信息安全保障概述课件.pptVIP

关于信息安全等级保护工作的实施意见（公字通[2004]66号）1 信息安全等级保护 是保障和促进信息化建设健康发展的一项基本制度 核心是对信息安全分等级、按标准进行建设、管理和监督 公安机关负责信息安全等级保护工作的监督、检查、指导 保密/密码/信息化工作部门各自的职责分工 信息和信息系统的安全保护等级（及其适用范围） 第一级为自主保护级 第二级为指导保护级 第三级为监督保护级 第四级为强制保护级 第五级为专控保护级 定级依据 根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度 * 关于信息安全等级保护工作的实施意见（公字通[2004]66号）2 实施要求 完善标准,分类指导（管理规范和技术标准） 科学定级,严格备案（专家评审委员会。三级以上系统备案） 建设整改,落实措施（信息系统：已有、新建、改建、扩建） 自查自纠,落实要求（运营、 使用单位及其主管部门） 建立制度,加强管理（运营、 使用单位及其主管部门） 监督检查,完善保护（公安机关重点对第三、第四级系统） 其他等级要求 国家对信息安全产品的使用实行分等级管理 信息安全事件实行分等级响应、处置的制度 * 关于印发<信息安全等级保护管理办法>的通知（公字通[2007]43号） 《通知》是政策，《管理办法》属于法律法规 四部委联合发文：公安部、保密局、密码管理局、原国信办 国家信息安全等级保护坚持“自主定级、自主保护”的原则 信息系统的安全保护等级分为五级 实施与管理 具体实施等级保护工作 参照标准：《信息系统安全等级保护实施指南》 确定安全保护等级 参照标准：《信息系统安全等级保护定级指南》 系统建设 参照标准：《信息系统安全等级保护基本要求》等 等级测评 参照标准：《信息系统安全等级保护测评要求》 二级以上系统的备案要求（由公安机关颁发备案证明） 三级以上系统的定期自查、测评和检查要求 三级以上系统的信息安全产品选择使用要求 三级以上系统等级保护测评机构的选择要求 涉密信息系统按分级保护管理（略） 对信息安全等级保护的密码实行分类分级管理（略） * 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）1 意义 标志着我国信息安全保障工作有了总体纲领 提出要在5年内建设中国信息安全保障体系 总体要求 坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。 主要原则 立足国情，以我为主，坚持技术与管理并重； 正确处理安全和发展的关系，以安全保发展，在发展中求安全； 统筹规划，突出重点，强化基础工作； 明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。 * 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）2 主要任务（重点加强的安全保障工作） 实行信息安全等级保护 加强以密码技术为基础的信息保护和网络信任体系建设 建设和完善信息安全监控体系 重视信息安全应急处理工作 加强信息安全技术研究开发，推进信息安全产业发展 加强信息安全法制建设和标准化建设 加快信息安全人才培养，增强全民信息安全意识 保证信息安全资金 加强对信息安全保障工作的领导，建立健全信息安全管理责任制 信息安全与国家安全 27号文：信息安全已成为国家安全的重要组成部分 十六届四中全会：确保国家的政治安全、经济安全、文化安全和信息安全 十一五：试点 ? 十二五：普及推广 * 关于加强政府信息安全和保密管理工作的通知（国办发[2008]17号） 明确职责 把信息安全和保密工作列入重要议事日程，明确一名主管领导 谁主管谁负责、谁运行谁负责、谁使用谁负责 强化人员培训 组织信息安全和保密基本技能培训，开展信息安全和保密形势分析 深入学习宣传信息安全“五禁止”规定 完善安全措施和手段 管理制度+技术手段 加强信息安全检查 详见《政府信息系统安全检查办法》 * 谢谢，请提问题！ 中国信息安全测评中心 * * 系统复杂性增强的演示（幻灯片演示时的动画效果）： 1。工作站中存在信息数据；2。员工；3。移动介质；4。网络中其他系统；5。网络中其他资源；6。访问Internet；7。访问其他局域网；8。到Internet的其他路由；9。电话和调制解调器；10。开放的网络端口；11。远程用户；12。厂商和合同方的访问；13。访问外部资源；14。公共信息服务；15。运行维护环境 其他发展： -无线网络。。。 不同的颜色代表不同国家或地区的网络（如