【經(jīng)管類】關(guān)于信息安全等級保護(hù)的若干問題

信息平安等級保護(hù)培訓(xùn)

一、我國在信息平安保障工作中為什么要實(shí)行等級保護(hù)制度

二、實(shí)行信息平安等級保護(hù)制度能夠解決哪些主要問題三、國家、有關(guān)部門和企業(yè)在等級保

護(hù)工作中各自的責(zé)任和義務(wù)是什么

五、等級保護(hù)工作的主要流程包括哪

些，開展等級保護(hù)工作的根本要求

是什么主要流程包括六項(xiàng)內(nèi)容：一是自主定級與審批。二是評審。三是備案。四是系統(tǒng)平安建設(shè)。五是等級測評。六是監(jiān)督檢查。六、開展等級保護(hù)工作的總體要求七、定級工作的主要步驟是什么

定級是等級保護(hù)工作的首要環(huán)節(jié)，是開展信息系統(tǒng)建設(shè)、整改、測評、備案、監(jiān)督檢查等后續(xù)工作的重要根底。第一步，摸底調(diào)查，掌握信息系統(tǒng)底數(shù)第二步，確定定級對象第三步，初步確定信息系統(tǒng)等級第四步，信息系統(tǒng)等級評審

第五步，信息系統(tǒng)等級的最終確定與審批第六步：備案。第七步：備案審核。第八步：及時(shí)總結(jié)并提交總結(jié)報(bào)告。第一步，摸底調(diào)查，掌握信息系統(tǒng)底數(shù)

按照?定級工作通知?確定的定級范圍，各單位、各部門可以組織開展對所屬信息系統(tǒng)進(jìn)行摸底調(diào)查，摸清信息系統(tǒng)底數(shù)，掌握信息系統(tǒng)〔包括信息網(wǎng)絡(luò)〕的業(yè)務(wù)類型、應(yīng)用或效勞范圍、系統(tǒng)結(jié)構(gòu)等根本情況，為下一步明確要求、落實(shí)責(zé)任奠定根底。第二步，確定定級對象一是應(yīng)用系統(tǒng)應(yīng)按照不同業(yè)務(wù)類別單獨(dú)確定為定級對象，不以系統(tǒng)是否進(jìn)行數(shù)據(jù)交換、是否獨(dú)享設(shè)備為確定定級對象條件。起傳輸作用的根底網(wǎng)絡(luò)要作為單獨(dú)的定級對象。二是確認(rèn)負(fù)責(zé)定級的單位是否對所定級系統(tǒng)具有平安管理責(zé)任。三是具有信息系統(tǒng)的根本要素。

第三步，初步確定信息系統(tǒng)等級跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)，可以由主管部門統(tǒng)一確定平安保護(hù)等級。由各行業(yè)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一平安保護(hù)策略的信息系統(tǒng)，應(yīng)由各部委統(tǒng)一確定一個(gè)級別；由各部委統(tǒng)一規(guī)劃、分級建設(shè)、運(yùn)行的信息系統(tǒng)，應(yīng)由部、省、地市分別確定系統(tǒng)等級，但各行業(yè)應(yīng)對該類系統(tǒng)提出定級意見，防止出現(xiàn)同類系統(tǒng)定級出現(xiàn)較大偏差問題。平安保護(hù)等級的劃分

業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級五級監(jiān)管等級對象侵害客體侵害程度監(jiān)管強(qiáng)度第一級一般系統(tǒng)合法權(quán)益損害自主保護(hù)第二級合法權(quán)益嚴(yán)重?fù)p害指導(dǎo)社會秩序和公共利益損害第三級重要系統(tǒng)社會秩序和公共利益嚴(yán)重?fù)p害監(jiān)督檢查國家安全損害第四級社會秩序和公共利益特別嚴(yán)重?fù)p害強(qiáng)制監(jiān)督檢查國家安全嚴(yán)重?fù)p害第五級極端重要系統(tǒng)國家安全特別嚴(yán)重?fù)p害專門監(jiān)督檢查第四步，信息系統(tǒng)等級評審第五步，信息系統(tǒng)等級的最終確定與審批

