当前位置:文档之家 › 等级保护工作介绍

等级保护工作介绍

  • 格式:ppt
  • 大小:178.50 KB
  • 文档页数:50

下载文档原格式

  / 50

合集下载

2级等保的内容描述

2级等保的内容描述

2级等保的内容描述2级等保是指在信息系统安全等级保护工作中,属于较高的保护等级。

以下是2级等保的内容描述:1. 风险分析与评估:进行针对性的风险分析和评估,确定系统面临的威胁和风险,并提出相应的保护措施。

2. 安全策略和规划:制定信息系统安全策略和规划,明确安全目标和安全控制措施,并建立相应的安全管理制度和流程。

3. 安全意识培训与教育:组织开展安全意识培训和教育活动,提高员工的安全意识和安全技能,增强整体安全防护能力。

4. 系统安全设计与开发:在系统设计和开发过程中,采用安全设计原则和安全编码规范,确保系统具备良好的安全性能和防护能力。

5. 身份认证与访问控制:建立完善的身份认证和访问控制机制,确保只有授权用户可以访问系统,并对其进行有效的身份验证和授权管理。

6. 数据保护与备份:采取安全的数据加密和存储措施,确保数据的机密性和完整性,同时建立定期备份和灾难恢复机制,以应对意外数据丢失或系统故障。

7. 系统运维与安全监控:建立系统运维和安全监控机制,及时发现和应对安全事件和漏洞,对系统进行定期审查和安全评估,确保系统的稳定和安全性。

8. 应急响应与管理:建立应急响应和管理机制,指定应急响应小组,并制定应急预案和应急处置流程,以迅速响应和处理安全事件,最大限度地减少损失。

9. 外部合作与评估:与相关外部机构或安全专家合作,进行安全评估和审查工作,及时发现和修复安全漏洞,提升系统的安全性和抗攻击能力。

10. 安全日志与审计:建立安全日志和审计机制,记录系统的安全事件和活动,并进行定期审计和分析,及时发现和防止安全威胁和攻击。

总之,2级等保要求对信息系统进行全面的安全管理,包括风险评估、安全策略制定、安全意识培训、系统开发和运维、身份认证与访问控制、数据保护与备份、应急响应与管理等方面的工作,以确保系统的安全性和可靠性。

