《信息安全等级保护法律法规2010.ppt》由会员分享,可在线阅读,更多相关《信息安全等级保护法律法规2010.ppt(120页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全等级保护制度信息安全等级保护制度信息安全等级保护信息安全等级保护法律法规法律法规20102010年年4 4月月提提 纲纲 前言前言一、一、信息安全等级保护的制度体系信息安全等级保护的制度体系二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件四、信息安全等级保护接着做什么四、信息安全等级保护接着做什么前言前言什么是等保什么是等保 信息安全等级保护管理办法指出信息安全等级保护是以信息为核心的。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合
2、法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素,对最核心的信息和信息系统划分为五个安全保护和监管等级,实行分级保护。实施信息安全等级保护,可以有效地提高我国信息安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督;前言前言为什么实行等保为什么实行等保 有利于明确国家、法人和其他组织、公民的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施;有利于提高安全保护的科学性、整体性、针对性,推动信息安全产业水平
3、,逐步探索一条适应社会主义市场经济发展的信息安全发展模式。前言前言为什么实行等保为什么实行等保 有利于明确国家、法人和其他组织、公民的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施;有利于提高安全保护的科学性、整体性、针对性,推动信息安全产业水平,逐步探索一条适应社会主义市场经济发展的信息安全发展模式。前言前言为什么实行等保为什么实行等保前言前言为什么实行等保为什么实行等保每月新增计算机病毒几千种。每月新增计算机病毒几千种。每月新增计算机病毒几千种。每月新增计算机病毒几千种。我省是国内僵尸网络控制端服务器和被控服我省是国内僵尸网络控制端服务器和被控服我省是国内僵尸网络控制端服务
4、器和被控服我省是国内僵尸网络控制端服务器和被控服务器最多的省份(连续多月排名全国第一),务器最多的省份(连续多月排名全国第一),务器最多的省份(连续多月排名全国第一),务器最多的省份(连续多月排名全国第一),2010201020102010年年年年2 2 2 2月共有月共有月共有月共有60606060多个多个多个多个IPIPIPIP地址被作为控制端地址被作为控制端地址被作为控制端地址被作为控制端服务器,占全国服务器,占全国服务器,占全国服务器,占全国21%21%21%21%,6000600060006000多个多个多个多个IPIPIPIP对应的对应的对应的对应的主机被作为客户端,占全国主机被作
5、为客户端,占全国主机被作为客户端,占全国主机被作为客户端,占全国11%11%11%11%。前言前言为什么实行等保为什么实行等保 英国国家医疗服务系统和英国国家医疗服务系统和10多家政多家政府网站被入侵并植入病毒,登录这些网府网站被入侵并植入病毒,登录这些网站的用户都可能感染病毒并导致个人信站的用户都可能感染病毒并导致个人信息泄露。息泄露。前言前言为什么实行等保为什么实行等保 20092009年,广州市破获省人事厅网年,广州市破获省人事厅网站被入侵案,带破福建省建设信息网站被入侵案,带破福建省建设信息网等等1010多起黑客入侵案件。该案中,多起黑客入侵案件。该案中,朱某入侵修改政府网站,添加虚假
6、证朱某入侵修改政府网站,添加虚假证书查询连接或将虚拟证书信息添加入书查询连接或将虚拟证书信息添加入网站数据库。网站数据库。前言前言为什么实行等保为什么实行等保 2009200920092009年年年年5 5 5 5月月月月19191919号晚上,号晚上,号晚上,号晚上,4 4 4 4名黑客利用多台中了木马名黑客利用多台中了木马名黑客利用多台中了木马名黑客利用多台中了木马的电脑向的电脑向的电脑向的电脑向DNSPodDNSPodDNSPodDNSPod进行狂轰滥炸,导致江苏、安徽、进行狂轰滥炸,导致江苏、安徽、进行狂轰滥炸,导致江苏、安徽、进行狂轰滥炸,导致江苏、安徽、广西、海南、甘肃、浙江六省网
7、民从当天晚上广西、海南、甘肃、浙江六省网民从当天晚上广西、海南、甘肃、浙江六省网民从当天晚上广西、海南、甘肃、浙江六省网民从当天晚上9 9 9 9点点点点50505050分开始几乎在同一时间感到网络反应变慢,并在随后分开始几乎在同一时间感到网络反应变慢,并在随后分开始几乎在同一时间感到网络反应变慢,并在随后分开始几乎在同一时间感到网络反应变慢,并在随后长达三个多小时的时间内无法访问网络,直到次日凌长达三个多小时的时间内无法访问网络,直到次日凌长达三个多小时的时间内无法访问网络,直到次日凌长达三个多小时的时间内无法访问网络,直到次日凌晨晨晨晨1 1 1 1点点点点20202020分,受影响地区的
