【文章內(nèi)容簡介】 全、社會秩序和公共利益 ?實施 ? 國家主導 ? 重點單位強制，一般單位自愿 ? 高保護級別強制，低保護級別自愿 42 等級保護定級原理 ?定級要素 ? 等級保護對象受到破壞時所侵害的客體 ? 對客體造成侵害的程度 43 受侵害的客體 對客體的侵害程度 一般損害 嚴重損害 特別嚴重損害 公民 、 法人和其他組織的合法權(quán)益 第一級 第二級 第二級 社會秩序 、 公共利益 第二級 第三級 第四級 國家安全 第三級 第四級 第五級 等級 保護的五 級劃分 ? 信息系統(tǒng)根據(jù)其在國家安全、經(jīng)濟建設、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高劃分為五級 ? 第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益 ? 第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全 ? 第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害 ? 第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害 ? 第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害 44 五級監(jiān)管 45 等級 對象 侵害客體 侵害程度 監(jiān)管強度 第一級 一般系統(tǒng) 合法權(quán)益 損害 自主保護 第二級 合法權(quán)益 嚴重損害 指導 社會秩序和公共利益 損害 第三級 重要系統(tǒng) 社會秩序和公共利益 嚴重損害 監(jiān)督檢查 國家安全 損害 第四級 社會秩序和公共利益 特別嚴重損害 強制監(jiān)督檢查 國家安全 嚴重損害 第五級 極端重要系統(tǒng) 國家安全 特別嚴重損害 專門監(jiān)督檢查 等級保護定級流程 46 自主定級 專家評審 備案 安全建設 等級測評 監(jiān)督檢查 自主定級與審批 ?堅持 “自主定級、自主保護”的 原則 ?信息系統(tǒng) 運營使用單位按照等級保護管理辦法和定級指南，自主確定信息系統(tǒng)的安全保護 等級 ? 有 上級主管部門的，應當經(jīng)上級主管部門 審批 ? 跨 省或全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護等級。 47 備案 ?主管機關(guān) ? 各級公安機關(guān) ? 第二 級以上信息系統(tǒng) ，由 其運營使用單位到所在地市級以上公安機關(guān)辦理備案 手續(xù) ? 隸屬于 中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案 手續(xù) ? 跨 省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng)，應當向當?shù)厥屑壱陨瞎矙C關(guān)備案 48 等級測評 ?安全測評 ? 第三級信息系統(tǒng)應當每年至少進行一次等級 測評 ? 第四 級信息系統(tǒng)應當每半年至少進行一次等級 測評 ? 第五 級信息系統(tǒng)應當依據(jù)特殊安全需求進行等級 測評 49 監(jiān)督檢查 ?公安機關(guān)依據(jù)信息安全等級保護管理規(guī)范，監(jiān)督檢查運營使用單位開展等級保護工作，定期對三級以上的信息系統(tǒng)進行 安全檢查 ? 對 第三級信息系統(tǒng)每年至少檢查一 次 ? 對 第四級信息系統(tǒng)每半年至少檢查一 次 ? 對 第五級信息系統(tǒng)應當由國家指定的專門部門進行檢查 50 信息安全等級保護法規(guī)政策體系 51 等級保護有關(guān)的重要國家 政策 ?中華人民共和國 計算機信息系統(tǒng)安全保護 條例 ? 1994年國務院 147號令 ? 第九條 計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定。 ?國家 信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的 意見 ? 中 辦發(fā) [2023]27號 ? 