等级保护的工作范围

等级保护的工作范围

等级保护的工作范围等级保护是指对具有重要历史、文化、科学价值的文物进行划定等级,并采取一系列的保护措施,以确保其得到合理的保护和利用。

在中国,等级保护的工作范围涵盖了众多的文物类型,包括建筑物、遗址、古迹、艺术品、手工艺品等。

首先,等级保护的工作范围主要包括建筑物的保护。

建筑物作为人类文明的重要载体,承载了丰富的历史文化信息,是历代社会发展的见证和记录。

因此,对建筑物进行等级保护是非常必要的。

在等级保护工作中,专家们会对建筑物的历史价值、建筑风格、建筑材料等进行综合评估,并根据评估结果对其进行划定等级,并采取相应的保护措施,如修复、维护等。

其次,等级保护还包括对遗址和古迹的保护。

遗址和古迹是指古代人类活动遗留下来的重要遗迹,是了解人类历史和文明发展的重要载体。

对于遗址和古迹的等级保护,主要是通过考古发掘、研究和保护性修复来实现。

通过对遗址和古迹的认定和等级保护,可以有效地保护这些文物的完整性和真实性,防止其被破坏和丢失。

另外,等级保护还涉及对艺术品和手工艺品的保护。

艺术品和手工艺品作为民族文化的瑰宝,具有极高的历史、文化和艺术价值。

通过等级保护,可以确保这些艺术品和手工艺品得到妥善保存和传承,同时也可以加强对其流通和收藏的管理,避免资本化运作对其带来的破坏。

为了有效实施等级保护工作,相关的法律法规和管理措施也是不可或缺的。

在中国,国家文物局和地方文物部门制定了一系列保护文物的法律法规,并设立了专门的部门负责文物的具体保护工作。

此外,还建立了文物鉴定机构和专家团队,负责对文物进行鉴定和等级评估。

综上所述,等级保护工作范围广泛,涵盖了建筑物、遗址、古迹、艺术品、手工艺品等众多类型的文物。

等级保护旨在保护重要历史、文化、科学价值的文物,通过综合评估和划定等级,采取一系列的保护措施,确保文物的完整性、真实性和持续性传承。

在实施等级保护工作时,法律法规和管理措施的制定与执行是非常重要的,只有统一的标准和有力的保护措施,才能有效保护我国丰富多样的文物遗产。

等级保护工作流程

等级保护工作流程

等级保护工作流程等级保护,是指对不同级别的信息进行不同程度的保护,确保信息的机密性、完整性和可用性。

等级保护工作流程是指在保障信息传输安全的过程中,按照一定的规定和流程,对信息进行分类、审核、授权、加密、传输、存储等一系列工作的全过程。

本文将详细介绍等级保护工作流程的整体流程以及每个环节的详细描述。

一、等级保护工作流程的整体流程等级保护工作流程的整体流程包括四个主要环节:审批前准备、等级确认、保护方案设计及执行、监督和评估,下面将分别进行详细介绍。

1. 审批前准备在等级保护工作之前,需要对需要保护的信息进行分类,确定信息的保密级别、机密性质和保密期限,以及需要保密的具体内容等信息。

还需要确定信息的安全保护措施是否符合国家和行业的规定。

在此基础上,编制安全保密管理规定和工作程序,并确定相应的组织机构和人员职责。

2. 等级确认等级确认是指根据信息的重要程度和机密性质,确定信息的安全等级和保护要求。

在等级确认的过程中,需要进行系统性和科学性的评估和筛选,确保信息的等级保护工作符合国家和行业的相关要求。

3. 保护方案设计及执行在进行保护方案设计及执行的过程中,需要确定信息安全保护措施的具体实施方案,包括保护技术、保密设备和保密人员等方面。

针对不同级别的信息,采取相应的保密措施,包括加密、访问控制、审计跟踪等方面。

保护方案设计和执行需要严格按照国家和行业的规定和标准,确保信息安全性、完整性和可用性。

4. 监督和评估监督和评估是等级保护工作的重要环节,其目的是对等级保护工作的效果进行检查和评估,并发现和解决安全保护工作中的问题和隐患。

需要定期对等级保护工作进行评估和检查,并对安全保护措施的实际效果进行对比和分析,找出存在的问题,采取相应的措施和改进工作。

二、每个环节的详细描述1. 审批前准备在等级保护工作之前,需要对需要保护的信息进行分类和筛选,确定信息的保密级别。

确定保密级别需要参考国家和行业的相关规定和标准,根据信息的权重、机密性质、涉密人员和保密期限等要素,确定信息的保密级别。

信息安全等级保护测评工作介绍

信息安全等级保护测评工作介绍

信息安全等级保护测评工作介绍信息安全等级保护测评工作是为了评估和检测组织内部信息系统的安全性而进行的一项工作。

在当前数字化时代,随着信息技术的快速发展和全球化互联网的普及,组织面临的信息安全风险日益增加,因此,进行信息安全等级保护测评工作对于保护组织的核心信息资产和防范安全威胁具有重要意义。

首先,信息安全等级保护测评旨在为组织提供一个全面的安全评估,以识别和评估信息系统存在的潜在安全风险。

通过对组织内部信息系统的安全性进行定量评估,可以帮助组织确定其信息系统的安全等级,并借此制定相应的保护策略和安全措施,加强信息安全工作。

在进行信息安全等级保护测评工作时,通常采用一系列的测评方法和技术,包括:风险评估、安全漏洞扫描、安全策略审查、网络和系统安全配置审计等。

这些测评方法和技术可以帮助测评人员识别并评估信息系统中的安全弱点和安全漏洞,以便制定相应的修复措施和改进计划。

另外,信息安全等级保护测评工作还关注数据和信息的保密性、完整性和可用性。

测评人员会对组织内部的数据保护措施进行评估,包括加密算法的使用、访问控制的实施、备份和恢复机制等等。

这些评估可以帮助组织确保其核心数据和信息不会被未经授权的访问、篡改或破坏。

最后,信息安全等级保护测评工作具有周期性和持续性。

信息系统的安全性是一个动态的过程,随着威胁和技术的变化而不断发展,因此,定期进行测评工作可以及时发现和纠正安全问题,确保组织持续的信息安全。

总之,信息安全等级保护测评工作对于组织来说至关重要。

通过对信息系统的安全性进行评估,可以帮助组织了解其安全水平和存在的风险,从而制定相应的保护策略和安全措施,保障组织的核心信息资产和业务的安全。

这不仅可以减少潜在的经济损失,还能维护组织的声誉和信誉。

信息安全等级保护测评工作是为了评估和检测组织内部信息系统的安全性而进行的一项工作。

在当前数字化时代,随着信息技术的快速发展和全球化互联网的普及,组织面临的信息安全风险日益增加,因此,进行信息安全等级保护测评工作对于保护组织的核心信息资产和防范安全威胁具有重要意义。

