信息安全等級保護培訓(xùn)

1、信息安全等級保護培訓(xùn),一、我國在信息安全保障工作中為什么要實行等級保護制度,當(dāng)前，我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全面臨的形勢十分嚴(yán)峻，既有外部威脅，又有自身脆弱性和薄弱環(huán)節(jié)。 一是針對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪持續(xù)上升。 二是基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全隱患嚴(yán)重。 三是我國的信息安全保障工作基礎(chǔ)還很薄弱,二、實行信息安全等級保護制度能夠解決哪些主要問題,信息安全等級保護是國家信息安全保障工作的基本制度、基本策略、基本方法。開展信息安全等級保護工作是保護信息化發(fā)展、維護國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。 有效解決我國信息安全面臨的威脅和存在的主要問題，充分

2、體現(xiàn)“適度安全、保護重點”的目的，將有限的財力、物力、人力投入到重要信息系統(tǒng)安全保護中，按標(biāo)準(zhǔn)建設(shè)安全保護措施，建立安全保護制度，落實安全責(zé)任，有效保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定的重要信息系統(tǒng)的安全，有效提高我國信息安全保障工作的整體水平,三、國家、有關(guān)部門和企業(yè)在等級保護工作中各自的責(zé)任和義務(wù)是什么,1、國家層面 2、信息安全監(jiān)管部門（包括公安機關(guān)、保密部門、國家密碼工作部門） 3、信息系統(tǒng)主管部門 4、信息系統(tǒng)運營使用單位 5、安全服務(wù)機構(gòu),等級保護工作的職責(zé)分工 公安機關(guān)是等級保護工作的牽頭部門，承擔(dān)著信息安全等級保護工作的監(jiān)督、檢查、指導(dǎo)； 國家保密工作部門、國家密

3、碼管理部門負責(zé)等級保護工作中有關(guān)保密工作和密碼工作的監(jiān)督、檢查、指導(dǎo)； 國信辦及地方信息化領(lǐng)導(dǎo)小組辦事機構(gòu)負責(zé)等級保護工作部門間的協(xié)調(diào)。 其中，涉及國家秘密信息系統(tǒng)的等級保護監(jiān)督管理工作由國家保密工作部門負責(zé)；非涉及國家秘密信息系統(tǒng)的等級保護監(jiān)督管理工作由公安機關(guān)負責(zé),公安機關(guān)牽頭開展等級保護工作的法律政策依據(jù) 1994年，中華人民共和國計算機信息系統(tǒng)安全保護條例 規(guī)定，“計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標(biāo)準(zhǔn)和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定” 。 1995年2月18日人大12次會議通過并實施的中華人民共和國警察法第二章第六條第十二款規(guī)定，公安機關(guān)人民警察依法履行

4、“監(jiān)督管理計算機信息系統(tǒng)的安全保護工作”。 2003年國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號）明確指出“實行信息安全等級保護”。 “要重點保護基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術(shù)指南”,四、近幾年來開展了哪些具體工作 一是制定了50多個國標(biāo)和行標(biāo)，初步形成了信息安全等級保護標(biāo)準(zhǔn)體系 二是開展了等級保護基礎(chǔ)調(diào)查工作 三是開展了等級保護試點工作 四是出臺了公安部、國務(wù)院信息化工作辦公室等四部門關(guān)于信息安全等級保護工作的實施意見 66號文、信息安全等級保護管理辦法 43號

5、文、861號文等政策文件。 五是召開“全國重要信息系統(tǒng)安全等級保護定級工作電視 電話會議” 六是成立“國家信息安全等級保護協(xié)調(diào)小組,五、等級保護工作的主要流程包括哪些，開展等級保護工作的基本要求是什么,主要流程包括六項內(nèi)容： 一是自主定級與審批。 二是評審。 三是備案。 四是系統(tǒng)安全建設(shè)。 五是等級測評。 六是監(jiān)督檢查,六、開展等級保護工作的總體要求,各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，按照“準(zhǔn)確定級、嚴(yán)格審批、及時備案、認(rèn)真整改、科學(xué)測評”的要求完成等級保護的定級、備案、整改、測評等工作 。 公安機關(guān)和保密、密碼工作部門要及時開展監(jiān)督檢查，嚴(yán)格審查信息系統(tǒng)所定級別，嚴(yán)格檢查信息系統(tǒng)開展備案、整改、

