《信息系统安全等级保护定级报告.ppt》由会员分享,可在线阅读,更多相关《信息系统安全等级保护定级报告.ppt(71页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、北京市教委各直属单位北京市教委各直属单位信息安全等级保护工作培训信息安全等级保护工作培训主讲主讲:市公安局网监处信息安全等级保护办公室市公安局网监处信息安全等级保护办公室 高媛高媛2007年年10月月24日日信息安全等级保护工作概述信息安全等级保护工作概述信息安全保护等级的划分信息安全保护等级的划分2信息安全等级保护工作的流程信息安全等级保护工作的流程3信息系统的信息系统的定级定级工作工作4信息系统的信息系统的备案备案工作工作5培训提纲培训提纲1一、信息安全等级保护工作概述一、信息安全等级保护工作概述信息安全等级保护工作的定位信息安全等级保护工作的定位信息安全等级保护是国家信息安全保障工作信息
2、安全等级保护是国家信息安全保障工作的的基本制度、基本策略、基本方法。基本制度、基本策略、基本方法。开展信息安开展信息安全等级保护工作不仅是实现国家对重要信息系统全等级保护工作不仅是实现国家对重要信息系统重点保护的重大措施,也是一项事关国家安全、重点保护的重大措施,也是一项事关国家安全、社会稳定和北京奥运会成功举办的政治任务。社会稳定和北京奥运会成功举办的政治任务。信息安全等级保护工作法律法规标准依据信息安全等级保护工作法律法规标准依据国家层面:国家层面:中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例(19941994年,国年,国务院务院147147号令)号令)
3、国家信息化领导小组关于加强信息安全保障工作的意见国家信息化领导小组关于加强信息安全保障工作的意见(2003年,中办年,中办27号文)号文)关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见(2004年年9月月,公通,公通字字200466号文件)号文件)信息安全等级保护管理办法信息安全等级保护管理办法(2007年年6月月,公通字,公通字200743号文件号文件北京市:北京市:北京市公共服务网络与信息系统安全管理规定北京市公共服务网络与信息系统安全管理规定(20052005年年1111月月,市政府第市政府第163163号令)号令)关于开展信息安全等级保护工作的通知关于开展信息安全
4、等级保护工作的通知 (20062006年年3 3月)月)北京市开展信息安全等级保护工作的实施方案北京市开展信息安全等级保护工作的实施方案(20072007年年8 8月)月)北京市信息化促进条例北京市信息化促进条例(20072007年年9 9月通过,月通过,1212月月1 1日施行)日施行)信息安全等级保护工作法律法规标准依据信息安全等级保护工作法律法规标准依据二、信息安全保护等级的划分二、信息安全保护等级的划分信息系统安全保护等级的决定要素信息系统安全保护等级的决定要素 信息系统的安全保护等级由两个要素决定:等级保护对象受信息系统的安全保护等级由两个要素决定:等级保护对象受到破坏时到破坏时所侵
5、害的客体所侵害的客体和和对客体造成侵害的程度。对客体造成侵害的程度。受侵害的客体受侵害的客体:一是公民、法人和其他组织的合法权益;二是社会秩序、公共利益;三是国家安全。对客体的侵害程度:对客体的侵害程度:一是造成损害;二是造成严重损害;三是造成特别严重损害。侵害国家安全侵害国家安全的事项包括以下方面:的事项包括以下方面:影响国家政权稳固和国防实力;影响国家统一、民族团结和社会安定;影响国家对外活动中的政治、经济利益等侵害社会秩序侵害社会秩序的事项包括以下方面:的事项包括以下方面:影响国家机关社会管理和公共服务的工作秩序;影响各种类型的经济活动秩序等;影响公共利益影响公共利益的事项包括以下方面:
6、的事项包括以下方面:影响社会成员使用公共设施;影响社会成员获取公开信息资源等;影响公民、法人和其他组织的合法权益影响公民、法人和其他组织的合法权益是指:是指:由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。受侵害的客体的具体事项体现受侵害的客体的具体事项体现侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同。在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体