8、互联网服务才基本恢复正分,受影响地区的互联网服务才基本恢复正分,受影响地区的互联网服务才基本恢复正分,受影响地区的互联网服务才基本恢复正常。常。常。常。519519519519事件也因此成为近年来我国规模较大的一次事件也因此成为近年来我国规模较大的一次事件也因此成为近年来我国规模较大的一次事件也因此成为近年来我国规模较大的一次互联网断网事故。互联网断网事故。互联网断网事故。互联网断网事故。前言前言为什么实行等保为什么实行等保 黑客入侵了美国某银行在某商店的黑客入侵了美国某银行在某商店的自动提款机网络,盗取客户识别码,继自动提款机网络,盗取客户识别码,继而使用空白卡从自动提款机提取现金。而使用空
9、白卡从自动提款机提取现金。前言前言为什么实行等保为什么实行等保 2010年年3月月2日,西班牙警方破获全球日,西班牙警方破获全球最大黑客犯罪团伙。该团伙利用木马程最大黑客犯罪团伙。该团伙利用木马程序,控制全球序,控制全球190国的国的1300万台电脑,万台电脑,窃取信用卡密码、个人资料等数据,受窃取信用卡密码、个人资料等数据,受入侵电脑包括家庭、政府、学校和入侵电脑包括家庭、政府、学校和1000家大型企亚,家大型企亚,40多家重要银行机多家重要银行机构受影响。构受影响。前言前言为什么实行等保为什么实行等保 2010年广州亚运会年广州亚运会 前言前言为什么实行等保为什么实行等保 制度要求制度要求
10、法律法规法律法规一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系法规法规行政法规行政法规中华人民共和国计算机信中华人民共和国计算机信息系统安全保护条例息系统安全保护条例 1997 1997年国务院行政法规,规定计算机信息年国务院行政法规,规定计算机信息系统实行安全等级保护。系统实行安全等级保护。地方法规地方法规广东省计算机信息系统安广东省计算机信息系统安全保护条例全保护条例 2007 2007年广东地方法规,系统规定了等级保年广东地方法规,系统规定了等级保护,并设置了法律责任护,并设置了法律责任一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系规范性文件规范性文件中央中央
11、 关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见 2004 2004年公安部、保密局、密码委、信息办联合发年公安部、保密局、密码委、信息办联合发文,初步规定了信息安全等级保护工作的指导思文,初步规定了信息安全等级保护工作的指导思想、原则、要求想、原则、要求 信息安全等级保护管理办法信息安全等级保护管理办法 2007 2007年公安部、保密局、密码委、信息办联合发年公安部、保密局、密码委、信息办联合发文,系统规定了信息安全等级保护制度文,系统规定了信息安全等级保护制度一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系公安机关信息安全等级保护检查工作规范(试行)公安
12、部十一局2008年颁发,规范监督检查工作的具体要求。信息安全等级保护备案工作实施细则 公安部十一局2008年颁发一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系规范性文件规范性文件地方地方 广东省公安厅关于计算机信息系统安全保护的实施办法广东省公安厅关于计算机信息系统安全保护的实施办法 2008 2008年广东省公安厅(经省政府法制办审查通过)发布年广东省公安厅(经省政府法制办审查通过)发布 关于贯彻关于贯彻 和和 的通的通知知 2008 2008年广东省公安厅网警总队印发年广东省公安厅网警总队印发广东省信息安全等级保护备案工作实施细则(试行)广东省信息安全等级保护备案工作实施细则
13、(试行)20082008年广东省公安厅网警总队印发年广东省公安厅网警总队印发标准标准系统定级系统定级信息系统安全保护等级定级指南信息系统安全保护等级定级指南(国家推荐性标准)(国家推荐性标准)安全保护安全保护信息系统安全等级保护基本要求信息系统安全等级保护基本要求(国家推荐性标准)(国家推荐性标准)信息系统安全等级保护实施指南信息系统安全等级保护实施指南信息系统安全等级保护安全设计技术要求信息系统安全等级保护安全设计技术要求检测评估检测评估信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护测评要求信息系统安全等级保护测评要求监督检查监督检查信息系统安全等级保护监督检查
14、要求信息系统安全等级保护监督检查要求一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系标准标准计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则(GB17859-GB17859-19991999)信息安全技术信息安全技术 网络基础安全技术要求网络基础安全技术要求信息安全技术信息安全技术 信息系统通用安全技术要求信息系统通用安全技术要求信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求信息安全技术信息安全技术 数据库管理系统安全技术要求数据库管理系统安全技术要求信息安全技术信息安全技术 服务器技术要求服务器技术要求信息安全技术信息安全技术 终端计算机系