6、測評等工作。 對故意將信息系統(tǒng)安全級別定低，逃避公安、保密、密碼部門監(jiān)管，造成信息系統(tǒng)出現(xiàn)重大安全事故的，要追究單位和人員的責(zé)任,七、定級工作的主要步驟是什么,定級是等級保護工作的首要環(huán)節(jié)，是開展信息系統(tǒng)建設(shè)、整改、測評、備案、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。 第一步，摸底調(diào)查，掌握信息系統(tǒng)底數(shù) 第二步，確定定級對象 第三步，初步確定信息系統(tǒng)等級 第四步，信息系統(tǒng)等級評審,第五步，信息系統(tǒng)等級的最終確定與審批 第六步：備案。 第七步：備案審核。 第八步：及時總結(jié)并提交總結(jié)報告,第一步，摸底調(diào)查，掌握信息系統(tǒng)底數(shù),按照定級工作通知確定的定級范圍，各單位、各部門可以組織開展對所屬信息系統(tǒng)進行摸底調(diào)查

7、，摸清信息系統(tǒng)底數(shù)，掌握信息系統(tǒng)（包括信息網(wǎng)絡(luò)）的業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況，為下一步明確要求、落實責(zé)任奠定基礎(chǔ),第二步，確定定級對象,一是應(yīng)用系統(tǒng)應(yīng)按照不同業(yè)務(wù)類別單獨確定為定級對象，不以系統(tǒng)是否進行數(shù)據(jù)交換、是否獨享設(shè)備為確定定級對象條件。起傳輸作用的基礎(chǔ)網(wǎng)絡(luò)要作為單獨的定級對象。 二是確認(rèn)負責(zé)定級的單位是否對所定級系統(tǒng)具有安全管理責(zé)任。 三是具有信息系統(tǒng)的基本要素,第三步，初步確定信息系統(tǒng)等級,信息系統(tǒng)的安全保護等級是信息系統(tǒng)的客觀屬性，不以已采取或?qū)⒉扇∈裁窗踩Ｗo措施為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、社會穩(wěn)定、人民群眾合法權(quán)益的危害程度為

8、依據(jù)，確定信息系統(tǒng)的安全保護等級。既要防止個別單位片面追求絕對安全而定級過高，也要防止為了逃避監(jiān)管定級偏低。 信息網(wǎng)絡(luò)的安全等級可以參照在其上運行的信息系統(tǒng)的等級、網(wǎng)絡(luò)的服務(wù)范圍和自身的安全需求確定適當(dāng)?shù)谋Ｗo等級，不以在其上運行的信息系統(tǒng)的最高等級或最低等級為標(biāo)準(zhǔn),跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)，可以由主管部門統(tǒng)一確定安全保護等級。由各行業(yè)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一安全保護策略的信息系統(tǒng)，應(yīng)由各部委統(tǒng)一確定一個級別；由各部委統(tǒng)一規(guī)劃、分級建設(shè)、運行的信息系統(tǒng)，應(yīng)由部、省、地市分別確定系統(tǒng)等級，但各行業(yè)應(yīng)對該類系統(tǒng)提出定級意見，避免出現(xiàn)同類系統(tǒng)定級出現(xiàn)較大偏差問題,安全保護等級的劃分,五級監(jiān)管

9、,第四步，信息系統(tǒng)等級評審,在信息系統(tǒng)安全保護等級確定過程中，可以聘請專家進行咨詢評審，并出具定級評審意見。對擬確定為第四級以上信息系統(tǒng)的，運營使用單位或者主管部門應(yīng)當(dāng)請國家信息安全保護等級專家評審委員會評審，出具評審意見。 當(dāng)專家意見與運營使用單位或者主管部門不一致時，以運營使用單位或者主管部門意見為準(zhǔn),在信息系統(tǒng)安全保護等級確定過程中，可以聘請專家進行咨詢評審，并出具定級評審意見。對擬確定為第四級以上信息系統(tǒng)的，運營使用單位或者主管部門應(yīng)當(dāng)請國家信息安全保護等級專家評審委員會評審，出具評審意見。 當(dāng)專家意見與運營使用單位或者主管部門不一致時，以運營使用單位或者主管部門意見為準(zhǔn),第五步，信息

