信息安全等级保护体系培训.ppt

信息安全等级保护体系 目录 1、国际形势要求我们重视国家关键信息基础设施保护 美国自克林顿政府以来，发布了一系列网络空间战略，特别是奥巴马政府发布了《网络空间国际战略》 、《网络空间行动战略》，明确表明了实施网络战略威慑、主导网络空间的图谋。 境外敌对势力、敌对分子对我重要信息系统大肆进行入侵、攻击，窃取我国家秘密。 2、国内形势要求我们重视国家关键信息基础设施保护 针对基础信息网络和重要信息系统的违法 犯罪持续上升 基础信息网络和重要信息系统安全隐患严重 3、信息安全性质决定了工作的复杂性和艰巨性。 信息安全是国家安全的重要组成部分 信息安全的本质是信息对抗、技术对抗 是网络空间的政治斗争 为什么要实施等级保护制度 官方说法：信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 规定动作：信息系统定级、备案、安全建设整改、等级测评、监督检查。 公安机关牵头，制定政策标准，并进行监督、检查、指导 国家保密部门、密码管理部门负责有关保密工作和密码工作的监督、检查、指导 工信部及地方经信部门负责等级保护工作中部门间的协调 其中，涉及国家秘密信息系统由国家保密部门负责；非涉及国家秘密信息系统由公安机关负责 什么是信息安全等级保护 信息系统安全保护等级划分及监管要求 第一级 自主保护 第二级 指导保护 第三级 监督保护 第四级 强制保护 对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 依据国家有关管理规范、技术标准和业务专门需求进行保护 必须进行专家评审、备案、测评（每半年一次），并接受国家信息安全监管部门的强制监督、检查 对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 依据国家有关管理规范和技术标准进行保护 要求备案（可以进行专家评审）、测评（每年一次），并接受国家信息安全监管部门的监督、检查 对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 依据国家有关管理规范和技术标准进行保护 要求备案，并接受国家信息安全监管部门的指导 对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 依据国家有关管理规范和技术标准进行保护 常见的二级系统举例（仅做参考） 地市政府办公自动化系统（内部使用的） 地市政府邮件系统 地市政府间协同办公系统 企业门户网站（用于对外宣传） 银行网站 特点：与核心业务无关 常见的三级系统举例（仅做参考） 部委级门户网站 省政府政务公开系统（交互式） 医疗行业核心内网系统 交通行业卫星定位系统 银行生产网 特点：与业务密切相关的 常见的四级系统举例（仅做参考） 国家电力调度系统（EMS) 中国人民银行官方网站 财政部财政支付系统 交通部应急指挥调度系统 银行生产系统 特点：重要部门与核心业务密切相关的 信息系统安全保护能力目标 第二级 信息系统 第三级 信息系统 第四级 信息系统 经过安全建设和等级测评工作，信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力，抵抗严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行快速响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能迅速恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。 经过安全建设和等级测评工作，信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能立即恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。 经过安全建设和等级测评工作，信息系统具有抵御小规模、较弱强度恶意攻击的能力，抵抗一般的自然灾害的能力，防范一般性计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对安全事件进行记录的能力；系统遭到损害后，具有恢复系统正常运行状态的能力。 目录 信息系统安全等级保护相关文件之间的关系 政策文件 四大标准 技术标准 管理标准 提供指导 提供方法 安全等级的信息系统 提供技术要求 提供管理要求 国务院147号令－ 《中华人民共和国计算机信息系统安全保护条例》 中办发[2003]27号－ 《国家信息化领导小组关于加强信息安全保障工作