信息安全等级保护制度的主要内容和工作要求
国家信息安全等级第二级保护制度
国家信息安全等级保护制度(二级)一、技术要求1、物理安全1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制(1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;(2)应批准进入机房的来访人员,限制和监控其活动范围。
1.3 防盗窃和防破坏(1)应将主要设备放置在物理受限的范围内;(2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;(3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;(4)应对介质分类标识,存储在介质库或档案室中;(5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1.4 防雷击(1)机房建筑应设置避雷装置;(2)应设置交流电源地线。
1.5 防火应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1.6 防水和防潮(1)水管安装,不得穿过屋顶和活动地板下;(2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;(3)应采取措施防止雨水通过屋顶和墙壁渗透;(4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9 电力供应(1)计算机系统供电应与其他供电分开;(2)应设置稳压器和过电压防护设备;(3)应提供短期的备用电力供应(如UPS设备)。
1.10 电磁防护(1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;(2)电源线和通信线缆应隔离,避免互相干扰。
2、网络安全2.1结构安全与网段划分(1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;(2)应设计和绘制与当前运行情况相符的网络拓扑结构图;(3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;(4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;(5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;(6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
信息安全等级保护制度-网络安全管理规定
XXXX有限公司网络安全管理规定第一章总则第一条为加强和规范XXXX有限公司网络的安全管理,杜绝非授权的网络资源的访问、使用及控制,确保XXXX有限公司各网络的安全平稳运行,根据《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008),结合XXXX有限公司实际,特制订本规定制定本规定。
第二条本规定适用于XXXX有限公司平台研发部及个人。
第三条信息安全管理人员负责网络安全管理流程的制订和维护、网络安全评估和检查、网络安全事件的处置。
第四条网络管理人员负责网络结构的调整和维护、网络设备的日常维护、监控和报警、网络设备(如交换机、路由器等)检查、加固和更新。
第二章网络架构安全第五条网络拓扑管理(一)网络整体的拓扑结构需进行严格的规划、设计和管理,一经确定,不能轻易更改。
如因业务需要,确需对网络的整体拓扑结构进行调整和改变,需按照相应的变更与管理规程进行,并对变更后的网络拓扑进行核实。
(二)网络管理人员负责维护与当前运行情况相符的网络拓扑结构图,并按照对应密级保护要求妥善保管。
第六条网络冗余要求为了避免关键链路节点的单点故障,防范拒绝服务攻击,应通过资源使用监控,及时发现资源瓶颈:(一)关键网络设备,应保证主要网络设备(如核心交换机)的业务处理能力具备冗余空间,满足业务高峰期需要;(二)网络带宽资源,应通过双链路、上网行为控制、QoS 和带宽升级等手段保证正常业务的访问要求;(三)多媒体网络应用,应以不影响网络传输为原则,合理控制多媒体网络应用规模和范围,未经信息安全领导小组批准,不得在内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。
