信息安全等级保护工作面临的形势和要求.ppt.ppt

《信息安全等级保护工作面临的形势和要求.ppt.ppt》由会员分享，可在线阅读，更多相关《信息安全等级保护工作面临的形势和要求.ppt.ppt（29页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、公安部信息安全等级保护工作信息安全等级保护工作面临的形势和要求面临的形势和要求公安部公安部 网络安全保卫局网络安全保卫局 公安部 目目 录录一、近年来等级保护工作情况一、近年来等级保护工作情况 和取得的成效和取得的成效二、当前等级保护工作面临的二、当前等级保护工作面临的 形势和存在的问题形势和存在的问题三、下一步等级保护重点工作三、下一步等级保护重点工作公安部一、一、等级保护工作情况和取得的成效等级保护工作情况和取得的成效 20072007年以来，各地区、各部门高度重年以来，各地区、各部门高度重视等级保护工作，按照公安部统一部署，视等级保护工作，按照公安部统一部署，在全国范围内先后组织开展了信

2、息系统定在全国范围内先后组织开展了信息系统定级备案、安全建设整改、等级测评体系建级备案、安全建设整改、等级测评体系建设和等级测评、监督检查等重要工作，初设和等级测评、监督检查等重要工作，初步建立了具有中国特色的信息安全等级保步建立了具有中国特色的信息安全等级保护制度，有力促进了国家信息安全保障工护制度，有力促进了国家信息安全保障工作，有效提高了我国基础信息网络和重要作，有效提高了我国基础信息网络和重要信息系统的安全保护能力。信息系统的安全保护能力。公安部一、一、等级保护工作情况和取得的成效等级保护工作情况和取得的成效 （一）切实加强等级保护工作的组织（一）切实加强等级保护工作的组织领导，保证了

3、等级保护工作顺利开展领导，保证了等级保护工作顺利开展l公安部、公安部、3131个省、个省、90%90%的地市成立了信息的地市成立了信息安全等级保护工作协调（领导）小组。安全等级保护工作协调（领导）小组。l公安部、公安部、1818个省建立了等级保护联络员制个省建立了等级保护联络员制度。度。l公安部、各省都组建了等级保护专家组。公安部、各省都组建了等级保护专家组。公安部一、一、等级保护工作情况和取得的成效等级保护工作情况和取得的成效6868个重点行业和部门成立了等级保护协调个重点行业和部门成立了等级保护协调领导机构，明确了等级保护责任部门和责领导机构，明确了等级保护责任部门和责任人员。任人员。电力

4、、广电、银行、证券、水利、海关、电力、广电、银行、证券、水利、海关、税务、铁路、农业、国土资源、教育等税务、铁路、农业、国土资源、教育等2020多个重点行业，以及国家电网公司、中石多个重点行业，以及国家电网公司、中石油、中石化、中国华能集团等很多中央企油、中石化、中国华能集团等很多中央企业以等级保护工作为抓手，开展网络与信业以等级保护工作为抓手，开展网络与信息安全工作。息安全工作。公安部一、一、等级保护工作情况和取得的成效等级保护工作情况和取得的成效 （二）建立健全了等级保护政策体系和标（二）建立健全了等级保护政策体系和标准体系，为等级保护制度的贯彻落实提供了准体系，为等级保护制度的贯彻落实提

5、供了保障保障l部级文件部级文件 实施意见实施意见、管理办法管理办法、定级工作定级工作通知通知、安全建设整改工作指导意见安全建设整改工作指导意见等。等。l公安部十一局文件公安部十一局文件 备案、等级测评报告模板、等级测评体系建备案、等级测评报告模板、等级测评体系建设、等级保护检查等具体工作的实施细则或工设、等级保护检查等具体工作的实施细则或工作规范。作规范。公安部一、一、等级保护工作情况和取得的成效等级保护工作情况和取得的成效l国家标准国家标准（3030多个）多个）等级划分准则等级划分准则、定级指南定级指南、实施指南实施指南、基本要求基本要求、安全管安全管理要求理要求、安全设计技术要求安全设计技

