17、18 信息系统等级保护培训 深圳市公安局网监分局
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第二步 初步确定信息系统安全保护等级
社会秩序—— ——包括社会的政治、经济、生产、生活、 B、社会秩序—— 科研、工作等各方面的正常秩序。公共利益是指不特定的 社会成员所共同享有的,维持其生产、生活、教育、卫生 等方面的利益。 各级政府机构的社会管理和公共服务系统,如财政、金 融、工商、税务、公检法、海关、社保等领域的信息系统, 也包括教育、科研机构的工作系统,以及所有为公众提供 医疗卫生、应急服务、供水、供电、邮政等必要服务的生 产系统或管理系统。
深圳市重要信息系统等级保护培训
深圳市公安局网监分局
培训内容 一、信息安全等级保护工作概述 二、如何实施等级保护工作
培训内容 一、信息安全等级保护工作概述 二、如何实施等级保护工作
一、信息安全等级保护工作概述
什么是信息安全等级保护工作? (一)什么是信息安全等级保护工作?
(二)为什么开展信息安全等级保护工作? 为什么开展信息安全等级保护工作?
一、信息安全等级保护工作概述
什么是信息安全等级保护工作? (一)什么是信息安全等级保护工作?
(二)为什么开展信息安全等级保护工作? 为什么开展信息安全等级保护工作?
为什么开展信息安全等级保护工作? (二) 为什么开展信息安全等级保护工作? 1、卫生系统信息化发展状况
信息化建设是医院现代化建设和发展的历史潮 流,也是现代医院管理发展的必然要求。1995年5 月,卫生部正式启动“金卫工程”,该工程是跨世 纪的国家医疗信息网络工程,通过信息化建设加强 医院现代化管理,走“优质、高效、低耗”的发展 道路。
(一)信息系统的安全保护等级由两个定级 要素决定:
1、等级保护对象受到破坏时所侵害的客体 2、受到破坏时对客体造成侵害的程度
第二步 初步确定信息系统安全保护等级
1、等级保护对象受到破坏时所侵害的客体: 等级保护对象受到破坏时所侵害的客体: 侵害的客体
A、国家安全 B、社会秩序、公共利益 C、公民、法人和其他组织的合法权益
第二步 初步确定信息系统安全保护等级
2、对客体造成侵害的程度 对客体造成侵害的程度
A、造成一般损害 B、造成严重损害 C、造成特别严重损害
第二步 初步确定信息系统安全保护等级
不同危害后果的三种危害程度描述如下: 不同危害后果的三种危害程度描述如下: 三种危害程度描述如下
一般损害:工作职能受到局部影响,业务能力 有所降低但不影响主要功能的执行,出现较轻的法 律问题,较低的资产损失,有限的社会不良影响, 对其他组织和个人造成较低损害。
第二步 初步确定信息系统安全保护等级
C、合法权益—— 合法权益——是法律确认的并受法律保护的公民、 —— 法人和其他组织所享有的一定的社会权利和利益。 借助信息化手段为社会成员提供使用的公共设施和通 过信息系统对公共设施进行进行管理控制都应当是要考虑 的方面,例如:公共通信设施、公共卫生设施、公共休闲 娱乐设施、公共管理设施、公共服务设施等。 公共利益与社会秩序密切相关,社会秩序的破坏一般 会造成对公共利益的损害。
什么是信息安全等级保护工作? (一) 什么是信息安全等级保护工作?
