重要信息系统定级工作有关具体问题说明.pptVIP

四、如何填写《备案表》 （2）表二中业务类型：该类型可以多选，但要在其下的业务描述中进行具体说明； （3）表二中服务范围：选项“全国”包括所有省、区、市；跨省（区、市）是指跨部分省（区、市）； （4）表二中关键产品使用情况：安全专用产品是指用于保护计算机信息系统安全的专用硬件和软件产品； （5）表二中系统采用服务情况：其中服务责任方类型是指对信息系统进行前述所列服务的单位或机构的隶属类型。 资料下载：登录来宾市公安局网站，点击“网络安全”进行网络安全保卫支队，在“等级保护”栏目下载. 网 址：// 来宾市公安局网安支队联系人：麦浩 联系电话：4237999 五、等级保护有关资料 谢 谢 大 家 * 准确定级， * 第一级，自主保护；第二级，指导保护；第三级，监督保护；第四级，强制监督保护；第五级，专控保护。 * 备案要求：(《管理办法》第十五条） 1、二级以上信息系统 2、运营（运行）30日内 3、运营、使用单位 4、设区的市级以上公安机关办理 5、第三级以上的信息系统备案需要提供的材料（《管理办法》第十六条） 重要信息系统定级工作有关具体问题说明 来宾市公安局网安支队 麦浩 2013年11月4日 目录 一、信息系统等级保护工作的政策体系及标准体系 二、等级保护定级备案工作的具体内容和要求 三、如何起草定级报告 四、如何填写备案表 五、等级保护有关资料 一、信息系统等级保护工作概述 （一）信息安全等级保护政策体系 近几年，公安部根据国务院147号令的授权，会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了一些文件，公安部对有些具体工作出台了一些指导意见和规范，构成了信息安全等级保护政策体系。 汇集成《信息安全等级保护政策汇编》供有关单位、部门使用。 信息安全等级保护政策体系 信息系统等级保护的政策体系 1、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号） 2、《信息安全等级保护管理办法》公通字[2007]43号） 3、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号） 4、《信息安全等级保护备案实施细则》（公信安[2007]1360号） 5、《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1429号） 信息系统等级保护的政策体系 6、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号） 7、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）。 8、《关于印发〈信息系统安全等级测评报告模版（试行）〉的通知》（公信安[2009]1487号） 9、《公安机关信息安全等级保护检查工作规范》（公信安[2008]736号 ） 多年来，在有关部门支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准，形成了比较完整的信息安全等级保护标准体系。汇集成《信息安全等级保护标准汇编》供有关单位、部门使用。 信息安全等级保护标准体系 （一）信息安全等级保护政策体系 基础标准： 《计算机信息系统安全保护等级划分准则》。 在此基础上制定出技术类、管理类、产品类标准。 安全要求： 《信息系统安全等级保护基本要求》 信息系统安全等级保护的行业规范 信息安全等级保护标准体系 系统等级： 《信息系统安全等级保护定级指南》 信息系统安全等级保护行业定级细则 方法指导： 《信息系统安全等级保护实施指南》 《信息系统等级保护安全设计技术要求》 现状分析： 《信息系统安全等级保护测评要求》 《信息系统安全等级保护测评过程指南》 信息安全等级保护标准体系 在应用有关标准中需注意的几个问题： 1、《基本要求》是阶段性目标，《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一。 2、《基本要求》中不包含安全设计和工程实施等内容，因此可以参照《信息系统等级保护安全设计技术要求》等标准进行。 3、在进行安全建设整改时，应根据业务信息安全等级和系统服务安全等级确定《基本要求》中相应的安全保护要求。 信息安全等级保护标准体系 4、重点行业可以按照《基本要求》等国家标准，结合行业特点和特殊安全需求，在公安部等有关部门指导下，制定行业标准规范或细则。 5、《信息系统等级保护安全设计技术要求》提出“一个中心三维防护”（安全管理中心和计算环境安全、区域边界安全、通信网络安全）的安全保护设计技术要求。本标准应与其他标准配合使用。