信息安全管理有关规定和要求课件.ppt

等级保护定级---一般流程 3、综合评定对客体的侵害程度 2、确定业务信息安全受到破坏时所侵害的客体 6、综合评定对客体的侵害程度 5、确定系统服务安全受到破坏时所侵害的客体 7、系统服务安全等级 4、业务信息安全等级 8、定级对象的安全保护等级 1、确定定级对象 精品 二、备案 已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区市级以上公安机关办理备案手续。 新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区市级以上公安机关办理备案手续。 精品 备案 省生成的备案电子数据，到公安机关办理备案手续，提交公安厅网警在线网站（）下载定级报告、《信息系统安全等级保护备案表》和辅助备案工具 。持填写的备案表和利用辅助备案工具有关备案材料及电子数据文件。 精品 等级保护备案---备案审核 填写并提交信息系统备案材料后，公安机关应当对信息系统的备案情况进行审核。 审核结果根据被测评单位信息系统：符合等级保护要求、不符合等级保护要求、定级不准三种不同结果进行评判和整改。 精品 等级保护备案---备案审核 符合等级保护要求的，在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明； 不符合本办法及有关标准的，在收到备案材料之日起的10个工作日内通知备案单位予以纠正； 定级不准的，在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。 精品 三、等级测评 开展信息系统安全等级保护测评，明确安全建设整改需求。 备案单位选择符合《管理办法》和有关标准规定条件的测评机构开展等级测评。 测评机构依据《信息系统安全等级保护测评要求》等进行测评。测评机构按照公安部制订的《信息系统安全等级测评报告模版》编制测评报告。 备案单位根据测评报告中的改进建议，研究确定系统安全建设整改的目标、内容和要求。 精品 四、等保基本要求----管理体系建设 依据《信息系统安全等级保护基本要求》 ◆建立制度体系； ◆强化组织机构； ◆加强人员控制； ◆控制建设过程； ◆提高运维效率； 精品 四、等保基本要求----管理体系建设 建立信息管理制度体系： ◆建立制度文件层级概念，将所有的信息管理制度分为四个主要层级，分别为:一级方针、二级策略、三级规程、四级表单； ◆引入等级保护管理框架，将所有的信息管理制度分为五个文件范围，分别为:安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理； ◆进行制度体系运维，对格式、版本、评审、修订、发布等过程进行控制； ◆任命专职信息管理人员对制度体系进行运维； 精品 建立信息管理制度体系 系统建设管理 系统运维管理 安全管理制度 安全管理机构 人员安全管理 安全管理方针 数据库安全管理规程 数据库日常巡检记录表 …… 系统运行管理制度 …… 操作系统安全管理规程 重要操作变更记录表 一级 文件 二级 策略 三级 规程 四级 表单 信息机房管理制度 专业化…… …… …… …… 1、阐述信息安全总体目标和原则； 2、定义信息安全管理结构； 3、提出对组织成员的安全要求。 1、根据不同的工作层面划分制度范围； 2、明确范围内的工作要求； 3、明确执行岗位。 1、依据二级策略文件，对所属的范围内工作进行细化要求和指导； 2、明确与四级表单的对应关系； 1、是整个制度体系的底层和策略落实的关键； 2、依据三级规程文件，对该项工作过程进行控制，表单中应有规程中规定的要素。 精品 四、等保基本要求----管理体系建设 强化组织机构： ◆建立信息安全管理委员会，应由组织高层和其他业务部门参与，使得信息安全意识和工作方式向组织高层和平级部门透明；并明确信息化工作过程中与其他部门的关系； ◆对信息化部门自身，划分岗位的职责、分工和技能要求 。 ◆落实授权与审批，根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。 ◆建立全面的沟通机制，覆盖信息化部门内部、平级部门、兄弟单位、公安机关、电信公司、安全供应商和安全顾问等。 ◆组织专人定期进行安全检查，分析运行现状，发现安全隐患； 精品 信息安全管理有关规定和要求 江西省公安厅网络安全保卫总队专家组 吴 雷 公安部认证等级保护测评师 精品 信息安全管理有关规定和制度 第一部份 互联网安全保护技术措施规定 第二部份　等级保护制度的贯彻和实施 精品 《互联网安全保护技术措施规定》的目的 保障 互联网网络安全和信息安全 促进 互联网健康、有序发展 维护 国家安全、社会秩序和公共利益 精品 第三条 互