6、术要求、测测评要求评要求及及测评过程指南测评过程指南等。等。l行业标准行业标准 电信、广电、水利、电力、证券、税电信、广电、水利、电力、证券、税务、卫生等行业标准务、卫生等行业标准公安部一、一、等级保护工作情况和取得的成效等级保护工作情况和取得的成效 （三）开展等级保护定级备案工作，（三）开展等级保护定级备案工作，等级保护的重点对象基本明确等级保护的重点对象基本明确l电信、广电、银行、铁道、海关、税务、电信、广电、银行、铁道、海关、税务、民航、证券、电力、公安、国防工业、社民航、证券、电力、公安、国防工业、社会保障等行业第三级以上信息系统所占全会保障等行业第三级以上信息系统所占全部第三级以上信

7、息系统部第三级以上信息系统86%86%。l生产作业、调度指挥、管理控制等重要业生产作业、调度指挥、管理控制等重要业务系统，占所有种类重要信息系统的务系统，占所有种类重要信息系统的70%70%以上。以上。公安部一、一、等级保护工作情况和取得的成效等级保护工作情况和取得的成效 （四）积极稳妥地开展信息安全等级（四）积极稳妥地开展信息安全等级测评体系建设，为等级保护工作提供了测评体系建设，为等级保护工作提供了一支可靠的专业技术支撑力量一支可靠的专业技术支撑力量l115115家测评机构通过了省级等保办初审，家测评机构通过了省级等保办初审，22082208人参加了等级测评师培训和考试，其人参加了等级测评

8、师培训和考试，其中中16831683人取得了等级测评师证书。人取得了等级测评师证书。l国家信息安全等级保护工作协调小组办公国家信息安全等级保护工作协调小组办公室汇总发布了室汇总发布了全国信息安全等级保护测全国信息安全等级保护测评机构推荐目录评机构推荐目录，已向社会公布了，已向社会公布了8383家家测评机构。测评机构。公安部一、一、等级保护工作情况和取得的成效等级保护工作情况和取得的成效 （五）深入推进等级测评和安全建设（五）深入推进等级测评和安全建设整改工作，有效提高重要信息系统的安整改工作，有效提高重要信息系统的安全保护能力全保护能力l树立了国家电网公司、国土资源部等安全建设树立了国家电网公

9、司、国土资源部等安全建设整改工作典型。整改工作典型。l电力、海关、证券、教育、税务、广电等电力、海关、证券、教育、税务、广电等2020多多个重点行业纵向对等级测评和安全建设整改工个重点行业纵向对等级测评和安全建设整改工作进行了阶段性的部署。作进行了阶段性的部署。l30003000余个第二级（含）以上信息系统开展了等余个第二级（含）以上信息系统开展了等级测评，全国有级测评，全国有60006000余个信息系统完成了等级余个信息系统完成了等级保护安全建设整改。保护安全建设整改。公安部一、一、等级保护工作情况和取得的成效等级保护工作情况和取得的成效 （六）认真组织开展等级保护专项监（六）认真组织开展等

10、级保护专项监督检查工作，有效推动了等级保护制度督检查工作，有效推动了等级保护制度的贯彻落实的贯彻落实l去年去年9 9月至月至1212月，公安部组织部、省、市三级公月，公安部组织部、省、市三级公安机关集中对各单位、各部门开展了等级保护安机关集中对各单位、各部门开展了等级保护工作专项检查。工作专项检查。l出动警力出动警力2.22.2万人次，检查单位万人次，检查单位96009600余家，检查余家，检查系统系统1.351.35万个，出具反馈意见书和整改通知书万个，出具反馈意见书和整改通知书28002800余份。余份。l公安部与北京市公安局组成了公安部与北京市公安局组成了5 5个联合检查组，个联合检查组

