《等级保护制度的主要内容和要求》ppt课件模板.pptVIP

三、等级保护工作的具体内容和要求 对信息系统分等级进行安全保护和监管有五个规定动作，即定级、备案、建设整改、等级测评和监督检查五个环节。 （一）信息安全等级保护定级工作 信息系统定级原则：“自主定级、专家评审、主管部门审批、公安机关审核”。具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）要求执行。 定级工作流程：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。 三、等保工作具体内容和要求（定级） 1. 确定定级对象 起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）。 用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统 。 各单位网站。 2.确定信息系统安全保护等级 信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 侵害的客体包括公民、法人和其他组织的合法权益；社会秩序、公共利益和国家安全三个方面。 对客体造成侵害的程度分为：造成一般损害；造成严重损害；造成特别严重损害三种情况。 三、等保工作具体内容和要求（定级） 《管理办法》规定：信息系统从低到高分为五个等级。 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 定级要素与安全保护等级的关系 三、等保工作具体内容和要求（定级） 受侵害的对象 侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 五级保护 三、等保工作具体内容和要求（定级） 信息系统级别 信息系统重要性 监督管理强度等级 第一级 一般信息系统 自主保护级 第二级 一般信息系统 指导保护级 第三级 重要信息系统 监督保护级 第四级 重要信息系统 强制保护级 第五级 重要信息系统 专控保护级 按照公安部的要求，除特殊行业和情况外，系统定级的简单做法是：县级信息系统安全保护等级最高确定为第二级；省辖市信息系统安全保护等级最高确定为第三级；安全保护等级确定为第四级的信息系统要报公安部十一局审核。 三、等保工作具体内容和要求（定级） 三类基本要求 S类—业务信息安全保护类：关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。 A类—系统服务安全保护类：关注的是保护系统连续正常的运行，避免因对系统的未授权修改、破坏而导致系统不可用。 - G类—通用安全保护类：既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。 信息系统定级结果组合 安全保护等级 信息系统定级结果的组合 第一级 S1A1G1 第二级 S1A2G2,S2A2G2，S2A1G2 第三级 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3 第四级 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4 第五级 S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A5G5,S5A4G5,S5A3G5,S5A2G5,S5A1G5 三、等保工作具体内容和要求（定级） 实际操作中参考确定信息系统等级： 第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。 第二级信息系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。 第三级信息系统：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络系统等。 第四级信息系统：一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全，影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信骨干传输网、铁路客票系统、列车指挥调度系统等。 三、等保工作具体内容和要求（备案