15、统安全等级技术要求终端计算机系统安全等级技术要求一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系原则原则来源:来源:关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见信息安全等级保护制度遵循以下基本原则:信息安全等级保护制度遵循以下基本原则:一是明确责任,共同保护一是明确责任,共同保护二是依照标准,自行保护二是依照标准,自行保护三是同步建设,动态调整三是同步建设,动态调整四是指导监督,保护重点四是指导监督,保护重点二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求明确责任,共同保护明确责任,共同保护 通过等级保护,组织和动员职能部门、法人通过等级保护,组
16、织和动员职能部门、法人和其他组织、公民共同参与信息安全保护和其他组织、公民共同参与信息安全保护工作;各方主体按照规范和标准分别承担工作;各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。相应的、明确具体的信息安全保护责任。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求依照标准,自行保护依照标准,自行保护 国家运用强制性的规范及标准,要求信息和国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自信息系统按照相应的建设和管理要求,自行定级、自行保护。行定级、自行保护。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求同步建设,动态调整。
17、同步建设,动态调整。信息系统在新建、改建、扩建时应当同步建设信信息系统在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。息安全设施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级。等级保护的管新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实理规范和技术标准应按照等级保护
18、工作开展的实际情况适时修订。际情况适时修订。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求指导监督,重点保护指导监督,重点保护 国家指定信息安全监管职能部门通过备案、国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式,对重要信指导、检查、督促整改等方式,对重要信息和信息系统的信息安全保护工作进行指息和信息系统的信息安全保护工作进行指导监督导监督。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求主要内容主要内容来源:来源:信息安全等级保护管理办法信息安全等级保护管理办法国家通过国家通过制定统一的信息安全等级保护管理制定统一的信息安全等级保护管理规范和技术标
19、准,组织公民、法人和其他规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对组织对信息系统分等级实行安全保护,对等级保护工作的实施进行等级保护工作的实施进行监督、管理。监督、管理。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求职责分工职责分工 公安机关负责信息安全等级保护工作的监督、公安机关负责信息安全等级保护工作的监督、检查、指导。检查、指导。国家保密工作部门负责等级保护工作中有关保国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密国家密码管理部门负责等级保护工作中有关密码工作
20、的监督、检查、指导。码工作的监督、检查、指导。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 在信息安全等级保护工作中,涉及其他职能在信息安全等级保护工作中,涉及其他职能部门管辖范围的事项,由有关职能部门依照国家部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小国务院信息化工作办公室及地方信息化领导小组办事机构负责信息安全等级保护工作中部门间组办事机构负责信息安全等级保护工作中部门间的协调。的协调。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 信息系统的主管部门应当依照相关规范和标准信
21、息系统的主管部门应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。系统运营、使用单位的信息安全等级保护工作。信息系统运营、使用单位应当按照等级保护的信息系统运营、使用单位应当按照等级保护的管理规范和相关标准规范履行信息安全等级保护管理规范和相关标准规范履行信息安全等级保护的义务和责任。的义务和责任。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求省公安厅、省国家保密局、省国家密码管理省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信局、省信息化领导小组办公室联合
