重要信息系统定级工作有关具体问题说明.pptVIP

定级报告的构成和起草信息系统安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。三、如何起草定级报告*准确定级，*第一级，自主保护；第二级，指导保护；第三级，监督保护；第四级，强制监督保护；第五级，专控保护。*备案要求：(《管理办法》第十五条）1、二级以上信息系统2、运营（运行）30日内3、运营、使用单位4、设区的市级以上公安机关办理5、第三级以上的信息系统备案需要提供的材料（《管理办法》第十六条）重要信息系统定级工作

有关具体问题说明来宾市公安局网安支队麦浩2013年11月4日目录一、信息系统等级保护工作的政策体系及标准体系二、等级保护定级备案工作的具体内容和要求三、如何起草定级报告四、如何填写备案表五、等级保护有关资料近几年，公安部根据国务院147号令的授权，会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了一些文件，公安部对有些具体工作出台了一些指导意见和规范，构成了信息安全等级保护政策体系。01汇集成《信息安全等级保护政策汇编》供有关单位、部门使用。02信息安全等级保护政策体系一、信息系统等级保护工作概述信息安全等级保护政策体系《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《信息安全等级保护管理办法》公通字[2007]43号）《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）《信息安全等级保护备案实施细则》（公信安[2007]1360号）《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1429号）32145信息系统等级保护的政策体系01《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）02《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）。03《关于印发〈信息系统安全等级测评报告模版（试行）〉的通知》（公信安[2009]1487号）04《公安机关信息安全等级保护检查工作规范》（公信安[2008]736号）信息系统等级保护的政策体系多年来，在有关部门支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准，形成了比较完整的信息安全等级保护标准体系。汇集成《信息安全等级保护标准汇编》供有关单位、部门使用。信息安全等级保护政策体系基础标准：《计算机信息系统安全保护等级划分准则》。在此基础上制定出技术类、管理类、产品类标准。安全要求：《信息系统安全等级保护基本要求》信息系统安全等级保护的行业规范信息安全等级保护标准体系《信息系统安全等级保护定级指南》信息系统安全等级保护行业定级细则系统等级：《信息系统安全等级保护实施指南》《信息系统等级保护安全设计技术要求》方法指导：《信息系统安全等级保护测评要求》《信息系统安全等级保护测评过程指南》现状分析：信息安全等级保护标准体系010203《基本要求》是阶段性目标，《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一。《基本要求》中不包含安全设计和工程实施等内容，因此可以参照《信息系统等级保护安全设计技术要求》等标准进行。在进行安全建设整改时，应根据业务信息安全等级和系统服务安全等级确定《基本要求》中相应的安全保护要求。在应用有关标准中需注意的几个问题：信息安全等级保护标准体系重点行业可以按照《基本要求》等国家标准，结合行业特点和特殊安全需求，在公安部等有关部门指导下，制定行业标准规范或细则。《信息系统等级保护安全设计技术要求》提出“一个中心三维防护”（安全管理中心和计算环境安全、区域边界安全、通信网络安全）的安全保护设计技术要求。本标准应与其他标准配合使用。0102信息安全等级保护标准体系二、信息系统等级保护定级备案工作的具体内容和要求信息安全等级保护定级工作信息系统定级原则：“自主定级、专家评审、主管部门审批、公安机关审核”。具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）要求执行。定级工作流程：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。二、等级保护定级备案工作的具体内容和要求确定定级对象起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）。用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。各单位网站。等级保护定级备案工作的具体内容和要求2.确定信息系