信息安全等級保護(hù)制度.ppt

1、信息安全等級保護(hù)制度,信息安全等級保護(hù)定級和備案 廣東省公安廳網(wǎng)警總隊(duì) 林雁飛 2007年9月,提 綱,一、主要工作措施 二、信息安全保護(hù)等級的劃分和標(biāo)準(zhǔn) 三、信息系統(tǒng)安全保護(hù)等級的確定 四、備案,一、主要工作措施,開展信息系統(tǒng)基本情況的摸底調(diào)查 初步確定安全保護(hù)等級 評審與審批 備案,二、信息安全保護(hù)等級的劃分和標(biāo)準(zhǔn),信息系統(tǒng)的安全保護(hù)等級應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。,二、信息安全保護(hù)等級的劃分和標(biāo)準(zhǔn),第一級，信息系統(tǒng)受到破壞后 會(huì)對公民、法人和其他組織的合法權(quán)益造

2、成損害 但不損害國家安全、社會(huì)秩序和公共利益,二、信息安全保護(hù)等級的劃分和標(biāo)準(zhǔn),第二級，信息系統(tǒng)受到破壞后 會(huì)對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害 或者對社會(huì)秩序和公共利益造成損害， 但不損害國家安全,二、信息安全保護(hù)等級的劃分和標(biāo)準(zhǔn),第三級，信息系統(tǒng)受到破壞后 會(huì)對社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害 或者對國家安全造成損害,二、信息安全保護(hù)等級的劃分和標(biāo)準(zhǔn),第四級，信息系統(tǒng)受到破壞后 會(huì)對社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害 或者對國家安全造成嚴(yán)重?fù)p害,二、信息安全保護(hù)等級的劃分和標(biāo)準(zhǔn),第五級，信息系統(tǒng)受到破壞后 會(huì)對國家安全造成特別嚴(yán)重?fù)p害,二、信息安全保護(hù)等級的劃分和標(biāo)準(zhǔn),信息系統(tǒng)分為

3、所處理的業(yè)務(wù)信息和作為整體的系統(tǒng)服務(wù)兩個(gè)層次 信息系統(tǒng)安全保護(hù)等級由業(yè)務(wù)信息和系統(tǒng)服務(wù)兩個(gè)層次的安全等級之中的較高中決定,二、信息安全保護(hù)等級的劃分和標(biāo)準(zhǔn),決定信息系統(tǒng)的安全保護(hù)等級由兩個(gè)定級要素決定 受到破壞時(shí)侵害了什么（客體） 侵害的程度如何（對客體造成侵害的程度）,二、信息安全保護(hù)等級的劃分和標(biāo)準(zhǔn),等級保護(hù)對象受到破壞時(shí)所侵害的客體 公民、法人和其他組織的合法權(quán)益 社會(huì)秩序、公共利益 國家安全,二、信息安全保護(hù)等級的劃分和標(biāo)準(zhǔn),對客體造成侵害的程度 造成一般損害 造成嚴(yán)重?fù)p害 造成特別嚴(yán)重?fù)p害,三、信息系統(tǒng)安全保護(hù)等級的確定,定級范圍 電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息

4、網(wǎng)絡(luò)，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。 鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計(jì)、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。 市（地）級以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。 涉及國家秘密的信息系統(tǒng)（以下簡稱涉密信息系統(tǒng)）,三、信息系統(tǒng)安全保護(hù)等級的確定,定級工作步驟 第一步：確定定級對象 作為定級對象的信息系統(tǒng)應(yīng)具有如下基本特征： 1 .具有唯一確定的安全責(zé)任單位。 2 .具有信息系統(tǒng)的基本