信息系統(tǒng)運(yùn)營使用單位參考專家定級評審意見，最終確定信息系統(tǒng)等級，形成?定級報(bào)告?。信息系統(tǒng)運(yùn)營使用單位有上級主管部門的，應(yīng)當(dāng)經(jīng)上級主管部門對平安保護(hù)等級進(jìn)行審核批準(zhǔn)。主管部門一般是指行業(yè)的上級主管部門或監(jiān)管部門。如果是跨地域聯(lián)網(wǎng)運(yùn)營使用的信息系統(tǒng)，那么必須由其上級主管部門審批，確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級的一致性。第六步，備案第七步，備案審核第八步，及時(shí)總結(jié)并提交總結(jié)報(bào)告八、定級工作完成后需要開展哪些工作

一是開展平安建設(shè)和整改。二是開展等級測評。三是開展自查。九、開展平安等級保護(hù)工作依據(jù)的主要標(biāo)準(zhǔn)有哪些

一是指導(dǎo)定級。二是受理備案。三是定期檢查。系統(tǒng)定級的具體實(shí)施定級根本流程13、綜合評定對客體的侵害程度2、確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體6、綜合評定對客體的侵害程度5、確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體7、系統(tǒng)服務(wù)安全保護(hù)等級4、業(yè)務(wù)信息安全保護(hù)等級8、定級對象的安全保護(hù)等級依據(jù)表2依據(jù)表31、確定定級對象表2業(yè)務(wù)信息平安等級矩陣表根據(jù)系統(tǒng)效勞平安被破壞時(shí)所侵害的客體以及對相應(yīng)客體的侵害程度，依據(jù)表2系統(tǒng)效勞平安等級矩陣表，即可得到系統(tǒng)效勞平安等級。業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級表3系統(tǒng)效勞平安等級矩陣表作為定級對象的信息系統(tǒng)的平安保護(hù)等級由業(yè)務(wù)信息平安等級和系統(tǒng)效勞平安等級的較高者決定。定級對象等級確定后，可參照附件中的?信息系統(tǒng)平安保護(hù)等級定級報(bào)告?模版起草定級報(bào)告。系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級不同危害后果的三種危害程度描述如下：一般損害：工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的資產(chǎn)損失，有限的社會不良影響，對其他組織和個(gè)人造成較低損害。嚴(yán)重?fù)p害：工作職能受到嚴(yán)重影響，業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行，出現(xiàn)較嚴(yán)重的法律問題，較高的資產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個(gè)人造成較嚴(yán)重?fù)p害。特別嚴(yán)重?fù)p害：工作職能受到特別嚴(yán)重影響或喪失行使能力，業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴(yán)重的法律問題，極高的資產(chǎn)損失，大范圍的社會不良影響，對其他組織和個(gè)人造成非常嚴(yán)重?fù)p害。信息平安和系統(tǒng)效勞平安被破壞后對客體的侵害程度，由對不同危害結(jié)果的危害程度進(jìn)行綜合評定得出。由于各行業(yè)信息系統(tǒng)所處理的信息種類和系統(tǒng)效勞特點(diǎn)各不相同，信息平安和系統(tǒng)效勞平安受到破壞后關(guān)注的危害結(jié)果、危害程度的計(jì)算方式均可能不同，各行業(yè)可根據(jù)本行業(yè)信息特點(diǎn)和系統(tǒng)效勞特點(diǎn)，制定危害程度的綜合評定方法，并給出侵害不同客體造成損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害的具體定義。