22、成立信息安全等级保护工作协调小组息安全等级保护工作协调小组各行业主管部门要成立行业信息安全等级保各行业主管部门要成立行业信息安全等级保护工作小组护工作小组各地级以上市参照成立相应工作机制各地级以上市参照成立相应工作机制重要信息系统运营使用单位成立信息安全等重要信息系统运营使用单位成立信息安全等级保护工作组级保护工作组 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求公安机关职责内容公安机关职责内容指导信息系统运营使用单位及其主管部门确定系指导信息系统运营使用单位及其主管部门确定系统安全保护等级。统安全保护等级。指导信息安全等级保护的建设、整改和管理。指导信息安全等级保护的建设、整改
23、和管理。接受信息系统安全保护等级的备案。接受信息系统安全保护等级的备案。定期对受理备案的信息系统安全保护状况依法进定期对受理备案的信息系统安全保护状况依法进行监督、检查。行监督、检查。对安全保护等级为第三级以上信息系统选择使用对安全保护等级为第三级以上信息系统选择使用信息安全产品的情况进行监督管理。信息安全产品的情况进行监督管理。对信息安全等级保护检测评估服务机构的监督管对信息安全等级保护检测评估服务机构的监督管理。理。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求组织开展调查摸底组织开展调查摸底合理确定保护等级合理确定保护等级开展安全建设整改开展安全建设整改组织系统安全测评组织
24、系统安全测评依法履行备案手续依法履行备案手续加强日常测评自查加强日常测评自查加强安全监督检查加强安全监督检查 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求各个环节各个环节组织开展调查摸底组织开展调查摸底 各信息系统主管部门、运营使用单位组织开展各信息系统主管部门、运营使用单位组织开展对所属信息系统的摸底调查,全面掌握信息系统对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系的数量、分布、业务类型、应用或服务范围、系统结构以及系统建设规划等基本情况,为开展信统结构以及系统建设规划等基本情况,为开展信息安全等级保护工作打下基础。息安全等级保护工作打
25、下基础。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求合理确定保护等级合理确定保护等级 来源和依据:来源和依据:信息安全等级保护管理办法信息安全等级保护管理办法、广东省计算机信息系统安全保护条广东省计算机信息系统安全保护条例例,信息安全等级保护实施指南信息安全等级保护实施指南、信息系统安全等级保护定级指南信息系统安全等级保护定级指南 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 定级标准:定级标准:计算机信息系统安全保护等级计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息设、社会
26、生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级:法权益的危害程度等因素确定,分为五级:二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求(一一)计计算算机机信信息息系系统统受受到到破破坏坏后后,可可能能对对公公民民、法法人人和和其其他他组组织织的的合合法法权权益益造造成成损损害害,但但不不损损害害国国家家安安全全、社社会会秩秩序序和和公公共共利益的,为第一级;利益的,为第一级;二、信息安全等级保护的工作要求二、信息安全等级保
27、护的工作要求(二二)计计算算机机信信息息系系统统受受到到破破坏坏后后,可可能能对对公公民民、法法人人和和其其他他组组织织的的合合法法权权益益产产生生严严重重损损害害,或或者者可可能能对对社社会会秩秩序序和和公公共共利利益益造造成成损损害害,但但不不损损害害国国家家安安全全的的,为为第第二二级;级;二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求(三三)计计算算机机信信息息系系统统受受到到破破坏坏后后,可可能能对对社社会会秩秩序序和和公公共共利利益益造造成成严严重重损损害害,或或者者可能对国家安全造成损害的,为第三级;可能对国家安全造成损害的,为第三级;二、信息安全等级保护的工作要求
28、二、信息安全等级保护的工作要求(四四)计计算算机机信信息息系系统统受受到到破破坏坏后后,可可能能对对社社会会秩秩序序和和公公共共利利益益造造成成特特别别严严重重损损害害,或或者者可可能能对对国国家家安安全全造造成成严严重重损损害害的的,为为第四级;第四级;(五五)计计算算机机信信息息系系统统受受到到破破坏坏后后,可可能能对对国家安全造成特别严重损害的,为第五级。国家安全造成特别严重损害的,为第五级。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求定级程序:定级程序:信信息息系系统统运运营营、使使用用单单位位应应当当依依照照相相关关规规定定和和标标准准和和行行业业指指导导意意见见确确