10、系統(tǒng)等級的最終確定與審批,信息系統(tǒng)運營使用單位參考專家定級評審意見，最終確定信息系統(tǒng)等級，形成定級報告。信息系統(tǒng)運營使用單位有上級主管部門的，應(yīng)當(dāng)經(jīng)上級主管部門對安全保護等級進行審核批準(zhǔn)。主管部門一般是指行業(yè)的上級主管部門或監(jiān)管部門。如果是跨地域聯(lián)網(wǎng)運營使用的信息系統(tǒng)，則必須由其上級主管部門審批，確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級的一致性,第六步，備案,第二級以上信息系統(tǒng)，在安全保護等級確定后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一

11、聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。定級工作的結(jié)果是以備案完成為標(biāo)志?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的定級、備案工作9月底前完成,第七步，備案審核,受理備案的公安機關(guān)要公布備案受理地點、備案聯(lián)系方式等。在受理備案時，應(yīng)對提交的備案材料進行完整性審核和定級準(zhǔn)確性審核。對符合等級保護要求的，應(yīng)頒發(fā)信息系統(tǒng)安全等級保護備案證明。發(fā)現(xiàn)定級不準(zhǔn)的，通知備案單位重新審核確定,第八步，及時總結(jié)并提交總結(jié)報告,各地區(qū)、各部門要結(jié)合本地區(qū)、本行業(yè)開展定級工作的實際，認(rèn)真總結(jié)經(jīng)驗和不足，提出改進和完善定級方法的意見和建議，及時總結(jié)定級工作經(jīng)驗，形成定級工作總結(jié)報告，并于

12、10月中旬報送公安部,八、定級工作完成后需要開展哪些工作,一是開展安全建設(shè)和整改。 二是開展等級測評。 三是開展自查,九、開展安全等級保護工作依據(jù)的主要標(biāo)準(zhǔn)有哪些,1、基礎(chǔ)標(biāo)準(zhǔn)劃分準(zhǔn)則（GB17859） 2、基線標(biāo)準(zhǔn) 信息系統(tǒng)安全等級保護基本要求 3、輔助標(biāo)準(zhǔn)定級指南、實施指南、測評準(zhǔn)則 4、目標(biāo)標(biāo)準(zhǔn) 信息系統(tǒng)通用安全技術(shù)要求（GB/T20271） 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T20270） 操作系統(tǒng)安全技術(shù)要求（GB/T20272） 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求（GB/T20273） 終端計算機系統(tǒng)安全等級技術(shù)要求（GA/T671） 信息系統(tǒng)安全管理要求（GB/T20269） 信息系統(tǒng)安全工程

13、管理要求（GB/T20282） 5、產(chǎn)品標(biāo)準(zhǔn)防火墻、入侵檢測、終端設(shè)備隔離部件等,十、公安機關(guān)組織開展等級保護中的職責(zé)任務(wù)是什么,1、監(jiān)督、檢查、指導(dǎo)信息系統(tǒng)運營使用單位和主管部門開展信息安全等級保護工作； 2、監(jiān)督、檢查信息系統(tǒng)運營使用單位的安全保護管理制度和技術(shù)措施落實情況、定級和備案情況、安全整改、等級測評、產(chǎn)品使用、自查等情況,十一、公安機關(guān)如何對實施信息安全等級保護進行監(jiān)督管理,一是指導(dǎo)定級。 二是受理備案。 三是定期檢查,系統(tǒng)定級的具體實施,定級基本流程1,表2 業(yè)務(wù)信息安全等級矩陣表 根據(jù)系統(tǒng)服務(wù)安全被破壞時所侵害的客體以及對相應(yīng)客體的侵害程度，依據(jù)表2系統(tǒng)服務(wù)安全等級矩陣表，即

