当前位置:文档之家 › 信息安全等级保护介绍

信息安全等级保护介绍

  • 格式:docx
  • 大小:17.82 KB
  • 文档页数:4

下载文档原格式

  / 4

合集下载

信息安全等级保护标准

信息安全等级保护标准

信息安全等级保护标准
1. 安全目标:明确了信息系统安全保护的目标,包括机密性、完整性和可用性。

2. 安全等级划分:根据信息系统的安全需求和重要性,将其划分为不同的安全等级。

3. 安全技术要求:包括物理安全、网络安全、系统安全等方面的技术要求,如访问控制、身份认证、加密传输等。

4. 安全管理措施:包括组织结构、人员管理、安全培训等方面的管理措施,以保证信息安全的有效管理。

5. 安全测试评估:对信息系统进行定期的安全测试和评估,发现系统中存在的安全漏洞和风险,并及时采取措施进行修复。

6. 安全事件响应:建立健全的安全事件响应机制,对安全事件进行及时处理和跟踪,同时进行安全事故的调查与处理。

等保标准适用于政府机关、企事业单位等组织,旨在加强信息系统的安全保护,防止信息泄露、数据破坏、系统瘫痪等安全事件的发生。

对于不同行业和领域的组织,根据其安全需求和实际情况,可以进行相应的等级划分和安全措施的实施。

信息安全等级保护体系解读

信息安全等级保护体系解读
信息系统安全等级保护定级指南
信息系统安全等级保护基础要求定级细则
信息系 统安全 等级保 护测评 过程指 南
信息
实 信息安全等级保护 法
状 安全建设整改工作 指



安全要求

信息系统安全等级保护基础要求行业细则
信息系统安全等级保护基础要求
信息系 统安全 等级保 护实施 指南
第10页
信息安全等级保护—定级
定义
由信息系统运行单位确定信息系统安全保护等级。
1
2
3
由运行单位业务部 门确定实施信息安 全等级保护信息系 统。
参考定级标准和流 程取得信息等级安 全保护等级信息。
最终形成信息系统 安全保护等级确认 汇报。
信息安全等级保护体系解读
第11页
定级参考信息
业务信息安全保护等级矩阵表
边界防护
安全审计
防雷/火/水/潮
访问控制
入侵防范
防静电
入侵防范
恶意代码防范
温湿度控制
恶意代码防范
资源控制
电力供应
安全设计
电磁防护
集中管控
信息安全等级保护体系解读
应用和数据安全
身份鉴别
访问控制
安全审计
软件容错
资源控制
数据完整性
数据保密性
数据备份恢复
剩余信息保护
个人信息保护
第20页
经典等级保护安全技术方案
《关于加 强国家电 子政务工 程建设项 目信息安 全风险评 定工作通 知》(发 改高技 []2071号)
《关于推 进信息安 全等级保 护测评体 系建设和 开展等级 测评工作 通知》 (公信安 303号文)
关于印发 《信息系 统安全等 级测评汇 报模版 (试行)》 通知(公 信安 []1487号)

信息安全等级保护制度

信息安全等级保护制度

感谢您的观看
T测技术
通过部署监测设备,实时监测网络 流量和安全事件,及时发现并处置
网络安全威胁。
数据加密技术
通过加密算法对数据进行加密处理 ,保护数据的安全性和完整性。
安全审计技术
通过审计系统对网络流量和安全事 件进行审计,发现并纠正可能存在 的安全问题。
信息安全等级保护制度的应急响应技术
等级划分
根据信息和信息载体的重要性,一般将信息安全等级划分为 五级,分别是一级、二级、三级、四级和五级。每个级别都 有相应的保护要求和措施。
等级保护制度的基本原则
统一规划、分级实施
信息安全等级保护制度要求对信息和信息载体进行统一规划,并 按照分级原则进行实施。
全面覆盖、突出重点
信息安全等级保护制度要求对所有重要信息和信息载体进行全面 覆盖,同时突出重点,对关键信息基础设施实行重点保护。
定义
信息安全等级保护制度是对信息和信息载体按照重要性等级分级别进行保护 的一种工作机制。
重要性
信息安全等级保护制度旨在保障国家关键信息基础设施的安全运行,降低信 息和数据泄露的风险,维护社会稳定和公共利益。
等级保护制度的法规要求
法规依据
信息安全等级保护制度主要依据《中华人民共和国网络安全 法》、《信息安全等级保护管理办法》等法律法规制定。
要点二
实施过程
在信息安全等级保护制度下,大型企 业根据自身业务特点和安全风险评估 结果,将信息系统划分为不同的安全 等级,并制定相应的安全管理制度。 同时,还加强了对合作伙伴的安全管 理和风险控制。
要点三
效果评估
通过信息安全等级保护制度的实施, 大型企业有效地降低了信息安全风险 ,保障了客户信息和资金的安全。同 时,也提高了企业形象和市场竞争力 。

