信息安全等级保护工作面临的形势和要求PPT文档格式.ppt

1、生产作业、调度指挥、管理控制等重要业务系统，占所有种类重要信息系统的70%以上。,一、等级保护工作情况和取得的成效,（四）积极稳妥地开展信息安全等级测评体系建设，为等级保护工作提供了一支可靠的专业技术支撑力量115家测评机构通过了省级等保办初审，2208人参加了等级测评师培训和考试，其中1683人取得了等级测评师证书。国家信息安全等级保护工作协调小组办公室汇总发布了全国信息安全等级保护测评机构推荐目录，已向社会公布了83家测评机构。,一、等级保护工作情况和取得的成效,（五）深入推进等级测评和安全建设整改工作，有效提高重要信息系统的安全保护能力树立了国家电网公司、国土资源部等安全建设整改工作典型

2、。电力、海关、证券、教育、税务、广电等20多个重点行业纵向对等级测评和安全建设整改工作进行了阶段性的部署。3000余个第二级（含）以上信息系统开展了等级测评，全国有6000余个信息系统完成了等级保护安全建设整改。,一、等级保护工作情况和取得的成效,（六）认真组织开展等级保护专项监督检查工作，有效推动了等级保护制度的贯彻落实去年9月至12月，公安部组织部、省、市三级公安机关集中对各单位、各部门开展了等级保护工作专项检查。出动警力2.2万人次，检查单位9600余家，检查系统1.35万个，出具反馈意见书和整改通知书2800余份。公安部与北京市公安局组成了5个联合检查组，集中对中央国家机关75个部门进

3、行了检查。,一、等级保护工作情况和取得的成效,1、重点行业和部门高度重视，工作变被动为主动；2、等级保护对信息安全保障工作的基础性地位和抓手作用充分显现，将等级保护纳入信息安全工作中，将信息安全纳入信息化和单位安全生产管理体系中的思想越来越深入人心；3、定级备案工作使工作重点更加突出；4、等级测评及时发现了一大批系统安全隐患、漏洞和薄弱环节，有针对性地开展了安全建设整改；,一、等级保护工作情况和取得的成效,5、安全建设整改对科学调整系统架构，整合业务应用，合理规划系统安全建设，优化资源配置发挥了重要作用；6、监督检查确保了各项措施的落实；7、宣传教育培训，信息安全意识和技能有新提高；8、通报机

4、制、联络员机制、专家辅助决策机制等机制建设使等级保护工作更加顺畅。,一、等级保护工作情况和取得的成效,几条工作经验：一是领导重视是根本。二是充分发挥行业主管部门作用是关键。三是突出工作重点是有效对策。四是充分调动多方力量是重要保障。五是加强服务指导是科学方法。六是开展监督检查是重要手段。,二、当前面临的形势和存在的问题,1、对等级保护工作的重视程度还不够，各行业、各地区之间的差异还比较大。电力、电信、税务、海关、水利、铁路、民航、证券等行业工作进展较快。银行、卫生、交通、广电等行业刚刚起步。2、对重要信息系统重要性的认识不足。如何运用关键部门分析和相互依赖性分析方法，从对系统到部门、部门到行业

5、的特点分析，增强对重要信息系统重要性的认识。,二、当前面临的形势和存在的问题,3、等级测评和安全建设整改工作进展较慢。等级测评机构刚刚成立不久，测评水平和能力需要不断提高。备案单位对等级测评重要性的认识有待提高。信息系统差异大，安全建设整改周期长，难度大。逐步将等级保护安全建设与信息化建设统筹、将管理制度建设与安全技术措施建设并重。等级测评和安全建设整改经费保障。,二、当前面临的形势和存在的问题,4、公安机关等级保护工作的监督检查力度不够。公安机关对等级保护工作重视程度要进一步提高，加大警力投入，探索长效的检查工作开展方法和相关经验。5、理论研究的深度和广度还不够。加强对国际关键信息基础设施（

6、CIIP）保护的研究，借鉴国际CIIP经验，兼顾政府对国家安全与企业对业务连续性的不同需求和目标，完善等级保护制度的内涵和外延，缩短与国外的差距，提高等级保护政策、理论和技术水平。,美国关键信息基础设施保护政策,根据2001年通过提供截获或阻止恐怖主义必需的工具来团结和强化美国法案（爱国者法案），定义的“关键基础设施”是指这样一些关系到美国生死存亡的，无论是物理的还是虚拟的系统和资产，这些系统和资产的功能丧失或遭到破坏，会对国家安全、经济稳定、国家公众健康与安全或这些要素的任何结合产生严重影响。2003年12月，发布的国土安全总统令第7号确定了17个关键基础设施（CI）和关键资源（CI/KR）