29、定定信信息息系系统统的的安安全全保保护护等等级级。有主管部门的,应当经主管部门审核批准。有主管部门的,应当经主管部门审核批准。跨跨省省或或者者全全国国统统一一联联网网运运行行的的信信息息系系统统可可以以由由主主管管部门统部门统一一确定安全保护等级。确定安全保护等级。对对拟拟确确定定为为第第四四级级以以上上信信息息系系统统的的,运运营营、使使用用单单位位或或者者主主管管部部门门应应当当请请国国家家信信息息安安全全保保护护等等级级专专家评审委员会评审。家评审委员会评审。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求定级注意事项一级信息系统:适用于乡镇所属信息系统、县级某些单位中不重要
30、的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。二级信息系统:适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网,非涉及秘密、敏感信息的办公系统等。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求三级信息系统:适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。四级信息系统:适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统,银行、证券、保险、
31、税务、海关等部门中的核心系统。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求开展安全建设整改开展安全建设整改 来源和依据:来源和依据:信息安全等级保护管理办法信息安全等级保护管理办法、广东省计算机信息系统安全保护条例广东省计算机信息系统安全保护条例,信信息安全等级保护实施指南息安全等级保护实施指南、信息系统安全等信息系统安全等级保护基本要求级保护基本要求等等二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 运营、使用单位应当按照国家信息安全运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统
32、安全保合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。系统安全建设或者改建工作。计算机信息系统规划、设计、建设和维计算机信息系统规划、设计、建设和维护应当同步落实相应的安全措施护应当同步落实相应的安全措施二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 在信息系统建设过程中,运营、使用单位应当按照在信息系统建设过程中,运营、使用单位应当按照计算计算机信息系统安全保护等级划分准则机信息系统安全保护等级划分准则(GB17859-GB17859-19991999)、)、信息系统安全等级保护基本要求信息系统安全
33、等级保护基本要求等技术标等技术标准,参照准,参照信息安全技术信息安全技术 信息系统通用安全技术要求信息系统通用安全技术要求(GB/T20271-2006GB/T20271-2006)、)、信息安全技术信息安全技术 网络基础安全网络基础安全技术要求技术要求(GB/T20270-2006GB/T20270-2006)、)、信息安全技术信息安全技术 操操作系统安全技术要求作系统安全技术要求(GB/T20272-2006GB/T20272-2006)、)、信息信息安全技术安全技术 数据库管理系统安全技术要求数据库管理系统安全技术要求(GB/T20273-2006GB/T20273-2006)、)、信息
34、安全技术信息安全技术 服务器技术要服务器技术要求求、信息安全技术信息安全技术 终端计算机系统安全等级技术要终端计算机系统安全等级技术要求求(GA/T671-2006GA/T671-2006)等技术标准同步建设符合该等)等技术标准同步建设符合该等级要求的信息安全设施。级要求的信息安全设施。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 运营、使用单位应当参照运营、使用单位应当参照信息安全技术信息安全技术 信息系统安全管理要求信息系统安全管理要求(GB/T20269-GB/T20269-20062006)、)、信息安全技术信息安全技术 信息系统安全信息系统安全工程管理要求工程管理要求
35、(GB/T20282-2006GB/T20282-2006)、)、信息系统安全等级保护基本要求信息系统安全等级保护基本要求等管等管理规范,制定并落实符合本系统安全保护理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。等级要求的安全管理制度。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求组织系统安全测评组织系统安全测评 来源和依据:来源和依据:信息安全等级保护管理办法信息安全等级保护管理办法、广东省计算机信息系统安全保护条广东省计算机信息系统安全保护条例例、广东省信息安全等级测评工作细广东省信息安全等级测评工作细则则,信息安全等级保护实施指南信息安全等级保护实施指南、信息
