1培訓教材.ppt

1、重要信息系統(tǒng)安全等級保護工作培訓,目 錄,一、我國在信息安全保障工作中為什么要實行等級保護制度 二、實行信息安全等級保護制度的目的 三、等級保護工作的主要流程有哪些？開展等級保護基本要求是什么 四、重要信息系統(tǒng)安全等級保護定級工作的主要步驟是什么 五、當前定級工作存在的主要問題及分析 六、定級工作完成后需要開展哪些工作 七、開展安全等級保護工作依據的主要標準有哪些 八、公安機關組織開展等級保護中的職責任務是什么 九、信息安全等級保護管理辦法釋義,一、我國在信息安全保障工作中為什么要實行等級保護制度,當前，我國基礎信息網絡和重要信息系統(tǒng)安全面臨的形勢十分嚴峻，既有外部威脅，又有自身脆弱性和薄弱環(huán)

2、節(jié)。 一是針對基礎信息網絡和重要信息系統(tǒng)的違法犯罪持續(xù)上升。 二是基礎信息網絡和重要信息系統(tǒng)安全隱患嚴重。 三是我國的信息安全保障工作基礎還很薄弱。,一、我國在信息安全保障工作中為什么要實行等級保護制度,一是針對基礎信息網絡和重要信息系統(tǒng)的違法犯 罪持續(xù)上升。 不法分子利用一些安全漏洞，使用病毒、木馬、網絡釣魚等技術進行網絡盜竊、網絡詐騙、網絡賭博等違法犯罪，對我國的經濟秩序、社會管理秩序和公民的合法權益造成嚴重侵害。,一、我國在信息安全保障工作中為什么要實行等級保護制度,二是基礎信息網絡和重要信息系統(tǒng)安全隱患嚴重。 由于各基礎信息網絡和重要信息系統(tǒng)的核心設備、技術和高端服務主要依賴國外進口，

3、在操作系統(tǒng)、專用芯片和大型應用軟件等方面不能自主可控，給我國的信息安全帶來了深層的技術隱患。,一、我國在信息安全保障工作中為什么要實行等級保護制度,三是我國的信息安全保障工作基礎還很薄弱。 信息安全意識和安全防范能力薄弱，信息系統(tǒng)安全建設、監(jiān)管缺乏依據和標準，安全保護措施和安全制度不落實，監(jiān)管措施不到位。,二、實行信息安全等級保護制度的目的,信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法。開展信息安全等級保護工作是保護信息化發(fā)展、維護國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。 有效解決我國信息安全面臨的威脅和存在的主要問題，充分體現(xiàn)“適度安全、保護重點”

4、的目的，將有限的財力、物力、人力投入到重要信息系統(tǒng)安全保護中，按標準建設安全保護措施，建立安全保護制度，落實安全責任，有效保護基礎信息網絡和關系國家安全、經濟命脈、社會穩(wěn)定的重要信息系統(tǒng)的安全，有效提高我國信息安全保障工作的整體水平。,二、實行信息安全等級保護制度的目的,信息安全等級保護就是將全國的信息系統(tǒng)分成五個等級，定級后到公安機關備案（立戶口），按標準建設整改，開展測評，公安機關開展監(jiān)督檢查。信息安全等級保護是國家意志的體現(xiàn)，在國家信息安全保障工作只有等級保護制度是強制實施的，也只有等級保護工作是四個部委共同組織實施的。 信息安全等級保護是當今發(fā)達國家保護關鍵信息基礎設施，保障信息安全的

5、通行做法，也是我國多年來信息安全工作經驗的總結,三、等級保護工作的主要流程包括哪些?,主要流程包括六項內容： 一、自主定級與審批。 二、評審。 三、備案。 四、系統(tǒng)安全建設。 五、等級測評。 六、監(jiān)督檢查。,三、等級保護工作的主要流程包括哪些?,一、自主定級與審批 信息系統(tǒng)運營使用單位按照信息安全等級保護管理辦法（以下簡稱管理辦法）和信息系統(tǒng)安全保護定級指南，自主確定信息系統(tǒng)的安全保護等級。有上級主管部門的，應當經上級主管部門審批?？缡』蛉珖y(tǒng)一聯(lián)網運行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護等級。,三、等級保護工作的主要流程包括哪些?,二、評審 在信息系統(tǒng)確定安全保護等級過程中，可以組織專