7、利益作为判断侵害程度的基准;如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。如何确定对客体的侵害程度如何确定对客体的侵害程度 对客体的三种危害程度对客体的三种危害程度损害:损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的资产损失,有限的社会不良影响,对其他组织和个人造成较低损害。严重损害:严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的资产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。特别严重损害:特别严重损害:工作职能受到特别严
8、重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的资产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。五个等级的划分五个等级的划分第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害
9、。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。五级保护和监管五级保护和监管第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。第
10、五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。信息系统等级对照表信息系统等级对照表三、信息系统安全保护工作流程三、信息系统安全保护工作流程1、系统定级和审批、系统定级和审批2、备案、备案3、评估与整改建设、评估与整改建设4、等级测评、等级测评5、监督检查、监督检查3.3.信息系统安全评估与整改建设信息系统安全评估与整改建设(一)信息系统安全建设整改(管理办法第十一、十二、十三条)(一)信息系统安全建设整改(管理办法第十一、十二、十三条)第第十十一一条条:信信息息系系统统的的安安全全保保护
11、护等等级级确确定定后后,运运营营、使使用用单单位位应应当当按按照照国国家家信信息息安安全全等等级级保保护护管管理理规规范范和和技技术术标标准准,使使用用符符合合国国家家有有关关规规定定,满满足足信信息息系系统统安安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。第第十十二二条条:在在信信息息系系统统建建设设过过程程中中,运运营营、使使用用单单位位应应当当按按照照计计算算机机信信息息系系统统安安全全保保护护等等级级划划分分准准则则(GB17859-1999GB17859-1999)、信信息息系系统统安安全全等等级级保
12、保护护基基本本要要求求等等技技术术标标准准,参参照照信信息息安安全全技技术术 信信息息系系统统通通用用安安全全技技术术要要求求(GB/T20271-2006GB/T20271-2006)、信信 息息 安安 全全 技技 术术 网网 络络 基基 础础 安安 全全 技技 术术 要要 求求(GB/T20270-2006GB/T20270-2006)、信信 息息 安安 全全 技技 术术 操操 作作 系系 统统 安安 全全 技技 术术 要要 求求(GB/T20272-2006GB/T20272-2006)、信信息息安安全全技技术术 数数据据库库管管理理系系统统安安全全技技术术要要求求(GB/T20273-
13、2006GB/T20273-2006)、信信息息安安全全技技术术 服服务务器器技技术术要要求求、信信息息安安全全技技术术 终终端端计计算算机机系系统统安安全全等等级级技技术术要要求求(GA/T671-2006GA/T671-2006)等等技技术术标标准准同同步步建建设设符合该等级要求的信息安全设施。符合该等级要求的信息安全设施。第第十十三三条条:运运营营、使使用用单单位位应应当当参参照照信信息息安安全全技技术术 信信息息系系统统安安全全管管理理要要求求(GB/T20269-2006GB/T20269-2006)、信信息息安安全全技技术术 信信息息系系统统安安全全工工程程管管理理要要求求(GB/