信息安全等级保护

信息安全等级保护

信息安全等级保护1.定义(百度百科)信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。

(百度文库)信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。

信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。

2. 工作内容信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

3. 核心信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。

4.分级第一级为自主保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级为指导保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级为监督保护级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级为强制保护级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级专控保护级,信息系统受到破坏后,会对国家安全造成特别严重损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

5. 体系结构(1)技术部分包括物理安全,网络安全,主机安全,应用安全,数据安全。

信息安全等级保护详解

信息安全等级保护详解
等级保护
信息系统安全测评
管理体系不同 等级保护 公安机关 国家标准 (GB、GB/T) 各种信息系统 第一级:自主保护级 第二级:指导保护级 第三级:监督保护级 第四级:强制保护级 第五级:专控保护级 各级等级保护测评机构和部门
标准体系不同 保护对象不同
级别划分不同
评估队伍不同
等级保护之十大标准
3
等级保护标准系列的逻辑关系
等级保护
划分准则
GB/T 20269 安全管理
定级指南
GB/T 20282 安全工程管理 GB/T 20270 网络基础
实施指南
基本要求
技术设计要求
GB/T 20271 通用安全技术 GB/T 20272 操作系统
测评要求 测评过程指南
GB/T 20273 数据库 GB/T 20984 风险评估
8
一级 9 9 6 7 2 3 4 7 20 18 85 /
二级 19 18 19 19 4 7 9 11 28 41 175 90
三级 32 33 32 31 8 11 20 16 45 62 290 115
四级 33 32 36 36 11 14 20 18 48 70 318 28
管理要求
合计 级差
保护能力
技术要求+管理要求
制度、机构、人员、建设、运维 制度、机构、人员、建设、运维
整体安全保护能力
纵深防御、互补关联、强度一致、 纵深防御、互补关联、强度一致、 平台统一、集中安管 平台统一、集中安管 业务信息安全类要求 S 系统服务保证类要求 A 通用安全保护类要求 通用安全保护类要求 G G 安全类 安全类 关键控制点 关键控制点 具体要求项 控制强度
数据有效性检验、部分运行保护

信息安全等级保护制度的主要内容和要求

信息安全等级保护制度的主要内容和要求

信息安全等级保护制度的主要内容和要求什么是信息安全等级保护制度?信息安全等级保护制度,简称信息保护制度(或C保护制度),是指国家对各类重要信息系统的安全等级进行划分,并根据不同等级制定不同的信息安全保护措施体系。

该制度是我国信息安全行业的重要标志之一,目的是保护重要信息系统的安全和稳定运行,从而保障国家的安全利益。

信息安全等级保护制度的主要内容信息安全等级保护制度是由官方机构和专业机构共同参与制定,目前分为4个级别,分别为“核心”、“重要”、“一般”、“一般级”四个级别,每个级别的保护要求和保护措施不同。

核心级核心级是最高等级,指涉及国家安全、军事安全、重要经济命脉、人民群众生命财产安全以及社会稳定等方面的信息系统。

其主要保护措施包括:•每日备份数据至离线备份机房;•应急处置预案必须保持在最新状态;•用户需要签订保密协议,保障数据安全;•部署安全监控系统,随时捕捉异常操作或攻击情况;•信息泄露后,需在2小时内报告相关部门。

重要级重要级信息系统是指涉及国家经济建设、政治、外交、科技等国家利益和人民群众生产、生活和健康安全方面的信息系统。

其主要保护措施包括:•划分多层次访问权限,在明确范围内进行配置;•实施物理隔离和网络隔离,确保边界安全;•部署安全防护设备,包括入侵检测、防火墙等;•开展安全漏洞测试和风险评估。

一般级一般级信息系统是指涉及政府各部门、企事业单位等一般信息系统。

其主要保护措施包括:•加密重要信息,确保机密性;•网络通信安全,保护数据完整性和可用性;•安全审计,记录和监督操作日志;•针对各种攻击手段进行防范和应对。

一般级(核心部委)一般级(核心部委)是对部委系统进行特殊分类的一般级信息系统。

其主要保护措施包括:•安全防护设备,如断网安全等级保护系统(GJB1782-2005);•资源访问控制,限制非本系统人员访问;•数据备份及恢复,避免数据丢失;•安全漏洞扫描、修复和漏洞统计。