6、家進行評審。對擬確定為第四級以上信息系統(tǒng)的，運營使用單位或主管部門應當邀請國家信息安全保護等級專家評審委員會評審。,三、等級保護工作的主要流程包括哪些?,三、備案 第二級以上信息系統(tǒng)定級單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù) 。,三、等級保護工作的主要流程包括哪些?,四、系統(tǒng)安全建設 信息系統(tǒng)安全保護等級確定后，運營使用單位按照管理規(guī)范和技術標準，選擇管理辦法（第二十一條，共六項）要求的信息安全產品，建設符合等級要求的信息安全設施，建立安全組織，制定并落實安全管理制度。,三、等級保護工作的主要流程包括哪些?,五、等級測評 信息系統(tǒng)建設完成后，運營使用單位選擇符合管理辦法（第二十二條，共

7、八項）要求的檢測機構，對信息系統(tǒng)安全等級狀況開展等級測評。,三、等級保護工作的主要流程包括哪些?,六、監(jiān)督檢查 公安機關依據信息安全等級保護管理規(guī)范，監(jiān)督檢查運營使用單位開展等級保護工作，定期對第三級以上的信息系統(tǒng)進行安全檢查。信息系統(tǒng)運營使用單位應當接受公安機關的安全監(jiān)督、檢查、指導，如實向公安機關提供有關材料。,開展等級保護工作的總體要求,各基礎信息網絡和重要信息系統(tǒng)，按照“準確定級、嚴格審批、及時備案、認真整改、科學測評”的要求完成等級保護的定級、備案、整改、測評等工作 。 公安機關和保密、密碼工作部門要及時開展監(jiān)督檢查，嚴格審查信息系統(tǒng)所定級別，嚴格檢查信息系統(tǒng)開展備案、整改、測評等工

8、作。 對故意將信息系統(tǒng)安全級別定低，逃避公安、保密、密碼部門監(jiān)管，造成信息系統(tǒng)出現(xiàn)重大安全事故的，要追究單位和相關人員的責任。,四、定級工作的主要步驟是什么,第一步：開展摸底調查 第二步：確定定級對象 第三步：初步確定信息系統(tǒng)等級 第四步：信息系統(tǒng)等級評審 第五步：信息系統(tǒng)等級的最終確定與審批 第六步：備案 第七步：備案審核 第八步：及時總結并提交總結報告,四、定級工作的主要步驟是什么,第一步 開展摸底調查 按照等級保護管理規(guī)范，各單位、各部門可以組織開展對所屬信息系統(tǒng)進行摸底調查，摸清信息系統(tǒng)底數，掌握信息系統(tǒng)（包括信息網絡）的業(yè)務類型、應用或服務范圍、系統(tǒng)結構等基本情況，為下一步明確要求、

9、落實責任奠定基礎。,四、定級工作的主要步驟是什么,第二步 確定定級對象 在全國重要信息系統(tǒng)安全等級保護定級工作（以下簡稱“定級工作”）中，如何科學、合理地確定定級對象是最關鍵、最復雜的問題。信息系統(tǒng)運營使用單位或主管部門按如下原則確定定級對象：,四、定級工作的主要步驟是什么,第二步 確定定級對象 確定定級對象的三個原則： 1、承載相對獨立或單一業(yè)務應用的信息系統(tǒng)； 2、信息系統(tǒng)的信息安全由本單位主管； 3、具有信息系統(tǒng)的基本要素。（計算機及其相關配套設備、設施構成的人機系統(tǒng)） 只有同時滿足上述三個條件，才可由本單位對其進行定級。,四、定級工作的主要步驟是什么,第二步 確定定級對象 一是起傳輸作

10、用的信息網絡（專網、內網、外網等）要作為定級對象。 二是各單位網站要作為獨立的定級對象。如果網站的后臺數據庫管理系統(tǒng)安全級別高，也要作為獨立的定級對象。網站上運行的信息系統(tǒng)（例如對社會服務的報名考試系統(tǒng)）也要作為獨立的定級對象。,四、定級工作的主要步驟是什么,第二步 確定定級對象 三是用于生產、調度、管理、作業(yè)、指揮、辦公等目的的各類應用系統(tǒng)，要按照不同業(yè)務類別單獨確定為定級對象，不以系統(tǒng)是否進行數據交換、是否獨享設備為確定定級對象條件。新建系統(tǒng)要在規(guī)劃設計階段定級。 不能將某一類信息系統(tǒng)作為一個定級對象。這里也有特例，例如，某個單位的管理系統(tǒng)，最初設計時，就把辦公、車輛管理、人事管理等業(yè)務集