第七条网络区域划分与隔离(一)网络系统应按照安全级别和功能,进行区域划分,各区域应根据其安全级别的不同采用适当的安全防护措施;(二)各安全区域间互联时应该实施适当的隔离措施;(三)开发测试环境应与生产网络隔离;(四)只允许指定条件下的网络访问,逻辑隔离的网络实施缺省拒绝的访问控制。
信息安全等级保护管理制度
⏹更多资料请访咨询.(.....)⏹更多资料请访咨询.(.....)关于开展保险业信息系统平安等级保卫定级工作的通知保监厅发〔2007〕45号各保监局,各保险公司、保险资产治理公司,中国保险行业协会:为贯彻落实国家信息平安等级保卫制度,按照?关于开展全国重要信息系统平安等级保卫定级工作的通知?(公信安〔2007〕861号)要求,中国保监会将在保险行业内开展信息系统平安等级保卫定级工作。
现将有关事项通知如下:一、等级保卫定级工作的要求及组织方式各单位应按照“正确定级、严格审批、及时备案、认真整改、科学测评〞的要求和“自主定级、自主保卫〞的工作原那么,成立相应的领导及实施机构,结合本单位的实际情况,正确开展信息系统等级保卫定级工作。
保监会成立等级保卫定级工作领导小组,统一领导、解决保险行业信息平安等级保卫定级工作中的重大咨询题;保监会等级保卫定级工作领导小组下设办公室,具体负责保监会机关信息系统等级保卫定级的具体实施工作和行业定级工作的指导审核。
各保监局负责本局内独立运行的信息系统等级保卫定级工作,并对各自辖区内的保险公司分支机构的等级保卫定级工作进行指导审核。
各保险集团公司、保险控股公司负责本公司信息系统等级保卫定级工作以及其下属子公司信息系统等级保卫定级工作的组织协调和指导。
各保险总公司统一部署本公司和分公司的信息系统等级保卫定级工作。
二、定级工作安排及定级范围(一)定级工作安排为稳妥做好等级保卫定级工作,拟在保险行业内分步分批实施。
保险行业第一批定级单位包括:保监会及各保监局,中国保险行业协会,中国人民保险集团公司、中国人寿保险(集团)公司、中国再保险(集团)公司、中国出口信用保险公司、民生人寿保险股份、阳光保险控股股份、中国平安保险(集团)股份、中国太平洋(集团)股份及其下属各子公司和分公司。
其余公司作为第二批定级单位(具体时刻安排另行通知)。
(二)定级范围1、保险监管部门监管、办公及网站等重要信息系统;保险公司和中国保险行业协会经营、治理、办公等重要信息系统。
信息安全等级保护制度
感谢您的观看
T测技术
通过部署监测设备,实时监测网络 流量和安全事件,及时发现并处置
网络安全威胁。
数据加密技术
通过加密算法对数据进行加密处理 ,保护数据的安全性和完整性。
安全审计技术
通过审计系统对网络流量和安全事 件进行审计,发现并纠正可能存在 的安全问题。
信息安全等级保护制度的应急响应技术
等级划分
根据信息和信息载体的重要性,一般将信息安全等级划分为 五级,分别是一级、二级、三级、四级和五级。每个级别都 有相应的保护要求和措施。
等级保护制度的基本原则
统一规划、分级实施
信息安全等级保护制度要求对信息和信息载体进行统一规划,并 按照分级原则进行实施。
全面覆盖、突出重点
信息安全等级保护制度要求对所有重要信息和信息载体进行全面 覆盖,同时突出重点,对关键信息基础设施实行重点保护。
定义
信息安全等级保护制度是对信息和信息载体按照重要性等级分级别进行保护 的一种工作机制。
重要性
信息安全等级保护制度旨在保障国家关键信息基础设施的安全运行,降低信 息和数据泄露的风险,维护社会稳定和公共利益。
等级保护制度的法规要求
法规依据
信息安全等级保护制度主要依据《中华人民共和国网络安全 法》、《信息安全等级保护管理办法》等法律法规制定。
要点二
实施过程
在信息安全等级保护制度下,大型企 业根据自身业务特点和安全风险评估 结果,将信息系统划分为不同的安全 等级,并制定相应的安全管理制度。 同时,还加强了对合作伙伴的安全管 理和风险控制。
要点三
效果评估
通过信息安全等级保护制度的实施, 大型企业有效地降低了信息安全风险 ,保障了客户信息和资金的安全。同 时,也提高了企业形象和市场竞争力 。
信息安全等级保护
