1 / 39

重要信息系统定级工作 有关具体问题说明

重要信息系统定级工作 有关具体问题说明. 来宾市公安局网安支队 麦浩 2013 年 11 月 4 日. 目录. 一、信息系统等级保护工作的政策体系及标准体系 二、等级保护定级备案工作的具体内容和要求 三、如何起草定级报告 四、如何填写备案表 五、等级保护有关资料. 一、信息系统等级保护工作概述. (一)信息安全等级保护政策体系 近几年,公安部根据国务院 147 号令的授权,会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了一些文件,公安部对有些具体工作出台了一些指导意见和规范,构成了信息安全等级保护政策体系。

hija
Download Presentation

重要信息系统定级工作 有关具体问题说明

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 重要信息系统定级工作有关具体问题说明 来宾市公安局网安支队 麦浩 2013年11月4日

  2. 目录 • 一、信息系统等级保护工作的政策体系及标准体系 • 二、等级保护定级备案工作的具体内容和要求 • 三、如何起草定级报告 • 四、如何填写备案表 • 五、等级保护有关资料

  3. 一、信息系统等级保护工作概述 (一)信息安全等级保护政策体系 近几年,公安部根据国务院147号令的授权,会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了一些文件,公安部对有些具体工作出台了一些指导意见和规范,构成了信息安全等级保护政策体系。 汇集成《信息安全等级保护政策汇编》供有关单位、部门使用。

  4. 信息安全等级保护政策体系

  5. 信息系统等级保护的政策体系 1、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号) 2、《信息安全等级保护管理办法》公通字[2007]43号) 3、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号) 4、《信息安全等级保护备案实施细则》(公信安[2007]1360号) 5、《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1429号)

  6. 信息系统等级保护的政策体系 6、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号) 7、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)。 8、《关于印发〈信息系统安全等级测评报告模版(试行)〉的通知》(公信安[2009]1487号) 9、《公安机关信息安全等级保护检查工作规范》(公信安[2008]736号 )

  7. 多年来,在有关部门支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系。汇集成《信息安全等级保护标准汇编》供有关单位、部门使用。

  8. 信息安全等级保护标准体系 (一)信息安全等级保护政策体系 基础标准: 《计算机信息系统安全保护等级划分准则》。 在此基础上制定出技术类、管理类、产品类标准。 安全要求: 《信息系统安全等级保护基本要求》 信息系统安全等级保护的行业规范

  9. 信息安全等级保护标准体系 系统等级: 《信息系统安全等级保护定级指南》 信息系统安全等级保护行业定级细则 方法指导: 《信息系统安全等级保护实施指南》 《信息系统等级保护安全设计技术要求》 现状分析: 《信息系统安全等级保护测评要求》 《信息系统安全等级保护测评过程指南》

  10. 信息安全等级保护标准体系 在应用有关标准中需注意的几个问题: 1、《基本要求》是阶段性目标,《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一。 2、《基本要求》中不包含安全设计和工程实施等内容,因此可以参照《信息系统等级保护安全设计技术要求》等标准进行。 3、在进行安全建设整改时,应根据业务信息安全等级和系统服务安全等级确定《基本要求》中相应的安全保护要求。

  11. 信息安全等级保护标准体系 4、重点行业可以按照《基本要求》等国家标准,结合行业特点和特殊安全需求,在公安部等有关部门指导下,制定行业标准规范或细则。 5、《信息系统等级保护安全设计技术要求》提出“一个中心三维防护”(安全管理中心和计算环境安全、区域边界安全、通信网络安全)的安全保护设计技术要求。本标准应与其他标准配合使用。

  12. 二、信息系统等级保护定级备案工作的具体内容和要求二、信息系统等级保护定级备案工作的具体内容和要求

  13. 二、等级保护定级备案工作的具体内容和要求 (一)信息安全等级保护定级工作 信息系统定级原则:“自主定级、专家评审、主管部门审批、公安机关审核”。具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)要求执行。 定级工作流程:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。

  14. 二、等级保护定级备案工作的具体内容和要求 1. 确定定级对象 • 起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)。 • 用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统 。 • 各单位网站。

  15. 二、等级保护定级备案工作的具体内容和要求 2.确定信息系统安全保护等级 《管理办法》规定的五个等级: • 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 • 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

  16. 二、等级保护定级备案工作的具体内容和要求 • 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 • 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 • 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

  17. 二、等级保护定级备案工作的具体内容和要求 实际操作中参考确定信息系统等级: • 第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。 • 第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。

  18. 二、等级保护定级备案工作的具体内容和要求 • 第三级信息系统:一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省联接的网络系统等。