36、系统安全等级保护测评准则信息系统安全等级保护测评准则等等二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 信息系统建设完成后,二级以上的信息系信息系统建设完成后,二级以上的信息系统的运营使用单位应当选择符合国家规定统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。的测评机构进行测评合格方可投入使用。已投入运行信息系统在完成系统整改后也已投入运行信息系统在完成系统整改后也应当进行测评。经测评,信息系统安全状应当进行测评。经测评,信息系统安全状况未达到安全保护等级要求的,运营使用况未达到安全保护等级要求的,运营使用单位应当制定方案进行整改。单位应当制定方案进行整改
37、。电子政务信息系统均应测评合格方可投入电子政务信息系统均应测评合格方可投入使用。使用。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 测评程序测评程序 计算机信息系统运营、使用单位委托安全计算机信息系统运营、使用单位委托安全测评机构测评,应当提交下列资料:测评机构测评,应当提交下列资料:(一)安全测评委托书;(一)安全测评委托书;(二)计算机信息系统应用需求、系统结构(二)计算机信息系统应用需求、系统结构拓扑及说明、系统安全组织结构和管理制拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产
38、品实施方案、系统软件硬件和信息安全产品清单。清单。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求安全测评机构在收到委托材料后,应当与委安全测评机构在收到委托材料后,应当与委托方协商制订安全测评计划,开展安全测托方协商制订安全测评计划,开展安全测评工作,并出具安全测评报告。评工作,并出具安全测评报告。经测评,计算机信息系统安全状况未达到国经测评,计算机信息系统安全状况未达到国家有关规定和标准的要求的,委托单位应家有关规定和标准的要求的,委托单位应当根据测评报告的建议,完善计算机信息当根据测评报告的建议,完善计算机信息系统安全建设,并重新提出安全测评委托。系统安全建设,并重新提出安全
39、测评委托。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求测评机构对计算机信息系统进行使用前安全测评机构对计算机信息系统进行使用前安全测评,应当预先报告地级以上市公安机关测评,应当预先报告地级以上市公安机关公共信息网络安全监察部门。公共信息网络安全监察部门。安全测评报告由计算机信息系统运营、使用安全测评报告由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络单位报地级以上市公安机关公共信息网络安全监察部门安全监察部门 二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 法律责任法律责任 广东省计算机信息系统安全保护条例广东省计算机信息系统安全保护条例规定,规定,
40、第二级以上计算机信息系统的运营、使用单位计第二级以上计算机信息系统的运营、使用单位计算机信息系统投入使用前未经符合国家规定的安算机信息系统投入使用前未经符合国家规定的安全等级测评机构测评合格的全等级测评机构测评合格的 ,由公安机关责令限,由公安机关责令限期改正,给予警告;逾期不改的,对单位的主管期改正,给予警告;逾期不改的,对单位的主管人员、其他直接责任人员可以处五千元以下罚款,人员、其他直接责任人员可以处五千元以下罚款,对单位可以处一万五千元以下罚款。有违法所得对单位可以处一万五千元以下罚款。有违法所得的,没收违法所得;情节严重的,并给予六个月的,没收违法所得;情节严重的,并给予六个月以内的
41、停止联网、停机整顿的处罚;必要时公安以内的停止联网、停机整顿的处罚;必要时公安机关可以建议原许可机构撤销许可或者取消联网机关可以建议原许可机构撤销许可或者取消联网资格。资格。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求依法履行备案手续依法履行备案手续 来源和依据:来源和依据:信息安全等级保护管理办法信息安全等级保护管理办法、广东省计算机信息系统安全保护条广东省计算机信息系统安全保护条例例,广东省信息安全等级保护备案工作,广东省信息安全等级保护备案工作实施细则(试行)实施细则(试行)、信息安全等级保护信息安全等级保护备案实施细则备案实施细则、信息安全等级保护实信息安全等级保护实施
42、指南施指南二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 备案时限。已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 补充备案。第三级以上信息系统还应当在系统整改、测评完成后30日内补交备案表表四及其有关材料。变更备案。备案表所载事项发生变更,备案单位应当自变更之日起30日内重新填写备案表报公安机关网监部门备案。其中,变更事项涉