11、，集中对中央国家机关集中对中央国家机关7575个部门进行了检查。个部门进行了检查。公安部一、一、等级保护工作情况和取得的成效等级保护工作情况和取得的成效1、重点行业和部门高度重视，工作变被动、重点行业和部门高度重视，工作变被动为主动；为主动；2、等级保护对信息安全保障工作的基础性、等级保护对信息安全保障工作的基础性地位和抓手作用充分显现，将等级保护地位和抓手作用充分显现，将等级保护纳入信息安全工作中，将信息安全纳入纳入信息安全工作中，将信息安全纳入信息化和单位安全生产管理体系中的思信息化和单位安全生产管理体系中的思想越来越深入人心；想越来越深入人心；3、定级备案工作使工作重点更加突出；、定级备

12、案工作使工作重点更加突出；4、等级测评及时发现了一大批系统安全隐、等级测评及时发现了一大批系统安全隐患、漏洞和薄弱环节，有针对性地开展患、漏洞和薄弱环节，有针对性地开展了安全建设整改；了安全建设整改；公安部一、一、等级保护工作情况和取得的成效等级保护工作情况和取得的成效5 5、安全建设整改对科学调整系统架构，整、安全建设整改对科学调整系统架构，整合业务应用，合理规划系统安全建设，合业务应用，合理规划系统安全建设，优化资源配置发挥了重要作用；优化资源配置发挥了重要作用；6 6、监督检查确保了各项措施的落实；、监督检查确保了各项措施的落实；7 7、宣传教育培训，信息安全意识和技能有、宣传教育培训，

13、信息安全意识和技能有新提高；新提高；8 8、通报机制、联络员机制、专家辅助决策、通报机制、联络员机制、专家辅助决策机制等机制建设使等级保护工作更加顺机制等机制建设使等级保护工作更加顺畅。畅。公安部一、一、等级保护工作情况和取得的成效等级保护工作情况和取得的成效几条工作经验：几条工作经验：一是领导重视是根本。一是领导重视是根本。二是充分发挥行业主管部门作用是关键。二是充分发挥行业主管部门作用是关键。三是突出工作重点是有效对策。三是突出工作重点是有效对策。四是充分调动多方力量是重要保障。四是充分调动多方力量是重要保障。五是加强服务指导是科学方法。五是加强服务指导是科学方法。六是开展监督检查是重要手

14、段。六是开展监督检查是重要手段。公安部二、二、当前面临的形势和存在的问题当前面临的形势和存在的问题1 1、对等级保护工作的重视程度还不够，各、对等级保护工作的重视程度还不够，各行业、各地区之间的差异还比较大。行业、各地区之间的差异还比较大。电力、电信、税务、海关、水利、铁路、电力、电信、税务、海关、水利、铁路、民航、证券等行业工作进展较快。银行、卫生、民航、证券等行业工作进展较快。银行、卫生、交通、广电等行业刚刚起步。交通、广电等行业刚刚起步。2 2、对重要信息系统重要性的认识不足。、对重要信息系统重要性的认识不足。如何运用关键部门分析和相互依赖性分析如何运用关键部门分析和相互依赖性分析方法，

15、从对系统到部门、部门到行业的特点分方法，从对系统到部门、部门到行业的特点分析，增强对重要信息系统重要性的认识。析，增强对重要信息系统重要性的认识。公安部二、二、当前面临的形势和存在的问题当前面临的形势和存在的问题3 3、等级测评和安全建设整改工作进展较慢。、等级测评和安全建设整改工作进展较慢。等级测评机构刚刚成立不久，测评水平和能等级测评机构刚刚成立不久，测评水平和能力需要不断提高。备案单位对等级测评重要性力需要不断提高。备案单位对等级测评重要性的认识有待提高。的认识有待提高。信息系统差异大，安全建设整改周期长，难信息系统差异大，安全建设整改周期长，难度大。逐步将等级保护安全建设与信息化建设度