  19. 二、等级保护定级备案工作的具体内容和要求 • 第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全,影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。 3. 定级工作需注意的问题 • 同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 • 新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。

  20. 二、等级保护定级备案工作的具体内容和要求 (二)信息系统备案工作 备案工作包括:信息系统备案、受理、审核和备案信息管理。具体按照《关于开展全国重要信息系统安全等级保护定级工作的通知》要求开展。 1、备案 • 第二级以上信息系统,由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续,填写《信息系统安全等级保护备案表》。

  21. 二、等级保护定级备案工作的具体内容和要求 • 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部备案;其他信息系统向北京市公安局备案。 • 跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。 • 各部委统一定级信息系统在各地的分支系统,即使是上级主管部门定级的,也要到当地公安网络安全保卫部门备案。

  22. 二、等级保护定级备案工作的具体内容和要求 2. 受理备案与审核 公安机关受理备案,按照《信息安全等级保护备案实施细则》要求,对备案材料进行审核,定级准确、材料符合要求的颁发由公安部统一监制的备案证明。

  23. 三、如何起草定级报告

  24. 三、如何起草定级报告 (一)定级报告是什么 定级报告是为详细了解和掌握定级过程情况由信息系统运营使用单位负责填写的文档。定级报告作为《备案表》表三的附件,要在信息系统备案时一并提交。 信息系统运营使用单位在起草定级报告时可以请技术支持单位协助。

  25. 三、如何起草定级报告 (二)定级报告的构成和起草 1、信息系统描述 简述确定该信息系统为定级对象的理由。包括:该信息系统所承载业务的主管单位和部门,该信息系统具有信息系统的基本要素(有主机、网络及相关配套设施构成的人机系统),该信息系统承载着独立或单一的业务应用,业务应用主要包括哪些,各包含哪些功能等。

  26. 三、如何起草定级报告 (二)定级报告的构成起草 2、信息系统安全保护等级的确定 (1)业务信息安全保护等级的确定。 第一步:简要描述信息系统所处理的主要业务信息,包括各项业务的主要数据项有哪些等。 第二步:确定业务信息受到破坏后所侵害的客体 第三步:确定对客体的侵害程度 第四步:查表确定业务信息安全等级

  27. 三、如何起草定级报告 (二)定级报告的构成和起草 2、信息系统安全保护等级的确定 (2)系统服务安全保护等级的确定 第一步:简要描述系统的服务范围、服务对象、服务要求等等。 第二步:确定系统服务受到破坏后所侵害的客体 第三步:确定对客体的侵害程度 第四步:查表确定系统服务安全等级

  28. 三、如何起草定级报告 (二)定级报告的构成和起草 2、信息系统安全保护等级的确定 (3)信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。

  29. 四、如何填写《备案表》

  30. 四、如何填写《备案表》 (一)备案表的作用和构成 1、备案表是信息系统运营使用单位实施信息安全等级保护工作的重要记录,也是公安机关履行监督检查职责进行重要信息系统管理的重要凭证。公安机关只有通过备案表才能及时了解和掌握信息系统及其运营使用单位的基本情况,进行汇总、分析、统计等工作,并实施有针对性地监督、管理措施。 2、备案表由四张表单构成,表一是单位信息,每个单位填写一张;表二是信息系统基本信息,表三是信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要在系统整改、测评等工作完成后再行提交的信息。表二、三、四可以复印使用,使用时要注意编号。如一个单位有6个信息系统,则只需要填写一张表一,分别填写六个表二、三(四),此时,表二、三(四)遵循1/6、2/6、3/6……6/6的编号规则。

  31. 四、如何填写《备案表》 (二)备案表中有关数据项的说明 1、运营使用单位不用填写的数据项: (1)所有单位封面中的备案表编号不填 2、有关数据项的解释 (1)表一中隶属关系:可参考隶属关系代码(GB/T12404-1997)

  32. 四、如何填写《备案表》 (2)表二中业务类型:该类型可以多选,但要在其下的业务描述中进行具体说明; (3)表二中服务范围:选项“全国”包括所有省、区、市;跨省(区、市)是指跨部分省(区、市); (4)表二中关键产品使用情况:安全专用产品是指用于保护计算机信息系统安全的专用硬件和软件产品; (5)表二中系统采用服务情况:其中服务责任方类型是指对信息系统进行前述所列服务的单位或机构的隶属类型。

  33. 五、等级保护有关资料 • 资料下载:登录来宾市公安局网站,点击“网络安全”进行网络安全保卫支队,在“等级保护”栏目下载. • 网 址:http://www.lbsgaj.com// • 来宾市公安局网安支队联系人:麦浩 • 联系电话:4237999 13768677738

  34. 谢 谢 大 家

More Related