信息安全等级保护制度的主要要求信息安全等级保护制度对每个级别都有一系列的要求,其中一些主要的要求包括:•整体安全意识要高,每个岗位、每个员工都要重视信息安全;•建立完善的安全管理和保障体系,包括安全组织、安全策略、安全标准等;•建立完善的信息管理和保障体系,包括信息采集、信息存储、信息传输等;•建立完善的安全监控和应急预案体系,包括定期演练应急处置预案、维护系统和网络设施的安全等等。

信息安全保护等级

信息安全保护等级信息安全保护等级是指根据信息系统的安全需求和保护目标,对信息系统的安全等级进行划分和评定,以确定信息系统所需的安全保护措施和技术措施的等级。

信息安全保护等级的划分和评定是信息安全管理的重要组成部分,对于保障信息系统的安全性和可靠性具有重要意义。

一、信息安全保护等级的划分根据《信息安全技术信息安全等级保护》(GB/T 22239-2008)的规定,信息安全保护等级分为四个等级:一级、二级、三级、四级。

其中,一级为最高等级,四级为最低等级。

1. 一级信息安全保护等级一级信息安全保护等级适用于国家重要信息系统和涉及国家安全、国计民生、重要经济利益和公共利益的信息系统。

该等级的信息系统具有极高的安全需求,需要采取最高级别的安全保护措施和技术措施。

2. 二级信息安全保护等级二级信息安全保护等级适用于重要信息系统和涉及重要经济利益、公共安全和公共利益的信息系统。

该等级的信息系统具有高安全需求,需要采取高级别的安全保护措施和技术措施。

3. 三级信息安全保护等级三级信息安全保护等级适用于一般信息系统和涉及个人隐私、商业秘密等重要信息的信息系统。

该等级的信息系统具有一定的安全需求,需要采取一定级别的安全保护措施和技术措施。

4. 四级信息安全保护等级四级信息安全保护等级适用于一般信息系统和涉及一般信息的信息系统。

该等级的信息系统具有较低的安全需求,需要采取基本的安全保护措施和技术措施。

二、信息安全保护等级的评定信息安全保护等级的评定是指根据信息系统的安全需求和保护目标,对信息系统的安全等级进行划分和评定,以确定信息系统所需的安全保护措施和技术措施的等级。

信息安全保护等级的评定需要考虑以下因素:1. 信息系统的安全需求和保护目标2. 信息系统的功能和使用环境3. 信息系统的安全威胁和风险4. 信息系统的安全保护措施和技术措施5. 信息系统的管理和运维能力评定信息安全保护等级的过程需要遵循相关的评定标准和方法,例如《信息安全技术信息安全等级保护》(GB/T 22239-2008)、《信息安全技术信息安全风险评估指南》(GB/T 25070-2010)等。

信息安全等级保护介绍(银行培训)


信息安全技术 信息系统安全等级保
信息安全技术 信息系统安全等级保
信息安全技术 信息系统安全等级保
信息技术安全 信息系统等级保护安
信息安全技术 信息系统安全等级保 信息安全技术 信息系统安全等级保
《基本要求》的框架结构
第一级基本 要求 第二级基本 要求 第三级基本 要求 第四级基本 要求 第五级基本 要求
第一级
信息系统安全等级的划分
等级 对象 侵害客体 公民、法人和其他组织的合 法权益 一般系统 第二级 公民、法人和其他组织的合 法权益 社会秩序和公共利益 第三级 重要系统 社会秩序和公共利益 第四级 国家安全 严重损害 特别严重损害 强制监督检 查保护 专门监督检 查保护 社会秩序和公共利益 侵害程度 监管强度
等级保护法律政策体系
7、《关于加强国家电子政务工程建设项目信息安全风险评 估工作的通知》(发改高技[2008]2071号) 8、《关于推动信息安全等级保护测评体系建设和开展等级 测评工作的通知》(公信安[2010]303号)。 9、《关于印发〈信息系统安全等级测评报告模版(试行)〉 的通知》(公信安[2009]1487号) 10、《公安机关信息安全等级保护检查工作规范》(公信安 [2008]736号 ) 11、《关于开展信息安全等级保护专项监督检查工作的通知》 (公信安[2010]1175号) 12、《关于进一步推进中央企业信息安全等级保护工作的通 知》(公通字[2010]70号)
系统服务
业务系统的服务范围、服务对象等
确定受侵害的客体
国家安全 – 体现了国家层面、与全局相关的国家政治安全、军事安全、经 济安全、社会安全、科技安全等方面利益。 社会秩序和公共利益 – 包括政治、经济、生产、生活、科研、工作等各方面的正常秩 序和社会公众生产、生活、教育、卫生等方面的利益。