16、大。逐步将等级保护安全建设与信息化建设统筹、将管理制度建设与安全技术措施建设并统筹、将管理制度建设与安全技术措施建设并重。重。等级测评和安全建设整改经费保障。等级测评和安全建设整改经费保障。公安部二、二、当前面临的形势和存在的问题当前面临的形势和存在的问题4 4、公安机关等级保护工作的监督检查力度、公安机关等级保护工作的监督检查力度不够。不够。公安机关对等级保护工作重视程度要进一公安机关对等级保护工作重视程度要进一步提高，加大警力投入，探索长效的检查工作步提高，加大警力投入，探索长效的检查工作开展方法和相关经验。开展方法和相关经验。5 5、理论研究的深度和广度还不够。、理论研究的深度和广度还不

17、够。加强对国际关键信息基础设施（加强对国际关键信息基础设施（CIIP)CIIP)保保护的研究，借鉴国际护的研究，借鉴国际CIIPCIIP经验，兼顾政府对国经验，兼顾政府对国家安全与企业对业务连续性的不同需求和目标，家安全与企业对业务连续性的不同需求和目标，完善等级保护制度的内涵和外延，缩短与国外完善等级保护制度的内涵和外延，缩短与国外的差距，提高等级保护政策、理论和技术水平。的差距，提高等级保护政策、理论和技术水平。公安部美国关键信息基础设施保护政策美国关键信息基础设施保护政策根据2001年通过提供截获或阻止恐怖主义必需的工具来团结和强化美国法案（爱国者法案），定义的“关键基础设施”是指这样一

18、些关系到美国生死存亡的，无论是物理的还是虚拟的系统和资产，这些系统和资产的功能丧失或遭到破坏，会对国家安全、经济稳定、国家公众健康与安全或这些要素的任何结合产生严重影响。2003年12月，发布的国土安全总统令第7号确定了17个关键基础设施（CI）和关键资源（CI/KR），同时还确定了保护这些部门的角色和责任。2008年3月，增加了一个，共18个，并声称还会变化和增加。分别是：信息技术；电信；化学制品；商业设施；大坝；商用核反应堆、材料和废弃物；政府设施；交通系统；应急服务；邮政和货运服务；农业和食品；饮用水和废水处理系统；公共健康和医疗；能源（包括石油和天然气生产、提炼、储存和输送，以及电力，

19、商用核电设施除外）。银行和金融；国家纪念碑和象征性标志；国防工业基地；关键制造业。公安部 上个世纪90年代以来，美国采取了多项措施加强对关键基础设施保护（CIP）和关键信息基础设施保护（CIIP）的管理。CIIP在美国总体安全战略中扮演重要角色。2007年国土安全战略强调了CIIP对于国家安全和稳定的重要性。“国家的许多基本和应急服务以及我们的关键基础设施全部依赖哪些构成了我们的网络基础设施的互联网、通信系统以及数据监控系统的不间断运行。一次网络攻击有可能削弱我们的高度相互依赖的关键基础设施和关键资源，最终削弱我们的经济和国家安全。”美国关键信息基础设施保护政策美国关键信息基础设施保护政策公安

20、部二、二、当前面临的形势和存在的问题当前面临的形势和存在的问题6 6、重要信息系统的安全保护能力不强。、重要信息系统的安全保护能力不强。一是部分单位对信息安全工作缺乏统一一是部分单位对信息安全工作缺乏统一规划，信息安全责任不清。规划，信息安全责任不清。二是些备案单位对系统的安全保护状况、二是些备案单位对系统的安全保护状况、存在的问题和隐患还不清楚。存在的问题和隐患还不清楚。三是部分单位的信息安全管理制度不健三是部分单位的信息安全管理制度不健全。全。四是部分单位信息系统的安全保护策略四是部分单位信息系统的安全保护策略不科学。不科学。五是信息安全产品的使用问题。五是信息安全产品的使用问题。公安部三

