长春吉大正元信息技术股份有限公司JILINUNIVERSITYINFORMATIONTECHONOLOGIESCO.,LTD.高效·简洁·安全汇报人:范羽卓时间:2020年2月网络安全等级保护介绍等保建设过程等保定级和备案等保实施内容1等保工作背景234目录什么是等级保护•信息安全等级保护是指:对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护;•根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定等级保护的国家政策颁布时间文件名称文号颁布机构内容及意义1994年2月18日《中华人民共和国计算机信息系统安全保护条例》国务院147号令国务院第一次提出信息系统要实行等级保护,并确定了等级保护的职责单位。2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》中办国办发[2003]27号中共中央办公厅国务院办公厅等级保护工作的开展必须分步骤、分阶段、有计划的实施。明确了信息安全等级保护制度的基本内容。2004年9月15日《关于信息安全等级保护工作的实施意见》公通字[2004]66号公安部国家保密局国家密码管理委员会办公室(国家密码管理局)国务院信息化工作办公室将等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障的一项基本制度。2007年6月22日《信息安全等级保护管理办法》公通字[2007]43号明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务。2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号就定级范围、定级工作主要内容、定级工作要求等事项进行了通知。等级保护各参与部门的角色定位《信息安全等级保护管理办法》公安机关负责信息安全等级保护工作的指导、监督、检查——公安部及地方公安部门、网监部门国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导——国家保密局及地方保密局国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导——国密办及地方密码管理局/办国务院信息化领导小组负责等级保护工作的部门间协调——国信办、工信部及地方信息办等级保护测评机构负责按照国家相关技术标准和要求对信息系统进行等级保护的分析测评工作。相关政策标准定级指南基本要求实施指南测评准则管理办法相关政策国家最新标准《信息安全技术网络安全等级保护基本要求》GB/T22239-2019《信息安全技术网络安全等级保护安全设计技术要求》GB/T25070-2019《信息安全技术网络安全等级保护测评要求》GB/T28448-2019等保建设过程等保定级和备案等保实施内容1等保工作背景234目录定级-备案-整改-测评-检查“五步走”信息系统等级保护1定级2备案3整改4测评5检查等级保护五个工作阶段等级保护系统建设过程信息系统定级信息系统备案等保整改方案规划设计(专家评审)差距分析项目招投标项目实施局部调整重大变更系统测评安全监督检查五个监管等级对象第一级:信息系统所承载业务涉及公民、法人和其他组织的权益,受到破坏造成一定损害;对业务正常开展产生一定影响。第二级:信息系统所承载的业务直接关系到公民、法人和其他组织的权益,受到破坏造成严重损害;影响业务正常开展。第三级:信息系统所承载的业务涉及国家、社会和公共利益,受到破坏造成损害;影响业务正常开展。五个监管等级第四级:信息系统所承载的业务直接关系到国家、社会和公共利益,受到破坏后造成严重损害的;业务无法开展。第五级:信息系统所承载的业务受到破坏后,会直接对国家安全造成特别严重损害。定级要素与安全保护等级的关系等级对象侵害客体侵害程度监管强度第一级合法权益一般损害自主保护合法权益严重损害第二级一般系统社会秩序和公共利益损害指导保护社会秩序和公共利益严重损害第三级国家安全损害监督保护社会秩序和公共利益特别严重损害第四级重要系统国家安全严重损害强制保护第五级极端重要系统国家安全特别严重损害专控保护等保建设过程等保定级和备案等保实施内容1等保工作背...