11、中在該系統(tǒng)中，該系統(tǒng)應作為一個定級對象。,四、定級工作的主要步驟是什么,第二步 確定定級對象 四是確認負責定級的單位是否對所定級系統(tǒng)負有業(yè)務主管責任。 也就是說，業(yè)務部門應主導對業(yè)務信息系統(tǒng)定級，運維部門（例如信息中心、托管方）可以協(xié)助定級并按照業(yè)務部門的要求開展后續(xù)安全保護工作。,四、定級工作的主要步驟是什么,第二步 確定定級對象 五是具有信息系統(tǒng)的基本要素。 作為定級對象的信息系統(tǒng)應該是由相關的和配套的設備、設施按照一定的應用目標和規(guī)則組合而成的有形實體。應避免將某個單一的系統(tǒng)組件（如服務器、終端、網絡設備等）作為定級對象。,四、定級工作的主要步驟是什么,第二步 確定定級對象 準確劃分定級

12、對象是系統(tǒng)定級的前提。定級對象劃分太細，會增加工作量，不利于限定責任主體，不利于整體保護；定級對象劃分太粗，對整個系統(tǒng)要求實施統(tǒng)一級別的安全保護，不利于明確重點，不利于信息安全資源的優(yōu)化配置。,四、定級工作的主要步驟是什么,第二步 確定定級對象 跨地域或跨級別應用的大系統(tǒng)，如果各地或各級運營、使用單位都有安全保護責任，建議每地或每級都要單獨確定一個定級對象，而不應將全行業(yè)劃分為一個定級對象；在一個大的網絡平臺上運行的多個業(yè)務應用系統(tǒng)，應將各個業(yè)務應用系統(tǒng)認定為各自獨立系統(tǒng)，并分別確定為定級對象。,四、定級工作的主要步驟是什么,第二步 確定定級對象 起傳輸通道作用的基礎信息網絡以及承載單一業(yè)務的

13、信息系統(tǒng)都可以作為一個定級對象。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 信息系統(tǒng)的安全保護等級是信息系統(tǒng)的客觀屬性，不以已采取或將采取什么安全保護措施為依據，也不以風險評估為依據。即從國家、人民群眾的根本利益出發(fā)，考慮了信息系統(tǒng)出現(xiàn)問題后的最大風險。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 信息系統(tǒng)的安全保護等級是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、社會穩(wěn)定、人民群眾合法權益的危害程度為依據，確定信息系統(tǒng)的安全保護等級。既要防止個別單位片面追求絕對安全而定級過高，也要防止為了逃避監(jiān)管定級偏低。,四、定級工作的主要步驟是什么,第三步 初步確

14、定信息系統(tǒng)等級 （一）確定受侵害客體 定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權益。確定侵害客體時從定級對象的兩方面進行考慮：一是業(yè)務信息安全被破壞時所侵害的客體 ；二是系統(tǒng)服務安全被破壞時所侵害的客體。 侵害國家安全的事項包括以下方面：影響國家政權穩(wěn)固和國防實力；影響國家統(tǒng)一、民族團結和社會安定；影響國家對外活動中的政治、經濟利益等； 侵害社會秩序、公共利益的事項包括以下方面：影響國家機關社會管理和公共服務的工作秩序；影響各種類型的經濟活動秩序等；影響社會成員使用公共設施；影響社會成員獲取公開信息資源等； 影響公民、法人和其他組織的合法權益

15、是指由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （二）確定對客體的侵害程度 一般損害：工作職能受到局部影響，業(yè)務能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的資產損失，有限的社會不良影響，對其他組織和個人造成較低損害。 嚴重損害：工作職能受到嚴重影響，業(yè)務能力顯著下降且嚴重影響主要功能執(zhí)行，出現(xiàn)較嚴重的法律問題，較高的資產損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。 特別嚴重損害：工作職能受到特別嚴重影響或喪失行使能力，業(yè)務能力嚴重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴重的

16、法律問題，極高的資產損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （三）確定信息系統(tǒng)的安全保護等級 表2、確定業(yè)務信息安全等級,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （三）確定信息系統(tǒng)的安全保護等級 表3、確定系統(tǒng)服務安全等級,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （三）確定信息系統(tǒng)的安全保護等級 3、信息系統(tǒng)安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級兩個等級的較高者決定。（取高的原則）,四、定級工作的主要步驟是什么,定級一般流程如圖所示,四、定級工作的主要步驟是什么