21、、三、下一步等级保护重点工作下一步等级保护重点工作（一）进一步提高对信息安全等级保护的认识（一）进一步提高对信息安全等级保护的认识和重视程度和重视程度l国外在关键基础设施保护（国外在关键基础设施保护（CIPCIP）和关键信息）和关键信息基础设施保护（基础设施保护（CIIPCIIP）方面作了大量探索和实）方面作了大量探索和实践。践。CIIPCIIP与我国重要领域信息安全等级保护存与我国重要领域信息安全等级保护存在一致性或相似性，有借鉴意义。在一致性或相似性，有借鉴意义。l行业主管部门切实承担起责任，高度重视，以行业主管部门切实承担起责任，高度重视，以等级保护工作为核心，开展网络和信息安全工等级保

22、护工作为核心，开展网络和信息安全工作。作。l引导备案单位加强对重要信息系统重要性的认引导备案单位加强对重要信息系统重要性的认识，在信息系统定级报告的基础上，撰写重要识，在信息系统定级报告的基础上，撰写重要性分析报告。性分析报告。公安部三、三、下一步等级保护重点工作下一步等级保护重点工作（二）深化信息系统定级备案工作（二）深化信息系统定级备案工作梳理行业信息系统定级备案情况梳理行业信息系统定级备案情况梳理跨省联网的信息系统定级备案情况梳理跨省联网的信息系统定级备案情况督促未定级、未备案的单位和信息系统督促未定级、未备案的单位和信息系统加强备案审核，及时纠正定级不准情况加强备案审核，及时纠正定级不

23、准情况建设重要信息系统基础数据库建设重要信息系统基础数据库公安部三、三、下一步等级保护重点工作下一步等级保护重点工作（三）继续加强等级测评体系建设工作（三）继续加强等级测评体系建设工作l加强测评机构的培训，提高测评机构和测评人加强测评机构的培训，提高测评机构和测评人员的能力。员的能力。l加强对测评机构的监督，树立测评机构良好形加强对测评机构的监督，树立测评机构良好形象。象。l充分发挥测评机构等级保护政策和专业技术知充分发挥测评机构等级保护政策和专业技术知识方面等专业队优势，鼓励测评机构积极参与识方面等专业队优势，鼓励测评机构积极参与等级保护宣传教育、为备案单位制定信息安全等级保护宣传教育、为备

24、案单位制定信息安全规划和安全建设整改方案、定级咨询、等级测规划和安全建设整改方案、定级咨询、等级测评、安全监理、安全运维、安全监测、安全自评、安全监理、安全运维、安全监测、安全自查、应急响应技术支持等各环节的工作。查、应急响应技术支持等各环节的工作。公安部三、三、下一步等级保护重点工作下一步等级保护重点工作（四）加快推动等级测评和安全建设整改工作（四）加快推动等级测评和安全建设整改工作l树立典型、组织培训，大树立典型、组织培训，大力推动备案单位开展力推动备案单位开展测评工作和安全建设整改工作。测评工作和安全建设整改工作。l要充分发挥各级等级保护协调领导小组及其办要充分发挥各级等级保护协调领导小

25、组及其办公室的作用，公安机关要与保密、密码、工信公室的作用，公安机关要与保密、密码、工信等职能部门及行业主管部门协同作战。等职能部门及行业主管部门协同作战。l及时向当地发改委、财政等部门通报等级保护及时向当地发改委、财政等部门通报等级保护工作情况，取得他们对备案单位等级测评和安工作情况，取得他们对备案单位等级测评和安全建设整改工作的理解和支持。全建设整改工作的理解和支持。l要建立健全重要行业和单位的联络员机制，加要建立健全重要行业和单位的联络员机制，加强横向交流，相互促进。强横向交流，相互促进。公安部三、三、下一步等级保护重点工作下一步等级保护重点工作（四）加快推动等级测评和安全建设整改工作（

