Download presentation
Presentation is loading. Please wait.
1
北京市教委各直属单位 信息安全等级保护工作培训
主讲:市公安局网监处信息安全等级保护办公室 高媛 2007年10月24日
2
培训提纲 信息安全等级保护工作概述 1 信息安全保护等级的划分 2 信息安全等级保护工作的流程 3 信息系统的定级工作 4
信息系统的备案工作 5
3
一、信息安全等级保护工作概述
4
信息安全等级保护工作的定位 信息安全等级保护是国家信息安全保障工作 的基本制度、基本策略、基本方法。开展信息安
信息安全等级保护是国家信息安全保障工作 的基本制度、基本策略、基本方法。开展信息安 全等级保护工作不仅是实现国家对重要信息系统 重点保护的重大措施,也是一项事关国家安全、 社会稳定和北京奥运会成功举办的政治任务。
5
信息安全等级保护工作法律法规标准依据 国家层面: 《中华人民共和国计算机信息系统安全保护条例》(1994年,国务院147号令)
《国家信息化领导小组关于加强信息安全保障工作的意见》(2003年,中办27号文) 《关于信息安全等级保护工作的实施意见》(2004年9月,公通字[2004]66号文件) 《信息安全等级保护管理办法》(2007年6月,公通字[2007]43号文件
6
信息安全等级保护工作法律法规标准依据 北京市: 《北京市公共服务网络与信息系统安全管理规定》(2005年11月,市政府第163号令)
《关于开展信息安全等级保护工作的通知》 (2006年3月) 《北京市开展信息安全等级保护工作的实施方案》(2007年8月) 《北京市信息化促进条例》(2007年9月通过,12月1日施行)
7
二、信息安全保护等级的划分
8
信息系统安全保护等级的决定要素 信息系统的安全保护等级由两个要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
受侵害的客体 : 一是公民、法人和其他组织的合法权益;二是社会秩序、 公共利益;三是国家安全。 对客体的侵害程度: 一是造成损害;二是造成严重损害;三是造成特别 严重损害。
9
受侵害的客体的具体事项体现 侵害国家安全的事项包括以下方面:影响国家政权稳固和国防实力;影响国家统一、
民族团结和社会安定;影响国家对外活动中的政 治、经济利益等 侵害社会秩序的事项包括以下方面:影响国家机关社会管理和公共服务的工作秩序; 影响各种类型的经济活动秩序等; 影响公共利益的事项包括以下方面:影响社会成员使用公共设施;影响社会成员获取 公开信息资源等; 影响公民、法人和其他组织的合法权益是指:由法律确认的并受法律保护的公民、法 人和其他组织所享有的一定的社会权利和利益。
10
如何确定对客体的侵害程度 侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同。在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准: 如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准; 如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
11
对客体的三种危害程度 损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的
执行,出现较轻的法律问题,较低的资产损失,有限的社会不良 影响,对其他组织和个人造成较低损害。 严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能 执行,出现较严重的法律问题,较高的资产损失,较大范围的社 会不良影响,对其他组织和个人造成较严重损害。 特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重 下降且或功能无法执行,出现极其严重的法律问题,极高的资产 损失,大范围的社会不良影响,对其他组织和个人造成非常严重 损害。
12
五个等级的划分 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
13
五级保护和监管 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。 第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。 第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。 第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
14
信息系统等级对照表
15
三、信息系统安全保护工作流程
16
1、系统定级和审批 2、备案 3、评估与整改建设 4、等级测评 5、监督检查
