2009湖南省信息安全等级指导培训班ppt - 幻灯片1.pptVIP

湖南省信息安全等级保护培训班 湖南省公安厅网监与行动技术总队 一、信息安全等级保护工作的政策和法律依据 1、中华人民共和国人民警察法 第二章 职 权 （十二）监督管理计算机信息系统的安全保护工作 2、《 中华人民共和国计算机信息系统安全保护条例》（国务院147号令）规定，第六条 公安部主管全国计算机信息系统安全保护工作。第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。 这明确了三个内容：一是确立了等级保护是计算机信息系统安全保护的一项制度； 二是出台配套的规章和技术标准； 三是明确了公安机关的牵头地位。 另外第十七条 公安机关对计算机信息系统安全保护工作行使下列监督职权： (一)监督、检查、指导计算机信息系统安全保护工作； (二)查处危害计算机信息系统安全的违法犯罪案件； (三)履行计算机信息系统安全保护工作的其他监督职责。 3、2004年9月公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》，明确了信息安全等级保护制度的原则和基本内容，以及信息安全等级保护工作的职责分工、工作实施的要求等。 4、2007年6月公安部会同国家保密局、国家密码管理局和国务院信息办联合下发了《信息安全等级保护管理办法 》进一步明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责和任务。 二、公安机关在信息系统等级保护工作中履行的监督、指导、检查的主要职责 1、在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”、“自主定级，自主保护”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。 2、公安机关信息安全等级保护检查工作是指公安机关依据有关规定，会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查，督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。 3、信息安全等级保护检查工作由市（地）级以上公安机关公安网技（监）部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次，每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。 4、检查的主要内容： 等级保护工作组织开展、实施情况。安全责任落实情况，信息系统安全岗位和安全管理人员设置情况； 按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况； 信息系统定级备案情况，信息系统变化及定级备案变动情况； 信息安全设施建设情况和信息安全整改情况； 信息安全管理制度建设和落实情况； 信息安全保护技术措施建设和落实情况； 选择使用信息安全产品情况； 聘请测评机构按规范要求开展技术测评工作情况，根据测评结果开展整改情况； 自行定期开展自查情况； 开展信息安全知识和技能培训情况。 5、备案和备案审核 地市级以上公安机关网技（监）部门受理本辖区内备案单位的备案。 公安审核备案材料填写是否完整，是否符合要求，其纸质材料和电子文档是否一致；信息系统所定安全保护等级是否准确；实地进行检查审核是否符合国家有关规定。 经公安机关审查认定，对提交材料不全的备案单位，要求其补全材料。对定级不准的单位，通知整改，并建议备案单位组织专家进行重新定级评审，并报上级主管部门审批后报公安机关。 对拒不备案的，公安机关依据《中华人民共和国计算机信息系统安全保护条例》等其他有关法律、法规规定，责令限期整改。 对运营使用单位提交的备案材料，经公安机关审查符合国家有关规定，备案材料齐全，定级准确的，由受理公安机关发放公安部监制的《信息系统等级保护备案证明》。 三、信息系统运营使用单位应履行的主要义务和职责 1、各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，自主确定信息系统的安全保护等级。同时，按照所定等级，依照相应等级的管理规范和技术标准，建设信息安全保护设施，建立安全制度，落实安全责任。 2、信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、知道，如实向公安机关国家指定的专门部门提供有关信息安全保护的信息资料及数据文件。 3、已运营的信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地的市级以上公安机关办理备案手续。新建信息系统，应当在运行30日内，到所在地的市级以上公安机关办理备案手续。 四、信息系统等级保护定级的范围、要求、如何定级、测评工作？ 湖南省公安厅、湖南省国家保密局、湖南省国家密码管