经典讲义信息安全普及教程(ppt150)-管理培训(编辑修改稿)

经典讲义信息安全普及教程(ppt150)-管理培训(编辑修改稿)内容摘要：

，或者对国家安全造成严重损害。  第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 信息系统的安全保护等级  3. 运营和监管 （ 《 办法 》 第八条 ）  信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，  国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。  第一级 .信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 信息安全等级保护管理办法  第二级 . 信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。  第三级 . 信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。 信息安全等级保护管理办法  第四级 . 信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。 国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。  第五级 . 信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。 国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。 信息安全等级保护管理办法  4．实施与管理  《 办法 》 第三章 等级保护的实施与管理  第九条 信息系统运营、使用单位应当按照 《 信息系统安全等级保护实施指南 》 具体实施等级保护工作。  第十条 有主管部门的，应当经主管部门审核批准。  跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。  第四级以上信息系统的运营、使用单位或者主管部门 , 应当请国家信息安全保护等级专家评审委员会评审。 信息安全等级保护管理办法  5. 等级测评和自查（ 《 办法 》 第十四条 ）  定期对信息系统安全状况开展等级测评。  定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。  经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。 信息安全等级保护管理办法  6. 提供资料和数据  第十九条 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件：  （一） 信息系统备案事项变更情况；  （二） 安全组织、人员的变动情况；  （三） 信息安全管理制度、措施变更情况；  （四） 信息系统运行状况记录； 信息安全等级保护管理办法  （五） 运营、使用单位及主管部门定期对信息系统安全状况的检查记录；  （六） 对信息系统开展等级测评的技术测评报告；  （七） 信息安全产品使用的变更情况；  （八） 信息安全事件应急预案，信息安全事件应急处置结果报告；  （九） 信息系统安全建设、整改结果报告。 信息安全等级保护管理办法  7. 信息安全产品选择 （第三级以上信息系统）  （一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在国内具有独立的法人资格；  （二）产品的核心技术、关键部件具有我国自主知识产权；  （三）产品研制、生产单位及其主要业务、技术人员无犯罪记录；  （四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；  （五）对国家安全、社会秩序、公共利益不构成危害；  （六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。 信息安全等级保护管理办法  第二十八条 涉密信息系统使用的信息安全保密产品原则上应当选用国产产品，并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测，通过检测的产品由国家保密局审核发布目录。 信息安全等级保护管理办法  8. 保密工作部门备案  第二十六条 涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况，及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案，并接受保密部门的监督、检查、指导。 信息安全等级保护管理办法  ９ . 设计与实施资质  第二十七条 涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。  涉密信息系统建设按照秘密、机密、绝密三级的不同要求，实施分级保护，  其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。 信息安全等级保护管理办法   第三十条 涉密信息系统建设使用单位在申请系统审批或者备案时，应当提交以下材料：  （一）系统设计、实施方案及审查论证意见；  （二）系统承建单位资质证明材料；  （三）系统建设和工程监理情况报告；  （四）系统安全保密检测评估报告；  （五）系统安全保密组织机构和管理制度情况；  （六）其他有关材料。 信息安全等级保护管理办法  11．各级保密工作部门执法  第三十三条 国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理。 信息安全等级保护管理办法  12． 密码管理  第五章 信息安全等级保护的密码管理  第三十四条 国家密码管理部门对信息安全等级保护的密码实行分类分级管理。  信息系统运营、使用单位采用密码进行等级保护的，应当遵照 《 信息安全等级保护密码管理办法 》 、 《 信息安全等级保护商用密码技术要求 》 等密码管理规定和相关标准。 信息安全等级保护管理办法  第三十五条 信息系统安全等级保护中密码的配备、使用和管理等，应当严格执行国家密码管理的有关规定。 信息安全等级保护管理办法  13．充分运用密码技术  第三十六条 信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。  采用密码对不涉及国家秘密的信息和信息系统进行保护的，须遵守 《 商用密码管理条例 》 和密码分类分级保护有关规定与相关标准，其密码的配备使用情况应当向国家密码管理机构备案。 信息安全等级保护管理办法  第三十八条 信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担，其他任何部门、单位和个人不得对密码进行评测和监控。 信息安全等级保护管理办法  14．法律责任 （第六章 法律责任）  第四十条 第三级以上信息系统运营、使用单位违反本办法规定，有下列行为之一的，由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正；逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果： 信息安全等级保护管理办法  有下列行为之一 :  (一 )未按本办法规定备案、审批的；  (二 ) 未按本办法规定落实安全管理制度、措施的；  (三 )未按本办法规定开展系统安全状况检查的；  (四 ) 未按本办法规定开展系统安全技术测评的；  (五 )接到整改通知后，拒不整改的；  (六 ) 未按本办法规定选择使用信息安全产品和测评机构的；  (七 ) 未按本办法规定如实提供有关文件和证明材料的；  (八 )违反保密管理规定的；  (九 )违反密码管理规定的；  (十 ) 违反本办法其他规定的。  违反前款规定，造成严重损害的，由相关部门依照有关法律、法规予以处理。 信息安全等级保护管理办法  15．最大限度避免信息安全风险  “ 十一五 ” 我国将积极推动信息安全等级保护制度  我国正积极推动这一信息安。