信息安全等保等级

信息安全等保等级信息安全等保等级是指对信息系统的安全性进行评估和等级划分的一种方法。

根据信息系统的重要性和敏感程度,将其划分为不同的等级,并为每个等级制定不同的安全措施和管理要求。

本文将从不同等级的定义和特点、等级划分的依据和方法、等级保护的措施和管理要求等方面进行阐述。

一、不同等级的定义和特点信息安全等保等级分为四个等级,即一级、二级、三级和四级。

不同等级之间的主要区别在于信息系统的重要性和敏感程度。

一级等保是对国家重要信息系统的保护,主要面向国家安全和国家利益;二级等保是对重要信息系统的保护,主要面向国家安全和社会公共利益;三级等保是对较重要信息系统的保护,主要面向社会公共安全和社会公共利益;四级等保是对一般信息系统的保护,主要面向社会公共利益和个人权益。

不同等级之间的特点也有所不同。

一级等保的特点是安全性要求极高,需要采用最严格的安全措施和管理要求;二级等保的特点是安全性要求较高,需要采用较严格的安全措施和管理要求;三级等保的特点是安全性要求一般,需要采用一般的安全措施和管理要求;四级等保的特点是安全性要求较低,需要采用较宽松的安全措施和管理要求。

二、等级划分的依据和方法信息安全等保等级的划分主要依据是信息系统的重要性和敏感程度。

划分等级的方法可以采用定性和定量相结合的方法。

定性方法是根据信息系统的功能、用途、数据类型等进行判断和划分;定量方法是通过对信息系统的安全风险进行评估和量化,然后根据评估结果进行划分。

在等级划分的过程中,需要考虑的因素包括信息系统的功能、用途、数据类型、对外联网情况、系统规模、关键业务流程等。

同时,还需要参考相关的法律法规、标准规范和行业要求,以确保等级划分的准确性和合理性。

三、等级保护的措施和管理要求不同等级的信息安全等保有不同的措施和管理要求。

一级等保需要采取最高级别的安全措施,包括安全审计、安全监控、安全漏洞修复、安全事件响应等;同时,还需要建立完善的安全管理制度,包括安全策略、安全规范、安全培训等。

信息安全等级保护二级标准

信息安全等级保护二级标准
信息安全等级保护(简称等保)是指根据信息系统对信息的重要性、完整性、可用性等方面的要求,划分不同等级,采取相应的技术、管理和物理安全措施,对信息系统实施等级保护的活动。

信息安全等级保护的二级标准主要包括以下方面:
安全管理制度:建立健全信息安全管理体系,确保信息系统的安全管理规范、程序和制度的合理实施。

安全设计与实现:在信息系统的设计与实施过程中,充分考虑系统的安全性,采取相应的技术手段确保系统的稳定和安全运行。

系统运行维护:对信息系统的运行状态进行监测和维护,及时发现和解决系统运行中的安全问题,确保系统的连续可用性。

身份鉴别与访问控制:确保信息系统对用户的身份鉴别和访问控制具有高效性和严密性,防范未授权访问。

数据保护:采取有效措施对重要数据进行加密、备份和恢复,确保数据的完整性和可用性。

安全审计:建立完善的安全审计机制,对信息系统的操作和事件进行审计,及时发现并纠正存在的问题。

网络安全防护:针对网络通信过程中的安全隐患,采取有效的防护手段,确保信息的机密性和完整性。

应急响应与恢复:建立健全的信息安全应急响应机制,能够及时、有效地应对各类安全事件,保障系统的稳定运行。

外包服务安全管理:在使用外包服务时,确保外包服务商有相应
的信息安全管理体系,加强对外包服务的监督和管理。

安全培训与教育:对系统操作人员和管理人员进行定期的安全培训与教育,提高其安全意识和应对能力。

信息安全等级保护二级标准的实施,有助于提高信息系统的整体安全水平,保障信息的安全性、完整性和可用性。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

