国家信息安全等级保护制度主要内容和要求分析.pptVIP

三、等级保护工作的具体内容和要求 测评时机：建设整改前：等级测评，现状分析；建设整改后：等级测评，检验整改效果。 测评频率：第三级以上定期；第二级参照。 测评费用：参照国家信息化项目人工计费标准或根据被测设备数量与测评项预算测评费用。 三、等级保护工作的具体内容和要求 测评工作要求： 测评工作应按照“流程规范、方法科学、结论公正”的要求进行。 被测单位要监督管理测评机构和测评人员的测评活动；与测评机构签订工作协议和保密协议；查验相关材料；落实测评过程监管措施。 测评报告备案：备案单位每年应将等级测评报告向受理备案的公安机关备案 三、等级保护工作的具体内容和要求 3、测评业务范围 职能部门测评机构在全国范围内开展测评业务，到地方时，应当事先告知属地省级等保办。 行业测评机构原则上在本行业内开展测评，到地方时应与属地省级等保办协调。可以承担其他行业信息系统的测评任务。 地方测评机构原则上在本地开展测评，也可以到异地开展测评，但事先须与当地等保办协调。可以承担各部委信息系统的测评任务。 特殊情况由公安机关进行协调。 三、等级保护工作的具体内容和要求 （五）安全自查和监督检查 备案单位、行业主管部门、公安机关要分别建立并落实监督检查机制，定期开展监督检查。 1、备案单位的定期自查 定期开展自查，掌握信息系统安全状况、安全管理制度及技术保护措施的落实情况等。 配合公安机关的监督检查工作，如实提供有关资料及文件。当重要信息系统发生事件、案件时，备案单位应当及时向受理备案的公安机关报告。 三、等级保护工作的具体内容和要求 2、行业主管部门的督导检查 行业主管部门要建立督导检查制度，组织制定本行业、本部门的信息安全等级保护检查工作规范。 定期组织对本行业、本部门等级保护工作开展情况进行检查，督促落实信息安全等级保护制度，达到重点督促，以点带面的目的。 三、等级保护工作的具体内容和要求 3、公安机关的监督检查 依据《关于开展信息安全等级保护专项监督检查工作的通知》（公信安[2010]1175） 和《公安机关信息安全等级保护检查工作规范（试行）》开展监督检查。 会同主管部门共同开展，建立监督检查配合机制。 对重要信息系统发生的事件、案件及时进行调查和立案侦查，并指导开展应急处置工作。 三、等级保护工作的具体内容和要求 检查内容： 等级保护工作部署和组织实施情况 信息系统安全等级保护定级备案情况 信息安全设施建设情况和信息安全整改情况 信息安全管理制度建立和落实情况 信息安全产品选择和使用情况 聘请测评机构开展技术测评工作情况 定期自查情况 三、等级保护工作的具体内容和要求 （六）信息安全产品的选择使用 1、信息安全产品在市场上销售，必须通过公安部信息安全产品检测中心检测，并获得公安部颁发的销售许可证。 2、公安部发布了《关于调整更新计算机信息系统安全专用产品检测执行标准规范的公告》（公信安[2009]1157号），对已有分级标准的29类信息安全产品开展分级检测工作。对于检测并审核通过的产品，产品销售许可证书标注产品分级信息，便于用户选择使用。 三、等级保护工作的具体内容和要求 3、《管理办法》规定，第三级以上信息系统应当选择使用我国自主研发的信息安全产品。信息安全产品是信息系统安全的重要基础，尤其是进入到重要信息系统中的信息安全产品将直接影响信息系统安全。因此，应在满足使用要求的前提下，优先选择国产品。 请登陆 电子工业出版社《信息安全等级保护政策培训教程》 谢 谢！ * 三、等级保护工作的具体内容和要求 （一）信息安全等级保护定级工作 信息系统定级原则：“自主定级、专家评审、主管部门审批、公安机关审核”。具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）要求执行。 定级工作流程：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。 三、等级保护工作的具体内容和要求 1. 确定定级对象 起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）。 用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统 。 各单位网站。 三、等级保护工作的具体内容和要求 2.确定信息系统安全保护等级 《管理办法》规定的五个等级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 三、等级保护工作的具体内容和要求 第三级，信息系统受到破坏后，会对社会秩序和公共