43、及备案证明的,公机关网监部门应当重新颁布备案证明。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 书面填写书面填写信息系统安全等级保护备案表信息系统安全等级保护备案表 一式两份。一式两份。可填可填WORDWORD文档,再打印输出,附上附件。文档,再打印输出,附上附件。利用备案工具填写利用备案工具填写。涉密系统填写涉密系统填写涉及国家秘密的信息系统分级保护备案涉及国家秘密的信息系统分级保护备案表表,向保密部门备案。,向保密部门备案。备案表填写注意事项备案表填写注意事项 信息系统安全等级保护备案表信息系统安全等级保护备案表 WORD WORD文档和文档和备案工具及其他相关材料可到备案
44、工具及其他相关材料可到广东网警广东网警网站网站信息安全等级保护栏目信息安全等级保护栏目下载。下载。备案表填写注意事项备案表填写注意事项信息系统安全等级保护备案表信息系统安全等级保护备案表补充说明补充说明 一、表一一、表一0404行政区划代码行政区划代码可到可到广东网警广东网警网站信息安全等级保护栏目下载网站信息安全等级保护栏目下载广东行广东行政区划代码政区划代码查询。查询。二、表一二、表一0808隶属关系隶属关系1 1省直国家机关、省政府直属的企业、事业单位,国资委省直国家机关、省政府直属的企业、事业单位,国资委管理的企业选管理的企业选“2 2省省(自治区、直辖市自治区、直辖市)”。2 2省直
45、部门下设的企业、事业单位选省直部门下设的企业、事业单位选“9 9其他其他 ”,再在横线上注明是哪个部门下设的企业、事业单位。再在横线上注明是哪个部门下设的企业、事业单位。备案表填写注意事项备案表填写注意事项 三、表二三、表二0707关键产品使用情况的部分使用及使用率关键产品使用情况的部分使用及使用率使用率:软件按产品的种类来计,硬件按件数来计。使用率:软件按产品的种类来计,硬件按件数来计。四、表三四、表三0606是否有主管部门是否有主管部门1 1企业、事业单位有主管部门的应履行相关报批手续,选企业、事业单位有主管部门的应履行相关报批手续,选“有有”。2 2国家机关可选国家机关可选“无无”,但在
46、实际操作中可征求上级部门,但在实际操作中可征求上级部门意见;如本系统内部有规定明确要经上级部门审批的,意见;如本系统内部有规定明确要经上级部门审批的,应履行审批手续。应履行审批手续。备案表填写注意事项备案表填写注意事项 管辖原则。管辖原则。备案管辖分工采取级别管辖和属地管辖相结合。备案管辖分工采取级别管辖和属地管辖相结合。中央在京单位。隶属于中央的在京单位,其跨省或者全国统一中央在京单位。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案,其他信息系统由北京市公安局公息网络
47、安全监察局受理备案,其他信息系统由北京市公安局公共信息网络安全监察部门受理备案。共信息网络安全监察部门受理备案。中央驻粤及省直国有单位。隶属中央或省的驻穗国有单位的中央驻粤及省直国有单位。隶属中央或省的驻穗国有单位的信息系统,由省公安厅网警总队受理备案。上述单位在各地运信息系统,由省公安厅网警总队受理备案。上述单位在各地运行、维护的分支系统由其在各地的分支机构报所在地地级以上行、维护的分支系统由其在各地的分支机构报所在地地级以上市公安机关网监部门备案。市公安机关网监部门备案。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求办理信息系统安全保护等级备案手续时,应当填写办理信息系统安全
48、保护等级备案手续时,应当填写信息系统安信息系统安全等级保护备案表全等级保护备案表,第三级以上信息系统应当同时提供以,第三级以上信息系统应当同时提供以下材料:下材料:(一)系统拓扑结构及说明;(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案;(三)系统安全保护设施设计实施方案或者改建实施方案;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(五)测评后符合系统安全保护等级的技术检测评估报
49、告;(六)信息系统安全保护等级专家评审意见;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。(七)主管部门审核批准信息系统安全保护等级的意见。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 备案申请备案申请 办理备案手续,应当到公安机关指定网址下办理备案手续,应当到公安机关指定网址下载信息安全等级保护备案软件,利用该软件载信息安全等级保护备案软件,利用该软件填写生成填写生成信息系统安全等级保护备案表信息系统安全等级保护备案表(简称(简称备案表备案表,下同)表一、表二、表,下同)表一、表二、表三纸质三纸质WORDWORD格式文档一式两份和电
50、子数据格式文档一式两份和电子数据(RARRAR格式),并准备好相关附件(一式两格式),并准备好相关附件(一式两份),向公安机关网监部门提出备案申请。份),向公安机关网监部门提出备案申请。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求实质审查。实质审查。对于通过形式审查的单位,公安网监部门应当在对于通过形式审查的单位,公安网监部门应当在1010个工作日内对下列内容进行审查:个工作日内对下列内容进行审查:1 1备案表备案表项目填写是否完整,是否符合要项目填写是否完整,是否符合要求,纸质材料和电子数据是否一致;求,纸质材料和电子数据是否一致;2 2信息系统所定安全保护等级是否准确。信息