等级保护政策、流程、内容、定级介绍.ppt

11 建设整改工作指南 总则 安全管理制度建设 安全技术措施建设 总则 工作目标 通过落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益。 总则 工作内容 落实信息安全责任制，建立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施 需要说明的是：不同级别信息系统安全建设整改的具体内容应根据信息系统定级时的业务信息安全等级和系统服务安全等级，以及信息系统安全保护现状确定。信息系统安全建设整改工作具体实施可以根据实际情况，将安全管理和安全技术整改内容一并实施，或分步实施 总则 工作流程 第一步：制定信息系统安全建设整改工作规划，对信息系统安全建设整改工作进行总体部署； 第二步：开展信息系统安全保护现状分析，从管理和技术两个方面确定信息系统安全建设整改需求； 第三步：确定安全保护策略，制定信息系统安全建设整改方案； 第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施； 第五步：开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作。 总则 标准应用 信息系统安全建设整改工作应依据《基本要求》，并在不同阶段、针对不同技术活动参照相应的标准规范进行。 需要说明的是：《计算机信息系统安全保护等级划分准则》及配套标准是《基本要求》的基础；《基本要求》是信息系统安全建设整改的依据；《定级指南》为定级工作提供指导；《测评要求》等标准规范等级测评活动；《实施指南》等标准指导等级保护建设； 总则 安全保护能力目标 第二级信息系统：经过安全建设整改，信息系统具有抵御小规模、较弱强度恶意攻击的能力，抵抗一般的自然灾害的能力，防范一般性计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对安全事件进行记录的能力；系统遭到损害后，具有恢复系统正常运行状态的能力。 安全管理制度建设 按照国家有关规定，依据《基本要求》，参照《信息系统安全管理要求》等标准规范要求，开展信息系统等级保护安全管理制度建设工作。 安全技术措施建设 按照国家有关规定，依据《基本要求》，参照《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》等标准规范要求，开展信息系统安全技术建设整改工作 等保过程中的常见问题 问：公安部门要求什么时间完成等保测评？我们还没有定级，预算经费也没有报，如何开展工作？ 答：根据公安文件要求的时间开展测评工作。如果还没有定级，则根据定级要求和流程，先向公安递交定级备案文件，预算纳入下一年度工作计划，在经费未落实前，可以先行进行系统了解、系统加固配合工作。 定级专家评审时间：每季度或每半年（或不定期），由公安组织专家评审。 等保过程中的常见问题 问：定级对象范围是什么？一般是以什么界限来划分？是不是所有的系统都要申报？ 答：定级对象范围： 1、起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统），网络要合理划分区域； ? 2、用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统，跨省或者全国联网运行信息系统的分支系统也要单独定级； ? 3、各单位网站。 等保过程中的常见问题 问：实际操作中如何定级？区别？ 答：第二级信息系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。 第三级信息系统：一般适用于地市级以上国家机关、企事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络系统等。 在实际操作中，可参考备案单位自主定级分类指南。 等保过程中的常见问题 问：递交的备案资料都包括哪些内容？ 答：1、《信息系统安全等级保护备案表》（一式两份） 2、《信息系统安全等级保护定级报告》（一个系统一份） 3、《系统定级评审意见》（或上级主管部门定级审核意见） 4、相关电子数据等 等保过程中的常见问题 问：《定级报告》一般都包括哪些部分？ 答：1、定级依据 包括与本次信息系统定级相关的法规、标准、规范和文件等，例如《管理办法》、《定级指南》、本行业的安全管理规定等确定信息系统安全保护等级所需依据的文件。 ? 2、信息