国家信息安全等级保护制度的主要内容和要求.ppt
- 文档编号:1724300
- 上传时间:2022-10-23
- 格式:PPT
- 页数:72
- 大小:630KB
国家信息安全等级保护制度的主要内容和要求.ppt
《国家信息安全等级保护制度的主要内容和要求.ppt》由会员分享,可在线阅读,更多相关《国家信息安全等级保护制度的主要内容和要求.ppt(72页珍藏版)》请在冰豆网上搜索。
国家信息安全等级保护制度的主要内容和要求公安部网络安全保卫局郭启全,全国公安机关网络安全保卫部门机构和职责,机构:
公安部:
网络安全保卫局各省:
网络警察总队地市:
网络警察支队区县:
网络警察大队职责:
制定信息安全政策互联网安全管理,网上监控打击网络犯罪重要系统安全监察网络与信息安全通报,公安机关开展等级保护的依据,1.中华人民共和国人民警察法规定:
人民警察履行“监督管理计算机信息系统的安全保护工作”的职责。
2.国务院令第147号规定:
“公安部主管全国计算机信息系统安全保护工作”,“等级保护的具体办法,由公安部会同有关部门制定”。
3.2008年国务院三定方案。
“监督、检查、指导信息安全等级保护工作”。
目录,一、信息安全等级保护制度的主要内容二、信息安全等级保护政策体系和标准体系三、信息安全等级保护工作的具体内容和要求,国家信息安全保障工作主要内容,信息安全等级保护制度;信息保护和网络信任体系建设;信息安全监控体系;信息安全应急处理;信息安全技术研究,信息安全产业发展;信息安全法制建设和标准化建设;信息安全人才培养;保证信息安全资金;信息安全工作的领导,信息安全责任制。
网络与信息安全主要对策,加强组织领导,提高信息安全保障工作的组织协调能力。
深化开展等级保护工作,提高网络主动防御能力。
加强实时监测和分析研判,提高网络安全的发现预警能力。
加强应急演练,提高网络应急处置能力。
加强信息通报机制建设,提高信息通报和共享能力。
建立多方参与机制,有效发挥各方力量。
近年来等级保护工作成效,
(一)重要行业、部门对网络安全重要性的认识明显提高,对网络安全的重视程度明显提高。
(二)重要行业、部门以等级保护工作为抓手,全面系统地开展网络安全工作,有力提升了国家信息安全保障水平和能力。
(三)通过对信息系统开展等级测评,及时发现了信息系统的安全隐患、漏洞和薄弱环节,初步掌握了重要信息系统安全保护状况。
近年来等级保护工作成效,(四)通过开展信息安全等级保护安全建设整改,重要信息系统安全防护能力显著增强,信息安全事件(事故)数量明显下降。
(五)重要行业、部门以等级保护工作为核心,创造出具有行业特点的网络与信息安全保障工作模式。
等级保护工作经验,领导重视是根本充分发挥行业主管部门作用是关键突出工作重点是有效对策充分调动多方力量是重要保障加强服务指导是科学方法公安机关开展监督检查是重要手段,一、等级保护制度的主要内容,
(一)国家为什么要实施信息安全等级保护制度1.信息安全形势严峻敌对势力的入侵、攻击、破坏针对基础信息网络和重要信息系统的违法犯罪持续上升基础信息网络和重要信息系统安全隐患严重,一、等级保护制度的主要内容,2.是维护国家安全的需要基础信息网络与重要信息系统已成为国家关键基础设施,必须要保护好。
信息安全是国家安全的重要组成部分。
信息安全的本质是信息对抗、技术对抗,是网络空间的政治斗争。
一、等级保护制度的主要内容,
(二)国家对等级保护制度的要求,一、等级保护制度的主要内容,确立了信息安全等级保护制度的法律地位;明确了实行等级保护是我国信息安全保障工作中一项重要制度和措施;赋予了公安机关牵头负责信息安全等级保护工作监督管理的职责。
一、等级保护制度的主要内容,(三)信息安全等级保护的内涵是世界各国普遍推行的基本做法是在吸收发达国家经验基础上的创新是我国最全面的信息安全保障政策体系体现了我国加强信息安全保障工作的原则解决了不同安全需要下的安全保护问题体现了安全建设和管理模式的重大变革是在发展中逐步完善的政策体系,一、等级保护制度的主要内容,(四)等级保护制度的特点紧迫性。
信息安全滞后于信息化发展。
全面性。
内容涉及广泛,各单位各部门落实。
基础性。
基本制度、基本国策。
强制性。
公安机关监督、检查、指导。
规范性。
政策和标准保障。
一、等级保护制度的主要内容,(五)等级保护工作中的职责分工等级保护工作协调(领导)小组负责信息安全等级保护工作组织领导,制定本地区、本行业开展信息安全等级保护的工作部署和实施方案,并督促有关单位落实,研究、协调、解决等级保护工作中的重要工作事项,及时通报或报告等级保护实施工作的相关情况。
一、等级保护制度的主要内容,信息安全职能部门公安机关负责信息安全等级保护工作的监督、检查、指导,是等级保护工作的牵头部门。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
工业和信息化及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
一、等级保护制度的主要内容,信息系统运营使用单位及其主管部门信息系统运营使用单位按照等级保护的管理规范和技术标准,开展信息系统定级、备案、安全建设整改、等级测评、自查等工作,并接受公安机关等部门的监督、指导。
有主管部门的,主管部门要督促、检查、指导本行业、本部门信息系统运营使用单位开展信息安全等级保护工作。
一、等级保护制度的主要内容,安全服务机构信息安全企业,信息系统安全集成商、等级测评机构等安全服务机构,依据国家有关管理规定和技术标准,开展技术支持、服务等工作,并接受监管部门的监督管理。
一、等级保护制度的主要内容,专家组宣传等级保护相关政策、标准;指导备案单位研究拟定贯彻实施意见和建设规划、技术标准的行业应用;参与定级和安全建设整改方案论证、评审;协助发现树立典型、总结经验并推广;跟踪国内外信息安全技术最新发展,开展等级保护关键技术研究;研究提出完善等级保护政策体系和技术体系的意见和建议。
一、等级保护制度的主要内容,(六)开展等级保护工作的基本要求各单位、各部门,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求开展等级保护的定级、备案、整改、测评等工作。
公安机关要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。