17、,第三步 初步確定信息系統(tǒng)等級 （四）各級如何確定（針對具體單位、行業(yè)） 第一級信息系統(tǒng)： 一般適用于鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級某些單位中不重要的信息系統(tǒng)。小型個體、私營企業(yè)中的信息系統(tǒng)。中小學中的信息系統(tǒng)。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （四）各級如何確定（針對具體單位、行業(yè)） 第二級信息系統(tǒng)： 一般適用于縣級單位的信息系統(tǒng)、地市級以上國家機關、企業(yè)、事業(yè)單位內部一般的信息系統(tǒng)。例如小的局域網，非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)等。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （四）各級如何確定（針對具體單位、行業(yè)） 第三級信息系統(tǒng)： 一般

18、適用于地市級以上國家機關、企業(yè)、事業(yè)單位內部重要的信息系統(tǒng)，例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)；重要領域、重要部門跨省、跨市或全國（?。┞?lián)網運行的信息系統(tǒng)；跨省或全國聯(lián)網運行的重要信息系統(tǒng)在省、地市的分支系統(tǒng)；各部委官方網站和重要網站；跨省聯(lián)接的信息網絡等。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （四）各級如何確定（針對具體單位、行業(yè)） 第四級信息系統(tǒng)： 一般適用于重要領域、重要部門三級信息系統(tǒng)中的部分重要系統(tǒng)。例如全國鐵路、民航、電力等調度系統(tǒng)，銀行、證券、保險、稅務、海關等幾十個重要行業(yè)中的核心系統(tǒng)。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)

19、等級 （四）各級如何確定（針對具體單位、行業(yè)） 第五級信息系統(tǒng)： 一般適用于重要領域、重要部門中的極端重要系統(tǒng)。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （四）各級如何確定 信息網絡的安全等級可以參照在其上運行的信息系統(tǒng)的等級、網絡的服務范圍和自身的安全需求確定適當的保護等級。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （五）由誰確定與審批系統(tǒng)等級 1、各地自建的系統(tǒng)（與上級單位無關），自己定級。是否報上級主管部門審批，由各行業(yè)自行決定。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （五）由誰確定與審批系統(tǒng)等級 2、跨省或者全國統(tǒng)一聯(lián)網運行

20、的信息系統(tǒng)，可以由主管部門統(tǒng)一確定安全保護等級。其中：由各行業(yè)統(tǒng)一規(guī)劃、統(tǒng)一建設、統(tǒng)一安全保護策略的全國聯(lián)網系統(tǒng)，應由各部委統(tǒng)一對部、省、市系統(tǒng)分別確定等級；由各部委統(tǒng)一規(guī)劃、分級建設、全國聯(lián)網的信息系統(tǒng)，應由部、省、地市分別確定系統(tǒng)等級，但各行業(yè)應對該類系統(tǒng)提出定級意見，避免出現(xiàn)同類系統(tǒng)下級定級比上級高的現(xiàn)象。對于該類系統(tǒng)的等級，下級確定后需報上級主管部門審批。,四、定級工作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （五）由誰確定與審批系統(tǒng)等級 對于僅提供系統(tǒng)網絡傳輸服務的單位，可以要求其單獨將傳輸網絡按照該網絡所承載系統(tǒng)的最高等級確定網絡的安全保護等級，實施網絡安全防護。,四、定級工

21、作的主要步驟是什么,第三步 初步確定信息系統(tǒng)等級 （五）由誰確定與審批系統(tǒng)等級 特別注意：不能隨著部、省、市行政級別降低，信息系統(tǒng)級別同步降低，例如地市級的重要行業(yè)的重要系統(tǒng)不能定為一、二級。,五級監(jiān)管,四、定級工作的主要步驟是什么,第四步 信息系統(tǒng)等級評審 在信息系統(tǒng)安全保護等級確定過程中，可以聘請專家進行咨詢評審，并出具定級評審意見。對擬確定為第四級以上信息系統(tǒng)的，運營使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審，出具評審意見。,二、定級工作的主要步驟是什么,第五步 信息系統(tǒng)等級的最終確定與審批 信息系統(tǒng)運營使用單位參考專家定級評審意見，最終確定信息系統(tǒng)等級，形成定級報

