[PPT]-北京市教委各直属单位信息安全等级保护工作培训.pptVIP

北京市教委各直属单位 信息安全等级保护工作培训;信息安全等级保护工作概述;一、信息安全等级保护工作概述;信息安全等级保护工作的定位;信息安全等级保护工作法律法规标准依据;北京市：;二、信息安全保护等级的划分;信息系统安全保护等级的决定要素 ;侵害国家安全的事项包括以下方面：影响国家政权稳固和国防实力；影响国家统一、 民族团结和社会安定；影响国家对外活动中的政 治、经济利益等 侵害社会秩序的事项包括以下方面：影响国家机关社会管理和公共服务的工作秩序； 影响各种类型的经济活动秩序等； 影响公共利益的事项包括以下方面：影响社会成员使用公共设施；影响社会成员获取 公开信息资源等； 影响公民、法人和其他组织的合法权益是指：由法律确认的并受法律保护的公民、法 人和其他组织所享有的一定的社会权利和利益。; 侵害程度是客观方面的不同外在表现的综合体现，因此，应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同。在针对不同的受侵害客体进行侵害程度的判断时，应参照以下不同的判别基准： 如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程度的基准； 如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程度的基准。 ; 对客体的三种危害程度;五个等级的划分;五级保护和监管 ;信息系统等级对照表;三、信息系统安全保护工作流程;1、系统定级和审批 2、备案 3、评估与整改建设 4、等级测评 5、监督检查;3.信息系统安全评估与整改建设;（二）有关技术标准和管理标准的简要说明 ;3.信息系统安全评估与整改建设;4.信息系统安全等级测评;5.监督检查;法律责任;（一）未按本办法规定备案、审批的； （二）未按本办法规定落实安全管理制度、措施的； （三）未按本办法规定开展系统安全状况检查的； （四）未按本办法规定开展系统安全技术测评的； （五）接到整改通知后，拒不整改的； （六）未按本办法规定选择使用信息安全产品和测评机构的； （七）未按本办法规定如实提供有关文件和证明材料的； （八）违反保密管理规定的； （九）违反密码管理规定的； （十）违反本办法其他规定的。;《信息化促进条例》第四十五条：;处罚方式;四、信息系统的定级工作;信息系统安全保护等级责任划分;定级工作的指导思想;定级工作的主要步骤; 作为定级对象的信息系统应具有如下基本特征： （一）具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任单位。 如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位； 如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。 ;（二）具有信息系统的基本要素 作为定级对象的信息系统应该是配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。 （三）承载相对独立的业务应用 定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有一定的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。 特别注意的是:起传输作用的基础网络要单独定级,等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级，不以在其上运行的信息系统的最高等级或最低等级为标准。 只有同时满足上述三个条件，才可由本单位对其进行定级。;第三步，初步确定信息系统等级;确定信息系统安全等级的依据;等级决定要素与初定等级的关系;业务信息安全和系统服务安全; 由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。;每个信息系统的定级流程;确定信息系统的安全保护等级;