14、T20282-2006GB/T20282-2006)、信信息息系系统统安安全全等等级级保保护护基基本本要要求求等等管管理理规规范范,制制定并落实符合本系统安全保护等级要求的安全管理制度。定并落实符合本系统安全保护等级要求的安全管理制度。(二)有关技术标准和管理标准的简要说明(二)有关技术标准和管理标准的简要说明计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则强制性基础性标准强制性基础性标准信息系统安全等级保护实施指南信息系统安全等级保护实施指南过程控制过程控制信息系统安全等级保护定级指南信息系统安全等级保护定级指南管理规范管理规范信息系统安全等级保护基本要求信息系统安全等级
15、保护基本要求具体要求具体要求安全技术服务器安全技术要求安全技术服务器安全技术要求关键设备关键设备3.3.信息系统安全评估与整改建设信息系统安全评估与整改建设3.3.信息系统安全评估与整改建设信息系统安全评估与整改建设(三)信息安全产品分等级使用管理(三)信息安全产品分等级使用管理(管理办法第二十一条)(管理办法第二十一条)第三级以上信息系统应当选择使用符合以下条件的信息安全产品:第三级以上信息系统应当选择使用符合以下条件的信息安全产品:(一)产品研制、生产单位是由中国公民、法人投资或者国家投(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人
16、资格;资或者控股的,在中华人民共和国境内具有独立的法人资格;(二)产品的核心技术、关键部件具有我国自主知识产权;(二)产品的核心技术、关键部件具有我国自主知识产权;(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;门、木马等程序和功能;(五)对国家安全、社会秩序、公共利益不构成危害;(五)对国家安全、社会秩序、公共利益不构成危害;(六)对已列入信息安全产品认证目录的,应当取得国家信息安(六)对已列
17、入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。全产品认证机构颁发的认证证书。4.4.信息系统安全等级测评信息系统安全等级测评第三级(含)第三级(含)以上信息系统运营使用单位信息系统整改建设以上信息系统运营使用单位信息系统整改建设完成后,应当按照管理办法要求选择符合管理规范和相完成后,应当按照管理办法要求选择符合管理规范和相关部门文件要求的测评机构,依据技术标准对信息系统安全关部门文件要求的测评机构,依据技术标准对信息系统安全等级状况开展技术测评,并出具测评报告。完成后上报等级等级状况开展技术测评,并出具测评报告。完成后上报等级保护工作主管部门。保护工作主管部门。(管
18、理办法第十四条)(管理办法第十四条)5.5.监督检查监督检查 在在各各阶阶段段工工作作中中,相相关关职职能能部部门门和和主主管管部部门门要要加加大大对对信信息息安安全全等等级级保保护护工工作作的的监监督督检检查查力力度度,通通过过检检查查督督促促其其落落实实等等级级保保护护各各项项安安全全管管理理制制度度和和技技术术保保护护措措施施。在在检检查查过过程程中中,发发现现定定级级不不准准确确、未未按按要要求求开开展展系系统统整整改改、未未及及时申请测评备案等问题要责令其限期整改,发现各类违法时申请测评备案等问题要责令其限期整改,发现各类违法违规情况,要依法严肃处理。违规情况,要依法严肃处理。法律责
19、任法律责任 信信息息系系统统的的运运营营、使使用用单单位位,尤尤其其是是重重要要信信息息系系统统和和涉涉及及国国家家秘秘密密的的信信息息系系统统的的主主管管部部门门和和运运营营、使使用用单单位位违违反反信信息息安安全全等等级级保保护护相相关关法法律律法法规规和和政政策策规规定定的的,造造成成严严重重损损害害的的,由相关部门依照有关法律、法规予以处理。由相关部门依照有关法律、法规予以处理。(一)(一)未按本办法规定备案、审批的;未按本办法规定备案、审批的;(二)未按本办法规定落实安全管理制度、措施的;(二)未按本办法规定落实安全管理制度、措施的;(三)未按本办法规定开展系统安全状况检查的;(三)