等级保护工作的正确流程

等级保护工作的正确流程

等级保护工作的正确流程等级保护是现代社会中一种重要的安全措施,它旨在保护机构、组织或个人的信息和资产免受未经授权的访问、使用、披露、破坏、修改、复制或移动等风险。

为了确保等级保护工作的有效性和顺利进行,需要遵循一定的流程和步骤。

本文将介绍等级保护工作的正确流程。

第一步:制定等级保护策略制定等级保护策略是等级保护工作的首要任务。

等级保护策略应根据机构、组织或个人的实际情况和需求来制定,包括确定等级保护的目标、范围、等级划分标准、等级保护措施等内容。

制定等级保护策略需要综合考虑信息的重要性、敏感性、机密性以及可能面临的威胁和风险。

第二步:评估风险和威胁评估风险和威胁是等级保护工作的关键环节。

通过对信息系统和资产的风险和威胁进行全面、系统的评估,可以确定哪些信息系统和资产是最容易受到攻击和侵害的,从而为等级保护工作的重点确定提供依据。

评估风险和威胁需要考虑各种可能的威胁来源,如黑客攻击、病毒感染、数据泄露等,以及可能造成的损失和影响。

第三步:制定等级保护方案根据对风险和威胁的评估结果,制定等级保护方案是等级保护工作的重要环节。

等级保护方案应包括详细的技术和管理措施,以确保信息系统和资产的安全性和保密性。

技术措施包括网络防火墙、入侵检测系统、加密技术等,而管理措施包括人员培训、访问控制、备份和恢复等。

制定等级保护方案需要充分考虑实际情况和可行性,确保措施的有效性和可操作性。

第四步:实施等级保护措施根据等级保护方案,对信息系统和资产进行相应的安全措施实施。

实施等级保护措施需要根据实际情况和需求,有计划、有步骤地进行。

在实施过程中,需要充分考虑措施的可行性和有效性,确保措施的顺利实施和达到预期的效果。

第五步:监控和评估等级保护工作等级保护工作不是一次性的,而是一个持续不断的过程。

在实施等级保护措施后,需要建立监控机制,及时发现和处理安全事件和漏洞。

监控可以通过日志审计、安全漏洞扫描、入侵检测等手段进行。

同时,还需要定期评估等级保护工作的效果和成果,及时调整和改进等级保护策略和方案。

网络安全等级保护工作

网络安全等级保护工作

网络安全等级保护工作网络安全等级保护工作是指针对网络系统进行评估、分类和保护的工作。

网络安全等级保护工作的目的是为了保护网络系统的安全性和稳定性,防止网络攻击和数据泄露等风险。

下面是我对网络安全等级保护工作的一些思考和建议。

首先,针对不同的网络系统进行评估和分类是非常重要的。

网络系统的安全等级是根据系统的重要程度和对网络攻击的敏感性来确定的。

根据不同的安全等级,可以采取不同的安全措施和防护策略。

其次,制定和落实网络安全政策和规范是保障网络安全的关键。

网络安全政策和规范是指明网络系统使用和管理的原则和规定,明确责任和权限,从根本上保障网络安全。

制定网络安全政策和规范应该充分考虑到不同网络系统的特点和安全需求,并且要与实际情况相结合,具体而明确地指导网络安全工作的开展。

第三,加强网络系统的安全防护能力。

网络安全防护措施可以包括网络防火墙、入侵检测系统、数据加密等。

这些措施可以帮助防止未经授权的访问和入侵,并且可以及时发现和应对网络攻击事件,保护网络系统的稳定性和安全性。

第四,加强网络安全意识教育和培训。

网络安全是一个综合性的工作,需要所有相关人员的共同努力。

通过加强网络安全意识教育和培训,可以提高员工对网络安全的认识和理解,使他们成为网络安全的主动参与者和守护者。

第五,建立健全的网络安全事件应急处理机制。

面对网络安全事件,及时、有效地应对是至关重要的。

建立健全的网络安全事件应急处理机制,可以帮助组织迅速、有序地应对网络安全事件,减少损失和影响。

总结来说,网络安全等级保护工作是保护网络系统安全和稳定的关键环节。

通过评估、分类和采取相应的安全措施可以有效提高网络系统的安全等级。

制定网络安全政策和规范、加强网络防护能力、加强网络安全意识教育和培训以及建立健全的网络安全事件应急处理机制是保障网络安全的重要手段。

只有采取一系列的综合措施,加强网络安全工作,才能保护网络系统的安全和稳定。

等级保护制度介绍

等级保护制度介绍
等级保护制度是指根据个人的能力、资历和职务等级,对其进行特定的保护和福利待遇的一种制度。

其主要目的是确保人力资源的合理配置,提高员工的工作积极性和幸福感,同时促进组织的稳定发展。

等级保护制度通常适用于政府机关、企事业单位等组织中的工作人员。

根据不同的岗位等级、职务级别和工作年限等因素,员工被分为不同的等级。

不同等级的员工享受不同的保护和福利待遇。

等级保护制度一般包括以下方面:
1. 薪资待遇保护:员工的薪资水平与其等级相匹配,不会因为其他因素而降低或受到不公平待遇。

一般来说,较高等级的员工享受较高的薪资水平。

2. 晋升机会保护:等级较高的员工有更多的晋升机会,可以提升职务及工资水平。

这种制度可以激励员工努力工作,提高自身能力水平,从而获得更好的职业发展。

3. 福利保障:等级较高的员工通常享受更多的福利待遇,包括但不限于年终奖金、住房补贴、医疗保险等。

这些福利可以提高员工的生活质量,增强其对组织的归属感和忠诚度。

4. 工作环境保护:等级较高的员工通常享受较好的工作环境,包括舒适的办公场所、配备完善的办公设备等。

这些条件可以
提高员工的工作效率和工作满意度。

5. 培训和发展机会:等级较高的员工通常享有更多的培训和发展机会,可以提高自身的能力和知识水平。

这有助于员工不断提升自己,适应组织的发展需要。

通过等级保护制度,组织可以更好地管理人力资源,激发员工的工作动力,提高员工的工作积极性和职业发展机会。

同时,该制度也能够增强员工对组织的归属感和忠诚度,促进组织的稳定发展。

等级保护讲解

将在网络安全领域发挥重要作用 ,为等级保护提供新的解决方案 。
跨界融合与合作
等级保护将促进不同行业、领域 的跨界融合与合作,共同应对网 络安全威胁。
总结与思考
等级保护制度的意义
等级保护制度为重要信息系统提供了安全保障,确保其稳定运行和信息安全,维护了国家安全和社会秩序。
GB/T 25058-2019等标准,规定了网络安全等级保护的技术 要求和实施方法。
应用安全等级保护技术标准
GB/T 37983-2019等标准,针对应用系统的安全保护制定了 相应技术标准。
等级保护的管理规范
网络安全等级保护管理规范
规定了各级管理机构和责任人在网络安全等级保护工作中的职责和要求,以 及工作流程、文档记录等内容。
制定标准规范
为保证等级保护工作的有效实施,需要制定相关的标准规范,明 确等级保护的基本要求、实施流程和评估方法等。
加强培训宣传
加强培训和宣传工作,提高员工对等级保护工作的认识和重视程度 ,促进企业整体网络安全意识的提升。
05
未来展望与总结
未来发展趋势与展望
完善法律法规
随着网络安全形势的不断变化, 等级保护制度将不断完善,为网 络安全提供更有力的保障。
总结和推广网络安全领域的最佳实践,引导企业和个人加强网络 安全意识和能力。
加强培训与演练
组织开展网络安全培训和演练,提高应对网络安全事件的能力和 水平。
THANKS
感谢观看
等级保护的历史与发展
等级保护起源
等级保护起源于美国,最初用于国防领域,现已成为全球信息安全领域的重要制度。
等级保护在中国
自20世纪90年代起,中国开始推行等级保护制度,并不断完善相关法规和标准。
等级保护的重要性和意义

