信息安全等级保护.PPTVIP

信息安全等级保护 一、信息安全等级保护工作概述 （一）开展信息安全等级保护工作的政策和法律依据。 1994年，《中华人民共和国计算机信息系统安全保护条例 》（国务院147号令）规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定” 。 1995年2月18日人大12次会议通过并实施的《中华人民共和国警察法》第二章第六条第十二款规定，公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。——法律依据。 1999年，强制性国家标准－《计算机信息系统安全保护等级划分准则》GB 17859）。 （一）开展信息安全等级保护工作的政策和法律依据。 2003年，中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南” 。 2004年，公安部、国家保密局、国家密码管理局、国信办联合印发了《关于信息安全等级保护工作的实施意见》（66号文件） 2007年6月，公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法》（公通字[2007]43号） 二、明确各方责任义务 （一）、《管理办法》中第二条明确了国家的责任 （一）“自主定级、自主保护”与国家监管 1、运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任。 2、公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。 （二）信息系统安全保护等级的定级要素 受侵害的客体 ： 一是公民、法人和其他组织的合法权益；二是社会秩序、公共利益；三是国家安全。 对客体的侵害程度： 一是造成一般损害；二是造成严重损害；三是造成特别严重损害。 （三）信息系统安全保护等级 （四）五级保护和监管 《管理办法》第八条规定，信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 （二）、系统定级 定级是等级保护工作的首要环节，是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统安全级别定不准，系统建设、整改、备案、等级测评等后续工作都失去了针对性。 需要特别说明的是：信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护措施为依据，也不以风险评估为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全等级。 定级工作的步骤： 第一步：摸底调查，掌握信息系统底数。（信息系统的业务类型、应用或服务范围、系统结构基本情况） 第二步：确定定级对象 第三步：初步确定信息系统等级 定级的一般流程： 信息系统安全包括业务信息安全和系统服务安全。信息安全是指确保信息系统内信息的保密性、完整性和可用性等，系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。 业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。 由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。 定级基本流程1 定级阶段-关于定级对象确定 一、定级对象的三个条件 具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。 满足信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。 定级阶段-关于定级对象确定 承载相对独立的业务应用 定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以是完整的业务流程的一部分。 定级阶段-定级对象举例