信息安全等级保护知识培训PPT资料.pptx

1、第二十条第三级以上计算机信息系统建设完成后，运营、使用单位或者其主管部门应当按照国家规定，选择符合国家规定条件的安全保护等级测评机构定期对其计算机信息系统安全状况进行等级测评。,2.2中华人民共和国国家安全法,2015年7月1日第十二届全国人民代表大会常务委员会第十五次会议通过中华人民共和国国家安全法，其中第二十五条指出，要加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。,2.3刑法修正案（九）,第十二届全国人大常委会第十六次会议表决通过了刑法修正案（九），修订后的刑法自2015年11月1日开始施行。刑法

2、修正案（九）明确了网络服务提供者履行信息网络安全管理的义务。第二十八条指出：网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。,2.4中华人民共和国网络安全法,中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过中华人民共和国网络安全法，自2017年6月1日起施行。第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。第三十一条 国

3、家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。,2.4中华人民共和国网络安全法,网络运营者不履行网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚

4、款，对直接负责的主管人员处一万元以上十万元以下罚款。,3 信息安全等级保护工作流程,3.1.3 等级的确定,3.1.2 定级对象确定,3.1.1 定级依据和原则,3.1 定级指南,3.1.4 定级方法,3.1.1 定级依据和原则,3.1.2 定级对象确定,定级工作是信息系统等级保护工作的起点，定级结果直接决定了后续安全保障工作的开展。在定级之前，首先必须明确定级的对象，即：对哪个信息系统进行定级。定级指南中指出，作为定级对象的信息系统应当具备以下三个条件：,3.1.3 等级的确定,等级的确定是不依赖于安全保护措施的，具有一定的“客观性”，即该系统在存在之初便由其自身所实现的使命决定了它的安全保

5、护等级，而非由“后天”的安全保护措施决定。,3.1.4 定级方法,查表法,其他：专家评审、行业部门建议,3.2.4 备案流程,3.2.3 备案资料,3.2.1 备案作用,3.2 备案,3.2.2 备案时间,3.2.1 备案的作用,信息系统备案是国家有关信息安全职能部门了解和掌握重要信息系统的安全保护基本状况、分析总体安全形势的基础资料来源，也是下一步接受备案机关开展各项监督检查工作所必需的基本依据。新建系统已有系统,3.2.2 备案的时间,根据信息安全等级保护管理办法，信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门，应当在安全保护等级确定后30日内，到当地公安机关网监部门办理

6、备案手续。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到当地公安机关网监部门办理备案手续。,2.2.3 备案资料,信息系统运营、使用单位应当在其系统安全保护等级确定后，向当地同级公安机关提前备案（县级单位应当向市级公安机关备案），备案时应当到备案机关填写备案登记表并按要求提交相关资料，包括纸质版和电子版。书面填写信息系统安全等级保护备案表 一式两份。可填WORD文档，再打印输出，附上附件。备案登记表/系统体系/功能结构图/系统安全保护方案或措施/系统安全管理制度等。,3.2.4 备案流程,3.3 建设整改,3.3.1实施概述,3.3.2实施过程,3.3.1 实施概述,信

7、息系统安全管理建设,信息系统安全技术建设,开展信息系统安全自查和等级测评,信息系统安全需求分析/相应级别的要求,确定安全策略，制定安全建设方案,物 理 安 全,网 络 安 全,主 机 安 全,应 用 安 全,数 据 安 全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运行管理,3.3.2 实施过程,3.4.1 等级测评依据,3.4 信息安全等级保护测评,3.4.3 等级测评流程,3.4.4 等级测评结果,3.4.5 等级测评目的,3.4.1 等级测评依据,依据信息安全等级保护管理办法第十四条中规定:信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评

8、机构，依据信息系统安全等级保护测评要求 等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。,3.4.2 等级测评流程,符合性判别依据是:1、信息系统中是否存在高风险，如果有，一票否决。2、信息系统中没有高风险，且测评项综合得分为60分以上100分以下为基本符合。注：100分为符合。,3.4.3 等级测评结果,3.4.4 等级测评目的,对于企业来说，实施信息安全等级保护测评能够有效地提高单位信息和信息系统安全建设的整体水平，有效控制企业信息安全建设成本；有利

9、于明确国家、法人和其他组织、公民的信息安全责任，加强企业信息安全管理。对于信息系统来说，通过等级保护测评可及时发现信息系统安全状况并制定方案进行整改，当信息系统完全达到安全保护能力要求时，信息系统就基本可做到“进不来、拿不走、改不了、看不懂、赖不掉”。,3.5 监督检查,依据公安机关信息安全等级保护检查工作规范第二条中规定:公安机关信息安全等级保护检查工作是指公安机关依据有关规定，会同主管部门对非涉密重要信息系统运营使用单位等级保护工作开展和落实情况进行检查，督促、检查其建设安全设施、落实安全措施、建立并落实安全管理制度、落实安全责任、落实责任部门和人员。,4.2 不同级别系统的差异,4.1

10、基本要求结构,4 信息安全等级保护基本要求,4.3 等级测评技术要求,4.4 等级测评管理要求,4.5 等级保护新标准,4.1基本要求结构,4.2不同级别系统的差异（控制点）,4.2不同级别系统的差异（要求项）,4.3等级测评技术要求（三级为黑色字体）,安全审计,防火,防水防潮,防静电,温湿度控制,电力供应,电磁防护,网络设备防护,入侵防范,恶意代码防范,剩余信息保护,系统资源控制,资源控制,剩余信息保护,4.4等级测评管理要求（三级为黑色字体）,等级测评,备份和恢复管理,安全事件处置,应急预案管理,4.5等级保护新标准（2.0）,随着新技术、新业态的出现，原有标准面临挑战。为适应新技术发展，

11、解决云计算、物联网、移动互联和工控领域信息系统等级保护工作的需要，2014年3月-10月，由公安部牵头组织开展了信息技术新领域等级保护标准的申报工作，新标准为匹配网络安全法将信息安全改称为网络安全。定级指南：满足新的等级保护对象的定级需求基本要求：满足新技术领域如云计算、物联网、工控、大数据和移动互联系统等保护需求测评要求：满足新测评对象和技术实现的测评需求设计要求：满足新系统/平台/网络架构的安全设计和安全建设需求,4.5等级保护新标准（2.0）,网络安全等级保护基本/测评要求第1部分：安全通用要求第2部分：云计算安全扩展要求第3部分：移动互联安全扩展要求第4部分：物联网安全扩展要求第5部分：工业控制安全扩展要求第6部分：大数据安全扩展要求,谢谢！,太原清众鑫科技有限公司,电话：13835177173邮箱：,