北京市教委各直属单位信息安全等级保护工作培训

北京市教委各直属单位信息安全等级保护工作培训内容摘要：

权益的危害程度为依据 ， 确定信息系统的安全保护等级。 既要防止 个别单位片面追求绝对安全而定级过高 ， 也要防止 为了逃避监管定级偏低。 确定信息系统安全等级的依据 依据 《 管理办法 》 直接确定信息系统等级 依据 《 信息安全等级保护定级指南 》 要求进行信息系统等级确定 等级决定要素与初定等级的关系 受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 业务信息安全和系统服务安全 信息系统与之相关的 受侵害客体 和 对客体的侵害程度 可能不同 ， 因此 ， 信息系统定级也应由 业务信息安全 和 系统服务安全 两方面确定。 对客体的侵害外在表现为对定级对象的破坏 ， 其危害方式表现为对 信息安全 的破坏和对 信息系统服务 的破坏 ， 其中： • 信息安全 是指确保信息系统内信息的保密性 、 完整性和可用性等； • 系统服务安全 是指确保信息系统可以及时 、 有效地提供服务 ， 以完成预定的业务目标； 由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同 ， 在定级过程中 ， 需要分别处理这两种危害方式。 信息安全和系统服务安全受到破坏后，可能产生以下 危害后果 ： 影响行使工作职能；导致业务能力下降；引起法律纠纷；导致财产损失；造成社会不良影响；对其他组织和个人造成损失；其他影响。 业务信息安全和系统服务安全 每个信息系统的定级流程 综合评定对客体的侵害程度 确定业务信息安全受到破坏时所侵害的客体 综合评定对客体的侵害程度 确定系统服务安全受到破坏时所侵害的客体 系统服务安全等级 业务信息安全等级 定级对象的安全保护等级 依据表 1 依据表 2 确定定级对象 确定信息系统的安全保护等级 确定业务信息安全等级 业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 确定系统服务安全等级 系统服务安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 信息系统安全保护等级由确定系统服务安全等级由上述两个等级的较高者决定。 （取高的原则） 确定信息系统的安全保护等级 系统等级的变更 • 在信息系统的运行过程中，安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的 变更 ，尤其是当状态变化可能导致 业务信息安全 或 系统服务 受到破坏后的 受侵害客体 和 对客体的侵害程度 有较大的变化，可能影响到系统的安全保护等级时，应根据以上定级方法 重新定级。 第四步，信息系统等级评审 在信息系统安全保护等级确定过程中，可以聘请专家进行咨询评审，并出具定级评审意见。 对拟确定为第四级以上信息系统的，运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审，出具评审意见。 当专家意见与运营使用单位或者主管部门不一致时，以运营使用单位或者主管部门意见为准。 第五步，等级的最终确定与审批 • 信息系统运营使用单位参考专家定级评审意见，最终确定信息系统等级，形成 《 定级报告 》。 信息系统运营使用单位有上级主管部门的，应当经 上级主管部门 对安全保护等级进行审核批准。 主管部门一般是指行业的上级主管部门或监管部门。 • 如果是 跨地域联网运营使用 的信息系统，则 必须 由其上级主管部门审批，确保同类系统或分支系统在各地域分别定级的一致性。 定级报告的编制 （一）定级报告的定义 定级报告是为详细了解和掌握定级过程情况由信息系统运营使用 单位负责填写的文档。 定级报告要在信息系统备案时一并提交。 信息系统运营使用单位在起草定级报告时可以请技术支持单位 协助。 定级报告的编制 （二）定级报告的构成和起草 信息系统描述 简述确定该信息系统为定级对象的理由。 包括：该信息系统所承载业务的 主管单位和部门，该信息系统具有信息系统的基本要素（有主机、网络及相关配 套设施构成的人机系统），该信息系统承载着独立或单一的业务应用，业务应用 主要包括哪些，各包含哪些功能等。 信息系统安全保护等级的确定 （ 1）业务信息安全保护等级的确定。 第一步：简要描述信息系统所处理的主要业务信息，包括各项业务的主要数据 项有哪些等。 第二步：确定业务信息受到破坏后所侵害的客体 第三步：确定对客体的侵害程度 第四步：查表确定业务信息安全等级 定级报告的编制 （二）定级报告的构成和起草 信息系统安全保护等级的确定 （ 2）系统服务安全保护等级的确定 第一步：简要描述系统的服务范围、服务对象、服务要求等等。 第二步：确定系统服务受到破坏后所侵害的客体 第三步：确定对客体的侵害程度 第四步：查表确定系统服务安全等级 （ 3）信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高 者决定。 定级报告演示 五、信息系统的 备案 工作 《 管理办法 》 中对备案的规定 《 管理办法 》 第十四条中规定： • 已运营 （ 运行 ） 的第二级以上信息系统 ，应当在安全保护等级确定后 30日内 ， 由其运营 、 使用单位到所在地设区的市级以上公安机关办理备案手续。 • 新建第二级以上信息系统 ， 应当在投入运行后 30日内 ， 由其运营 、 使用单位到所在地设区的市级以上公安机关办理备案手续。 备案需要提交的文件材料 《 信息系统安全等级保护备案表 》 （纸制盖章和电子版） 保护等级为二级的信息系统运营、使用单位到属地、保卫关系所属公安机关备案需要提交以下材料： 《 信息系统安全等级保护定级报告 》 （纸制盖章和电子版） 备案需要提交的文件材料 系统安全组织机构和管理制度 系统安全保护设施设计实施方案或者改建实施方案 系统使用的信息安全产品清单及其认证、销售许可证明 主管部门审核批准信息系统安全保护等级的意见 保护等级为三级 (含 )以上的信息系统运营、使用单位到属地、保卫关系所属公安机关 备案需要提交以下材料： 系统拓扑结构及说明 测评后符合系统安全保护等级的技术检测评估报告 信息系统安全保护等级专家评审意见 《 信息系统安全等级保护备案表 》 （纸制盖章和电子版） 《 信息系统安全等级保护定级报告 》 （纸制盖章和电子版） 《 信息系统安全等级保护基本要求 》 中对： • 系统安全保护设施设计实施方案或者改建实施方案 • 系统安全组织机构和管理制度 有详细的规定，同时考虑到运营单位对系统的设计、建设和整改时间花费较大，所以统一要求： 三级（含）以上信息系统除 《 备案表 》 、定级报告及其电子版数据外，其它的备案材料在系统完成整改和测评后 30日内提交 备案的审核 依据受理备案规定，受理备。