信息安全等级保护体系.pptx

信息安全等级保护体系信息安全等级保护体系第1页

目录1等级保护概念等级保护实施方法及其过程23等级保护相关文件组织结构4怎样确定信息系统安全保护等级信息安全等级保护体系第2页

1、国际形势要求咱们重视国家关键信息基础设施保护美国自克林顿政府以来，公布了一系列网络空间战略，尤其是奥巴马政府公布了《网络空间国际战略》、《网络空间行动战略》，明确表明了实施网络战略威慑、主导网络空间图谋。境外敌对势力、敌对分子对我主要信息系统大肆进行入侵、攻击，窃取我国家秘密。2、我国形势要求咱们重视国家关键信息基础设施保护针对基础信息网络和主要信息系统违法犯罪连续上升基础信息网络和主要信息系统安全隐患严重3、信息安全性质决定了工作复杂性和艰巨性。信息安全是国家安全主要组成个别信息安全本质是信息反抗、技术反抗是网络空间政治斗争为何要实施等级保护制度信息安全等级保护体系第3页

官方说法：信息安全等级保护是指对国家秘密信息、法人和其它组织及公民专有信息以及公开信息和存放、传输、处理这些信息信息系统分等级实施安全保护，对信息系统中使用信息安全产品实施按等级管理，对信息系统中发生信息安全事件分等级响应、处置。要求动作：信息系统定级、立案、安全建设整改、等级测评、监督检验。公安机关牵头，制订政策标准，并进行监督、检验、指导国家保密部门、密码管理部门负责相关保密工作和密码工作监督、检验、指导工信部及地方经信部门负责等级保护工作中部门间协调其中，包括国家秘密信息系统由国家保密部门负责；非包括国家秘密信息系统由公安机关负责什么是信息安全等级保护信息安全等级保护体系第4页

信息系统安全保护等级划分及监管要求第一级自主保护第二级指导保护第三级监督保护第四级强制保护对社会秩序和公共利益造成尤其严重损害，或者对国家安全造成严重损害。依据国家相关管理规范、技术标准和业务专门需求进行保护必须进行教授评审、立案、测评（每六个月一次），并接收国家信息安全监管部门强制监督、检验对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。依据国家相关管理规范和技术标准进行保护要求立案（能够进行教授评审）、测评（每年一次），并接收国家信息安全监管部门监督、检验对公民、法人和其它组织正当权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。依据国家相关管理规范和技术标准进行保护要求立案，并接收国家信息安全监管部门指导对公民、法人和其它组织正当权益造成损害，但不损害国家安全、社会秩序和公共利益。依据国家相关管理规范和技术标准进行保护信息安全等级保护体系第5页

常见二级系统举例（仅做参考）地市政府办公自动化系统（内部使用）地市政府邮件系统地市政府间协同办公系统企业门户网站（用于对外宣传）银行网站特点：与关键业务无关信息安全等级保护体系第6页

常见三级系统举例（仅做参考）部委级门户网站省政府政务公开系统（交互式）医疗行业关键内网系统交通行业卫星定位系统银行生产网特点：与业务亲密相关信息安全等级保护体系第7页

常见四级系统举例（仅做参考）国家电力调度系统（EMS)中国人民银行官方网站财政部财政支付系统交通部应急指挥调度系统银行生产系统特点：主要部门与关键业务亲密相关信息安全等级保护体系第8页

信息系统安全保护能力目标第二级信息系统第三级信息系统第四级信息系统经过安全建设和等级测评工作，信息系统在统一安全保护策略下含有抵抗敌对势力有组织大规模攻击能力，抵抗严重自然灾害能力，防范计算机病毒和恶意代码危害能力；含有检测、发觉、报警、统计入侵行为能力；含有对安全事件进行快速响应处置，并能够追踪安全责任能力；在系统遭到损害后，含有能够较快恢复正常运行状态能力；对于服务保障性要求高系统，应能快速恢复正常运行状态；含有对系统资源、用户、安全机制等进行集中控管能力。经过安全建设和等级测评工作，信息系统在统一安全保护策略下含有抵抗大规模、较强恶意攻击能力，抵抗较为严重自然灾害能力，防范计算机病毒和恶意代码危害能力；含有检测、发觉、报警、统计入侵行为能力；含有对安全事件进行响应处置，并能够追踪安全责任能力；在系统遭到损害后，含有能够较快恢复正常运行状态能力；对于服务保障性要求高系统，应能马上恢复正常运行状态；含有对系统资源、用户、安全机制等进行集中控管能力。经过安全建设和等级测评工作，信息系统含有抵抗小规模、较弱强度恶意攻击能力，抵抗普通自然灾害能力，防范普通性计算机病毒和恶意代码危害能力；含有检测常见攻击行为，并对安全事件进行统计能力；系统遭到损害后，含有恢复系统正常运行状态能力。信息安全等级保护体系第9页

目录1等级保护概念等级保护实施方法及其过程23等级保护相关文件组织结构4怎样确定信息系统安全保护等级信息安全等级保护体系第10页

信息系统安全等级保护相关文件之间关系政策文件四大标准技术标准