北京市教委各直属单位信息安全等级保护工作培训21演示课件.pptVIP

处罚方式 罚则 罚款 警告与 通报批评 限期 整改 停机 整顿 信息系统 运营使用 单位 责任人 行政 处分 依法 处理 构成犯罪的，依法追究法律责任 四、信息系统的定级工作 信息系统安全保护等级责任划分 “自主定级、自主保护”与国家监管 在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任；公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。 定级工作的指导思想 信息系统的安全保护等级是信息系统的客观属性，不以已采取或将 采取什么安全保护措施为依据，也不以风险评估为依据，而是以信息系 统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合 法权益的危害程度为依据，确定信息系统的安全等级。 定级工作的主要步骤 定级是等级保护工作的首要环节，是开展备案、信息系统建设、整改、测评、监督检查等后续工作的重要基础。 第一步，摸底调查，掌握信息系统底数 第二步，确定定级对象 第三步，初步确定信息系统等级 第四步，信息系统等级评审 第五步，信息系统等级的最终确定与审批 作为定级对象的信息系统应具有如下基本特征： （一）具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任单位。 如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位； 如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。 第二步，确定定级对象 （二）具有信息系统的基本要素 作为定级对象的信息系统应该是配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。 （三）承载相对独立的业务应用 定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有一定的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。 特别注意的是:起传输作用的基础网络要单独定级,等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级，不以在其上运行的信息系统的最高等级或最低等级为标准。 只有同时满足上述三个条件，才可由本单位对其进行定级。 第二步，确定定级对象 第三步，初步确定信息系统等级 信息系统的安全保护等级以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全保护等级。既要防止个别单位片面追求绝对安全而定级过高，也要防止为了逃避监管定级偏低。 确定信息系统安全等级的依据 依据《管理办法》直接确定信息系统等级 依据《信息安全等级保护定级指南》要求进行信息系统等级确定 等级决定要素与初定等级的关系 受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 业务信息安全和系统服务安全 信息系统与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息安全的破坏和对信息系统服务的破坏，其中： 信息安全是指确保信息系统内信息的保密性、完整性和可用性等； 系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标； 由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。 信息安全和系统服务安全受到破坏后，可能产生以下危害后果： 影响行使工作职能；导致业务能力下降；引起法律纠纷；导致财产损失；造成社会不良影响；对其他组织和个人造成损失；其他影响。 业务信息安全和系统服务安全 每个信息系统的定级流程 3、综合评定对客体的侵害程度 2、确定业务信息安全受到破坏时所侵害的客体 6、综合评定对客体的侵害程度 5、确定系统服务安全受到破坏时所侵害的客体 7、系统服务安全等级 4、业务信息安全等级 8、定级对象的安全保护等级 依据表1 依据表2 1、确定定级对象 确定信息系统的安全保护等级 1、确定业务信息安全等