17
3.信息系统安全评估与整改建设 (一)信息系统安全建设整改(《管理办法》第十一、十二、十三条)
第十一条:信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。 第十二条:在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB )、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术 信息系统通用安全技术要求》(GB/T )、《信息安全技术 网络基础安全技术要求》(GB/T )、《信息安全技术 操作系统安全技术要求》(GB/T )、《信息安全技术 数据库管理系统安全技术要求》(GB/T )、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T )等技术标准同步建设符合该等级要求的信息安全设施。 第十三条:运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T )、《信息安全技术 信息系统安全工程管理要求》(GB/T )、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。
18
3.信息系统安全评估与整改建设 (二)有关技术标准和管理标准的简要说明 《计算机信息系统安全保护等级划分准则》强制性基础性标准
《信息系统安全等级保护实施指南》过程控制 《信息系统安全等级保护定级指南》管理规范 《信息系统安全等级保护基本要求》具体要求 《安全技术服务器安全技术要求》关键设备
19
3.信息系统安全评估与整改建设 (三)信息安全产品分等级使用管理 (《管理办法》第二十一条)
第三级以上信息系统应当选择使用符合以下条件的信息安全产品: (一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格; (二)产品的核心技术、关键部件具有我国自主知识产权; (三)产品研制、生产单位及其主要业务、技术人员无犯罪记录; (四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能; (五)对国家安全、社会秩序、公共利益不构成危害; (六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。
20
4.信息系统安全等级测评 第三级(含)以上信息系统运营使用单位信息系统整改建设 完成后,应当按照《管理办法》要求选择符合管理规范和相
关部门文件要求的测评机构,依据技术标准对信息系统安全 等级状况开展技术测评,并出具测评报告。完成后上报等级 保护工作主管部门。(《管理办法》第十四条)
21
5.监督检查 在各阶段工作中,相关职能部门和主管部门要加大对信息安全等级保护工作的监督检查力度,通过检查督促其落实等级保护各项安全管理制度和技术保护措施。在检查过程中,发现定级不准确、未按要求开展系统整改、未及时申请测评备案等问题要责令其限期整改,发现各类违法 违规情况,要依法严肃处理。
22
法律责任 信息系统的运营、使用单位,尤其是重要信息系统和涉及国家秘密的信息系统的主管部门和运营、使用单位违反信息安全等级保护相关法律法规和政策规定的,造成严重损害的,由相关部门依照有关法律、法规予以处理。
23
具体罚则 《管理办法》中第四十条 (一)未按本办法规定备案、审批的; (二)未按本办法规定落实安全管理制度、措施的;
(三)未按本办法规定开展系统安全状况检查的; (四)未按本办法规定开展系统安全技术测评的; (五)接到整改通知后,拒不整改的; (六)未按本办法规定选择使用信息安全产品和测评机构的; (七)未按本办法规定如实提供有关文件和证明材料的; (八)违反保密管理规定的; (九)违反密码管理规定的; (十)违反本办法其他规定的。
24
具体罚则 《信息化促进条例》第四十五条: 违反本条例规定,有下列行为之一的,由有关部门依照《中华人民共和国政
府信息公开条例》、《中华人民共和国计算机信息系统安全保护条例》等有关规 定责令改正,给予警告或者责令停机整顿,并对直接负责的主管人员和其他直接 责任人员依法处理: (一)违反第十九条规定,未按照国家和本市的规定公开政务信息的; (二)违反第三十二条规定,网络与信息系统的建设单位和运行维护单位未 依法进行安全保护等级备案、审批的; (三)违反第三十三条规定,未进行网络与信息系统安全建设或者改建工作, 或者未进行网络与信息系统安全等级技术测评的。
25
处罚方式 构成犯罪的,依法追究法律责任 警告与 通报批评 整改 停机 整顿 罚则 处分 依法 处理 信息系统 运营使用 单位 罚款 限期
行政 处分 责任人 依法 处理
26
四、信息系统的定级工作
27
信息系统安全保护等级责任划分 “自主定级、自主保护”与国家监管