等级保护测评工作内容

等级保护测评工作内容
1.系统调查:深入了解系统的基本情况和特点,包括系统的用途、功能、组成结构、重要性等。

2. 安全威胁分析:分析系统所面临的安全威胁,包括黑客攻击、病毒、木马、恶意软件等,以及可能导致系统瘫痪、数据泄露等问题。

3. 安全等级评定:根据系统的安全性能、保密性、可用性等方面的要求,评定系统的安全等级,并提供安全等级评定报告。

4. 安全加固建议:针对评定结果,提供相应的安全加固建议,包括技术加固、管理加固等方面的措施。

5. 测评报告:提供详细的测评报告,包括系统安全状态、安全等级评定结果、安全威胁分析及加固建议等内容,供相关单位参考。

以上是等级保护测评工作的主要内容。

通过等级保护测评工作,能够全面评估国家重要信息系统的安全性,并提出有效的加固建议,为信息安全提供保障。

- 1 -。

等级保护工作的正确工作流程

等级保护工作的正确工作流程一、引言等级保护是指根据信息的重要程度和敏感程度,对信息进行分类和分级管理,以确保信息的安全性和保密性。

在信息化时代,等级保护工作显得尤为重要。

本文将介绍等级保护工作的正确工作流程,以帮助相关人员更好地开展等级保护工作。

二、确定信息等级等级保护工作的第一步是确定信息的等级。

根据信息的重要程度和敏感程度,将信息分为不同的等级,如绝密、机密、秘密和内部。

在确定信息等级时,需要综合考虑信息的价值、影响范围、泄露后的损失以及可能导致的安全风险等因素。

三、制定等级保护措施根据信息的等级,制定相应的等级保护措施。

对于绝密级别的信息,需要采取最严格的保护措施,如加密存储、访问权限控制、网络隔离等;对于机密和秘密级别的信息,也需要采取相应的保护措施,如访问控制、安全审计、数据备份等;而对于内部级别的信息,保密要求相对较低,可以采取适当的保护措施,如访问权限限制、密码保护等。