關(guān)于侵害客體和侵害程度關(guān)于社會秩序各級政府機(jī)構(gòu)的社會管理和公共效勞系統(tǒng)，如財(cái)政、金融、工商、稅務(wù)、公檢法、海關(guān)、社保等領(lǐng)域的信息系統(tǒng)，也包括教育、科研機(jī)構(gòu)的工作系統(tǒng)，以及所有為公眾提供醫(yī)療衛(wèi)生、應(yīng)急效勞、供水、供電、郵政等必要效勞的生產(chǎn)系統(tǒng)或管理系統(tǒng)。關(guān)于公共利益借助信息化手段為社會成員提供使用的公共設(shè)施和通過信息系統(tǒng)對公共設(shè)施進(jìn)行進(jìn)行管理控制都應(yīng)當(dāng)是要考慮的方面，例如：公共通信設(shè)施、公共衛(wèi)生設(shè)施、公共休閑娛樂設(shè)施、公共管理設(shè)施、公共效勞設(shè)施等。公共利益與社會秩序密切相關(guān)，社會秩序的破壞一般會造成對公共利益的損害。一、定級對象的三個(gè)條件具有唯一確定的平安責(zé)任單位作為定級對象的信息系統(tǒng)應(yīng)能夠唯一地確定其平安責(zé)任單位，這個(gè)平安責(zé)任單位就是負(fù)責(zé)等級保護(hù)工作部署、實(shí)施的單位，也是完成等級保護(hù)備案和接受監(jiān)督檢查的直接責(zé)任單位。滿足信息系統(tǒng)的根本要素作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)那么組合而成的有形實(shí)體。應(yīng)防止將某個(gè)單一的系統(tǒng)組件，如單臺的效勞器、終端或網(wǎng)絡(luò)設(shè)備等作為定級對象。定級階段-關(guān)于定級對象確定承載相對獨(dú)立的業(yè)務(wù)應(yīng)用定級對象承載“相對獨(dú)立〞的業(yè)務(wù)應(yīng)用是指其中的一個(gè)或多個(gè)業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程、局部業(yè)務(wù)功能獨(dú)立，同時(shí)與其他信息系統(tǒng)的業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備?！跋鄬Κ?dú)立〞的業(yè)務(wù)應(yīng)用并不意味著整個(gè)業(yè)務(wù)流程，可以使完整的業(yè)務(wù)流程的一局部。定級階段-定級對象舉例電力營銷系統(tǒng)生產(chǎn)管理系統(tǒng)工程管理系統(tǒng)物資管理系統(tǒng)財(cái)務(wù)管理系統(tǒng)OA系統(tǒng)EAI/EIP系統(tǒng)等定級階段-定級對象舉例定級對象結(jié)果1本部信息系統(tǒng)供電局信息系統(tǒng)定級對象結(jié)果2本部電力調(diào)度系統(tǒng)綜合信息系統(tǒng)營業(yè)部電力調(diào)度系統(tǒng)綜合信息系統(tǒng)定級階段-定級對象舉例定級對象結(jié)果3本部數(shù)據(jù)中心系統(tǒng)用戶局域網(wǎng)系統(tǒng)骨干網(wǎng)系統(tǒng)供電局?jǐn)?shù)據(jù)中心系統(tǒng)用戶局域網(wǎng)系統(tǒng)城域網(wǎng)系統(tǒng)定級階段-定級對象舉例定級對象結(jié)果4電力營銷系統(tǒng)生產(chǎn)管理系統(tǒng)工程管理系統(tǒng)物資管理系統(tǒng)財(cái)務(wù)管理系統(tǒng)OA系統(tǒng)EAI/EIP系統(tǒng)定級階段-定級對象舉例處理不同類型業(yè)務(wù)的系統(tǒng)。本身運(yùn)行在不同的網(wǎng)絡(luò)環(huán)境中的系統(tǒng)。