在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。运营使用单位和主管部门是信息系统安全的第一责任人,对所属信息系统安全负有直接责任;公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。
28
定级工作的指导思想 信息系统的安全保护等级是信息系统的客观属性,不以已采取或将
采取什么安全保护措施为依据,也不以风险评估为依据,而是以信息系 统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合 法权益的危害程度为依据,确定信息系统的安全等级。
29
定级工作的主要步骤 定级是等级保护工作的首要环节,是开展备案、信息系统建设、整改、测评、监督检查等后续工作的重要基础。
第一步,摸底调查,掌握信息系统底数 第二步,确定定级对象 第三步,初步确定信息系统等级 第四步,信息系统等级评审 第五步,信息系统等级的最终确定与审批
30
第二步,确定定级对象 作为定级对象的信息系统应具有如下基本特征: (一)具有唯一确定的安全责任单位
作为定级对象的信息系统应能够唯一地确定其安全责任单位。 如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位; 如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
31
第二步,确定定级对象 (二)具有信息系统的基本要素
作为定级对象的信息系统应该是配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。 (三)承载相对独立的业务应用 定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有一定的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。 特别注意的是:起传输作用的基础网络要单独定级,等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级,不以在其上运行的信息系统的最高等级或最低等级为标准。 只有同时满足上述三个条件,才可由本单位对其进行定级。
32
第三步,初步确定信息系统等级 信息系统的安全保护等级以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全保护等级。既要防止个别单位片面追求绝对安全而定级过高,也要防止为了逃避监管定级偏低。
33
确定信息系统安全等级的依据 依据《管理办法》直接确定信息系统等级 依据《信息安全等级保护定级指南》要求进行信息系统等级确定
34
等级决定要素与初定等级的关系 受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级
第二级 社会秩序、公共利益 第三级 第四级 国家安全 第五级
35
业务信息安全和系统服务安全 信息安全是指确保信息系统内信息的保密性、完整性和可用性等;
信息系统与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中: 信息安全是指确保信息系统内信息的保密性、完整性和可用性等; 系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标;
36
业务信息安全和系统服务安全 由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。 信息安全和系统服务安全受到破坏后,可能产生以下危害后果: 影响行使工作职能;导致业务能力下降;引起法律纠纷;导致财产损失;造成社会不良影响;对其他组织和个人造成损失;其他影响。
37
每个信息系统的定级流程 1、确定定级对象 2、确定业务信息安全受到破坏时所侵害的客体 5、确定系统服务安全受到破坏时所侵害的客体
3、综合评定对客体的侵害程度 2、确定业务信息安全受到破坏时所侵害的客体 6、综合评定对客体的侵害程度 5、确定系统服务安全受到破坏时所侵害的客体 7、系统服务安全等级 4、业务信息安全等级 8、定级对象的安全保护等级 依据表1 依据表2 1、确定定级对象
38
确定信息系统的安全保护等级 1、确定业务信息安全等级 业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害
特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 社会秩序、公共利益 第三级 第四级 国家安全 第五级
39
确定信息系统的安全保护等级 2、确定系统服务安全等级 系统服务安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害