四、培训和意识教育等级保护工作需要全员参与,因此需要对相关人员进行培训和意识教育。

培训内容包括信息安全意识、等级保护政策和规定、保密责任等方面的知识。

通过培训和意识教育,可以提高员工对等级保护工作的重视程度,增强其保密意识和安全意识。

五、定期检查和评估等级保护工作需要进行定期检查和评估,以确保保密制度的有效执行和信息安全的可靠性。

定期检查可以发现问题和隐患,及时采取措施进行整改;评估可以评估等级保护工作的成效,及时调整和改进工作措施。

定期检查和评估的频率和深度应根据实际情况进行合理安排。

六、应急响应和事件处理等级保护工作中难免会遇到安全事件和漏洞,因此需要建立健全的应急响应和事件处理机制。

一旦发生安全事件,应立即启动应急响应,采取措施控制和修复漏洞,并对事件进行调查和分析,找出原因和责任。

同时,还需要及时向上级主管部门和相关方报告,并根据需要采取相应的补救措施。

七、保密审计和追责问责等级保护工作需要进行保密审计和追责问责。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
11
安徽省 公安厅
等级保护工作有关方面的职责义务
运营、使用单位: 依照规范标准,具体落实本单位等级保护工作中 的定级、备案、安全规划、安全建设、测评等,运营 使用单位和主管部门是信息系统安全的第一责任人, 对所属信息系统安全负有直接责任。
安徽省 公安厅
公民、法人和其他组织:
依照标准规范,开展等级保护工作,服从国家对 信息安全等级保护工作的监督、指导,保障信息系统 安全。 测评机构、产品提供商应当遵守国家有关管理规 定和技术标准,接受国家信息安全职能部门的监督管 12 理等。
信息系统安全保护等级的确定
定级范围:
安徽省 公安厅
1. 电信、广电行业的公用通信网、广播电视传输网等基 础信息网络,经营性公众互联网信息服务单位、互联 网接入服务单位、数据中心等单位的重要信息系统。 2. 国家重要行业、领域的重要信息系统。 3. 市(地)级以上党政机关的重要网站和办公信息系统。 4. 涉及国家秘密的信息系统。
6
信息安全等级保护工作概述
等级保护工作意义:
信息安全等级保护是国家信息安全保障的基本制度、
安徽省 公安厅
基本策略、基本方法,开展信息安全等级保护工作是 保护信息化发展、维护国家信息安全的根本保障。 实施信息安全等级保护制度,信息系统运营使用单位 和主管部门能按照标准进行安全建设、整改,信息系 统安全与否也有了一个衡量尺度。 信息安全等级保护是发达国家的通行做法、也是我国 多年工作经验总结。 五个“有利于”:
3
信息安全等级保护工作概述
发展历程:
1999-2006年,制定了50多个国标和行标,初步形成
安徽省 公安厅
了信息安全等级保护标准体系:《计算机信息系统安 全保护等级划分准则》(GB17859-1999)、《信息系 统安全等级保护定级指南》、《信息系统安全等级保 护基本要求》、《信息系统安全等级保护实施指南》、 《信息系统安全等级保护测评要求》等。 2006年,下发等级保护管理办法(试行) 2007年6月,四部门联合发布《信息安全等级保护管 理办法》(公通字[2007]43号):明确了信息安全等 级保护制度的基本内容、流程及工作要求,明确了有 关方面的职责、任务,为开展信息安全等级保护工作 提供了规范保障。
定级对象(1):
定级对象的确定应当遵循以下三个基本原则: 安徽省 公安厅
1. 承载相对独立或单一业务应用的信息系统; 定级对象中的一个或多个业务应用的主要业务流程、 部分业务功能独立,同时与其他信息系统的业务应 用有少量的数据交换,定级对象可能会与其他业务 应用共享一些设备,尤其是网络传输设备。“相对 独立”的业务应用并不意味着整个业务流程,可以 是完整的业务流程的一部分。
信息系统安全等级保护介绍
安徽省 公安厅
安徽省公安厅网监总队 王家玉
目录

安徽省 公安厅
信息安全等级保护工作概述 等级保护工作有关方面的职责、义务 信息系统安全保护等级的划分与保护 信息安全等级保护工作主要流程 信息系统安全保护等级的确定 信息系统安全保护等级备案与备案审核 信息系统安全建设整改 信息系统安全保护等级测评 监督检查