20、未按本办法规定开展系统安全状况检查的;(四)未按本办法规定开展系统安全技术测评的;(四)未按本办法规定开展系统安全技术测评的;(五)接到整改通知后,拒不整改的;(五)接到整改通知后,拒不整改的;(六)未按本办法规定选择使用信息安全产品和测评机构的;(六)未按本办法规定选择使用信息安全产品和测评机构的;(七)未按本办法规定如实提供有关文件和证明材料的;(七)未按本办法规定如实提供有关文件和证明材料的;(八)违反保密管理规定的;(八)违反保密管理规定的;(九)违反密码管理规定的;(九)违反密码管理规定的;(十)违反本办法其他规定的。(十)违反本办法其他规定的。管理办法中第四十条管理办法中第四十条具
21、体罚则信息化促进条例第四十五条:信息化促进条例第四十五条:违反本条例规定,有下列行为之一的,由有关部门依照中华人民共和国政违反本条例规定,有下列行为之一的,由有关部门依照中华人民共和国政府信息公开条例、中华人民共和国计算机信息系统安全保护条例等有关规府信息公开条例、中华人民共和国计算机信息系统安全保护条例等有关规定责令改正,给予警告或者责令停机整顿,并对直接负责的主管人员和其他直接定责令改正,给予警告或者责令停机整顿,并对直接负责的主管人员和其他直接责任人员依法处理:责任人员依法处理:(一)违反第十九条规定,未按照国家和本市的规定公开政务信息的;(一)违反第十九条规定,未按照国家和本市的规定公
22、开政务信息的;(二)违反第三十二条规定,网络与信息系统的建设单位和运行维护单位未(二)违反第三十二条规定,网络与信息系统的建设单位和运行维护单位未 依法进行安全保护等级备案、审批的;依法进行安全保护等级备案、审批的;(三)违反第三十三条规定,未进行网络与信息系统安全建设或者改建工作,(三)违反第三十三条规定,未进行网络与信息系统安全建设或者改建工作,或者未进行网络与信息系统安全等级技术测评的。或者未进行网络与信息系统安全等级技术测评的。具体罚则处罚方式处罚方式罚则罚则 罚款罚款 警告与警告与通报批评通报批评 限期限期 整改整改停机停机整顿整顿信息系统信息系统运营使用运营使用 单位单位 责任人责
23、任人 行政行政 处分处分依法依法处理处理构构成成犯犯罪罪的的,依依法法追追究究法法律律责责任任 四、信息系统的四、信息系统的定级定级工作工作信息系统安全保护等级责任划分信息系统安全保护等级责任划分“自主定级、自主保护自主定级、自主保护”与国家监管与国家监管 在在等等级级保保护护工工作作中中,信信息息系系统统运运营营使使用用单单位位和和主主管管部部门门按按照照“谁谁主主管管谁谁负负责责,谁谁运运营营谁谁负负责责”的的原原则则开开展展工工作作,并并接接受受信信息息安安全全监监管管部部门门对对开开展展等等级级保保护护工工作作的的监监管管。运运营营使使用用单单位位和和主主管管部部门门是是信信息息系系统
24、统安安全全的的第第一一责责任任人人,对对所所属属信信息息系系统统安安全全负负有有直直接接责责任任;公公安安、保保密密、密密码码部部门门对对运运营营使使用用单单位位和和主主管管部部门门开开展展等等级级保保护护工工作作进进行行监监督督、检检查查、指指导导,对重要信息系统安全负监管责任。对重要信息系统安全负监管责任。定级工作的指导思想定级工作的指导思想信息系统的安全保护等级是信息系统的信息系统的安全保护等级是信息系统的客观属性客观属性,不以已采取或将,不以已采取或将采取什么采取什么安全保护措施安全保护措施为依据,也不以为依据,也不以风险评估风险评估为依据,而是以信息系为依据,而是以信息系统的统的重要
25、性重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的法权益的危害程度危害程度为依据,为依据,确定信息系统的安全等级确定信息系统的安全等级。定级工作的主要步骤定级工作的主要步骤 定级是等级保护工作的首要环节,是开展备案、信息系统建设、定级是等级保护工作的首要环节,是开展备案、信息系统建设、整改、测评、监督检查等后续工作的重要基础。整改、测评、监督检查等后续工作的重要基础。第一步,摸底调查,掌握信息系统底数第一步,摸底调查,掌握信息系统底数第二步,确定定级对象第二步,确定定级对象第三步,初步确定信息系统等级第三步,初步确定信息系统
26、等级第四步,信息系统等级评审第四步,信息系统等级评审第五步,信息系统等级的最终确定与审批第五步,信息系统等级的最终确定与审批作为定级对象的信息系统应具有如下基本特征:(一)具有唯一确定的安全责任单位(一)具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。第二步,确定定级对象第二步,确定定级对象(二)具有信息系统的基本要素(
