北京教委各直属单位信息安全等级保护工作培训.pptVIP

北京市教委各直属单位

信息平安等级保护工作培训;信息平安等级保护工作概述;一、信息平安等级保护工作概述;信息平安等级保护工作的定位;信息平安等级保护工作法律法规标准依据;北京市：;二、信息平安保护等级的划分;信息系统平安保护等级的决定要素;;;对客体的三种危害程度;五个等级的划分;五级保护和监管;信息系统等级对照表;三、信息系统平安保护工作流程;1、系统定级和审批

2、备案

3、评估与整改建设

4、等级测评

5、监督检查;3.信息系统平安评估与整改建设;;3.信息系统平安评估与整改建设;4.信息系统平安等级测评;5.监督检查;法律责任;;?信息化促进条例?第四十五条：;处分方式;四、信息系统的定级工作;信息系统平安保护等级责任划分;定级工作的指导思想;定级工作的主要步骤;作为定级对象的信息系统应具有如下根本特征：

〔一〕具有唯一确定的平安责任单位

作为定级对象的信息系统应能够唯一地确定其平安责任单位。

如果一个单位的某个下级单位负责信息系统平安建设、运行维护等过程的全部平安责任，那么这个下级单位可以成为信息系统的平安责任单位；

如果一个单位中的不同下级单位分别承担信息系统不同方面的平安责任，那么该信息系统的平安责任单位应是这些下级单位共同所属的单位。;〔二〕具有信息系统的根本要素

作为定级对象的信息系统应该是配套的设备、设施按照一定的应用目标和规那么组合而成的有形实体。应防止将某个单一的系统组件，如效劳器、终端、网络设备等作为定级对象。

〔三〕承载相对独立的业务应用

定级对象承载“相对独立〞的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有一定的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。

特别注意的是:起传输作用的根底网络要单独定级,等级可以参照在其上运行的信息系统的等级、网络的效劳范围和自身的平安需求确定适当的保护等级，不以在其上运行的信息系统的最高等级或最低等级为标准。

只有同时满足上述三个条件，才可由本单位对其进行定级。;第三步，初步确定信息系统等级;确定信息系统平安等级的依据;等级决定要素与初定等级的关系;业务信息平安和系统效劳平安;

由于业务信息平安和系统效劳平安受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。;每个信息系统的定级流程;确定信息系统的平安保护等级;2、确定系统效劳平安等级;系统等级的变更;第四步，信息系统等级评审;第五步，等级的最终确定与审批;定级报告的编制;定级报告的编制;定级报告的编制;定级报告演示;五、信息系统的备案工作;?管理方法?中对备案的规定;备案需要提交的文件材料;备案需要提交的文件材料;;备案的审核;备案表由四张表单构成：

表一是单位信息，每个单位填写一张；

表二是信息系统根本信息；

表三是信息系统定级信息；〔表二、表三每个信息系统填写一张〕

表四为第三级以上信息系统需要在系统整改、测评等工作完成后再行提交的信息。

表二、三、四可以复印使用，使用时要注意编号。如一个单位有6个信息系统，那么只需

要填写一张表一，分别填写六个表二、三、四。;备案表中有关数据项的说明;;;;;十二、系统编号：由备案单位给出的本单位备案信息系统的编号。备案单位所属信息系统编号不能重复；

系统承载业务情况：〔1〕业务类型：该项为单项选择项。是指信息系统所承载的主要业务。其中1生产作业是指：主要为完本钱单位生产直接提供效劳的。2指挥调度是指：主要用于本单位内进行指挥、调度等工作的。3管理控制是指：主要进行管理工作的。4内部办公是指：主要为单位内部办公提供效劳的。5公众效劳是指：主要为社会公众提供效劳的。〔2〕业务描述：是指系统所承载业务的具体描述，主要包括系统所承载的业务信息包括哪些，信息系统的主要功能等。

系统效劳情况：〔1〕效劳范围：该项为单项选择项。如果信息系统跨全国的所有省，那么选择10全国，如果没有跨全国所有省，那么选择11跨省，同时填写具体的跨省数。跨地〔市、区〕类似。〔2〕效劳对象：该项为单项选择项。单位内部人员：是指仅为本单位内部人员效劳。社会公众人员：是指为社会群众提供效劳。两者均包括：是指既包括单位内部人员也包括社会公众人员。如果仅为某些特定人群效劳，请选择其它，并填写具体效劳的对象名称。;;系统互联情况：该项为多项选择项。1与其它行业系统连接：是指该信息系统与本行业以外的其他行业的信息系统进行连接或共享数据。2与本行业其他单位系统连接：是指该信息系统与行业内其他单位的信息系统进行连接或共享数据。3与本