21
信息系统安全保护等级的确定
定级对象(2):
2.信息系统的信息安全由本单位主管; 作为定级对象的信息系统应能够唯一地确定其安全 责任单位,这个安全责任单位就是负责等级保护工 作部署、实施的单位,也是完成等级保护备案和接 受监督检查的直接责任单位。
安徽省 公安厅
3.具有信息系统的基本要素;
作为定级对象的信息系统应该是由相关的和配套的 设备、设施按照一定的应用目标和规则组合而成的 有形实体。应避免将某个单一的系统组件,如单台 的服务器、终端或网络设备等作为定级对象。
4
信息安全等级保护工作概述
工作进展:
《关于开展全国重要信息系统安全等级保护定级工作
的通知》 (公通字[2007]861号)
安徽省 公安厅
《信息安全等级保护备案实施细则》(公信安
[2007]1360号) 《关于开展信息安全等级保护安全建设整改工作的指 导意见》公信安[2009]1429号 《关于开展信息安全等级保护专项监督检查工作的通 知》 (公信安[2010]1175号)
14
信息安全保护等级的划分与保护
各等级信息系统的保护和监管责任(2)
安徽省 公安厅
–第四级:信息系统运营使用单位应当依据国家有 关管理规范、技术标准和业务专门需求进行保护。 国家信息安全监管部门对该级信息系统信息安全等 级保护工作进行强制监督、检查。 –第五级:信息系统运营使用单位应当依据国家管 理规范、技术标准和业务特殊安全需求进行保护。 国家指定专门部门对该级信息系统信息安全等级 保护工作进行专门监督、检查。
信息安全保护等级的划分与保护
五个等级:
安徽省 公安厅
根据信息系统的重要程度和遭到破坏后的危害程 度等因素分为以下五级: 第一级:公民、法人和其他组织合法权益造成损害 第二级:公民、法人和其他组织合法权益产生严重 损害,或社会秩序和公共利益造成损害 第三级:社会秩序和公共利益造成严重损害,或者 对国家安全造成损害 第四级:对社会秩序和公共利益造成特别严重损害, 或者对国家安全造成严重损害 第五级:对国家安全造成特别严重损害
安徽省 公安厅
9
等级保护工作有关方面的职责义务
等级保护工作涉及:国家信息安全监管部门;信息 系统主管部门;信息系统运营使用单位;公民、法人 和其他组织。其职责和义务分别是: 国家监管部门::
安徽省 公安厅
公安机关牵头,负责信息安全等级保护工作的监督、 检查、指导。国家保密工作部门负责等级保护工作 中有关保密工作的监督、检查、指导。国家密码管 理部门负责等级保护工作中有关密码工作的监督、 检查、指导。涉及其他职能部门管辖范围的事项, 由有关职能部门依照国家法律法规的规定进行管理。 省及市级信息化领导小组办事机构负责等级保护工 作的部门间协调。在信息安全等级保护工作中,坚 10 持“分工负责、密切配合”的原则。
特别说明:信息系统的安全保护等级是信息系统的客观属性,不以 系统已采取或将采取什么安全保护措施为依据,也不以风险评估结 果为依据,而是以信息系统的重要性和信息系统遭破坏后对客体的 危害程度为依据,来确定信息系统的等级,即从国家、人民群众的 根本利益出发,考虑信息系统受到损害后的最大风险。
20
信息系统安全保护等级的确定
2
信息安全等级保护工作概述
发展历程:
1994年,国务院颁布《计算机信息系统安全保护条例》:第九条 计
算机信息系统实行安全等级保护。安全等级的划分标准和安全等 具体办法,由公安部会同有关部门制定。 级保护的
1999年,颁布《计算机信息系统安全保护等级划分准则》,2000
安徽省 公安厅
年实施 2003年,《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号):明确提出“实行信息安全等级保 护”。 2004年,全国信息安全保障工作会议:专门将信息安全等级保护 工作作为信息安全保障工作的一项重要任务来部署 2004年9月,四部门出台了《关于信息安全等级保护工作的实施 意见》(公通字[2004]66号):明确了信息安全等级保护制度的 原则和基本内容,以及信息安全等级保护工作的职责分工、工作 实施的要求等。
17
信息系统安全保护等级的确定
定级工作原则(1)