14、可得到系統(tǒng)服務(wù)安全等級,表3 系統(tǒng)服務(wù)安全等級矩陣表 作為定級對象的信息系統(tǒng)的安全保護等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者決定。定級對象等級確定后，可參照附件中的信息系統(tǒng)安全保護等級定級報告模版起草定級報告,不同危害后果的三種危害程度描述如下： 一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的資產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。 嚴(yán)重損害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的資產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴(yán)重損害,特別嚴(yán)重損害：工

15、作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的資產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴(yán)重損害。 信息安全和系統(tǒng)服務(wù)安全被破壞后對客體的侵害程度，由對不同危害結(jié)果的危害程度進行綜合評定得出。由于各行業(yè)信息系統(tǒng)所處理的信息種類和系統(tǒng)服務(wù)特點各不相同，信息安全和系統(tǒng)服務(wù)安全受到破壞后關(guān)注的危害結(jié)果、危害程度的計算方式均可能不同，各行業(yè)可根據(jù)本行業(yè)信息特點和系統(tǒng)服務(wù)特點，制定危害程度的綜合評定方法，并給出侵害不同客體造成損害、嚴(yán)重損害、特別嚴(yán)重損害的具體定義,三種受侵害的客體: 國家安全 體現(xiàn)了國家層面、與全局相關(guān)的國家政治安全

16、、軍事安全、經(jīng)濟安全、社會安全、科技安全等方面利益。 社會秩序和公共利益 包括政治、經(jīng)濟、生產(chǎn)、生活、科研、工作等各方面的正常秩序和社會公眾生產(chǎn)、生活、教育、衛(wèi)生等方面的利益。 合法權(quán)益 是法律確認(rèn)的并受法律保護的公民、法人和其他組織所享有的一定的社會權(quán)利和利益,關(guān)于侵害客體和侵害程度,關(guān)于國家安全 重要的國家事務(wù)處理系統(tǒng)、國防工業(yè)生產(chǎn)系統(tǒng)和國防設(shè)施的控制系統(tǒng)等；廣播、電視、網(wǎng)絡(luò)等重要新聞媒體的發(fā)布或播出系統(tǒng)，其受到非法控制可能引發(fā)影響國家統(tǒng)一、民族團結(jié)和社會安定的重大事件；尖端科技領(lǐng)域的研發(fā)、生產(chǎn)系統(tǒng)等影響國家經(jīng)濟競爭力和科技實力的信息系統(tǒng)，以及電力、通信、能源、交通運輸、金融等國家重要基礎(chǔ)

17、設(shè)施的生產(chǎn)、控制、管理系統(tǒng)等,關(guān)于社會秩序 各級政府機構(gòu)的社會管理和公共服務(wù)系統(tǒng)，如財政、金融、工商、稅務(wù)、公檢法、海關(guān)、社保等領(lǐng)域的信息系統(tǒng)，也包括教育、科研機構(gòu)的工作系統(tǒng)，以及所有為公眾提供醫(yī)療衛(wèi)生、應(yīng)急服務(wù)、供水、供電、郵政等必要服務(wù)的生產(chǎn)系統(tǒng)或管理系統(tǒng),關(guān)于公共利益 借助信息化手段為社會成員提供使用的公共設(shè)施和通過信息系統(tǒng)對公共設(shè)施進行進行管理控制都應(yīng)當(dāng)是要考慮的方面，例如：公共通信設(shè)施、公共衛(wèi)生設(shè)施、公共休閑娛樂設(shè)施、公共管理設(shè)施、公共服務(wù)設(shè)施等。 公共利益與社會秩序密切相關(guān)，社會秩序的破壞一般會造成對公共利益的損害,直接的結(jié)果和間接的影響: 威脅直接作用的結(jié)果信息系統(tǒng)的破壞,但是確

