信息安全管理有关规定和要求课件.ppt

四、等保基本要求----管理体系建设 加强人员控制： ◆加强信息化工作中的岗位交接控制； ◆加大培训工作力度，贯彻培训计划，强调培训的有效性； ◆依据当前信息化工作的现状，分析人员需求，制定合理的信息化岗位划分与人员要求。 ◆对外部人员访问的过程进行控制。 * 四、等保基本要求----管理体系建设 控制建设过程： ◆对信息系统的重要程度进行分析，进行等级保护定级，确定该信息系统所应达到的安全保护水平，优化资源配置； ◆依据信息系统的安全保护等级标准体系，制定总体规划设计，选择基本安全措施，并依据风险分析的结果补充和调整安全措施，并组织相关部门和安全专家对规划、方案进行评审； ◆对软、硬件产品的开发、选型、采购、安装实施和验收等过程进行监控，必要时应要求第三方测试单位参与； * 四、等保基本要求----管理体系建设 环境控制： ◆部署环境监控系统，对机房和敏感区域进行监控，并合理的配置环境监控系统，在发生安全问题时进行报警； ◆设置相对独立的外来人员访问区域，加强对办公环境的必威体育官网网址性管理，规范办公环境人员行为； 资产和设备管理： ◆部署资产管理系统，依据资产安全策略、规程和表格，规范化的管理资产，并建立易于管理运维的资产台帐； ◆设置专用资产储存环境，并定期对资产进行清算； * 四、等保基本要求----管理体系建设 运维监控管理： ◆部署运维监控系统，对信息系统各岗位人员的重要操作流程数据信息化，强化审批。建立各信息系统软、硬件、基础设施必威体育精装版配置档案库，避免多人管理时对系统配置的不了解； * 五、等保基本要求----技术措施建设 物理安全 网络安全 主机安全 应用安全 数据安全 * 六、等级保护的监督检查---检查方式 受理备案的公安机关应当对第二级以上的信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。 第三级信息系统每年至少检查一次； 第四级信息系统每半年至少检查一次。 第五级信息系统，应当由国家指定的专门部门进行检查。 * 等级保护的监督检查---检查配合 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件。 * 等级保护的监督检查---运营单位配合内容 应提供下列有关信息安全保护的信息资料及数据文件： 信息系统备案事项变更情况； 安全组织、人员的变动情况； 信息安全管理制度、措施变更情况； 信息系统运行状况记录； 运营、使用单位及主管部门定期对信息系统安全状况的检查记录； 对信息系统开展等级测评的技术测评报告； 信息安全产品使用的变更情况； 信息安全事件应急预案，信息安全事件应急处置结果报告； 信息系统安全建设、整改结果报告。 * 七、等级保护的违反处罚---违规行为 第三级以上信息系统运营使用单位： 未按《管理办法》规定备案、审批的； 未按《管理办法》规定落实安全管理制度、措施的； 未按《管理办法》规定开展系统安全状况检查的； 未按《管理办法》规定开展系统安全技术测评的； 接到整改通知后，拒不整改的； 未按《管理办法》规定选择使用信息安全产品和测评机构的； * 等级保护的违反处罚---违规行为 未按《管理办法》规定如实提供有关文件和证明材料的； 违反必威体育官网网址管理规定的；违反密码管理规定的； 信息安全监管部门及其工作人员。信息安全监管部门及其工作人员在履行监督管理职责中，玩忽职守、滥用职权、徇私舞弊。 * 等级保护的违反处罚---处罚方式 公安机关、国家必威体育官网网址工作部门和国家密码工作管理部门按照职责分工责令第二级以上信息系统运营使用单位限期改正； 逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果。 违反前述规定，造成严重损害的，由相关部门依照有关法律、法规予以处理。 * 谢 谢！ 欢迎提出宝贵意见！ * * * 信息安全管理有关规定和要求 江西省公安厅网络安全保卫总队专家组 吴 雷 公安部认证等级保护测评师 * 信息安全管理有关规定和制度 第一部份 互联网安全保护技术措施规定 第二部份　等级保护制度的贯彻和实施 * 《互联网安全保护技术措施规定》的目的 保障 互联网网络安全和信息安全 促进 互联网健康、有序发展 维护 国家安全、社会秩序和公共利益 * 第三条 互联网服务提供者、联网使用单位负责落实互联网安全保护技术措施，并保障互联网安全保护技术措施功能的正常发挥。 第四条 互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意