安徽省 公安厅


坚持“自主定级、自主保护”的原则:各信息系 统运营使用单位和主管部门是信息安全等级保护的 责任主体,根据所属信息系统的重要程度和遭到破 坏后的危害程度,自主确定信息系统的安全保护等 级,并按照所定等级,自主对信息系统进行保护。 满足管理要求原则:安全等级不是保障程度等级, 也不是技术能力等级,而是从国家管理的需要出发, 从信息系统对国家安全、经济建设、公共利益等方 面的重要性,以及信息或信息系统被破坏后造成危 害的严重性角度对信息系统确定的等级; 全局性原则:等级保护是针对全国范围内、涵盖 各个行业信息系统的管理制度,系统定级也必须从 国家层面考虑,体现全局性; 18
5
信息安全等级保护工作概述
网络安全形势 :
一是西方敌对势力对我网上渗透和颠覆活动不断升级,我们将长
安徽省 公安厅


期面临敌对势力的信息优势、技术优势所带来的信息安全威胁。 二是境内外反动势力在西方敌对势力的支持下,对我重要网络和 信息系统频繁进行攻击破坏:2006年发生几十起攻击我卫星广播 电视和插播事件等 三是计算机病毒传播和网络非法入侵十分严重: “熊猫烧香”病 毒变种700余个,感染了445万台计算机 四是网络违法犯罪持续大幅上升:黑客病毒技术、网络钓鱼技术、 木马间谍程序等新技术,进行网络盗窃、网络诈骗、网络赌博等违 法犯罪 五是网上失、窃密情况严重。 六是网络安全管理不善,安全措施不到位,信息系统运行事故时 有发生:金融、民航等重要信息系统连续发生运行事故.
7
信息安全等级保护工作概述
等级保护工作意义:
1. 有利于在信息化建设过程中同步建设信息安全设 施,保障信息安全与信息化建设相协调; 2. 有利于为信息系统安全建设和管理提供系统性、 针对性、可行性的指导和服务,有效控制信息安 全建设成本; 3. 有利于优化信息安全资源的配臵,重点保障基础 信息网络和关系国家安全、经济命脉、社会稳定 等方面的重要信息系统的安全; 4. 有利于明确国家、法人和其他组织、公民的信息 安全责任,加强信息安全管理; 5. 有利于推动信息安全产业的发展,逐步探索出一 条适应社会主义市场经济发展的信息安全模式 。
22
信息系统安全保护等级的确定
定级要素:受侵害的客体和对客体的侵害程度

安徽省 公安厅
13
信息安全保护等级的划分与保护
各等级信息系统的保护和监管责任(1)