等级保护流程培训V1.0.pptVIP

信息安全等级保护体系与东软网络安全产品介绍 等级保护概述 等级保护工作流程 １ 2 目录 等级保护安全防御设计思路 3 4 东软行业优势及建设案例 等级保护与东软安全产品 5 6 2016年商机前沿快报 等级保护的概述 国家信息安全等级保护制度 —由国家层面推动并要求遵照执行的信息安全要求。 等级保护按照是否涉及国家秘密划分 —等级保护：适用于政府、央企等非涉密网络的信息安全政策、制度及标准体系。 —分级保护：适用于政府、军队、兵工厂等涉密网络的信息安全政策、制度及标准体系。 是政府、央企信息安全建设的主要依据和主要推动力。 国家信息安全制度 等级保护的第一个法律文件——国务院令 《中华人民共和国计算机信息系统安全保护条例 》 （1994年2月18日国务院147号令） 第九条：计算机信息系统实行安全等级保护。 安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。 该条明确了三个内容： 一是确立了等级保护是计算机信息系统安全保护的一项制度； 二是明确了公安部的牵头地位； 三是提出了需要出台配套的规章和技术标准。 等级保护安全等级定义文件 《计算机信息系统安全保护等级划分准则》 （1999颁发的GB 17859） 第一级：用户自主保护级；   第二级：系统审计保护级；   第三级：安全标记保护级；   第四级：结构化保护级；   第五级：访问验证保护级。 提出了等级保护在技术防护层面与安全管理层面的建设防护要求。 中央文件 中办[2003]27号文件 《国家信息化领导小组关于加强信息安全保障工作的意见》 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。” 中央27号文件的下达标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度 。同时明确了各级党委和政府在信息安全保障工作中的领导地位，以及“谁主管谁负责，谁运营谁负责”的信息安全保障责任制。 国家四部委文件 2004年9月公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），明确了信息安全等级保护制度的原则和基本内容，以及信息安全等级保护工作的职责分工、工作实施的要求等。 2007年6月公安部会同国家保密局、国家密码管理局和国务院信息办联合《信息安全等级保护管理办法》（公通字[2007]43号），明确了信息安全等级保护制度的基本内容、流程及工作要求，再进一步明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务，为开展信息安全等级保护工作提供了规范保障。 等级保护发展历程 1994年 《中华人民共和国计算机信息系统安全保护条例》 （国务院147号令） 1999年 《计算机信息系统安全保护等级划分准则》 GB 17859-1999 2003年 《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号) 2004年 《关于信息安全等级保护工作的实施意见》 （公通字［2004］66号 ） 2007年 《信息安全等级保护管理办法》 （公通字［2007］43号 ） 2007年 《关于开展全国重要信息系统安全等级保护定级工作的通知》 （公信安[2007]861号） 2007年 《信息安全等级保护备案实施细则》 （公信安[2007]1360号） 2008年 《公安机关信息安全等级保护监督检查工作规范》 （公信安[2008]736号） 2009年 《关于开展信息安全等级保护安全建设整改工作的指导意见》 (公信安[2009]1429号) 等级保护各方职责 国家 通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 公安机关 负责信息安全等级保护工作的监督、检查、指导。 保密工作部门 负责等级保护工作中有关保密工作的监督、检查、指导。 密码管理部门 负责等级保护工作中有关密码工作的监督、检查、指导。 国信办 负责等级保护工作的部门间协调。 其他 涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。 信息系统主管部门 应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位 信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。 国信办——工信部信息安全协调司——中网办信息安全协调局 等级保护法律政策体系 等级保护标准体系 等级保