信息安全等级保护制度的相关标准及其应用.pptVIP

建设整改-《基本要求》-人员安全管理 人员安全管理是指加强人员的安全管理。规范人员录用、离岗过程，关键岗位签署保密协议，对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训，对关键岗位的人员进行全面、严格的安全审查和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控制 建设整改-《基本要求》-系统建设管理 系统建设管理是指加强系统建设过程的管理。制定系统建设相关的管理制度，明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的管理责任部门、具体管理内容和控制方法，并按照管理制度落实各项管理措施 建设整改-《基本要求》-系统运维管理 系统运维管理是指加强系统运维过程的管理。制定系统运维相关的管理制度，明确环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等内容的管理责任部门、具体管理内容和控制方法，并按照管理制度落实各项管理措施 建设整改-整改过程 ?安全建设整改过程是一个工程过程，通过使用工程技术方法落实各项技术措施和管理措施 ?安全建设整改可以分为安全管理建设整改和安全技术建设整改两个部分进行 * * * 现代化建设的许多方面已融入于网络（信息） 社会之中，政府部门正在积极推进电子政务；金融、证券部门正在稳健地开展网络化的服务业务（网上银行支付和网上证券交易）；商贸部门正在推动电子商务的发展；国防部门积极研究网络信息战（现代战争的形式）等。信息是战略资源，是决策之本，是控制一个国家国民经济与军事的灵魂。由Internet的发展而带来的网络系统的安全问题正变得突出，网络安全已成为关系国家安全的重大战略问题。 当前，我国基础信息网络和重要信息系统安全面临的形势十分严峻，既有外部威胁，又有自身脆弱性和薄弱环节。 * 现代化建设的许多方面已融入于网络（信息） 社会之中，政府部门正在积极推进电子政务；金融、证券部门正在稳健地开展网络化的服务业务（网上银行支付和网上证券交易）；商贸部门正在推动电子商务的发展；国防部门积极研究网络信息战（现代战争的形式）等。信息是战略资源，是决策之本，是控制一个国家国民经济与军事的灵魂。由Internet的发展而带来的网络系统的安全问题正变得突出，网络安全已成为关系国家安全的重大战略问题。 当前，我国基础信息网络和重要信息系统安全面临的形势十分严峻，既有外部威胁，又有自身脆弱性和薄弱环节。 * 信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。 有效解决我国信息安全面临的威胁和存在的主要问题，充分体现“适度安全、保护重点”的目的，将有限的财力、物力、人力投入到重要信息系统安全保护中，按标准建设安全保护措施，建立安全保护制度，落实安全责任，有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全，有效提高我国信息安全保障工作的整体水平。 * * * * * * 例如对内服务与对外运营的业务系统，对内服务的办公系统，一般来说其中的信息和提供的服务是面向本单位的，涉及到的等级保护客体一般是本单位，而对外运营的业务系统往往关系到其他单位、个人或面向社会，因此这两类业务可能涉及不同的客体，可能具有不同的安全保护等级，可以考虑划分为不同的信息系统。又比如处理涉及国家秘密信息的信息系统与处理一般单位敏感信息的信息系统应分开。 例如全国大集中系统数据中心的数据量和服务范围都远大于各省级节点和市级节点，其受到破坏后的损害程度和影响范围也有很大差别，可能具有不同的安全等级，可以考虑划分为不同的信息系统。 一般单位的信息系统建设和网络布局，一般都会或多或少考虑系统的特点、业务重要性及不同系统之间的关系，进行信息系统的等级划分应尽可能以现有网络条件为基础进行划分，以免引起不必要的网络改造和建设工作，影响原有系统的业务运行。 有些信息系统中不同业务的重要程度虽然会有所差异，但是由于业务之间联系紧密，不容易拆分，可以作为一个信息系统按照同样级别保护。但是，如果其中某一个业务面临风险或威胁较大，比如与互联网相连，可能会影响到其它的业务，就应当将其从该信息系统中分离出来，单独作为一个信息系统而实施保护。 * 第一级：信息系统所承载业务涉及公民、法人和其他组织的权益，受到破坏后对公民、法人和其他组织的权益造成一定损害；该业务的开展在一定程度上依托于信息系统，系统受到破坏后对业务正常开展产生一定影响。 第二级：信息系统所承载的业务直接关系到公民、法人和其他组织的权益，