信息安全等级保护1.定义(百度百科)信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
(百度文库)信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
2. 工作内容信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
3. 核心信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。
4.分级第一级为自主保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级为指导保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级为监督保护级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级为强制保护级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级专控保护级,信息系统受到破坏后,会对国家安全造成特别严重损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
5. 体系结构(1)技术部分包括物理安全,网络安全,主机安全,应用安全,数据安全。
国家信息安全等级第二级保护制度
国家信息平安等级保护制度〔二级〕一、技术要求1、物理平安1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制〔1〕机房出入口应有专人值守,鉴别进入的人员身份并登记在案;〔2〕应批准进入机房的来访人员,限制和监控其活动范围。
1.3 防盗窃和防破坏〔1〕应将主要设备放置在物理受限的范围内;〔2〕应对设备或主要部件进行固定,并设置明显的不易除去的标记;〔3〕应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;〔4〕应对介质分类标识,存储在介质库或档案室中;〔5〕应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1.4 防雷击〔1〕机房建筑应设置避雷装置;〔2〕应设置交流电源地线。
1.5 防火应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1.6 防水和防潮〔1〕水管安装,不得穿过屋顶和活动地板下;〔2〕应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;〔3〕应采取措施防止雨水通过屋顶和墙壁渗透;〔4〕应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9 电力供给〔1〕计算机系统供电应与其他供电分开;〔2〕应设置稳压器和过电压防护设备;〔3〕应提供短期的备用电力供给〔如UPS设备〕。
1.10 电磁防护〔1〕应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;〔2〕电源线和通信线缆应隔离,防止互相干扰。
2、网络平安2.1结构平安与网段划分〔1〕网络设备的业务处理能力应具备冗余空间,要求满足业务顶峰期需要;〔2〕应设计和绘制与当前运行情况相符的网络拓扑结构图;〔3〕应根据机构业务的特点,在满足业务顶峰期需要的根底上,合理设计网络带宽;〔4〕应在业务终端与业务效劳器之间进行路由控制,建立平安的访问路径;〔5〕应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原那么为各子网、网段分配地址段;〔6〕重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
信息安全等级保护制度的主要内容和要求
信息安全等级保护制度的主要内容和要求什么是信息安全等级保护制度?信息安全等级保护制度,简称信息保护制度(或C保护制度),是指国家对各类重要信息系统的安全等级进行划分,并根据不同等级制定不同的信息安全保护措施体系。
该制度是我国信息安全行业的重要标志之一,目的是保护重要信息系统的安全和稳定运行,从而保障国家的安全利益。
