,苏州市公安局信息网络安全监察处,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,江苏省公安厅网络警察总队,信息平安等级保护工作,吴江市公安局网络平安监察大队,二OO八年十月,-,定级、备案工作培训讲义,目录,一、信息平安等级保护工作概述,二、信息平安等级保护定级工作具体实施,1、备案表的填写,2、形成?定级报告?,三、系统定级技术环节,一、信息平安等级保护工作概述,一根本概念,信息平安等级保护是国家信息平安保障的根本制度、根本策略和根本方法。开展信息平安等级保护工作是保护信息化开展、维护国家信息平安的根本保障,是信息平安保障工作中国家意志的表达。,一、信息平安等级保护工作概述,二政策和法律依据,1994年，?中华人民共和国计算机信息系统平安保护条例?规定，“计算机信息系统实行平安等级保护，平安等级的划分标准和平安等级保护的具体方法，由公安部会同有关部门制定。,1995年,?中华人民共和国警察法?规定，公安机关人民警察依法履行“监督管理计算机信息系统的平安保护工作。,1999年，强制性国家标准?计算机信息系统平安保护等级划分准那么?GB 17859。,2003年，中办、国办转发的?国家信息化领导小组关于加强信息平安保障工作的意见?中办发200327号明确指出“实行信息平安等级保护。“要重点保护根底信息网络和关系国家平安、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息平安等级保护制度，制定信息平安等级保护的管理方法和技术指南 。,2004年，公安部、国家保密局、国家密码管理局、国信办联合印发了?关于信息平安等级保护工作的实施意见?66号文件,2007年6月，公安部、国家保密局、国家密码管理局、国信办联合制定了?信息平安等级保护管理方法?公通字200743号,一、信息平安等级保护工作概述,三信息平安等级保护的根本原那么,一是明确责任，共同保护；,二是依照标准，自行保护；,三是同步建设，动态调整；,四是监督指导，重点保护。,四责任义务,信息平安监管部门的职责分工,公安机关负责信息平安等级保护工作的监督、检查、指导。,国家保密工作部门负责等级保护工作中有关保密工作监督、检查、指导。,国家密码管理部门负责等级保护工作中有关密码工作监督、检查、指导。,涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。,国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。,一、信息平安等级保护工作概述,信息系统主管部门责任义务,信息系统主管部门应当依照?管理方法?及相关标准标准，催促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息平安等级保护工作。,运营使用单位的责任义务,信息系统的运营、使用单位应当依照本方法及其相关标准标准，履行信息平安等级保护的义务和责任。,涉及国家秘密信息系统的分级保护管理,涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责；,非涉及国家秘密信息系统的等级保护监督管理工作由公安机关负责。,一、信息平安等级保护工作概述,五主要流程,1、定级与审批；,2、等级评审；,3、备案；,4、备案管理；,5、系统建设；,6、等级测评；,7、自查自纠；,8、监督检查。,等级变更,局部调整,信息系统定级,总体平安规划,平安设计与实施,平安运行维护,信息系统终止,备案管理,监督检查,一、信息平安等级保护工作概述,六总体要求,按照“准确定级、严格审批、及时备案、认真整改、科学测评的要求完成等级保护的定级、备案、整改、测评等工作。,对成心将信息系统平安级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大平安事故的，要追究单位和人员的责任。,一、信息平安等级保护工作概述,定级工作日程安排,、第一阶段自现在起-10月19日发动、培训、调查摸底阶段。,、第二阶段10月20日-10月27日自评和初评阶段。,、第三阶段10月28日-12月10日上报苏州评审和备案阶段，备案方式：电子备案和书面备案。,4、第四阶段12月11日-12月20日总结阶段。,备案表,备案表模板,二、信息平安等级保护定级工作具体实施,一定级原那么,坚持“自主定级、自主保护与国家监管相结合的原那么,二等级划分,等级,对象,侵害客体,侵害程度,监管强度,第一级,一般,系统,合法权益,损害,自主保护,第二级,合法权益,严重损害,指导保护,社会秩序和公共利益,损害,第三级,重要,系统,社会秩序和公共利益,严重损害,监督检查保护,国家安全,损害,第四级,社会秩序和公共利益,特别严重损害,强制监督检查保护,国家安全,严重损害,第五级,极端重要系统,国家安全,特别严重损害,专门监督检查保护,二、信息平安等级保护定级工作具体实施,三确定需要定级的系统,1省辖市以上党政机关的重要网站和办公信息系统；,2电信、广电行业的公用通信网、播送电视传输网等根底信息网络，经营性公众互联网信息效劳单位、互联网接入效劳单位、数据中心等单位的重要信息系统；,3铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、开展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统；,4涉及国家秘密的信息系统。,二、信息平安等级保护定级工作概述,(四)对五级信息系统的具体说明,1、一级信息系统,定义：适用于一般信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家平安、社会秩序和公共利益。,举例：公民个人的单机系统，小型集体、民营企业所属的信息系统，中、小学校的信息系统，乡镇级党政机关、事业单位的信息系统等。