概 念: 信息安全等级保护是指对国家秘密信息、法 人和其他组织及公民的专有信息以及公开信息和 存储、传输、处理这些信息的信息系统分等级
实行安全保护,对信息系统中使用的信息安
全产品实行按等级管理,对信息系统中发生的 信息安全事件分等级响应、处置。
安全建设
1、系统定级
第一步 开展信息系统基本情况的摸底调查 第二步 初步确定信息系统安全保护等级 第三步 专家评审与审批
第一步 开展信息系统基本情况的摸底调查
正确划分定级对象: 正确划分定级对象: 信息系统运营使用单位或主管部门按如下原则 确定定级对象: 一是承载相对独立或单一业务的信息系统; 二是信息系统的信息安全由本单位主管; 三是具有信息系统的基本要素。 起支撑作用的网络可以作为定级对象;应用类 的信息系统以应用种类划分定级对象。
培训内容 一、信息安全等级保护工作概述 二、如何实施等级保护工作
二、如何实施等级保护工作
(一)实施流程 (二)工作要求
(一)实施流程
(一)实施流程 (二)工作要求
(一)实施流程
1、系统定级 2、安全规划设计
重大变更
3、安全实施/实现
百度文库局部调整
4、安全运行管理 5、系统终止
(一)实施流程
1、系统定级(首要环节) 2、安全规划设计 3、安全实施/实现 4、安全运行管理 5、系统终止
第一步 开展信息系统基本情况的摸底调查
二是信息系统的信息安全由本单位主管: 二是信息系统的信息安全由本单位主管: 作为定级对象的信息系统应能够唯一地确定其安全 责任单位,这个安全责任单位就是负责等级保护工 作部署、实施的单位,也是完成等级保护备案和接 受监督检查的直接责任单位。
第一步 开展信息系统基本情况的摸底调查
5、开展等级保护工作的意义: 开展等级保护工作的意义:
建立信息安全等级保护制度,开展信息安全等级保护 工作,有利于在信息化建设过程中同步建设信息安全设施 ,保障信息安全与信息化建设协调;有利于为信息系统安 全建设和管理提供系统性、针对性、可行性的指导和服务 ;有利于优化信息安全资源的配置,重点保障基础信息网 络和关系国家安全、经济命脉、社会稳定等方面的重要信 息系统的安全;有利于明确国家、法人和其他组织、公民 的信息安全责任,加强信息安全管理;有利于推动信息安 全产业的发展,逐步探索出一条适应社会主义市场经济发 展的信息安全模式。
为什么开展信息安全等级保护工作? (二) 为什么开展信息安全等级保护工作? 信息安全等级保护是我国信息安 全保障的基本制度、基本策略、基
本方法。开展信息安全等级保护工作
,就是要解决我国信息安全面临的威 胁和存在的主要问题。
为什么开展信息安全等级保护工作? (二) 为什么开展信息安全等级保护工作?
三是具有信息系统的基本要素: 三是具有信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的 设备、设施按照一定的应用目标和规则组合而成的 有形实体。应避免将某个单一的系统组件,如单台 的服务器、终端或网络设备等作为定级对象。
1、系统定级
第一步 开展信息系统基本情况的摸底调查 第二步 初步确定信息系统安全保护等级 第三步 专家评审与审批
第一步 开展信息系统基本情况的摸底调查
一是承载相对独立或单一业务的信息系统: 一是承载相对独立或单一业务的信息系统: 定级对象承载“相对独立”的业务应用是指其中的 一个或多个业务应用的主要业务流程、部分业务功 能独立,同时与其他信息系统的业务应用有少量的 数据交换,定级对象可能会与其他业务应用共享一 些设备,尤其是网络传输设备。“相对独立”的业 务应用并不意味着整个业务流程,可以使完整的业 务流程的一部分。
为什么开展信息安全等级保护工作? (二) 为什么开展信息安全等级保护工作?
2、信息安全形势
在医院信息化建设的过程中,部分医院领导缺乏科学合 理的管理手段和技术,医院信息系统的安全建设成为了信 息化建设中被忽视的问题。由于医院信息系统的体系结构 是一个相对开放的环境,加上网络数据资源易传送、修改、 复制、下载等特点,而医院的数据资源既涉及密级文件资 料,又涉及病人的隐私,一旦发生系统被攻击或数据被窃 等破坏行为,后果将不堪设想。因此,开展卫生系统等级 保护工作刻不容缓,卫生系统信息安全等级保护定级工作 开展的好坏,将直接影响到我市整体的信息安全保障能力 和水平。
第二步 初步确定信息系统安全保护等级
信息系统的安全保护等级是信息系统的客 观属性,不以已采取或采取什么安全保护措施 为依据,而是以信息系统的重要性和信息系统 遭到破坏后对国家安全、社会稳定、人民群众 合法权益等损害客体的危害程度为依据,确定 信息系统的安全等级。
第二步 初步确定信息系统安全保护等级
为什么开展信息安全等级保护工作? (二) 为什么开展信息安全等级保护工作?