特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 社会秩序、公共利益 第三级 第四级 国家安全 第五级 3、信息系统安全保护等级由确定系统服务安全等级由上述两个等级的较高者决定。 (取高的原则)
40
系统等级的变更 在信息系统的运行过程中,安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更,尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化,可能影响到系统的安全保护等级时,应根据以上定级方法重新定级。
41
第四步,信息系统等级评审 在信息系统安全保护等级确定过程中,可以聘请专家进行咨询评审,并出具定级评审意见。对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审,出具评审意见。 当专家意见与运营使用单位或者主管部门不一致时,以运营使用单位或者主管部门意见为准。
42
第五步,等级的最终确定与审批 信息系统运营使用单位参考专家定级评审意见,最终确定信息系统等级,形成《定级报告》。信息系统运营使用单位有上级主管部门的,应当经上级主管部门对安全保护等级进行审核批准。主管部门一般是指行业的上级主管部门或监管部门。 如果是跨地域联网运营使用的信息系统,则必须由其上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。
43
定级报告的编制 (一)定级报告的定义 定级报告是为详细了解和掌握定级过程情况由信息系统运营使用
单位负责填写的文档。定级报告要在信息系统备案时一并提交。 信息系统运营使用单位在起草定级报告时可以请技术支持单位 协助。
44
定级报告的编制 (二)定级报告的构成和起草 1、信息系统描述 简述确定该信息系统为定级对象的理由。包括:该信息系统所承载业务的
主管单位和部门,该信息系统具有信息系统的基本要素(有主机、网络及相关配 套设施构成的人机系统),该信息系统承载着独立或单一的业务应用,业务应用 主要包括哪些,各包含哪些功能等。 2、信息系统安全保护等级的确定 (1)业务信息安全保护等级的确定。 第一步:简要描述信息系统所处理的主要业务信息,包括各项业务的主要数据 项有哪些等。 第二步:确定业务信息受到破坏后所侵害的客体 第三步:确定对客体的侵害程度 第四步:查表确定业务信息安全等级
45
定级报告的编制 (二)定级报告的构成和起草 2、信息系统安全保护等级的确定 (2)系统服务安全保护等级的确定
第一步:简要描述系统的服务范围、服务对象、服务要求等等。 第二步:确定系统服务受到破坏后所侵害的客体 第三步:确定对客体的侵害程度 第四步:查表确定系统服务安全等级 (3)信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高 者决定。
46
定级报告演示
47
五、信息系统的备案工作
48
《管理办法》中对备案的规定 《管理办法》第十四条中规定:
已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
49
备案需要提交的文件材料 《信息系统安全等级保护定级报告》(纸制盖章和电子版) 《信息系统安全等级保护备案表 》(纸制盖章和电子版)
保护等级为二级的信息系统运营、使用单位到属地、保卫关系所属公安机关备案需要提交以下材料: 《信息系统安全等级保护定级报告》(纸制盖章和电子版) 《信息系统安全等级保护备案表 》(纸制盖章和电子版)
50
备案需要提交的文件材料 保护等级为三级(含)以上的信息系统运营、使用单位到属地、保卫关系所属公安机关 备案需要提交以下材料:
《信息系统安全等级保护定级报告》(纸制盖章和电子版) 《信息系统安全等级保护备案表 》(纸制盖章和电子版) 系统拓扑结构及说明 系统安全组织机构和管理制度 系统安全保护设施设计实施方案或者改建实施方案 系统使用的信息安全产品清单及其认证、销售许可证明 测评后符合系统安全保护等级的技术检测评估报告 信息系统安全保护等级专家评审意见 主管部门审核批准信息系统安全保护等级的意见
51
《信息系统安全等级保护基本要求》中对: 系统安全保护设施设计实施方案或者改建实施方案 系统安全组织机构和管理制度 有详细的规定,同时考虑到运营单位对系统的设计、建设和整改时间花费较大,所以统一要求: 三级(含)以上信息系统除《备案表》、定级报告及其电子版数据外,其它的备案材料在系统完成整改和测评后30日内提交
52
备案的审核 依据受理备案规定,受理备案的公安机关需对接收的备案材料进行审核, 具体审核内容是: 备案符合性审查。
是否按照备案要求填写了相应的表格和文档并提供相应的电子版文档。 备案表完整性审查。 备案表中表一、表二、表三所列内容是否填写完整,表四中所要 求的附件内容是否齐全。 定级准确性审查。 提交备案的各个信息系统安全保护等级定级是否准确。
53