分不開的系統(tǒng)，按照高級別保護(hù)。信息系統(tǒng)的管理終端是與相應(yīng)被管理設(shè)備相對應(yīng)的，效勞器、網(wǎng)絡(luò)設(shè)備及平安設(shè)備等屬于哪個(gè)系統(tǒng)，終端就應(yīng)歸在哪個(gè)信息系統(tǒng)中。如果無法做到不同等級的信息系統(tǒng)使用不同的終端設(shè)備，那么應(yīng)將終端設(shè)備劃分為其他的信息系統(tǒng)，并在效勞器與內(nèi)部用戶終端之間建立邊界保護(hù)，對終端通過身份鑒別和訪問控制等措施加以控制。處理涉密信息的終端必須劃分到相應(yīng)的信息系統(tǒng)中，且不能與非涉密系統(tǒng)共用終端。業(yè)務(wù)信息業(yè)務(wù)系統(tǒng)處理的不同類型的數(shù)據(jù)系統(tǒng)效勞業(yè)務(wù)系統(tǒng)的效勞范圍業(yè)務(wù)系統(tǒng)的效勞對象業(yè)務(wù)系統(tǒng)的效勞人數(shù)業(yè)務(wù)系統(tǒng)的效勞時(shí)間要求定級階段-關(guān)于業(yè)務(wù)信息和系統(tǒng)效勞確實(shí)定常見情況多類或多種業(yè)務(wù)信息交易系統(tǒng)客戶信息交易數(shù)據(jù)行情數(shù)據(jù)配置管理數(shù)據(jù)等處理方法依此分析選擇重要的分析單位根本信息了解單位根本信息有助于判斷單位的職能特點(diǎn)，單位所在行業(yè)及單位在行業(yè)所處的地位和所用，由此判斷單位主要信息系統(tǒng)的宏觀定位。業(yè)務(wù)種類、流程和效勞應(yīng)重點(diǎn)了解定級對象信息系統(tǒng)中不同業(yè)務(wù)系統(tǒng)提供的效勞在影響履行單位職能方面具體方式和程度，影響的區(qū)域范圍、用戶人數(shù)、業(yè)務(wù)量的具體數(shù)據(jù)等。定級階段-關(guān)于定級報(bào)告的關(guān)注點(diǎn)處理的業(yè)務(wù)信息了解定級對象信息系統(tǒng)所處理的信息，了解單位對信息的三個(gè)平安屬性的需求.網(wǎng)絡(luò)結(jié)構(gòu)和邊界了解定級對象信息系統(tǒng)所在單位的整體網(wǎng)絡(luò)狀況、平安防護(hù)和外部連接情況，目的是了解信息系統(tǒng)所處的單位內(nèi)部網(wǎng)絡(luò)環(huán)境和外部環(huán)境特點(diǎn)，以及該信息系統(tǒng)的網(wǎng)絡(luò)平安保護(hù)與單位內(nèi)部網(wǎng)絡(luò)環(huán)境的平安保護(hù)的關(guān)系。主要的軟硬件設(shè)備了解與定級對象信息系統(tǒng)相關(guān)的效勞器、網(wǎng)絡(luò)、終端、存儲設(shè)備以及平安設(shè)備等，設(shè)備所在網(wǎng)段，在系統(tǒng)中的功能和作用。調(diào)查設(shè)備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設(shè)備使用方面的共用程度。定級結(jié)果理由的說明了解不同業(yè)務(wù)數(shù)據(jù)和系統(tǒng)效勞在被破壞后對國家、社會、本單位造成的影響的說明。中國課件站管理資源吧心靈驛站中華文庫大學(xué)課件管理資源吧TCL集團(tuán)10143重慶啤酒9653三一重工4970紫金礦業(yè)4937深開展A4546萬科A3873中聯(lián)重科3868包鋼稀土3667包鋼股份3617中信證券3493辛香匯1285俏江南1068外婆家961金漢斯958全聚德942隨緣居924biangbiang面900漢拿山883沙縣小吃873九龍冰室866阿迪達(dá)斯4767耐克4126匡威4090李寧2978安踏1769鴻星爾克1000匹克982特步955361°940新百倫896

貓和老鼠1694810蠟筆小新1633833喜羊羊與灰太狼1