26、四）加快推动等级测评和安全建设整改工作l突出工作重点，重点督促电力、电信、广电、突出工作重点，重点督促电力、电信、广电、银行、税务、工商、证券、铁路、海关、民航、银行、税务、工商、证券、铁路、海关、民航、教育、卫生、社会保障、军工等重点部门的工教育、卫生、社会保障、军工等重点部门的工作，尽快取得规模效应。作，尽快取得规模效应。l通过网络安全典型案件和事件分析，远程渗透通过网络安全典型案件和事件分析，远程渗透性测试等手段，督促备案单位提高开展等级测性测试等手段，督促备案单位提高开展等级测评和建设整改工作的自觉性。评和建设整改工作的自觉性。l鼓励和引导广大信息安全企事业单位和研究机鼓励和引导广大信

27、息安全企事业单位和研究机构，积极研究探索安全建设整改的技术，研发构，积极研究探索安全建设整改的技术，研发有关产品，尽快满足各备案单位安全建设的迫有关产品，尽快满足各备案单位安全建设的迫切需要。切需要。公安部三、三、下一步等级保护重点工作下一步等级保护重点工作（五）加强监督检查工作（五）加强监督检查工作范围：第三级（含）以上信息系统及其备案范围：第三级（含）以上信息系统及其备案单位单位重点内容：备案单位等级保护工作情况和第重点内容：备案单位等级保护工作情况和第三级（含）以上信息系统的安全保护状况三级（含）以上信息系统的安全保护状况方式：实地检查，量化打分的形式方式：实地检查，量化打分的形式及时反

28、馈检查意见，督促备案单位开展等级及时反馈检查意见，督促备案单位开展等级保护各项工作保护各项工作 公安部三、三、下一步等级保护重点工作下一步等级保护重点工作（六）重要信息系统安全保护状况分析（六）重要信息系统安全保护状况分析l制定制定重要信息系统安全保护状况分析报告模重要信息系统安全保护状况分析报告模版版，发挥已推荐测，发挥已推荐测评机构的作用，要求各测评机构的作用，要求各测评机构根据测评报告情况，进行总结分析。评机构根据测评报告情况，进行总结分析。l公安机关根据开展远程技术检测、等级保护专公安机关根据开展远程技术检测、等级保护专项检查、信息安全事件处置等工作，分析重要项检查、信息安全事件处置等

29、工作，分析重要信息系统的安全保护状况。信息系统的安全保护状况。l汇总以上两方面数据，全面分析重要信息系统汇总以上两方面数据，全面分析重要信息系统的安全保护状况和共性的安全问题，提出下一的安全保护状况和共性的安全问题，提出下一步的工作措施，形成步的工作措施，形成20112011年重要信息系统安年重要信息系统安全保护状况报告全保护状况报告，为领导决策和工作部署提，为领导决策和工作部署提供参考。供参考。公安部三、三、下一步等级保护重点工作下一步等级保护重点工作（七）调动各方资源，加强等级保护关键技（七）调动各方资源，加强等级保护关键技术研究，推动等级保护工作的开展术研究，推动等级保护工作的开展l借鉴国外先进技术，充分借鉴国外先进技术，充分调动产、学、研积极调动产、学、研积极性，开展等级保护技术研究。性，开展等级保护技术研究。l结合物联网、云计算、三网融合，研究未来贯结合物联网、云计算、三网融合，研究未来贯彻落实等级保护制度问题。彻落实等级保护制度问题。l等级保护专家、测评机构、信息安全企业多方等级保护专家、测评机构、信息安全企业多方参与，共同推动。参与，共同推动。l加强等级保护宣传。加强等级保护宣传。l等级保护立法研究。等级保护立法研究。公安部谢谢 谢！谢！欢迎登陆中国信息安全等级保护网欢迎登陆中国信息安全等级保护网