信息安全等级保护制度的主要内容和工作要求–曾科长.pptVIP

一、等级保护制度的主要内容 （六）等级保护工作的主要内容 对信息系统分等级进行安全保护和监管。 五个规定动作：信息系统定级、备案、安全建设整改、等级测评、监督检查。 信息安全产品分等级使用管理。 信息安全事件分等级响应、处置。 三、等级保护工作的具体内容和要求 （六）信息安全产品的选择使用 1、信息安全产品在市场上销售，必须通过公安部信息安全产品检测中心检测，并获得公安部颁发的销售许可证。 2、公安部发布了《关于调整更新计算机信息系统安全专用产品检测执行标准规范的公告》（公信安[2009]1157号），对已有分级标准的29类信息安全产品开展分级检测工作。对于检测并审核通过的产品，产品销售许可证书标注产品分级信息，便于用户选择使用。 三、等级保护工作的具体内容和要求 3、《管理办法》规定，第三级以上信息系统应当选择使用我国自主研发的信息安全产品。信息安全产品是信息系统安全的重要基础，尤其是进入到重要信息系统中的信息安全产品将直接影响信息系统安全。因此，应在满足使用要求的前提下，优先选择国内产品。 谢 谢！ * （二）信息系统备案工作 备案工作包括：信息系统备案、受理、审核和备案信息管理。具体按照《关于开展全省重要信息系统安全等级保护定级工作的通知》要求开展。 1、备案 ◆第二级以上信息系统，由信息系统运营适用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续，填写《信息系统安全等级保护备案表》。 三、等级保护工作的具体内容和要求 三、等级保护工作的具体内容和要求 省直单位、跨市或者全省统一联网运行的信息系统，由主管部门向省公安厅备案； 各行业统一定级信息系统在各地的分支系统，即使是上级主管部门定级的，也要到当地公安网络安全保卫部门备案。 2、受理备案与审核 公安机关受理备案，按照《信息安全等级保护备案实施细则》要求，对备案材料进行审核，定级准确、材料符合要求的颁发由公安部统一监制的备案证明。 三、等级保护工作的具体内容和要求 （三）信息系统安全建设整改工作 充分认识工作的复杂性和艰巨性： ◆政策性和技术性很强。 ◆涉及范围广。 ◆信息系统安全加固改造，需要国家在经费上予以支持。 ◆跨省全国联网的大系统结构复杂、运行实时保障性高、数据重要，加固改造周期长。 三、等级保护工作的具体内容和要求 1、工作目标 ◆利用三年时间。力争2012前完成。 ◆开展三项重点工作：安全管理制度建设、技术措施建设和等级测评。 ◆实现五方面目标：一是信息系统安全管理水平明显提高，二是信息系统安全防范能力明显增强，三是信息系统安全隐患和安全事故明显减少，四是有效保障信息化健康发展，五是有效维护国家安全、社会秩序和公共利益。 （三）信息系统安全建设整改工作 2、工作范围和工作特点 ◆工作范围： 已备案的第二级（含）以上信息系统纳入安全建设整改的范围。 尚未开展定级备案的信息系统，要先定级备案，定级不准的要先纠正，再开展安全建设整改。 新建系统要同步开展安全建设工作。 ◆工作特点：继承发展、引入标准、外部监督、政策牵引 （三）信息系统安全建设整改工作 3、工作方法 ◆突出重要系统，兼顾二级。 ◆试点示范，行业推广。 ◆管理制度建设和技术措施建设同步或分步实施。 ◆加固改造，缺什么补什么；也可以进行总体安全建设整改规划。 ◆利用信息安全等级保护综合工作平台，使等级保护工作常态化。 （三）信息系统安全建设整改工作 4、工作内容 （1）等级保护安全管理制度建设 一是落实信息安全责任制。 二是落实人员安全管理制度。 三是落实系统建设管理制度。 四使落实系统运维管理制度。 （三）信息系统安全建设整改工作 ◆落实信息安全责任制：成立信息安全工作领导机构，明确信息安全工作的主管领导。成立专门的信息安全管理部门或落实信息安全责任部门，确定安全岗位，落实专职人员或兼职人员。明确落实领导机构、责任部门和有关人员的信息安全责任。 ◆落实人员安全管理制度：制定人员录用、离岗、考核、教育培训等管理制度，落实管理的具体措施。对安全岗位人员要进行安全审查，定期进行培训、考核和安全保密教育。提高安全岗位人员的专业水平，逐步实现安全岗位人员持证上岗。 （三）信息系统安全建设整改工作 ◆落实系统建设管理制度：建立信息系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理制度，明确工作内容、工作方法、工作流程和工作要求。 ◆落实系统运维管理制度：建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系