,2、二级信息系统,定义：适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家平安.,举例,县级、地市级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财政、金融、社保、工商、审计、能源、化工、社会效劳保障、卫生、交通运输、国土资源、邮政、应急抢险、农业等行业所属独立的信息系统；,中型集体、民营企业、小型国有企业所属的信息系统；,县级党政机关、事业单位的信息系统；,普通高等院校和科研机构的信息系统；,其他中型组织的信息系统。,二、信息平安等级保护定级工作概述,3.三级信息系统,定义：适用于涉及国家平安、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家平安、社会秩序和公共利益造成一定损害。,举例：,省级和副省级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财政、金融、社保、工商、审计、能源、化工、社会效劳保障、卫生、交通运输、国土资源、邮政、应急抢险、农业等行业所属独立的重要信息系统；,大型集体、民营企业、大中型国有企业所属的重要信息系统；,地市级党政机关、事业单位的重要信息系统；,重点高等院校和科研机构的重要信息系统；,其他大中型组织的信息系统。,二、信息平安等级保护定级工作具体实施,二形成?定级报告?,一、XXX信息系统的描述；,二、XXX信息系统平安保护等级确定,1确定业务信息平安等级,1、业务信息描述；2、业务信息受到破坏时所侵害客体确实定；3、业务信息受到破坏后对侵害客体的侵害程度；4、业务信息平安等级确实定,2确定系统效劳平安等级,1、系统效劳描述；2、系统效劳受到破坏时所侵害客体确实定；3、系统效劳受到破坏后对侵害客体的侵害程度；4、系统效劳平安等级确实定,三、平安保护等级确实定,信息系统平安保护等级由业务信息平安等级和系统效劳平安等级较高者决定,二、信息平安等级保护定级工作具体实施,1,、确定定级对象,2、确定业务信息平安受到破坏时所侵害的客体,5、确定系统效劳平安受到破坏时所侵害的客体,3,、综合评定对客体的侵害程度,6,、综合评定对客体的侵害程度,依据表,1,依据表,2,业务信息安全被破坏时所侵害的客体,对相应客体的侵害程度,一般损害,严重损害,特别严重损害,公民、法人和其他组织的合法权益,第一级,第二级,第二级,社会秩序、公共利益,第二级,第三级,第四级,国家安全,第三级,第四级,第五级,系统服务安全被破坏时所侵害的客体,对相应客体的侵害程度,一般损害,严重损害,特别严重损害,公民、法人和其他组织的合法权益,第一级,第二级,第二级,社会秩序、公共利益,第二级,第三级,第四级,国家安全,第三级,第四级,第五级,7、系统效劳平安等级,4、业务信息平安等级,8、定级对象的平安保护等级,表,1,表,2,初步确定信息系统等级,三、信息平安等级保护定级工作流程,系统描述,责任单位,根本要素,业务情况,等级确定,业务信息平安等级确定,系统效劳平安等级确定,平安保护等级确定,1、描述,2、受到破坏时所侵害客体确实定,3、受到破坏时对侵害客体侵害程度确实定,4、平安等级确实定,定级报告,二、信息平安等级保护定级工作具体实施,信息系统等级评审,对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当邀请国家信息平安保护等级专家评审委员会评审；,对拟确定为第三级以上信息系统的，运营、使用单位或者主管部门应当邀请省信息平安保护等级专家评审组评审，出具评审意见。,对拟确定为第二级以上信息系统的，运营、使用单位或者主管部门应当邀请市信息平安保护等级专家评审组评审，出具评审意见,四、,系统定级的技术环节,定级对象确实定,业务信息和系统效劳确定,受侵害客体和侵害程度的分析,确定定级对象,定级对象识别与划分依据,平安责任单位,可以根据平安责任单位的不同划分成不同的信息系统。,业务类型和业务重要性,可能涉及不同客体的系统,可能对客体造成不同程度损害的系统,处理不同类型业务的系统。,物理位置,物理位置也可以作为信息系统划分的考虑因素之一。,确定业务信息和系统效劳,业务信息,业务系统处理的主要业务信息等,系统效劳,业务系统的效劳范围、效劳对象等,四、,系统定级的技术环节,受侵害的客体：,公民、法人和其他组织的合法权益；,社会秩序、公共利益；,国家平安。,对客体的侵害程度：,造成一般损害；,造成严重损害；,造成特别严重损害。,侵害客体和侵害程度,国家平安,表达了国家层面、与全局相关的国家政治平安、军事平安、经济平安、社会平安、科技平安等方面利益。,社会秩序和公共利益,包括政治、经济、生产、生活、科研、工作等各方面的正常秩序和社会公众生产、生活、教育、卫生等方面的利益。,合法权益,是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。,确定对客体的侵害程度,综合判定侵害程度,一般损害,工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的资产损失，有限的社会不良影响，对其他组织和个人造成较低损害。,严重损害,工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。,特别严重损害,工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害,北京奥运会信息系统的定级案例,奥运网络主要包括，“奥组委办公外网、“奥组委内部办公局域网、“奥运票务网票务网站和票务管理系统、“奥运官方网站、“奥运互联网接入等五个奥运网络和信息系统。确定奥组委办公外网、奥组委内部办公局域网、票务网站、票务管理系统和奥运官方网站为定级对象。,“奥组委办公内网承载奥组委内部的人事、财务等业务，仅在奥组委少数部门内应用，不传输秘密信息和敏感信息。其受到破坏后，仅会影响内部办公，会对社会秩序、公共利益造成损害，定为二级；,“奥组委办公外网通过唯一出口与互联网相连，承载奥组委内部的电子邮件、物流、短信平台、场馆管理等业务，在奥组委总部范围应用，其受到破坏后，会对社会秩