22、告。如果專家評審意見與運營使用單位意見不一致時，由運營使用單位自主決定系統(tǒng)等級，信息系統(tǒng)運營使用單位有上級主管部門的，應當經上級主管部門對安全保護等級進行審核批準。主管部門一般是指行業(yè)的上級主管部門或監(jiān)管部門。如果是跨地域聯(lián)網運營使用的信息系統(tǒng)，則必須由其上級主管部門審批，確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級的一致性。,四、定級工作的主要步驟是什么,第六步 備案 第二級以上信息系統(tǒng)，在安全保護等級確定后30日內，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)（管理辦法第十六條）。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦

23、理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng)，應當向當地設區(qū)的市級以上公安機關備案。,四、定級工作的主要步驟是什么,第六步 備案 各部委數據集中的信息系統(tǒng)，在各地只有終端聯(lián)網訪問，沒有分數據庫的，聯(lián)網終端可以不備案。各部委統(tǒng)一定級的信息系統(tǒng)在各地的分系統(tǒng)（有分數據庫，在各地安裝運行的），即使是上級主管部門定級的，也要到當地公安網監(jiān)部門備案。 定級工作的結束是以備案完成為標志。,四、定級工作的主要步驟是什么,第七步 備案審核 受理備案的公安機關要公布備案受理地點、備案聯(lián)系方式等。在受理備案時，應對提交的備案材料（共八項）進行完整性審核和定級準確性審核。對符合等級保護要

24、求的，應頒發(fā)信息系統(tǒng)安全等級保護備案證明。發(fā)現(xiàn)定級不準的，通知備案單位重新審核確定。,四、定級工作的主要步驟是什么,第八步 及時總結并提交總結報告 各地區(qū)、各部門要結合本地區(qū)、本行業(yè)開展定級工作的實際，認真總結經驗和不足，提出改進和完善定級方法的意見和建議，及時總結定級工作經驗，形成定級工作總結報告。,五、當前定級工作存在的主要問題及分析,（一）少數行業(yè)信息系統(tǒng)定級偏低。有以下幾方面原因：一是對信息系統(tǒng)五個安全等級掌握不準，未能站在國家安全、社會穩(wěn)定的高度統(tǒng)籌考慮信息系統(tǒng)等級，僅從行業(yè)和信息系統(tǒng)自身安全角度考慮。二是認為信息系統(tǒng)級別定高，要花費更多的資金，單位負擔加重。三是對本行業(yè)上級主管部門

25、定級指導不力，同類信息系統(tǒng)下級部門定級偏低，特別是一些重要行業(yè)地市級單位的系統(tǒng)級別偏低。四是少數部門以信息系統(tǒng)運維單位為主進行定級，業(yè)務單位參與定級不夠。五是極少數部門故意將系統(tǒng)級別定低，逃避信息安全監(jiān)管部門的監(jiān)管。,（二）定級時既要考慮信息系統(tǒng)重要性、受到破壞后對業(yè)務開展和公眾利益損害等因素，更要考慮信息系統(tǒng)破壞后對國家安全、社會穩(wěn)定的影響，考慮西方敵對勢力、敵對分子攻擊、破壞、竊取秘密的因素。確定為三級以上的信息系統(tǒng)，均屬于國家的重要信息系統(tǒng)，是國家要保護的重點，國家財政、有關部門要投入資金，保證其安全。,五、當前定級工作存在的主要問題及分析,五、當前定級工作存在的主要問題及分析,（三）重

26、要信息系統(tǒng)屬于國家關鍵基礎設施，需要運營使用單位、主管部門真正負起其安全責任，同時，信息安全監(jiān)管部門要代表國家進行監(jiān)管。在重要信息系統(tǒng)安全方面，運營使用單位、主管部門負第一責任，信息安全監(jiān)管部門負監(jiān)管責任，即第二責任，運營使用單位、主管部門和信息安全監(jiān)管部門密切配合，共同承擔責任，才能保護好國家基礎信息網絡和重要信息系統(tǒng)的安全。,六、定級工作完成后信息系統(tǒng)運營、使用單位需要開展哪些工作,一是開展安全建設和整改。 二是開展等級測評。 三是開展自查。,一是開展安全建設和整改。 信息系統(tǒng)定級、備案工作完成后，運營使用單位應按照國家信息安全等級保護管理規(guī)范和技術標準，使用符合國家有關規(guī)定、滿足信息系統(tǒng)