备案表中有关数据项的说明 备案表的构成 备案表由四张表单构成: 表一是单位信息,每个单位填写一张; 表二是信息系统基本信息;
表三是信息系统定级信息;(表二、表三每个信息系统填写一张) 表四为第三级以上信息系统需要在系统整改、测评等工作完成后再行提交的信息。 表二、三、四可以复印使用,使用时要注意编号。如一个单位有6个信息系统,则只需 要填写一张表一,分别填写六个表二、三、四。 备案表的保存方式 备案表一式二份,由备案单位和受理备案的公安机关分别盖章后,一份由备案单 位保存,一份交受理备案公安机关存档。
54
备案表中有关数据项的说明 二、填表范围:本表由第二级(含)以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;
如某单位共有6个信息系统进行备案,则填写过程中要遵循表二(1/6)、表二(2/6)……表二(6/6)的编号和命名规则。如果6个信息系统中有3个是第三级以上信息系统,则表四的编号要和同一信息系统的表二、三的编号保持一致。如,单位共有6个信息系统,其中有一个第三级以上信息系统A,则该单位需要填写1张表一,6张表二和表三,1张表四。假设A系统表二的编号为表二(2/6),则相对应的表四的编号也应当是表四(2/6)。
55
备案表中有关数据项的说明 六、备案单位:本表封面中的“备案单位”填写运营使用信息系统的法人单位全称。
七、受理备案单位:本表封面中的“受理备案单位”填写受理备案民警所在部门的名称。此项由受理备案的公安机关负责填写。 八、行政区划代码:表一中04项“行政区划代码”中6位代码是指单位所在地县(区、市、旗)的代码,该代码需与《中华人民共和国行政区划代码》(GB )一致。以北京市举例,标准6位地址码的构成如下: 北京市, 东城区 ……。
56
备案表中有关数据项的说明 九、单位负责人:表一中的“单位负责人”是指负责本单位信息安全的领导。
十、责任部门:表一中的“责任部门”是指单位内负责信息系统安全的部门。如果单位内的信息系统分别由不同的责任部门管理,则可以分别填写表一。 责任部门联系人:表一中的“责任部门联系人”是指本单位开展信息安全等级保护工作的联系人。如果责任部门联系人有多个,则可以分别填写表一。
57
备案表中有关数据项的说明 十一、隶属关系:表一中第08项“隶属关系”是指本单位隶属于哪一级行政管理单位,按照国家标准《单位隶属关系代码》(GB/T )分为:中央、省、市(地区)、县、街道、镇、乡、社区(居委会)、村民委员会和其他。 (1)各级政府(中央、省、地、县、乡、镇)、党委、人大、政协等机关的隶属关系填写本级。如:省政府的隶属关系填“省”。 (2)中央:包括人大常委会、政协常委会、中共中央、国务院直属机构和办事机构、各部委及其直属机构等。中央与地方双重领导的单位,以领导为主的一方来划分中央属或地方属。隶属于“中央”的单位所属的集体企业,隶属关系选“其他”,并在其后填写所隶属的单位名称;省属以下的企业(单位)所属的企业(单位),其隶属关系与企业(单位)本身的隶属关系一致。 (3)省:包括自治区、直辖市直属的行政管理单位; (4)地区:包括自治州、盟、省辖市和直辖区直属的行政管理单位; (5)县:包括地、州、盟辖市、省辖市辖区、自治县、自治旗、县级市直属的行政管理单位; (6)街道:指经国务院批准设置的建制市的市区街道办事处等管理单位; (7)镇:指经省、自治区、直辖市人民政府批准设置的建制镇政府所辖行政管理单位; (8)乡:指乡一级政府及直属行政管理单位; (9)其他:不隶属上述各级的企业(单位)选本栏。例如:无主管部门的单位、本省(自治区、直辖市)在外省(自治区、直辖市)的办事机构所开办的第三产业等单位等。
58
备案表中有关数据项的说明 单位类型:党委机关是指隶属于各级中国共产党委员会及其所属专门部门。政府机关是指隶属于各级人民政府的部门或单位。
行业类别:该项为单选项。以单位主要从事的业务为依据进行选择,如公安院校,则应选择教育而非公安。 信息系统总数:是指本单位内所拥有的信息系统个数,包括第一级信息系统。 系统名称:表二中“系统名称”是指信息系统进行立项建设或有明文规定的全称。
59
备案表中有关数据项的说明 十二、系统编号:由备案单位给出的本单位备案信息系统的编号。备案单位所属信息系统编号不能重复;
系统承载业务情况:(1)业务类型:该项为单选项。是指信息系统所承载的主要业务。其中1生产作业是指:主要为完成本单位生产直接提供服务的。2指挥调度是指:主要用于本单位内进行指挥、调度等工作的。3管理控制是指:主要进行管理工作的。4内部办公是指:主要为单位内部办公提供服务的。5公众服务是指:主要为社会公众提供服务的。(2)业务描述:是指系统所承载业务的具体描述,主要包括系统所承载的业务信息包括哪些,信息系统的主要功能等。 系统服务情况:(1)服务范围:该项为单选项。如果信息系统跨全国的所有省,则选择10全国,如果没有跨全国所有省,则选择11跨省,同时填写具体的跨省数。跨地(市、区)类似。(2)服务对象:该项为单选项。单位内部人员:是指仅为本单位内部人员服务。社会公众人员:是指为社会大众提供服务。两者均包括:是指既包括单位内部人员也包括社会公众人员。如果仅为某些特定人群服务,请选择其它,并填写具体服务的对象名称。