實行信息安全等級保護，重點保護基礎信息網(wǎng)絡和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定的重要信息系統(tǒng) 52 等級保護有關(guān)的重要國家政策 ?《 關(guān)于信息安全等級保護工作的實施意見 》 ? 公 通字 [2023]66號 ? 規(guī)定等級 保護工作的基本內(nèi)容、工作要求和實施計劃，以及各部門職責分工等 ?《 信息安全等級保護管理辦法 》 ? 公 通字 [2023]43號 ? 明確 了信息安全等級保護制度的基本內(nèi)容、流程及工作 要求 ? 規(guī)定 了信息系統(tǒng)運營使用單位和主管部門、監(jiān)管部門在信息安全等級保護工作中的職責、 任務 53 信息安全等級保護 標準體系 54 信息安全等級 保護主要標準 《 計算機信息系統(tǒng)安全保護等級劃分準則 》 ? GB 178591999，是強制性國家標準 ? 是等級保護其他各項標準制訂的基礎 《 信息系統(tǒng)安全等級保護實施指南 》 ? GB/T 250582023 ? 在系統(tǒng)建設、運維和廢止等各個生命周期階段如何按照信息安全等級保護政策、標準要求工作 《 信息系統(tǒng)安全等級保護定級指南 》 ? GB/T 222402023 ? 規(guī)定了定級的依據(jù)、對象、流程和方法，以及等級變更等內(nèi)容 55 信息安全等級保護主要標準 《 信息系統(tǒng)安全等級保護基本要求 》 ?GB/T 222392023 ? 提出各級信息系統(tǒng)應當具備的安全防護能力要求 ? 從技術(shù)和管理兩個方面提出了相應措施 《 信息系統(tǒng)安全等級保護測評要求 》 ?GB/T 284482023 ? 等級測評的原則、內(nèi)容、強度、單元測評、整體測評、測評結(jié)論等內(nèi)容 《 信息系統(tǒng)安全等級保護測評過程指南 》 ?GB/T 284492023 ? 規(guī)定了 信息系統(tǒng)等級測評的過程，包括測評準備、方案編制、現(xiàn)場測評、分析與報告編制等各個活動的工作任務、分析方法和工作結(jié)果 等 56 基本要求－－ GB/T 222392023 57 技術(shù)要求 ? 數(shù)據(jù)安全及備份恢復 ? 應用安全 ? 主機安全 ? 網(wǎng)絡安全 ? 物理安全 管理要求 ? 安全管理機構(gòu) ? 安全管理制度 ? 人員安全管理 ? 系統(tǒng)建設管理 ? 系統(tǒng)運維管理 基本要求的組織方式 58 某級系統(tǒng) 類 技術(shù)要求 管理要求 基本要求 類 控制點 具體要求 控制點 具體要求 …… …… …… …… …… …… 安全要求類 層面 一級 二級 三級 四級 技術(shù)要求 物理安全 7 10 10 10 網(wǎng)絡安全 3 6 7 7 主機安全 4 6 7 9 應用安全 4 7 9 11 數(shù)據(jù)安全及備份恢復 2 3 3 3 管理要求 安全管理制度 2 3 3 3 安全管理機構(gòu) 4 5 5 5 人員安全管理 4 5 5 5 系統(tǒng)建設管理 9 9 11 11 系統(tǒng)運維管理 9 12 13 13 合計 / 48 66 73 77 控制點 基本要求－－ GB/T 222392023 59 ?知識域 ： 信息安全 應急 響應 ? 了解應急響應的有關(guān)概念、發(fā)展過程和特點 ? 了解我國應急響應有關(guān)標準 ? 了解信息安全事件分類的方法 ? 理解信息安全事件分級要素和各級別含義 ? 了解應急響應組織工作的主要內(nèi)容 60 知 識體 ：信息 安全管理基礎 背景及發(fā)展 ?信息安全應急 響應 ? 一 個組織為了應對各種安全意外事件的發(fā)生所采取的防范 措施 ? 既 包括預防性措施，也包括事件發(fā)生后的應對 措施 ?應急響應工作起因 ? 1988年 11月，莫里斯蠕蟲事件 ?美國 計算機應急處理暨協(xié)調(diào) 中心 ? Computer Emergency Response Team/Coordination Center ? CERT/CC 61 國際信息安全應急響應組織 美國計算機緊急事件響應小組協(xié)調(diào)中心 （ Computer Emergency Response Team/C