5、要素。 3 .承載單一或相對獨(dú)立的業(yè)務(wù)應(yīng)用。 不是涉密信息系統(tǒng)（按照保密等級相關(guān)要求定級）,三、信息系統(tǒng)安全保護(hù)等級的確定,定級工作步驟 第二步：初步確定信息系統(tǒng)等級 1定級的一般流程,三、信息系統(tǒng)安全保護(hù)等級的確定,三、信息系統(tǒng)安全保護(hù)等級的確定,2確定受侵害的客體侵害了何種權(quán)益 定級對象受到破壞時(shí)所侵害的客體包括國家安全、社會(huì)秩序、公眾利益以及公民、法人和其他組織的合法權(quán)益。,三、信息系統(tǒng)安全保護(hù)等級的確定,侵害國家安全的事項(xiàng)包括以下方面 影響國家政權(quán)穩(wěn)固和國防實(shí)力 影響國家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定 影響國家對外活動(dòng)中的政治、經(jīng)濟(jì)利益 影響國家重要的安全保衛(wèi)工作 影響國家經(jīng)濟(jì)競爭力和科技實(shí)

6、力 其他影響國家安全的事項(xiàng)。,三、信息系統(tǒng)安全保護(hù)等級的確定,侵害社會(huì)秩序的事項(xiàng)包括以下方面 影響國家機(jī)關(guān)社會(huì)管理和公共服務(wù)的工作秩序 影響各種類型的經(jīng)濟(jì)活動(dòng)秩序 影響各行業(yè)的科研、生產(chǎn)秩序 影響公眾在法律約束和道德規(guī)范下的正常生活秩序等 其他影響社會(huì)秩序的事項(xiàng),三、信息系統(tǒng)安全保護(hù)等級的確定,影響公共利益的事項(xiàng)包括以下方面 影響社會(huì)成員使用公共設(shè)施 影響社會(huì)成員獲取公開信息資源 影響社會(huì)成員接受公共服務(wù)等方面 其他影響公共利益的事項(xiàng) 影響公民、法人和其他組織的合法權(quán)益是指 由法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益,三、信息系統(tǒng)安全保護(hù)等級的確定,確定作為定級

7、對象的信息系統(tǒng)受到破壞后所侵害的客體時(shí)，應(yīng)首先判斷是否侵害國家安全，然后判斷是否侵害社會(huì)秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權(quán)益。,三、信息系統(tǒng)安全保護(hù)等級的確定,3確定侵害的客觀方面造成何種損失 在客觀方面，對客體的侵害外在表現(xiàn)為對定級對象的破壞，其危害方式表現(xiàn)為對信息安全的破壞和對信息系統(tǒng)服務(wù)的破壞。,三、信息系統(tǒng)安全保護(hù)等級的確定,信息安全和系統(tǒng)服務(wù)安全受到破壞后，可能產(chǎn)生以下危害后果： 影響行使工作職能 導(dǎo)致業(yè)務(wù)能力下降 引起法律糾紛 導(dǎo)致財(cái)務(wù)損失 造成社會(huì)不良影響 對其他組織和個(gè)人造成損失 其他影響,三、信息系統(tǒng)安全保護(hù)等級的確定,4綜合判定侵害程度 系統(tǒng)服務(wù)安

8、全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從信息系統(tǒng)服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)、業(yè)務(wù)量、業(yè)務(wù)性質(zhì)等不同方面確定。 業(yè)務(wù)信息安全被破壞導(dǎo)致的財(cái)物損失可以從直接的資金損失大小、間接的信息恢復(fù)費(fèi)用等方面進(jìn)行確定。,三、信息系統(tǒng)安全保護(hù)等級的確定,不同危害后果的三種危害程度描述如下： 一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的資產(chǎn)損失，有限的社會(huì)不良影響，對其他組織和個(gè)人造成較低損害。,三、信息系統(tǒng)安全保護(hù)等級的確定,嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的資產(chǎn)損失，較大范圍的社會(huì)不良影響，對

