī)定、規(guī)范,作業(yè)指導(dǎo)書、操作規(guī)程,記錄、日志,第一級(jí) 方針，是信息安全管理工作的綱領(lǐng)性文件 。,第二級(jí) 管理規(guī)定和規(guī)范，規(guī)定所要求的管理制度或技術(shù)控制措施。,第三級(jí)作業(yè)指導(dǎo)書、操作規(guī)程，規(guī)定各種工作和活動(dòng)的細(xì)節(jié)。,第四級(jí)記錄、日志，記錄管理活動(dòng)的客觀證據(jù)。,50,29/7/2020,探討,PDCA（戴明環(huán)）,大環(huán)套小環(huán)，小環(huán)保大環(huán)，推動(dòng)大循環(huán) PDCA循環(huán)作為質(zhì)量管理的基本方法，不僅適用于整個(gè)工程項(xiàng)目，也適應(yīng)于整個(gè)單位和單位內(nèi)的處室、隊(duì)伍以至個(gè)人。各級(jí)部門根據(jù)單位的方針目標(biāo)，都有自己的PDCA循環(huán)，層層循環(huán)，形成大環(huán)套小環(huán)，小環(huán)里面又套更小的環(huán)。大環(huán)是小環(huán)的母體和依據(jù)，小環(huán)是大環(huán)的分解和保

15、證。各級(jí)部門的小環(huán)都圍繞著企業(yè)的總目標(biāo)朝著同一方向轉(zhuǎn)動(dòng)。通過循環(huán)把單位上下或工程項(xiàng)目的各項(xiàng)工作有機(jī)地聯(lián)系起來，彼此協(xié)同，互相促進(jìn)。,51,29/7/2020,探討,PDCA（戴明環(huán)）,不斷前進(jìn)、不斷提高 PDCA循環(huán)就像爬樓梯一樣，一個(gè)循環(huán)運(yùn)轉(zhuǎn)結(jié)束，生產(chǎn)的質(zhì)量就會(huì)提高一步，然后再制定下一個(gè)循環(huán)，再運(yùn)轉(zhuǎn)、再提高，不斷前進(jìn)，不斷提高，是一個(gè)螺旋式上升的過程。,52,29/7/2020,探討,思考與建議,當(dāng)前的要求與原則 總體要求:堅(jiān)持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)企業(yè)商業(yè)利益。 主要原則：立足國(guó)情，以我為主，堅(jiān)持管理與技術(shù)并重；正確處理

16、安全與發(fā)展的關(guān)系，以安全促發(fā)展，在發(fā)展中求安全；統(tǒng)籌規(guī)劃，突出重點(diǎn)，強(qiáng)化基礎(chǔ)性工作；明確國(guó)家、企業(yè)、個(gè)人的責(zé)任和義務(wù)，充分發(fā)揮各方面的積極性，共同構(gòu)筑國(guó)家信息安全保障體系。,53,29/7/2020,探討,（1）加強(qiáng)頂層設(shè)計(jì) 應(yīng)加強(qiáng)統(tǒng)籌規(guī)劃、頂層設(shè)計(jì)，在戰(zhàn)略發(fā)展規(guī)劃、信息化專項(xiàng)規(guī)劃的基礎(chǔ)上，做好信息安全體系的設(shè)計(jì)，制定信息安全專項(xiàng)規(guī)劃或工作計(jì)劃。充分重視信息資源、資產(chǎn)的梳理、界定工作，將信息安全與商業(yè)信息、個(gè)人信息保護(hù)工作密切結(jié)合。 （2）強(qiáng)化組織保障 應(yīng)明確專門信息安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人，并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查。信息化工作領(lǐng)導(dǎo)小組組長(zhǎng)應(yīng)承擔(dān)起信息安全的領(lǐng)導(dǎo)責(zé)任，建

17、立并完善信息化管理部門與保密及其他業(yè)務(wù)部門齊抓共管、協(xié)同配合的信息安全工作機(jī)制，并逐級(jí)落實(shí)信息安全責(zé)任制。 應(yīng)加強(qiáng)信息安全人才培養(yǎng)，打造適應(yīng)信息化要求的專業(yè)人才隊(duì)伍。建立健全信息安全專業(yè)崗位持證上崗制度。加強(qiáng)全員信息安全教育培訓(xùn)工作，把相關(guān)培訓(xùn)納入員工培訓(xùn)計(jì)劃。定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核，積極組織或參與信息安全知識(shí)技能競(jìng)賽，形成培養(yǎng)、選拔、吸引和使用信息安全人才的良性機(jī)制。,54,29/7/2020,探討,安全保障體系架構(gòu),55,29/7/2020,探討,沒想到要做到：信息化項(xiàng)目是一個(gè)創(chuàng)新性的工作，服務(wù)外包采購(gòu)時(shí)不可能把未來服務(wù)細(xì)節(jié)說清楚，在合同履行期間發(fā)現(xiàn)新的需求時(shí)，

18、服務(wù)提供商能否主動(dòng)積極配合提供服務(wù)或提升服務(wù)能力，也形成直接影響整個(gè)電子政務(wù)健康發(fā)展的風(fēng)險(xiǎn)。,三專：在服務(wù)外包項(xiàng)目招標(biāo)時(shí)要明確要求服務(wù)商做到：專業(yè)團(tuán)隊(duì)專注做專項(xiàng)服務(wù)。,監(jiān)管：建立外包監(jiān)管辦法，對(duì)人員結(jié)構(gòu)及流動(dòng)，業(yè)務(wù)內(nèi)容，工作規(guī)范等全面進(jìn)行強(qiáng)有力的監(jiān)管。,考核：制定和實(shí)行嚴(yán)格的目標(biāo)考核與獎(jiǎng)懲制度。,說到不做到：在投標(biāo)時(shí)承諾很好，在建設(shè)運(yùn)行中許多方面達(dá)不到服務(wù)要求，還不積極主動(dòng)想辦法改進(jìn)，使信息安全保障處于被動(dòng)地位，使工作發(fā)展受到影響。,56,29/7/2020,探討,習(xí)近平總書記在中央網(wǎng)信領(lǐng)導(dǎo)小組第一次會(huì)議上強(qiáng)調(diào)，網(wǎng)絡(luò)安全與信息化是事關(guān)國(guó)家安全和國(guó)家發(fā)展、事關(guān)廣大,人民群眾工作生活的重大戰(zhàn)略問題，沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全，網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施。,信息安全已經(jīng)上升為國(guó)家意志,57,29/7/2020,探討,（一）落實(shí)信息安全工作責(zé)任 嚴(yán)格落實(shí)信息安全“一把手”責(zé)任制，建