27、二)具有信息系统的基本要素作为定级对象的信息系统应该是配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。(三)承载相对独立的业务应用(三)承载相对独立的业务应用定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有一定的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。特别注意的是:起传输作用的基础网络要单独定级,等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级,不以在其上运行的信息系统的最高等级或最低等级为标准。只有同时
28、满足上述三个条件,才可由本单位对其进行定级。只有同时满足上述三个条件,才可由本单位对其进行定级。第二步,确定定级对象第二步,确定定级对象第三步,初步确定信息系统等级第三步,初步确定信息系统等级信息系统的安全保护等级以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全保护等级。既要防止个别单位片面追求绝对安全而定级过高,也要防止为了逃避监管定级偏低。确定信息系统安全等级的依据确定信息系统安全等级的依据 依据管理办法直接确定信息系统等级依据管理办法直接确定信息系统等级 依据信息安全等级保护定级指南要求进行依据信息安全等级保护定级指南要求进
29、行信息系统等级确定信息系统等级确定 等级决定要素与初定等级的关系等级决定要素与初定等级的关系受侵害的客体 对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级业务信息安全和系统服务安全业务信息安全和系统服务安全信信息息系系统统与与之之相相关关的的受受侵侵害害客客体体和和对对客客体体的的侵侵害害程程度度可可能能不不同同,因因此此,信信息息系系统统定定级级也也应应由由业业务务信信息息安安全全和和系系统统服服务务安安全全两两方方面面确确定定。对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对
30、信信息息安安全全的破坏和对信信息息系系统服务统服务的破坏,其中:信信息息安安全全是指确保信息系统内信息的保密性、完整性和可用性等;系系统统服服务务安安全全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标;由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在在定定级级过过程程中中,需需要分别处理这两种危害方式。要分别处理这两种危害方式。信息安全和系统服务安全受到破坏后,可能产生以下危害后果:影响行使工作职能;导致业务能力下降;引起法律纠纷;导致财产损失;造成社会不良影响;对其他组织和个人造成损失;其他影响。业务信息安全和系统服务安全业务信息安全和系
31、统服务安全每个信息系统的定级流程每个信息系统的定级流程3、综合评定对客体的侵害程、综合评定对客体的侵害程度度2、确确定定业业务务信信息息安安全全受受到到破坏时所侵害的客体破坏时所侵害的客体6、综合评定对客体的侵害程、综合评定对客体的侵害程度度5、确确定定系系统统服服务务安安全全受受到到破坏时所侵害的客体破坏时所侵害的客体7、系统服务安全等级、系统服务安全等级4、业务信息安全等级、业务信息安全等级8、定级对象的安全保护等级、定级对象的安全保护等级依据表依据表1依据表依据表21、确定定级对象、确定定级对象确定信息系统的安全保护等级确定信息系统的安全保护等级1、确定业务信息安全等级业务信息安全被破坏
32、时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级2、确定系统服务安全等级系统服务安全被破坏时所侵害的客体 对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级3、信息系统安全保护等级由确定系统服务安全等级由上述两个等级的较高者决定。(取高的原则)确定信息系统的安全保护等级确定信息系统的安全保护等级系统等级的变更系统等级的变更在信息系统的运行过程中,安全保护等级应随着信