18、定對客體侵害的程度時，必須考慮間接的對客體產(chǎn)生的侵害和影響。 按照國家安全社會秩序和公共利益-公民、法人和組織的合法利益的順序考慮,一、定級對象的三個條件 具有唯一確定的安全責(zé)任單位 作為定級對象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位，這個安全責(zé)任單位就是負責(zé)等級保護工作部署、實施的單位，也是完成等級保護備案和接受監(jiān)督檢查的直接責(zé)任單位。 滿足信息系統(tǒng)的基本要素 作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實體。應(yīng)避免將某個單一的系統(tǒng)組件，如單臺的服務(wù)器、終端或網(wǎng)絡(luò)設(shè)備等作為定級對象,定級階段-關(guān)于定級對象確定,承載相對獨立的業(yè)務(wù)應(yīng)用 定級對象

19、承載“相對獨立”的業(yè)務(wù)應(yīng)用是指其中的一個或多個業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程、部分業(yè)務(wù)功能獨立，同時與其他信息系統(tǒng)的業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備?！跋鄬Κ毩ⅰ钡臉I(yè)務(wù)應(yīng)用并不意味著整個業(yè)務(wù)流程，可以使完整的業(yè)務(wù)流程的一部分,定級階段關(guān)鍵技術(shù)環(huán)節(jié) 定級對象確定 業(yè)務(wù)信息和系統(tǒng)服務(wù)確定 受侵害客體和侵害程度的分析,定級階段-定級對象舉例,電力營銷系統(tǒng) 生產(chǎn)管理系統(tǒng) 工程管理系統(tǒng) 物資管理系統(tǒng) 財務(wù)管理系統(tǒng) OA系統(tǒng) EAI/EIP系統(tǒng) 等,定級階段-定級對象舉例,定級對象結(jié)果1 本部信息系統(tǒng) 供電局信息系統(tǒng) 定級對象結(jié)果2 本部 電力調(diào)度系統(tǒng) 綜合信

20、息系統(tǒng) 營業(yè)部 電力調(diào)度系統(tǒng) 綜合信息系統(tǒng),定級階段-定級對象舉例,定級對象結(jié)果3 本部 數(shù)據(jù)中心系統(tǒng) 用戶局域網(wǎng)系統(tǒng) 骨干網(wǎng)系統(tǒng) 供電局 數(shù)據(jù)中心系統(tǒng) 用戶局域網(wǎng)系統(tǒng) 城域網(wǎng)系統(tǒng),定級階段-定級對象舉例,定級對象結(jié)果4 電力營銷系統(tǒng) 生產(chǎn)管理系統(tǒng) 工程管理系統(tǒng) 物資管理系統(tǒng) 財務(wù)管理系統(tǒng) OA系統(tǒng) EAI/EIP系統(tǒng),定級階段-定級對象舉例,處理不同類型業(yè)務(wù)的系統(tǒng)。 本身運行在不同的網(wǎng)絡(luò)環(huán)境中的系統(tǒng)。 分不開的系統(tǒng)，按照高級別保護,系統(tǒng)邊界不應(yīng)出現(xiàn)在服務(wù)器內(nèi)部，服務(wù)器共用的系統(tǒng)一般歸入同一個信息系統(tǒng)，因此不同信息系統(tǒng)的共用設(shè)備一般是網(wǎng)絡(luò)/邊界設(shè)備或終端設(shè)備。 兩個信息系統(tǒng)邊界存在共用設(shè)備時，共用設(shè)備的安全保護等級按兩個信息系統(tǒng)安全保護等級較高者確定。 例如，一個2級系統(tǒng)和一個3級系統(tǒng)之間有一個防火墻或兩個系統(tǒng)共用一個核心交換機，此時防火墻和交換機可以作為兩個系統(tǒng)的邊界設(shè)備，但應(yīng)滿足3級系統(tǒng)的要求,信息系統(tǒng)的管理終端是與相應(yīng)被管理設(shè)備相對應(yīng)的，服務(wù)器、網(wǎng)絡(luò)設(shè)備及安全設(shè)備等屬于哪個系統(tǒng)，終端就應(yīng)歸在哪個信息系統(tǒng)中。 如果無法做到不同等級的信息系統(tǒng)使用不同的終端設(shè)備，則應(yīng)將終端設(shè)備劃分為其他