信息安全等级保护制度的主要内容信息安全等级保护制度是由官方机构和专业机构共同参与制定,目前分为4个级别,分别为“核心”、“重要”、“一般”、“一般级”四个级别,每个级别的保护要求和保护措施不同。
核心级核心级是最高等级,指涉及国家安全、军事安全、重要经济命脉、人民群众生命财产安全以及社会稳定等方面的信息系统。
其主要保护措施包括:•每日备份数据至离线备份机房;•应急处置预案必须保持在最新状态;•用户需要签订保密协议,保障数据安全;•部署安全监控系统,随时捕捉异常操作或攻击情况;•信息泄露后,需在2小时内报告相关部门。
重要级重要级信息系统是指涉及国家经济建设、政治、外交、科技等国家利益和人民群众生产、生活和健康安全方面的信息系统。
其主要保护措施包括:•划分多层次访问权限,在明确范围内进行配置;•实施物理隔离和网络隔离,确保边界安全;•部署安全防护设备,包括入侵检测、防火墙等;•开展安全漏洞测试和风险评估。
一般级一般级信息系统是指涉及政府各部门、企事业单位等一般信息系统。
其主要保护措施包括:•加密重要信息,确保机密性;•网络通信安全,保护数据完整性和可用性;•安全审计,记录和监督操作日志;•针对各种攻击手段进行防范和应对。
一般级(核心部委)一般级(核心部委)是对部委系统进行特殊分类的一般级信息系统。
其主要保护措施包括:•安全防护设备,如断网安全等级保护系统(GJB1782-2005);•资源访问控制,限制非本系统人员访问;•数据备份及恢复,避免数据丢失;•安全漏洞扫描、修复和漏洞统计。
信息安全等级保护制度的主要要求信息安全等级保护制度对每个级别都有一系列的要求,其中一些主要的要求包括:•整体安全意识要高,每个岗位、每个员工都要重视信息安全;•建立完善的安全管理和保障体系,包括安全组织、安全策略、安全标准等;•建立完善的信息管理和保障体系,包括信息采集、信息存储、信息传输等;•建立完善的安全监控和应急预案体系,包括定期演练应急处置预案、维护系统和网络设施的安全等等。
国家信息安全等级保护制度的主要内容和要求
公
安
公安部 网络安全保卫局 郭启全
部
全国公安机关网络安全保卫部门 机构和职责
机构:公安部:网络安全保卫局
公
各省:网络警察总队 地市:网络警察支队
区县:网络警察大队
安 职责:制定信息安全政策
互联网安全管理,网上监控
部
打击网络犯罪
重要系统安全监察
网络与信息安全通报
部 对故意将信息系统安全级别定低,逃避公 安、保密、密码部门监管,造成信息系统 出现重大安全事故的,要追究单位和人员 的责任。
二、等级保护政策体系和标准体系
(一)信息安全等级保护政策体系
公
近几年,公安部根据国务院147号 令的授权,会同国家保密局、国家密
码管理局、发改委、原国务院信息办
安
出台了一些文件,公安部对有些具体 工作出台了一些指导意见和规范,构
部 (三)通过对信息系统开展等级测评,及时 发现了信息系统的安全隐患、漏洞和薄弱 环节,初步掌握了重要信息系统安全保护 状况。
近年来等级保护工作成效
(四)通过开展信息安全等级保护安全
公
建设整改,重要信息系统安全防护能 力显著增强,信息安全事件(事故)
数量明显下降。
安 (五)重要行业、部门以等级保护工作
部 支持、服务等工作,并接受监管部门的
监督管理。
一、等级保护制度的主要内容
专家组
公 宣传等级保护相关政策、标准; 指 导备案单位研究拟定贯彻实施意见和建设 规划、技术标准的行业应用;参与定级和
安 安全建设整改方案论证、评审;协助发现
树立典型、总结经验并推广;跟踪国内外
部 信息安全技术最新发展,开展等级保护关
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
码部门监管,造成信息系统出现重大安全事故的,要追 究单位和人员的责任。
二、等级保护政策体系和标准体系
(一)信息安全等级保护政策体系
近几年,公安部根据国务院147号令的授
权,会同国家保密局、国家密码管理局、发
改委、原国务院信息办出台了一些文件,公
安部和省厅对有些具体工作出台了一些指导 意见和规范,构成了信息安全等级保护政策 体系。 汇集成《信息安全等级保护工作汇 编》供有关单位、部门使用。
信息安全等级保护制度的
主要内容和工作要求
目
录
一、信息安全等级保护制度的主要内容 二、信息安全等级保护政策、标准体系 三、等级保护工作的具体内容和工作要求