对故意将信息系统安全级别定低,逃避公安、保密、密码部门监管,造成信息系统出现重大安全事故的,要追究单位和人员的责任。
二、等级保护政策体系和标准体系,
(一)信息安全等级保护政策体系近几年,公安部根据国务院147号令的授权,会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了一些文件,公安部对有些具体工作出台了一些指导意见和规范,构成了信息安全等级保护政策体系。
汇集成信息安全等级保护政策汇编供有关单位、部门使用。
等级保护工作配套政策体系,1、关于信息安全等级保护工作的实施意见(公通字200466号)2、信息安全等级保护管理办法(公通字200743号)3、关于开展全国重要信息系统安全等级保护定级工作的通知(公通字2007861号)4、信息安全等级保护备案实施细则(公信安20071360号)5、关于开展信息系统等级保护安全建设整改工作的指导意见(公信安20091429号)6、关于做好信息安全等级保护测评机构审核推荐工作的通知(公信安2010559号),7、关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)8、关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安2010303号)。
9、关于印发信息系统安全等级测评报告模版(试行)的通知(公信安20091487号)10、公安机关信息安全等级保护检查工作规范(公信安2008736号)11、关于开展信息安全等级保护专项监督检查工作的通知(公信安20101175号)12、关于进一步推进中央企业信息安全等级保护工作的通知(公通字201070号),二、等级保护政策体系和标准体系,
(二)信息安全等级保护标准体系多年来,在有关部门支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系。
汇集成信息安全等级保护标准汇编供有关单位、部门使用。
在安全建设整改工作中的作用等级保护有关标准,基础标准:
计算机信息系统安全保护等级划分准则。
在此基础上制定出技术类、管理类、产品类标准。
安全要求:
信息系统安全等级保护基本要求信息系统安全等级保护的行业规范,二、等级保护政策体系和标准体系,系统等级:
信息系统安全等级保护定级指南信息系统安全等级保护行业定级细则方法指导:
信息系统安全等级保护实施指南信息系统等级保护安全设计技术要求现状分析:
信息系统安全等级保护测评要求信息系统安全等级保护测评过程指南,二、等级保护政策体系和标准体系,在应用有关标准中需注意的几个问题:
1、基本要求是阶段性目标,信息系统等级保护安全设计技术要求是实现该目标的方法和途径之一。
2、基本要求中不包含安全设计和工程实施等内容,因此应参照信息系统等级保护安全设计技术要求等标准进行。
3、重点行业可以按照基本要求等国家标准,结合行业特点和特殊安全需求,在公安部等有关部门指导下,制定行业标准规范或细则。
二、等级保护政策体系和标准体系,三、等级保护工作的具体内容和要求,
(一)信息安全等级保护定级工作信息系统定级原则:
“自主定级、专家评审、主管部门审批、公安机关审核”。
具体可按照关于开展全国重要信息系统安全等级保护定级工作的通知(公通字2007861号)要求执行。
定级工作流程:
确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。
三、等级保护工作的具体内容和要求,1.确定定级对象起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)。
用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。
各单位网站。
三、等级保护工作的具体内容和要求,2.确定信息系统安全保护等级管理办法规定的五个等级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
三、等级保护工作的具体内容和要求,第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
三、等级保护工作的具体内容和要求,实际操作中参考确定信息系统等级:
第一级信息系统:
适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级信息系统:
适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。
例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
三、等级保护工作的具体内容和要求,第三级信息系统:
一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省联接的网络系统等。
三、等级保护工作的具体内容和要求,第四级信息系统:
一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全,影响社会稳定的核心系统。
例如电力生产控制系统、银行核心业务系统、电信骨干传输网、铁路客票系统、列车指挥调度系统等。
3.定级工作需注意的问题同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。
新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。
三、等级保护工作的具体内容和要求,
(二)信息系统备案工作备案工作包括:
信息系统备案、受理、审核和备案信息管理。
具体按照关于开展全国重要信息系统安全等级保护定级工作的通知要求开展。
1、备案第二级以上信息系统,由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续,填写信息系
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 国家 信息 安全 等级 保护 制度 主要内容 要求
![提示](https://static.bdocx.com/images/bang_tan.gif)