9、其他組織和個(gè)人造成較嚴(yán)重?fù)p害。,三、信息系統(tǒng)安全保護(hù)等級的確定,特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的資產(chǎn)損失，大范圍的社會(huì)不良影響，對其他組織和個(gè)人造成非常嚴(yán)重?fù)p害。,三、信息系統(tǒng)安全保護(hù)等級的確定,5確定信息系統(tǒng)安全保護(hù)等級,三、信息系統(tǒng)安全保護(hù)等級的確定,三、信息系統(tǒng)安全保護(hù)等級的確定,作為定級對象的信息系統(tǒng)的安全保護(hù)等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者決定。定級對象等級確定后，起草信息系統(tǒng)安全保護(hù)等級定級報(bào)告。,三、信息系統(tǒng)安全保護(hù)等級的確定,定級工作步驟 第三步：信息系統(tǒng)等級評審 在信息系統(tǒng)安

10、全保護(hù)等級確定過程中，可以聘請專家進(jìn)行咨詢評審，并出具定級評審意見 對擬確定為第四級以上信息系統(tǒng)的，運(yùn)營、使用單位或者主管部門應(yīng)當(dāng)邀請國家信息安全保護(hù)等級專家評審委員會(huì)評審，出具評審意見。,三、信息系統(tǒng)安全保護(hù)等級的確定,定級工作步驟 第四步：信息系統(tǒng)等級的最終確定與審批 信息系統(tǒng)運(yùn)營使用單位參考專家定級評審意見，最終確定信息系統(tǒng)等級，形成定級報(bào)告。 如果專家評審意見與運(yùn)營使用單位意見不一致時(shí)，由運(yùn)營使用單位自主決定系統(tǒng)等級。 信息系統(tǒng)運(yùn)營使用單位有上級主管部門的，應(yīng)當(dāng)經(jīng)上級主管部門對安全保護(hù)等級進(jìn)行審核批準(zhǔn)。,定級實(shí)例1,系統(tǒng)簡述：某省政府網(wǎng)站系統(tǒng)ZFWZ，用于發(fā)布政務(wù)公開信息、地方行政法規(guī)

11、和管理措施、領(lǐng)導(dǎo)講話、政府辦事流程、新聞發(fā)布、政府公告、舉報(bào)投訴、省內(nèi)經(jīng)濟(jì)形勢介紹、電子表單下載等信息，服務(wù)對象主要是省內(nèi)企業(yè)和市民。,定級實(shí)例1,ZFWZ系統(tǒng)等級確定過程： ZFWZ系統(tǒng)是省政府對社會(huì)辦公的窗口，其中發(fā)布的信息內(nèi)容代表政府形象和體現(xiàn)政府的社會(huì)管理和社會(huì)服務(wù)職能，因此該信息安全被破壞可能對社會(huì)秩序造成一定影響 由于省政府網(wǎng)站的訪問量并不很大，信息被篡改可能造成的不良社會(huì)影響不會(huì)很大，因此對社會(huì)秩序的侵害程度為一般損害； 查表知ZFWZ系統(tǒng)的業(yè)務(wù)信息安全保護(hù)等級為第二級，如下表所示。,定級實(shí)例1,定級實(shí)例1,ZFWZ系統(tǒng)為省內(nèi)企業(yè)和市民提供政府信息查詢和下載服務(wù)，其系統(tǒng)服務(wù)如果不

12、可用侵害的不是省政府本身的利益，而是公眾獲取公開信息的公眾利益； 但由于沒有必須通過網(wǎng)絡(luò)才能夠執(zhí)行的辦事流程，ZFWZ系統(tǒng)對服務(wù)實(shí)時(shí)性和服務(wù)質(zhì)量要求不高，政務(wù)服務(wù)工作主要通過網(wǎng)絡(luò)之外完成，網(wǎng)絡(luò)僅提供相關(guān)信息和表單下載，網(wǎng)站不能提供服務(wù)對市民辦事影響不大； 查表知ZFWZ系統(tǒng)的業(yè)務(wù)服務(wù)安全保護(hù)等級為第二級，如下表所示。,定級實(shí)例1,定級實(shí)例1,ZFWZ系統(tǒng)的安全保護(hù)等級為第二級。,定級實(shí)例2,系統(tǒng)簡述：某省電力集團(tuán)公司的省級電力實(shí)時(shí)監(jiān)控系統(tǒng)，主要運(yùn)行調(diào)度自動(dòng)化控制系統(tǒng)和能量管理系統(tǒng)（SCADA/EMS）DDZDH，負(fù)責(zé)省級超高壓輸電變電站的調(diào)度控制和數(shù)據(jù)采集。系統(tǒng)實(shí)時(shí)性要求極高，達(dá)到秒級。,定級