33、息系统所处理的信息和业务状态的变化进行适当的变更,尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化,可能影响到系统的安全保护等级时,应根据以上定级方法重新定级。第四步,信息系统等级评审第四步,信息系统等级评审 在信息系统安全保护等级确定过程中,可以聘请专家进行咨询评审,并出具定级评审意见。对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审,出具评审意见。当专家意见与运营使用单位或者主管部门不一致时,以运营使用单位或者主管部门意见为准。第五步,等级的最终确定与审批第五步,等级的最终确定与审批信息系
34、统运营使用单位参考专家定级评审意见,最终确定信息系统等级,形成定级报告。信息系统运营使用单位有上级主管部门的,应当经上级主管部门对安全保护等级进行审核批准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由其上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。定级报告的编制定级报告的编制(一)定级报告的定义(一)定级报告的定义定级报告是为详细了解和掌握定级过程情况由信息系统运营使用单位负责填写的文档。定级报告要在信息系统备案时一并提交。信息系统运营使用单位在起草定级报告时可以请技术支持单位协助。定级报告的编制定级报告的编制(二)定级报告的构
35、成和起草(二)定级报告的构成和起草1、信息系统描述、信息系统描述简述确定该信息系统为定级对象的理由。包括:该信息系统所承载业务的主管单位和部门,该信息系统具有信息系统的基本要素(有主机、网络及相关配套设施构成的人机系统),该信息系统承载着独立或单一的业务应用,业务应用主要包括哪些,各包含哪些功能等。2、信息系统安全保护等级的确定、信息系统安全保护等级的确定(1)业务信息安全保护等级的确定。第一步:简要描述信息系统所处理的主要业务信息,包括各项业务的主要数据项有哪些等。第二步:确定业务信息受到破坏后所侵害的客体第三步:确定对客体的侵害程度第四步:查表确定业务信息安全等级定级报告的编制定级报告的编
36、制(二)定级报告的构成和起草(二)定级报告的构成和起草2、信息系统安全保护等级的确定、信息系统安全保护等级的确定(2)系统服务安全保护等级的确定第一步:简要描述系统的服务范围、服务对象、服务要求等等。第二步:确定系统服务受到破坏后所侵害的客体第三步:确定对客体的侵害程度第四步:查表确定系统服务安全等级(3)信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。定级报告演示定级报告演示五、信息系统的五、信息系统的备案备案工作工作管理办法中对备案的规定管理办法中对备案的规定管理办法第十四条中规定:已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单
37、位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。备案需要提交的文件材料备案需要提交的文件材料信息系统安全等级保护备案表信息系统安全等级保护备案表(纸制盖章和电子版)(纸制盖章和电子版)保护等级为二级的信息系统运营、使用单位到属地、保卫关系所属公安保护等级为二级的信息系统运营、使用单位到属地、保卫关系所属公安机关备案需要提交以下材料:机关备案需要提交以下材料:信息系统安全等级保护定级报告(纸制盖章和电子版)信息系统安全等级保护定级报告(纸制盖章和电子版)备案需要提交的文件材料备案需要提交
38、的文件材料系统安全组织机构和管理制度系统安全组织机构和管理制度系统安全保护设施设计实施方案或者改建实施方案系统安全保护设施设计实施方案或者改建实施方案系统使用的信息安全产品清单及其认证、销售许可证明系统使用的信息安全产品清单及其认证、销售许可证明主管部门审核批准信息系统安全保护等级的意见主管部门审核批准信息系统安全保护等级的意见 保护等级为三级保护等级为三级(含含)以上的信息系统运营、使用单位到属地、保卫关系所属公安机关以上的信息系统运营、使用单位到属地、保卫关系所属公安机关备案需要提交以下材料:备案需要提交以下材料:系统拓扑结构及说明系统拓扑结构及说明测评后符合系统安全保护等级的技术检测评估
