信息安全管理有关规定和要求.pptVIP

信息安全管理有关规定和要求 江西省公安厅网络安全保卫总队专家组 吴 雷 公安部认证等级保护测评师 信息安全管理有关规定和制度 第一部份 互联网安全保护技术措施规定 第二部份　等级保护制度的贯彻和实施 第三条 互联网服务提供者、联网使用单位负责落实互联网安全保护技术措施，并保障互联网安全保护技术措施功能的正常发挥。 第四条 互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息，但法律、法规另有规定的除外。 第五条 公安机关网络安全保卫部门负责对互联网安全保护技术措施的落实情况依法实施监督管理。 第七条 互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施： （一）防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施； （二）重要数据库和系统主要设备的容灾备份措施； （三）记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施； （四）法律、法规和规章规定应当落实的其他安全保护技术措施。 第十五条 违反本规定第七条至第十四条规定的，由公安机关依照《计算机信息网络国际联网安全保护管理办法》第二十一条的规定予以处罚。 《规定》具体条款 第十六条 公安机关在依法监督检查时，互联网服务提供者、联网使用单位应当派人参加。公安机关对监督检查发现的问题，应当提出改进意见，通知互联网服务提供者、联网使用单位及时整改。 信息安全有关规定和制度 第一部份 互联网安全保护技术措施规定 第二部份　等级保护制度的贯彻和实施 信息安全等级保护制度 一、 什么是信息安全等级保护制度 二、 开展信息安全等级保护工作作用 三、 怎么样开展信息安全等级保护工作 信息安全等级保护制度 一、什么是信息安全等级保护制度 什么是信息安全等级保护制度 一、信息安全等级保护是我国信息安全保障工作的一项基本制度。 二、信息安全等级保护是一种管理规范和技术标准。 三、信息安全等级保护是维护国家基础信息网络和重要信息系统安全最直接、有效的措施。 四、信息安全等级保护是世界各国普遍推行的信息安全保护基本制度。 信息安全等级保护的内容 一是对信息系统分等级实施安全保护 二是对信息系统中使用的信息安全产品实行分等级管理 三是对信息系统中发生的信息安全事件分等级响应处置 等级保护的内容 根据信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，依据国家规定的等级划分标准确定其保护等级，自主进行信息系统安全建设和安全管理，并按照所定等级进行安全建设，落实安全责任和安全技术措施。提高安全保护的科学性、整体性、实用性。 信息安全标准体系 １、《信息系统安全等级保护实施指南》 ２、《信息系统安全保护等级定级指南》 ３、《信息系统安全等级保护基本要求》 ４、《信息系统安全等级保护测评要求》 5、《网络基础安全技术要求》 …… 二、开展信息安全等级保护工作作用 实施信息安全等级保护的意义 实施信息安全等级保护，能够有效地提高我国信息和信息系统安全建设的整体水平。 有利于建立各单位信息安全保障的长效机制，保证安全保护管理工作稳固、持久地开展； 有利于减少信息安全保障工作盲目性； 有利于优化信息安全资源的配置，达到少花钱，多办事的功效； 有利于明确国家、行业、各单位的信息安全责任，清晰划分不同角色，落实不同部门和岗位安全职责； 三、怎样开展信息安全等级保护工作 要求 准确定级，严格审批 及时备案，认真整改 科学测评，加强检查 一、定级 首先要把握好定级的问题，定级是等级保护工作的首要环节，是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础 定级要准确、科学、合理，要防止片面追求安全而定级过高，也要防止忽视安全定级偏低 依据《信息系统安全保护等级定级指南》 等级保护定级---一般流程 二、备案 已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区市级以上公安机关办理备案手续。 新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区市级以上公安机关办理备案手续。 备案 省生成的备案电子数据，到公安机关办理备案手续，提交公安厅网警在线网站（jxwj.gov.cn）下载定级报告、《信息系统安全等级保护备案表》和辅助备案工具 。持填写的备案表和利用辅助备案工具有关备案材料及电子数据文件。 等级保护备案---备案审核 填写并