13、實(shí)例2,系統(tǒng)等級確定過程： 電力系統(tǒng)是國家重要基礎(chǔ)設(shè)施，省級DDZDH系統(tǒng)負(fù)責(zé)全省范圍內(nèi)的電力調(diào)度，調(diào)度控制指令或調(diào)度程序被修改，可能造成的停電事故會(huì)影響幾乎所有行業(yè)的正常生產(chǎn)和工作，其所侵害的客體為社會(huì)秩序和公共利益； 調(diào)度控制指令或調(diào)度程序被修改可能造成全省范圍大面積停電、人員傷亡和巨額財(cái)產(chǎn)損失，同時(shí)對其它行業(yè)的生產(chǎn)和工作造成非常嚴(yán)重的影響，因此對社會(huì)秩序和公共利益的侵害程度為特別嚴(yán)重?fù)p害； 查表知DDZDH系統(tǒng)的業(yè)務(wù)信息安全保護(hù)等級為第四級，如下表所示。,定級實(shí)例2,定級實(shí)例2,DDZDH系統(tǒng)負(fù)責(zé)省級超高壓輸電變電站的調(diào)度控制和數(shù)據(jù)采集，該系統(tǒng)無法提供服務(wù)可能造成全省范圍供電異常，可能造

14、成大面積停電、人員傷亡和巨額財(cái)產(chǎn)損失, 同時(shí)對其它行業(yè)的生產(chǎn)和工作造成非常嚴(yán)重的影響，因此對社會(huì)秩序和公共利益的侵害程度為特別嚴(yán)重?fù)p害； 查表知DDZDH系統(tǒng)的系統(tǒng)服務(wù)安全保護(hù)等級取值為4，如下表所示。,定級實(shí)例2,定級實(shí)例2,DDZDH系統(tǒng)的安全保護(hù)等級為第四級。,四、備案,備案（以下兩種形式都要做） 書面填寫信息系統(tǒng)安全等級保護(hù)備案表 一式兩份。可填WORD文檔，再打印輸出，附上附件。 10月10日前交換到省公安廳網(wǎng)絡(luò)警察總隊(duì)管理監(jiān)察科。 利用備案工具填寫，10月10日前生成電子數(shù)據(jù)發(fā)到電子郵箱。 涉密系統(tǒng)填寫涉及國家秘密的信息系統(tǒng)分級保護(hù)備案表，向保密部門備案。,四、備案,信息系統(tǒng)安全等級保護(hù)備案表 WORD文檔和備案工具及其他相關(guān)材料可到廣東網(wǎng)警網(wǎng)站信息安全等級保護(hù)欄目下載。,信息系統(tǒng)安全等級保護(hù)備案表補(bǔ)充說明,一、表一04行政區(qū)劃代碼 可到廣東網(wǎng)警網(wǎng)站信息安全等級保護(hù)欄目下載廣東行政區(qū)劃代碼查詢。 二、表一08隸屬關(guān)系 1省直國家機(jī)關(guān)、省政府直屬的企業(yè)、事業(yè)單位，國資委管理的企業(yè)選“2省(自治區(qū)、直轄市)”。 2省直部門下設(shè)的企業(yè)、事業(yè)單位選“9其他 ”，再在橫線上注明是哪個(gè)部門下設(shè)的企業(yè)、事業(yè)單位。,信息系統(tǒng)安全等級保護(hù)備案表補(bǔ)充說明,三、表二07關(guān)鍵產(chǎn)品使用情況的部分使用及使用率 使用率按產(chǎn)品的種類來計(jì)。 四、表三05