39、报告测评后符合系统安全保护等级的技术检测评估报告 信息系统安全保护等级专家评审意见信息系统安全保护等级专家评审意见 信息系统安全等级保护备案表信息系统安全等级保护备案表(纸制盖章和电子版)(纸制盖章和电子版)信息系统安全等级保护定级报告(纸制盖章和电子版)信息系统安全等级保护定级报告(纸制盖章和电子版)信息系统安全等级保护基本要求中对:系统安全保护设施设计实施方案或者改建实施方案系统安全保护设施设计实施方案或者改建实施方案系统安全组织机构和管理制度系统安全组织机构和管理制度有详细的规定,同时考虑到运营单位对系统的设计、建设和整改时间花费较大,所以统一要求:三级(含)以上信息系统除备案表、定级报
40、告及其电子版数据外,其它的备案材料在系统完成整改和测评后30日内提交备案的审核备案的审核依据受理备案规定,受理备案的公安机关需对接收的备案材料进行审核,具体审核内容是:备案符合性审查。备案符合性审查。是否按照备案要求填写了相应的表格和文档并提供相应的电子版文档。备案表完整性审查。备案表完整性审查。备案表中表一、表二、表三所列内容是否填写完整,表四中所要求的附件内容是否齐全。定级准确性审查。定级准确性审查。提交备案的各个信息系统安全保护等级定级是否准确。备案表由四张表单构成:表一是单位信息,每个单位填写一张;表二是信息系统基本信息;表三是信息系统定级信息;(表二、表三每个信息系统填写一张)表四为
41、第三级以上信息系统需要在系统整改、测评等工作完成后再行提交的信息。表二、三、四可以复印使用,使用时要注意编号。如一个单位有6个信息系统,则只需要填写一张表一,分别填写六个表二、三、四。备案表的构成备案表的构成备案表的保存方式备案表的保存方式备案表一式二份,由备案单位和受理备案的公安机关分别盖章后,一份由备案单位保存,一份交受理备案公安机关存档。备案表中有关数据项的说明备案表中有关数据项的说明备案表中有关数据项的说明备案表中有关数据项的说明二二、填填表表范范围围:本表由第二级(含)以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;如某单位共有6个信息系统进行备案,则填写过程中要遵循
42、表二(1/6)、表二(2/6)表二(6/6)的编号和命名规则。如果6个信息系统中有3个是第三级以上信息系统,则表四的编号要和同一信息系统的表二、三的编号保持一致。如,单位共有6个信息系统,其中有一个第三级以上信息系统A,则该单位需要填写1张表一,6张表二和表三,1张表四。假设A系统表二的编号为表二(2/6),则相对应的表四的编号也应当是表四(2/6)。六六、备备案案单单位位:本表封面中的“备案单位”填写运营使用信息系统的法人单位全称。七七、受受理理备备案案单单位位:本表封面中的“受理备案单位”填写受理备案民警所在部门的名称。此项由受理备案的公安机关负责填写。八八、行行政政区区划划代代码码:表一
43、中04项“行政区划代码”中6位代码是指单位所在地县(区、市、旗)的代码,该代码需与中华人民共和国行政区划代码(GB2260-1995)一致。以北京市举例,标准6位地址码的构成如下:110000北京市,110101东城区。备案表中有关数据项的说明备案表中有关数据项的说明九九、单单位位负负责责人人:表一中的“单位负责人”是指负责本单位信息安全的领导。十十、责责任任部部门门:表一中的“责任部门”是指单位内负责信息系统安全的部门。如果单位内的信息系统分别由不同的责任部门管理,则可以分别填写表一。责责任任部部门门联联系系人人:表一中的“责任部门联系人”是指本单位开展信息安全等级保护工作的联系人。如果责任
44、部门联系人有多个,则可以分别填写表一。备案表中有关数据项的说明备案表中有关数据项的说明十十一一、隶隶属属关关系系:表一中第08项“隶属关系”是指本单位隶属于哪一级行政管理单位,按照国家标准单位隶属关系代码(GB/T12404-1997)分为:中央、省、市(地区)、县、街道、镇、乡、社区(居委会)、村民委员会和其他。(1)各级政府(中央、省、地、县、乡、镇)、党委、人大、政协等机关的隶属关系填写本级。如:省政府的隶属关系填“省”。(2)中央:包括人大常委会、政协常委会、中共中央、国务院直属机构和办事机构、各部委及其直属机构等。中央与地方双重领导的单位,以领导为主的一方来划分中央属或地方属。隶属于