7、，同时还确定了保护这些部门的角色和责任。2008年3月，增加了一个，共18个，并声称还会变化和增加。分别是：信息技术；电信；化学制品；商业设施；大坝；商用核反应堆、材料和废弃物；政府设施；交通系统；应急服务；邮政和货运服务；农业和食品；饮用水和废水处理系统；公共健康和医疗；能源（包括石油和天然气生产、提炼、储存和输送，以及电力，商用核电设施除外）。银行和金融；国家纪念碑和象征性标志；国防工业基地；关键制造业。,上个世纪90年代以来，美国采取了多项措施加强对关键基础设施保护（CIP）和关键信息基础设施保护（CIIP）的管理。CIIP在美国总体安全战略中扮演重要角色。2007年国土安全战略强调了C

8、IIP对于国家安全和稳定的重要性。“国家的许多基本和应急服务以及我们的关键基础设施全部依赖哪些构成了我们的网络基础设施的互联网、通信系统以及数据监控系统的不间断运行。一次网络攻击有可能削弱我们的高度相互依赖的关键基础设施和关键资源，最终削弱我们的经济和国家安全。”,美国关键信息基础设施保护政策,二、当前面临的形势和存在的问题,6、重要信息系统的安全保护能力不强。一是部分单位对信息安全工作缺乏统一规划，信息安全责任不清。二是些备案单位对系统的安全保护状况、存在的问题和隐患还不清楚。三是部分单位的信息安全管理制度不健全。四是部分单位信息系统的安全保护策略不科学。五是信息安全产品的使用问题。,三、下

9、一步等级保护重点工作,（一）进一步提高对信息安全等级保护的认识和重视程度国外在关键基础设施保护（CIP）和关键信息基础设施保护（CIIP）方面作了大量探索和实践。CIIP与我国重要领域信息安全等级保护存在一致性或相似性，有借鉴意义。行业主管部门切实承担起责任，高度重视，以等级保护工作为核心，开展网络和信息安全工作。引导备案单位加强对重要信息系统重要性的认识，在信息系统定级报告的基础上，撰写重要性分析报告。,三、下一步等级保护重点工作,（二）深化信息系统定级备案工作梳理行业信息系统定级备案情况梳理跨省联网的信息系统定级备案情况督促未定级、未备案的单位和信息系统加强备案审核，及时纠正定级不准情况建

10、设重要信息系统基础数据库,三、下一步等级保护重点工作,（三）继续加强等级测评体系建设工作加强测评机构的培训，提高测评机构和测评人员的能力。加强对测评机构的监督，树立测评机构良好形象。充分发挥测评机构等级保护政策和专业技术知识方面等专业队优势，鼓励测评机构积极参与等级保护宣传教育、为备案单位制定信息安全规划和安全建设整改方案、定级咨询、等级测评、安全监理、安全运维、安全监测、安全自查、应急响应技术支持等各环节的工作。,三、下一步等级保护重点工作,（四）加快推动等级测评和安全建设整改工作树立典型、组织培训，大力推动备案单位开展测评工作和安全建设整改工作。要充分发挥各级等级保护协调领导小组及其办公室

11、的作用，公安机关要与保密、密码、工信等职能部门及行业主管部门协同作战。及时向当地发改委、财政等部门通报等级保护工作情况，取得他们对备案单位等级测评和安全建设整改工作的理解和支持。要建立健全重要行业和单位的联络员机制，加强横向交流，相互促进。,三、下一步等级保护重点工作,（四）加快推动等级测评和安全建设整改工作突出工作重点，重点督促电力、电信、广电、银行、税务、工商、证券、铁路、海关、民航、教育、卫生、社会保障、军工等重点部门的工作，尽快取得规模效应。通过网络安全典型案件和事件分析，远程渗透性测试等手段，督促备案单位提高开展等级测评和建设整改工作的自觉性。鼓励和引导广大信息安全企事业单位和研究机

12、构，积极研究探索安全建设整改的技术，研发有关产品，尽快满足各备案单位安全建设的迫切需要。,三、下一步等级保护重点工作,（五）加强监督检查工作范围：第三级（含）以上信息系统及其备案单位重点内容：备案单位等级保护工作情况和第三级（含）以上信息系统的安全保护状况方式：实地检查，量化打分的形式及时反馈检查意见，督促备案单位开展等级保护各项工作,三、下一步等级保护重点工作,（六）重要信息系统安全保护状况分析制定重要信息系统安全保护状况分析报告模版，发挥已推荐测评机构的作用，要求各测评机构根据测评报告情况，进行总结分析。公安机关根据开展远程技术检测、等级保护专项检查、信息安全事件处置等工作，分析重要信息系统的安全保护状况。汇总以上两方面数据，全面分析重要信息系统的安全保护状况和共性的安全问题，提出下一步的工作措施，形成2011年重要信息系统安全保护状况报告，为领导决策和工作部署提供参考。,三、下一步等级保护重点工作,（七）调动各方资源，加强等级保护关键技术研究，推动等级保护工作的开展借鉴国外先进技术，充分调动产、学、研积极性，开展等级保护技术研究。结合物联网、云计算、三网融合，研究未来贯彻落实等级保护制度问题。等级保护专家、测评机构、信息安全企业多方参与，共同推动。加强等级保护宣传。等级保护立法研究。,谢 谢！欢迎登陆中国信息安全等级保护网,