一、等级保护制度的主要内容
(一)国家为什么要实施信息安全等级保 护制度
1.信息安全形势严峻
◆敌对势力的入侵、攻击、破坏
◆针对基础信息网络和重要信息系统的违法犯 罪持续上升 ◆基础信息网络和重要信息系统安全隐患严重
(三)等级保护制度的地位和作用
是国家信息安全保障工作的基本制度、基
本国策。
是开展信息安全工作的基本办法。 是促进国家信息化、维护国家信息安全 的
根本保障。
一、等级保护制度的主要内容
(四)实施等级保护制度的主要目的
◆明确重点、突出重点、保护重点 ◆有利于同步建设、协调发展。
◆
优化信息安全资源的配置。
一、等级保护制度的主要内容
2、《国家信息化领导小组关于加强信息安全 保障工作的意见》(中办发[2003]27号)规 定:要重点保护基础信息网络和关系国家 安全、经济命脉、社会稳定等方面的重要 信息系统,抓紧建立信息安全等级保护制
度,制定信息安全等级保护的管理办法和
技术指南。
一、等级保护制度的主要内容
秘密、敏感信息的办公系统和管理系统等。
三、等级保护工作的具体内容和要求
第三级信息系统:一般适用于地市级以上国家
机关、企业、事业单位内部重要的信息系统, 例如涉及工作秘密、商业秘密、敏感信息的办
公系统和管理系统;跨省或全国联网运行的用
于生产、调度、管理、指挥、作业、控制等方
面的重要信息系统以及这类系统在省、地市的
7、《关于推动信息安全等级保护测评体系建设和开展
等级测评工作的通知》(公信安[2010]303号)。
8、《关于印发〈信息系统安全等级测评报告模版(试
行)〉的通知》(公信安[2009]1487号)
9、《公安机关信息安全等级保护检查工作规范》(公
信安[2008]736号 )
(二)信息安全等级保护标准体系
◆第五级,信息系统受到破坏后,会对国家安全造成特
别严重损害。
三、等级保护工作的具体内容和要求
实际操作中参考确定信息系统等级: ◆第一级信息系统:适用于小型私营、个体企业、 中小学、乡镇所属信息系统、县级单位中一般的 信息系统。 ◆第二级信息系统:适用于县级某些单位中的重要 信息系统;地市级以上国家机关、企事业单位内 部一般的信息系统。例如非涉及工作秘密、商业
3、定级工作需要注意的问题 ◆ 同类信息系统的安全保护等级不能随着部、省、 市行政级别的降低而降低。 ◆ 新建系统在规划设计阶段应确定等级,按照信 息系统等级,同步规划、同步设计、同步实施 安全保护技术措施和管理措施。
三、等级保护工作的具体内容和要求
(二)信息系统备案工作
备案工作包括:信息系统备案、受理、审核和备案 信息管理。具体按照《关于开展全省重要信息系统安
全等级保护定级工作的通知》要求开展。
1、备案 ◆第二级以上信息系统,由信息系统运营适用单位到所在 地设区的市级以上公安机关网络安全保卫部门办理备 案手续,填写《信息系统安全等级保护备案表》。
三、等级保护工作的具体内容和要求
省直单位、跨市或者全省统一联网运行的信息
系统,由主管部门向省公安厅备案;
各行业统一定级信息系统在各地的分支系统,
即使是上级主管部门定级的,也要到当地公安 网络安全保卫部门备案。
三、等级保护工作的具体内容和要求
2、受理备案与审核
公安机关受理备案,按照《信息安全等级保护 备案实施细则》要求,对备案材料进行审核, 定级准确、材料符合要求的颁发由公安部统一 监制的备案证明。
安公 安 机 关 信 息 号安 )全 等 级 保 护 检 查 工 作 规 范 ( 公 信 [2008]736
( [2009]1429 )
中华人民共和国计算机信息系统安 全保护条例(国务院147号令)
[2007]861
信息安全等级保护管理办法(公通字[2007]43号)
关于信息安全等级保护工作的实施意见(公通字[2004]66号)
三、等级保护工作的具体内容和要求
1、确定定级对象 ◆起支撑、传输作用的信息网络(包括专 网、内网、外网、网管系统)。 ◆用于生产、调度、管理、指挥、作业、
控制、办公等目的各类业务系统。
◆各单位网站。
三、等级保护工作的具体内容和要求
2、确定信息系统安全保护等级 《管理办法》规定的五个等级: ◆第一级,信息系统受到破坏后,会对公民、法人和其
◆明确信息安全责任。 ◆推动信息安全产业发展。
国家发展改革部门、财政部门、科技部门、公 安机关对重要信息系统在政策上给予支持。
一、等级保护制度的主要内容