45、“中央”的单位所属的集体企业,隶属关系选“其他”,并在其后填写所隶属的单位名称;省属以下的企业(单位)所属的企业(单位),其隶属关系与企业(单位)本身的隶属关系一致。(3)省:包括自治区、直辖市直属的行政管理单位;(4)地区:包括自治州、盟、省辖市和直辖区直属的行政管理单位;(5)县:包括地、州、盟辖市、省辖市辖区、自治县、自治旗、县级市直属的行政管理单位;(6)街道:指经国务院批准设置的建制市的市区街道办事处等管理单位;(7)镇:指经省、自治区、直辖市人民政府批准设置的建制镇政府所辖行政管理单位;(8)乡:指乡一级政府及直属行政管理单位;(9)其他:不隶属上述各级的企业(单位)选本栏。例如:
46、无主管部门的单位、本省(自治区、直辖市)在外省(自治区、直辖市)的办事机构所开办的第三产业等单位等。备案表中有关数据项的说明备案表中有关数据项的说明单单位位类类型型:党委机关是指隶属于各级中国共产党委员会及其所属专门部门。政府机关是指隶属于各级人民政府的部门或单位。行行业业类类别别:该项为单选项。以单位主要从事的业务为依据进行选择,如公安院校,则应选择教育而非公安。信信息息系系统统总总数数:是指本单位内所拥有的信息系统个数,包括第一级信息系统。系系统统名名称称:表二中“系统名称”是指信息系统进行立项建设或有明文规定的全称。备案表中有关数据项的说明备案表中有关数据项的说明十二、系统编号:十二、系
47、统编号:由备案单位给出的本单位备案信息系统的编号。备案单位所属信息系统编号不能重复;系系统统承承载载业业务务情情况况:(1)业业务务类类型型:该项为单选项。是指信息系统所承载的主要业务。其中1生产作业是指:主要为完成本单位生产直接提供服务的。2指挥调度是指:主要用于本单位内进行指挥、调度等工作的。3管理控制是指:主要进行管理工作的。4内部办公是指:主要为单位内部办公提供服务的。5公众服务是指:主要为社会公众提供服务的。(2)业业务务描描述述:是指系统所承载业务的具体描述,主要包括系统所承载的业务信息包括哪些,信息系统的主要功能等。系系统统服服务务情情况况:(1)服服务务范范围围:该项为单选项。
48、如果信息系统跨全国的所有省,则选择10全国,如果没有跨全国所有省,则选择11跨省,同时填写具体的跨省数。跨地(市、区)类似。(2)服服务务对对象象:该项为单选项。单位内部人员:是指仅为本单位内部人员服务。社会公众人员:是指为社会大众提供服务。两者均包括:是指既包括单位内部人员也包括社会公众人员。如果仅为某些特定人群服务,请选择其它,并填写具体服务的对象名称。备案表中有关数据项的说明备案表中有关数据项的说明十十三三、系系统统网网络络平平台台:(1)覆覆盖盖范范围围:该项为单选项。1局局域域网网:信息系统所依托的网络结构是在某一区域内由多台计算机互联成的计算机组。“某一区域”指的是同一办公室、同一
49、建筑物、同一公司和同一学校等;2城城域域网网:是指该信息系统所依托的网络是一种大型的局域网,通常使用与局域网相似的技术。它可以覆盖一组邻近的公司办公室和一个城市,既可能是私有的也可能是公用的。比较常见的一个城市的政府公务网、教育城域网等;3广广域域网网:是指信息系统所依托的网络是一种跨越大的、地域性的计算机网络的集合。通常跨越省、市,甚至一个国家;如上述三个选项均不是,请选择其他,并在其后的横线中填写具体的网络覆盖范围类型名称。(2)网网络络性性质质:1业业务务专专网网:是指信息系统所依托的网络是单位为开展某项业务专门架设或租用专门线路构成的;2互互联联网网:是指承载信息系统的网络是完全依托互
50、联网(Internet)的。备案表中有关数据项的说明备案表中有关数据项的说明系统互联情况:系统互联情况:该项为多选项。1与其它行业系统连接:是指该信息系统与本行业以外的其他行业的信息系统进行连接或共享数据。2与本行业其他单位系统连接:是指该信息系统与行业内其他单位的信息系统进行连接或共享数据。3与本单位其他系统连接:是指该信息系统与本单位内的其他信息系统进行连接。如果上述选项均不是,则选择其它,并在其后的横线中注明具体的互联情况。备案表中有关数据项的说明备案表中有关数据项的说明十十四四、关关键键产产品品使使用用情情况况:(1)产产品品类类型型:是指信息系统(包括网络)中使用的信息技术产品的类型
黑公网安备:91230400333293403D