4、相关政策及法律依据: 、相关政策及法律依据:
1、1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令) 规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保 护的具体办法,由公安部会同有关部门制定”; 2、2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发 [2003]27号)明确指出“实行信息安全等级保护”,“抓紧建立信息安全等级保 护制度,制定信息安全等级保护的管理办法和技术指南”; 3、2004年9月公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了 《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),明确了信息 安全等级保护制度的原则和基本内容,以及信息安全等级保护工作的职责分工、 工作实施的要求等; 4、2007年公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了 《信息安全等级保护管理办法》,并召开了“全国重要信息系统安全等级保护定 级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级 备案工作。
为什么开展信息安全等级保护工作? (二) 为什么开展信息安全等级保护工作?
3、存在的问题 • • • • • • • • • • • 信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展; 信息系统安全建设和管理的目标不明确; 信息安全保障工作的重点不突出; 信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚 待完善; 大多数单位的信息系统安全保护还处在采用防火墙、IDS和防病毒等部 件方面; 重视外部攻击与入侵,忽视内部的非法行为; 偏重产品,忽视体系和管理; 国内产品质量和技术问题; 用户信息安全的潜在的需求到现实需求仍有一个过程; 西方发达国家信息技术优势明显,我国面临信息强国的冲击、挑战和 威胁,信息安全领域始终面临信息战和网络恐怖袭击的威胁 ; 敌对势力的网上煽动、渗透和破坏活动愈加突出,针对信息系统进行 的破坏活动日益严重,利用网络实施的违法犯罪案件持续大幅上升 。
为什么开展信息安全等级保护工作? (二) 为什么开展信息安全等级保护工作?
胡锦涛总书记指出: 胡锦涛总书记指出: 信息安全是个大问题,必须把信息安全问题放到至关 重要的位置,认真加以考虑和解决;切实把互联网建设好、 利用好、管理好 温家宝总理强调: 温家宝总理强调: 面对复杂多变的国际环境和互联网的广泛应用,我国 信息安全问题日益突出。加入世界贸易组织、发展电子政 务等,对信息安全保障提出了新的、更高的要求。必须从 国家安全、经济发展、社会稳定、公共利益的高度,充分 认识信息安全的极端重要性。
第二步 初步确定信息系统安全保护等级
国家安全利益—— ——体现了国家层面、与全局相关的 A、 国家安全利益—— 国家政治安全、军事安全、经济安全、社会安全、科技安全 和资源环境安全等方面利益。 重要的国家事务处理系统、国防工业生产系统和国防设 施的控制系统等属于影响国家政权稳固和国防实力的信息系 统;广播、电视、网络等重要新闻媒体的发布或播出系统, 其受到非法控制可能引发影响国家统一、民族团结和社会安 定的重大事件;处理国家对外活动信息的信息系统;处理国 家重要安全保卫工作信息的信息系统和重大刑事案件的侦查 系统;尖端科技领域的研发、生产系统等影响国家经济竞争 力和科技实力的信息系统,以及电力、通信、能源、交通运 输、金融等国家重要基础设施的生产、控制、管理系统等。
什么是信息安全等级保护工作? (一) 什么是信息安全等级保护工作?
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其 他组织的合法权益造成损害,但不损害国家安全、社会秩 序和公共利益; 第二级,信息系统受到破坏后,会对公民、法人和其 他组织的合法权益产生严重损害,或者对社会秩序和公共 利益造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共 利益造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共 利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特 别严重损害。