2.信息系统等级保护培训解读.ppt

●系统运维管理——主要包括：环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等十三个控制点。 （2）基本安全管理措施 例子： 某某医院的办公（OA）系统为第二级、 HIS系统等级为第三级。该医院进行等级保护安全建设时，就要对OA系统和HIS系统提出不同的安全要求，区分建设。 如在物理安全的“物理位置的选择”控制点建设方面，上述系统就有不同的要求：OA系统要求选择物理位置时主要考虑建筑物具有基本防护条件的能力即可，而HIS系统除了基本防护条件外，对建筑物的楼层以及周围环境也提出了要求； 又如“物理访问控制”，OA系统要求对进出机房时进行基本的出入控制，对人员进入机房后的活动也应进行控制，HIS系统则在OA系统的“物理访问控制”基础上，加强了对进出机房时的控制手段，做到人员和电子设备共同控制，并对机房分区域管理。 2、安全建设 谢谢大家！ * * * * * * * 正确划分定级对象： 信息系统运营使用单位或主管部门按如下原则确定定级对象： 一是承载相对独立或单一业务的信息系统； 二是信息系统的信息安全由本单位主管； 三是具有信息系统的基本要素。 起支撑作用的网络可以作为定级对象；应用类的信息系统以应用种类划分定级对象。 第一步 开展信息系统基本情况的摸底调查 一是承载相对独立或单一业务的信息系统： 定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以是完整的业务流程的一部分。 第一步 开展信息系统基本情况的摸底调查 二是信息系统的信息安全由本单位主管： 作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。 第一步 开展信息系统基本情况的摸底调查 三是具有信息系统的基本要素： 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。 第一步 开展信息系统基本情况的摸底调查 第一步 开展信息系统基本情况的摸底调查 第二步 初步确定信息系统安全保护等级 第三步 专家评审与审批 1、系统定级 信息系统的安全保护等级是信息系统的客观属性，不以已采取或采取什么安全保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益等损害客体的危害程度为依据，确定信息系统的安全等级。 第二步 初步确定信息系统安全保护等级 （一）信息系统的安全保护等级由两个定级要素决定： 1、等级保护对象受到破坏时所侵害的客体 2、受到破坏时对客体造成侵害的程度 第二步 初步确定信息系统安全保护等级 1、等级保护对象受到破坏时所侵害的客体： A、国家安全 B、社会秩序、公共利益 C、公民、法人和其他组织的合法权益 第二步 初步确定信息系统安全保护等级 A、 国家安全利益——体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全和资源环境安全等方面利益。 重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统；广播、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件；处理国家对外活动信息的信息系统；处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统；尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统，以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。 第二步 初步确定信息系统安全保护等级