27、安全保護等級需求的信息技術產品，開展信息系統(tǒng)安全建設或者改建工作，制定并落實符合本系統(tǒng)安全保護等級要求的安全管理制度。,六、定級工作完成后信息系統(tǒng)運營、使用單位需要開展哪些工作,二是開展等級測評。 信息系統(tǒng)建設、整改完成后，運營使用單位或者其主管部門選擇符合管理辦法規(guī)定條件的測評機構，依據信息系統(tǒng)安全等級保護測評要求等技術標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進行一次等級測評，第四級信息系統(tǒng)應當每半年至少進行一次等級測評，第五級信息系統(tǒng)應當依據特殊安全需求進行等級測評。,六、定級工作完成后信息系統(tǒng)運營、使用單位需要開展哪些工作,三是開展自查。 信息系統(tǒng)運營、使

28、用單位及其主管部門應當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應當每年至少進行一次自查，第四級信息系統(tǒng)應當每半年至少進行一次自查，第五級信息系統(tǒng)應當依據特殊安全需求進行自查。經測評或者自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，運營使用單位應當制定方案進行整改。,六、定級工作完成后信息系統(tǒng)運營、使用單位需要開展哪些工作,七、開展安全等級保護工作依據的主要標準有哪些,1、計算機信息系統(tǒng)安全保護等級劃分準則（GB17859-1999） 2、信息系統(tǒng)安全等級保護實施指南 3、信息系統(tǒng)安全等級保護定級指南 4、信息系統(tǒng)安全等級保護基本要求（國標報批稿試用，全國信

29、息安全標準化技術委員會文件 信安字200712號） 5、信息安全技術 服務器安全技術要求GB/T20273-2006和信息安全技術 終端計算機系統(tǒng)技術要求GA/T672-2006 6、信息安全技術 系統(tǒng)安全等級防護工程管理要求和信息安全技術 系統(tǒng)安全等級保護管理要求 注：信息安全技術 系統(tǒng)安全等級保護測評準則和信息安全技術 系統(tǒng)安全等級保護測評指南即將出臺,八、公安機關組織開展等級保護中的職責任務是什么,一是指導定級。 二是受理備案。 三是定期檢查。 1、監(jiān)督、檢查、指導信息系統(tǒng)運營使用單位和主管部門開展信息安全等級保護工作； 2、監(jiān)督、檢查信息系統(tǒng)運營使用單位的安全保護管理制度和技術措施落實

30、情況、定級和備案情況、安全整改、等級測評、產品使用、自查等情況。,八、公安機關組織開展等級保護中的職責任務是什么,一是指導定級。 指導信息系統(tǒng)運營使用單位及其主管部門科學、合理地確定定級對象，準確確定信息系統(tǒng)安全保護等級。既要防止個別單位片面追求絕對安全而定級過高，也要防止忽視安全定級偏低。,八、公安機關組織開展等級保護中的職責任務是什么,二是受理備案。 對備案單位提交的備案材料進行完整性審核和定級準確性審核，對定級不準確的信息系統(tǒng)運行使用單位提出整改意見；對符合等級保護要求的第二級以上信息系統(tǒng)，頒發(fā)信息系統(tǒng)安全保護等級備案證明。,八、公安機關組織開展等級保護中的職責任務是什么,三是定期檢查。

31、 定期對三級以上重要信息系統(tǒng)的安全保護狀況進行檢查。檢查信息系統(tǒng)運營使用單位的安全保護管理制度和技術措施落實情況。發(fā)現(xiàn)信息系統(tǒng)安全保護狀況不符合信息安全等級保護有關管理規(guī)范和技術標準的，通知運營使用單位進行整改。,九、信息安全等級保護管理辦法,一、依據：（第一條） 1994年，中華人民共和國計算機信息系統(tǒng)安全保護條例 （國務院147號令）規(guī)定，“計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定”。該條明確了三個內容：一是確立了等級保護是計算機信息系統(tǒng)安全保護的一項制度；二是出臺配套的規(guī)章和技術標準；三是明確了公安部的牽頭地位。,九、信息安全等

32、級保護管理辦法,二、監(jiān)管部門的職責分工：（第三條） 公安機關負責信息安全等級保護工作的監(jiān)督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監(jiān)督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監(jiān)督、檢查、指導。涉及其他職能部門管轄范圍的事項，由有關職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協(xié)調。,九、信息安全等級保護管理辦法,三、等級確定：（第六條） 國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統(tǒng)的安全保護等級應當根據信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞

33、后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。,九、信息安全等級保護管理辦法,四、信息系統(tǒng)運營、使用單位按等級進行保護：（第八條） 第一級信息系統(tǒng)運營、使用單位應當依據國家有關管理規(guī)范和技術標準進行保護。 第二級信息系統(tǒng)運營、使用單位應當依據國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。,九、信息安全等級保護管理辦法,四、信息系統(tǒng)運營、使用單位按等級進行保護：（第八條） 第三級信息系統(tǒng)運營、使用單位應當依據國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行

34、監(jiān)督、檢查。 第四級信息系統(tǒng)運營、使用單位應當依據國家有關管理規(guī)范、技術標準和業(yè)務專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。,九、信息安全等級保護管理辦法,四、信息系統(tǒng)運營、使用單位按等級進行保護：（第八條） 第五級信息系統(tǒng)運營、使用單位應當依據國家管理規(guī)范、技術標準和業(yè)務特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。,九、信息安全等級保護管理辦法,五、信息系統(tǒng)運營、使用單位定級工作：（第十條） 信息系統(tǒng)運營、使用單位應當依據本辦法和信息系統(tǒng)安全等級保護定級指南確定信息系統(tǒng)的安全保護等級。有主管部門

35、的，應當經主管部門審核批準?？缡』蛘呷珖y(tǒng)一聯(lián)網運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。對擬確定為第四級以上信息系統(tǒng)的，運營、使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審。,九、信息安全等級保護管理辦法,六、信息系統(tǒng)運營、使用單位信息系統(tǒng)安全建設或者改建工作：（第十二條） 運營、使用單位應當按照計算機信息系統(tǒng)安全保護等級劃分準則（GB17859-1999）、信息系統(tǒng)安全等級保護基本要求等技術標準，參照信息安全技術 信息系統(tǒng)通用安全技術要求（GB/T20271-2006）、信息安全技術 網絡基礎安全技術要求（GB/T20270-2006）、信息安全技術 操作系統(tǒng)安全

36、技術要求（GB/T20272-2006）、信息安全技術 數據庫管理系統(tǒng)安全技術要求（GB/T20273-2006）、信息安全技術 服務器技術要求、信息安全技術 終端計算機系統(tǒng)安全等級技術要求（GA/T671-2006）等技術標準同步建設符合該等級要求的信息安全設施。,九、信息安全等級保護管理辦法,七、信息系統(tǒng)運營、使用單位信息系統(tǒng)安全建設或者改建工作：（第十三條） 運營、使用單位應當參照信息安全技術 信息系統(tǒng)安全管理要求（GB/T20269-2006）、信息安全技術 信息系統(tǒng)安全工程管理要求（GB/T20282-2006）、信息系統(tǒng)安全等級保護基本要求等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護等

37、級要求的安全管理制度。,九、信息安全等級保護管理辦法,八、信息系統(tǒng)運營、使用單位信息系統(tǒng)安全等級測評工作：（第十四條） 信息系統(tǒng)建設完成后，運營、使用單位或者其主管部門應當選擇符合本辦法規(guī)定條件的測評機構，依據信息系統(tǒng)安全等級保護測評要求等技術標準，定期對信息系統(tǒng)安全等級狀況開展等級測評。,九、信息安全等級保護管理辦法,八、信息系統(tǒng)運營、使用單位信息系統(tǒng)安全等級測評工作：（第十四條） 第三級信息系統(tǒng)應當每年至少進行一次等級測評，第四級信息系統(tǒng)應當每半年至少進行一次等級測評，第五級信息系統(tǒng)應當依據特殊安全需求進行等級測評。,九、信息安全等級保護管理辦法,九、信息系統(tǒng)運營、使用單位信息系統(tǒng)安全自查

38、工作：（第十四條） 信息系統(tǒng)運營、使用單位及其主管部門應當定期對信息系統(tǒng)安全狀況、安全保護制度及措施的落實情況進行自查。第三級信息系統(tǒng)應當每年至少進行一次自查，第四級信息系統(tǒng)應當每半年至少進行一次自查，第五級信息系統(tǒng)應當依據特殊安全需求進行自查。經測評或者自查，信息系統(tǒng)安全狀況未達到安全保護等級要求的，運營、使用單位應當制定方案進行整改。,九、信息安全等級保護管理辦法,十、信息系統(tǒng)運營、使用單位備案工作：（第十五條） 已運營（運行）的第二級以上信息系統(tǒng)，應當在安全保護等級確定后30日內，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。新建第二級以上信息系統(tǒng)，應當在投入運行后30日