国家信息安全等级保护制度的主要内容和要求一、开展信息安全等级保护工作的重要性和必要性信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。

信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。

实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。

二、信息安全等级保护相关法律和文件1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。

1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。

2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。

2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》(以下简称《管理办法》),明确了信息安全等级保护的具体要求。

三、工作分工和组织协调(一)工作分工。

公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。

(二)组织协调。

省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组,负责信息安全等级保护工作的组织部署,由省公安厅主管网监工作的领导任组长,省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。

办公室设在省公安厅网警总队,负责信息安全等级保护工作的具体组织实施。

各行业主管部门要成立行业信息安全等级保护工作小组,组织本系统和行业的信息安全等级保护工作。

各地级以上市参照成立相应工作机制。

重要信息系统运营使用单位成立信息安全等级保护工作组,负责组织本单位的信息系统安全等级保护工作。

四、信息安全等级保护等级划分和监管方式(一)信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

(二)信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。

第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。

国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。

第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。

国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。

五、信息安全等级保护制度的原则信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。

信息安全等级保护制度遵循以下基本原则:(一)明确责任,共同保护。

通过等级保护,组织和动员国家、法人和其他组织、公民共同参与信息安全保护工作;各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。

(二)依照标准,自行保护。

国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级、自行保护。

(三)同步建设,动态调整。

信息系统在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。

因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级。

等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。

(四)指导监督,重点保护。

国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式,对重要信息和信息系统的信息安全保护工作进行指导监督。

国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括:国家事务处理信息系统(党政机关办公系统);财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统;教育、国家科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统;网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。

五、信息安全等级保护工作主要环节(一)组织开展调查摸底。

各信息系统主管部门、运营使用单位组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构以及系统建设规划等基本情况,为开展信息安全等级保护工作打下基础。

(二)合理确定保护等级。

各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》,确定定级对象的安全保护等级。

涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

对拟确定为第四级以上信息系统的,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。

(三)开展安全建设整改。

各信息系统主管部门和运营使用单位应当根据确定的安全保护等级,对已有的信息系统按照等级保护的管理规范和技术标准,采购和使用相应等级要求的信息安全产品,落实安全技术措施,完成系统整改。

对新建、改建、扩建的信息系统按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。

(四)组织系统安全测评。

信息系统建设完成后,运营使用单位应当依照《管理办法》选择符合要求的测评机构进行测评。

已投入运行信息系统在完成系统整改后也应当进行测评。

经测评,信息系统安全状况未达到安全保护等级要求的,运营使用单位应当制定方案进行整改。

承担第三级以上信息系统安全测评的机构由省公安厅根据《管理办法》的有关规定予以推荐。

(五)依法履行备案手续。

信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门应当在系统投入运行后(新建系统)或确定等级后(已运营的系统)30日内到公安机关办理备案手续;鼓励第一级和第五级的信息系统到公安机关办理备案手续。

隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。

跨地区或全省统一联网运行的信息系统由省级主管部门组织向省公安厅备案。

跨地区、跨省或者全省、全国统一联网运行的信息系统在各地运行、应用的分支系统,向地级以上市公安局备案。

涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定,到保密工作部门备案。

(六)加强安全监督检查。

公安机关应当会同有关部门加强对信息系统的监督检查,对未依法履行定级、备案手续的单位,督促其限期改正。

发现定级不准的,应当通知运营使用单位或其主管部门重新审核确定。

对安全措施不符合要求的,要指导其落实整改措施。

各级保密工作部门加强对涉密信息系统安全等级保护工作的指导、监督和检查。

国家密码管理部门加强对信息安全等级保护密码管理。

(七)建设技术支撑体系。

省公安厅会同有关部门根据《管理办法》建立健全管理制度,向社会推荐一批符合要求的安全专用产品、安全测评机构。

组织开展继续教育工作,加强对安全专业技术人员的培训,提高信息系统运营使用单位和主管部门以及安全专用产品研发机构、安全服务机构安全专业技术人员的技术和法律知识水平。

(八)健全长效工作机制。

在信息安全等级保护职能部门、信息系统主管部门、运营使用单位间建立畅通的联络机制。

落实信息系统主管部门对运营使用单位的监督指导责任,建立职能部门、主管部门对信息系统的定期监督检查机制。

争取省人大和省政府法制办公室支持,制订《广东省计算机信息系统安全保护条例》及实施细则,使信息安全等级保护工作获得地方立法的支撑。