等级保护地基本要求-中安威士.pptxVIP

戴林 Founder 等级保护简介 2 等级保护的定义 什么是等级保护？ 网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 小结：等级保护是对专有信息及信息系统进行分等级保护，对其中的信息安全产品进行按等级管理，对发现的安全事件分等级响应和处置。两个对象，三重管理。 3 等级保护的对象 国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信 基础信息系统，而不论它是否涉密。如：  (1) 国家事务处理信息系统（党政机关办公系统）；   (2) 金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统；  (3) 国防工业企业、科研等单位的信息系统；  (4) 公用通信、广播电视传输等基础信息网络中的计算机信息系统； (5) 互联网网络管理中心、关键节点、重要网站以及重要应用系统；   (6)其他领域的重要信息系统。 4 等级保护工作的具体步骤 等级保护工作的步骤： 根据信息系统等级保护相关标准，等级保护工作总共分五个阶段，分别为： 1）信息系统定级。 2）信息系统备案。 3）系统安全建设。 4）信息系统开始等级测评。 5）主管单位定期开展监督检查。 小结：系统定级和备案工作是等级保护工作开展的前提，也是等级保护工作最先要做的内容，系统安全建设可以先做也可以在等级测评之后再进行，第三和第四步没有严格意义上的先后顺序之分。 5 开展等级保护工作的相关法律法规或文件要求 开展等级保护工作的相关法律法规或文件要求？ 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确要求我国信息安全保障工作实行等级保护制度; 《信息安全等级保护管理办法》的通知（公通字[2007]43号）具体部署了实施信息安全等级保护工作的操作办法; 《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）加快推动了等级保护工作的发展； 《中华人民共和国网络安全法》明确了国家实行网络安全等级保护制度。 小结：网络安全法的出台将等级保护工作以法律形式确定下来，等级保护工作至此以法律的形式确定为国家网络安全的基本国策，没有网络安全就没有国家安全。 6 等级保护的配套标准 7 等级保护的等级 等级保护的等级 分为五个等级，系统的重要程度从1-5级逐级升高，分别为： 第一级（自主保护级） 第二级（指导保护级） 第三级（监督保护级） 第四级（强制保护级） 第五级（专控保护级） 小结：我们在日常工作中需要进行等级保护测评的系统是2-4级，经常遇到的是二级和三级信息系统，一级系统要求比较低，不需要进行测评，如果某个系统达到五级系统，那么这个系统很可能就已经涉密了，就不是等级保护范畴了，所以在技术要求里也没有五级的相关标准要求。 8 等级保护的等级定义 信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 9 信息系统顶级备案工作地点 去哪里进行信息系统的定级备案工作？ 答：全国绝大部分地方规定：各地级市的单位将定级资料交给各自地级市的网安支队，省级单位将资料交给省公安网安总队，特定行业有要求的另说，也有部分地方是先将资料交到区县网安大队，再由区县网安大队转交地级市网安支队进行备案。 小结：系统定级资料填写完成之后打印两份，首页盖章，电子档准备一份，带着这些资料去当地公安网安部门进行系统备案，至于到底是哪个网安请根据各地的要求，省、市、区县都有可能。 10 等级保护测评的定义 什么是等级保护测评？ 答：等级保护测评指的是用户单位委托第三方有测评资质且在当地备案的测评机构对单位已定级备案的信息系统按照对应的等级标准要求进行测评的过程，测评结束后出具相应的信息系统测评报告。 小结：对测评机构要求一定是有资质且在用户所在地公安网安部门备案，否则你找外地或外省的测评机构进行测评，测评结论得不到主管部门的承认，测评就白做了，特殊情况另说，如针对某个项目进行单独异地备案。 11 信息系统的测评多久需要测一次 信息系统的测评多久需要测一次