39、內，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。,九、信息安全等級保護管理辦法,十、信息系統(tǒng)運營、使用單位備案工作：（第十五條） 隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng)，應當向當地設區(qū)的市級以上公安機關備案。,九、信息安全等級保護管理辦法,十、信息系統(tǒng)運營、使用單位備案工作：（第十六條） 辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應當填寫信息系統(tǒng)安全等級保護備案表，第三級以上信息系統(tǒng)應當同時提供以下材料： （一）系統(tǒng)拓撲結構及說明；（說明可以是對系統(tǒng)

40、結構的簡要說明） （二）系統(tǒng)安全組織機構和管理制度；（安全組織機構包括機構名稱、負責人、成員、職責分工等。管理制度包括安全管理規(guī)范、章程等） （三）系統(tǒng)安全保護設施設計實施方案或者改建實施方案；（簡要的安全建設、整改方案）,九、信息安全等級保護管理辦法,十、信息系統(tǒng)運營、使用單位備案工作：（第十六條） （四）系統(tǒng)使用的信息安全產品清單及其認證、銷售許可證明；（主要信息安全產品的清單，確認有認證、銷售許可標記） （五）測評后符合系統(tǒng)安全保護等級的技術檢測評估報告；（最近一次測評的簡要的等級測評報告） （六）信息系統(tǒng)安全保護等級專家評審意見；（評審意見表，附專家名單） （七）主管部門審核批準信息系

41、統(tǒng)安全保護等級的意見。（審批表，領導審批簽字、蓋章）,九、信息安全等級保護管理辦法,十、信息系統(tǒng)運營、使用單位備案工作：（第十七條） 信息系統(tǒng)備案后，公安機關應當對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，應當在收到備案材料之日起的10個工作日內頒發(fā)信息系統(tǒng)安全等級保護備案證明（備案證明由公安部統(tǒng)一監(jiān)制） ；發(fā)現(xiàn)不符合本辦法及有關標準的，應當在收到備案材料之日起的10個工作日內通知備案單位予以糾正；發(fā)現(xiàn)定級不準的，應當在收到備案材料之日起的10個工作日內通知備案單位重新審核確定。運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應當按照本辦法向公安機關重新備案。,九、信息安全等級保護管

42、理辦法,十一、公安機關監(jiān)督檢查工作：（第十八條） 受理備案的公安機關應當對第三級、第四級信息系統(tǒng)的運營、使用單位的信息安全等級保護工作情況進行檢查。對第三級信息系統(tǒng)每年至少檢查一次，對第四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網運行的信息系統(tǒng)的檢查，應當會同其主管部門進行。,九、信息安全等級保護管理辦法,十一、公安機關監(jiān)督檢查工作：（第十八條） 公安機關、國家指定的專門部門應當對下列事項進行檢查： （一）信息系統(tǒng)安全需求是否發(fā)生變化，原定保護等級是否準確； （二）運營、使用單位安全管理制度、措施的落實情況； （三）運營、使用單位及其主管部門對信息系統(tǒng)安全狀況的檢查情況； （四）系統(tǒng)

43、安全等級測評是否符合要求；,九、信息安全等級保護管理辦法,十一、公安機關監(jiān)督檢查工作：（第十八條） （五）信息安全產品使用是否符合要求； （六）信息系統(tǒng)安全整改情況； （七）備案材料與運營、使用單位、信息系統(tǒng)的符合情況； （八）其他應當進行監(jiān)督檢查的事項。,九、信息安全等級保護管理辦法,十一、信息系統(tǒng)運營、使用單位配合公安機關監(jiān)督檢查工作：（第十九條） 信息系統(tǒng)運營、使用單位應當接受公安機關、國家指定的專門部門的安全監(jiān)督、檢查、指導，如實向公安機關、國家指定的專門部門提供下列有關信息安全保護的信息資料及數據文件： （一）信息系統(tǒng)備案事項變更情況； （二）安全組織、人員的變動情況； （三）信息安全管理制度、措施變更情況； （四）信息系統(tǒng)運行狀況記錄；,九、信息安全等級保護管理辦法,十一、信息系統(tǒng)運營、使用單位配合公安機關監(jiān)督檢查工作：（第十九條） （五）運營、使用單位及主管部門定期對信息系統(tǒng)安全狀況的檢查記錄； （六）對信息系統(tǒng)開展等級測評的技術測評報告； （七）信息安全產品使用的變更情況； （八）信