信息系统安全等级保护.pptx

信息系统安全等级保护主讲：唐彬彬

《中华人民共和国计算机信息系统安全保护条例》第二章安全保护制度部分规定：“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”01《国家信息化领导小组关于加强信息安全保障工作的意见》重点强调:实行信息安全等级保护制度，重点保护基础信息网络和重要信息系统。03《计算机信息系统安全保护等级划分准则》GB17859-1999（技术法规）规定:国家对信息系统实行五级保护。02国家法律和政策依据

信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。01等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。03根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。02等级保护基本概念

信息安全等级保护是指：对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护。对信息系统按业务安全应用域和区实行分级保护。对系统中使用的信息安全产品实行按分级许可管理。对等级系统的安全服务资质分级许可管理。对信息系统中发生的信息安全事件分等级响应、处置。0302050104信息安全等级保护制度的主要内容

保护业务安全应用。对信息安全分级保护是客观需求：信息系统的建立是为社会发展、社会生活的需要而设计、建立的，是社会构成、行政组织体系及其业务体系的反映，这种体系是分层次和级别的。因此，信息安全保护必须符合客观存在。等级化保护是信息安全发展规律：按组织业务应用区域、分层、分类、分级进行保护和管理，分阶段推进等级保护制度建设，这是做好国家信息安全保护必须遵循的客观规律。为什么要搞等级保护

第一级：用户自主保护级。第二级：系统审计保护级。第三级：安全标记保护级。123654以《计算机信息系统安全保护等级划分准则》GB17859-1999为指导，建立包括系统安全功能、系统之间、网络之间、设备之间、用户之间的可信鉴别保障平台，安全保护能力从第一级到第五级逐级增强。第五级：访问验证保护级。第四级：结构化保护级（系统整体安全设计）。系统安全功能分级保护制度

01一般适用于乡镇所属信息系统、县级某些单位中一般的信息系统、小型私营、个体企业、中小学的信息系统。02能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。第一级等级保护

能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。一般适用于县级某些单位中的重要信息系统，地市级以上国家机关、企业、事业单位内部一般的信息系统。010201第二季等级保护

一般适用于地市级以上国家机关、重要企事业单位内部重要的信息系统。能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。第三级等级保护

一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。1能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。2第四级等级保护

第五级等级保护一般适用于国家重要领域、重要部门中的极端重要系统。

明确责任，共同保护01依照标准，自行保护02同步建设，动态调整03监督指导，重点保护04确保重点、兼顾一般05按需保护、效费合理06信息安全等级保护原则

等级保护的实施第一准备阶段：制定、完善法律规范和技术规范，宣传培训，试点，推广信息安全等级保护试点经验和方法，落实安全管理制度和责任，由各单位确定保护等级，加固改造现有系统安全。

等级保护的实施第二试行阶段:选择具有代表性的信息系统，开展等级保护试行工作，总结经验，完善标准，为全面开展等级保护创造条件。

第三全面发展阶段:完成现有系统加固改造，基本实现规范化、等级化、制度化、法制化。保障基础信息网络安全和重要信息系统安全。逐步更新网络系统的安全设备，使我国信息安全扎根于国家信息安全科学技术和产业的基础之用上，基本实现信息安全技术产