(五)公安机关组织开展等级保护工作的依据
1、《警察法》规定:警察履行“监督管理计算机信
息系统的安全保护工作”的职责。
2 、国务院第 147 号令规定:“公安部主管全国计算 机信息系统安全保护工作”,“等级保护的具体 办法,由公安部会同有关部门制定”。 3 、 2008 年国务院三定方案,公安机关新增职能: “监督、检查、指导信息安全等级保护工作”。
他组织的合法权益造成损害,但不损害国家安全、社会 秩序和公共利益。 ◆第二级,信息系统受到破坏后,会对公民、法人和其他 组织的合法权益产生严重损害,或者对社会秩序和公共 利益造成损害,但不损害国家安全。
三、等级保护工作的具体内容和要求
◆第三级,信息系统受到破坏后,会对社会秩序和公共
利益造成严重损害,或者对国家安全造损害。 ◆第四级,信息系统受到破坏后,会对社会秩序和公共 利益造成特别严重损害,或者对国家安全造成严重损 害。
信息安全等级保护工作 定级 备案 安全建设整改 等级测评 检查
[2007]1360
政
策
体 系
作《 的关 通于 知开 》展 (全 公国 信重 安要 信 息 系 统 安 号全 )等 级 保 护 定 级 工
《 信 息 安 全 号等 )级 保 护 备 案 实 施 细 则 》 ( 公 信 安
指《 导关 意于 见开 》展 公信 信息 安安 全 等 级 保 护 安 号全 建 设 整 改 工 作 的
一、等级保护制度的主要内容
(六)等级保护工作的主要内容
对信息系统分等级进行安全保护和监管。
五个规定动作:信息系统定级、备案、安全 建设整改、等级测评、监督检查。
信息安全产品分等级使用管理。 信息安全事件分等级响应、处置。
一、等级保护制度的主要内容
(七)相关部门的责任和义务
职能部门:制定管理规范和技术标准,组织实施,开展
三、等级保护工作的具体内容和要求
(一)信息安全等级保护定级工作
信息系统定级原则:“自主定级、专家评
审、主管部门审批、公安机关审核”。具体可
按照《关于开展全省重要信息系统安全等级保
护定级工作的通知》(赣公字[2007]155号)要 求执行。 定级工作流程:确定定级对象、确定信息 系统安全保护等级、组织专家评审、主管部门 审批、公安机关审核。
公安机关:牵头部门,监督、检查、指导信息安全等级
保护工作。
国家保密部门:负责等级保护工作中有关保密工作的监
督、检查、指导。并负责涉及国家秘密信息系统分级保 护
国家密码管理部门:负责等级保护工作中有关密码工作
的监督、检查、指导
工业和信息化部门:负责等级保护工作中部门间的协调。
一、等级保护制度的主要内容
多年来,在有关部门支持下,在国内有关专 家、企业的共同努力下,全国信息安全标准化 技术委员会和公安部信息系统安全标准化技术 委员会组织制订了信息安全等级保护工作系列 标准,形成了比较完整的信息安全等级保护标
准体系。
(二)信息安全等级保护标准体 系
基础标准: 《计算机信息系统安全保护等级划分准则》。 在此基础上制定出技术类、管理类、产品类标 准。 安全要求: 《信息系统安全等级保护基本要求》 信息系统安全等级保护的行业规范
(二)信息安全等级保护标准体系
系统定级:
《信息系统安全等级保护定级指南》
信息系统安全等级保护行业定级细则 方法指导: 《信息系统安全等级保护实施指南》 《信息系统等级保护安全设计技术要求》
现状分析:
《信息系统安全等级保护测评要求》 《信息系统安全等级保护测评过程指南》
(二)信息安全等级保护标准体系
[2008]2071
《国家信息化领导小组关于加强信息安全保 障工作的意见》(中办发[2003]27号)
[2010]303
(一)信息安全等级保护政策体系
1、 《关于信息安全等级保护工作的实施意见》(公通
字[2004]66号)
2、 《信息安全等级保护管理办法》公通字[2007]43号) 3、 《关于开展全国重要信息系统安全等级保护定级工
一、等级保护制度的主要内容
2. 是维护国家安全的需要 基础信息网络和重要信息系统已成为国家关 键基础设施
信息安全是国家安全的重要组成部分
信息安是国际上通行的做法。
一、等级保护制度的主要内容
(二)国家对等级保护制度的要求
1.《中华人民共和国计算机信息系统安全保护 条例》(国务院147号令):“计算机信息 系统实行安全等级保护,等级的划分标准和 安全等级保护的具体办法,由公安部会同有 关部门制定。”