60
备案表中有关数据项的说明 十三、系统网络平台:(1)覆盖范围:该项为单选项。1局域网:信息系统所依托的网络结构是在某一区域内由多台计算机互联成的计算机组。“某一区域”指的是同一办公室、同一建筑物、同一公司和同一学校等;2城域网:是指该信息系统所依托的网络是一种大型的局域网,通常使用与局域网相似的技术。它可以覆盖一组邻近的公司办公室和一个城市,既可能是私有的也可能是公用的。比较常见的一个城市的政府公务网、教育城域网等;3广域网:是指信息系统所依托的网络是一种跨越大的、地域性的计算机网络的集合。通常跨越省、市,甚至一个国家;如上述三个选项均不是,请选择其他,并在其后的横线中填写具体的网络覆盖范围类型名称。(2)网络性质:1业务专网:是指信息系统所依托的网络是单位为开展某项业务专门架设或租用专门线路构成的;2互联网:是指承载信息系统的网络是完全依托互联网(Internet)的。
61
备案表中有关数据项的说明 系统互联情况:该项为多选项。1与其它行业系统连接:是指该信息系统与本行业以外的其他行业的信息系统进行连接或共享数据。2与本行业其他单位系统连接:是指该信息系统与行业内其他单位的信息系统进行连接或共享数据。3与本单位其他系统连接:是指该信息系统与本单位内的其他信息系统进行连接。如果上述选项均不是,则选择其它,并在其后的横线中注明具体的互联情况。
62
备案表中有关数据项的说明 十四、关键产品使用情况:(1)产品类型:是指信息系统(包括网络)中使用的信息技术产品的类型,其中安全专用产品:是指根据《计算机信息系统安全专用产品检测和销售许可证管理办法》规定,用于保护计算机信息系统安全的专用硬件和软件产品,主要包括:扫描类产品(包括入侵检测、防御等产品),防雷产品,防火墙,数据完整类(包括身份认证、访问控制、签章、指纹识别等),网络安全(包括网吧安全管理、审计产品等),病毒产品等。网络产品:是指除上述安全产品外的其它网络产品,主管包括:路由器、网关、网闸等。操作系统:是指管理计算机系统全部硬件、软件资源及数据资源,控制程序运行,改善人机界面,为其它应用软件提供支持等的,使计算机系统所有资源最大限度地发挥作用,为用户提供方便的、有效的、友善的服务界面的专用软件,常见的操作系统有Windows系列,Linux系列,Unix系列等;数据库:是指帮助用户依照某种数据模型组织起来并存放数据的软件,这里主要指数据库软件。常见的数据库软件有Oracle、Sybase、DB2、SQL server 、Access、MySQL、BD2等;服务器:又叫主机。主要是为信息系统集中提供各种类型服务的主机。
63
备案表中有关数据项的说明 (2)数量:软件产品的数量按购买的套数算,不以实际安装的台数计算。硬件产品的数量以购买的台(件)数计算,如果没有则数量填0。(3)使用国产品率:是指信息系统中使用国产的某类信息技术产品数量占使用该类信息技术产品总数量的比例。全部使用,是指该信息系统中使用的该类信息技术产品全都是国产品(品牌、型号等可以不同)。全部未使用,是指该信息系统中使用的该类信息技术产品全都不是国产品。部分使用率,是指当某类产品部分使用国产品时,国产品的使用率。以某类操作系统为例,如某信息系统的主机(服务器)上共使用了3套操作系统,其中微软操作系统2套,红旗操作系统1套,则该信息系统中使用操作系统的国产品率就是33%(1/3),再如某信息系统中共使用了20个路由器,其中10个国内产品,10个国外产品,此外还使用了20个网关,其中15个国内产品,5个国外产品,则该信息系统中使用网络产品的国产品率就是62.5%(10+15/20+20)。 国产品是指该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权。
64
备案表中有关数据项的说明 十五、系统采用服务情况:是指信息系统在规划、设计、建设、运维、终止等生命周期的各个阶段采用的由供应商、组织机构或人员所执行的一系列的安全过程或任务。(1)服务类型。等级测评:是指依据等级保护测评标准对相应等级信息系统开展的标准符合性测评,测评完成后出具符合相应等级要求(符合《基本要求》)的测评报告,报公安机关备案;风险评估:是指信息安全风险评估;灾难恢复:是指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态,并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态的活动和流程;应急响应:是指对影响计算机系统和网络安全的不当行为(事件)进行标识、记录、分类和处理,直到受影响的服务恢复正常运行的过程;系统集成:是指系统集成商使用硬件和软件资源来满足用户的特定需求的过程;安全咨询:是指为开展信息系统安全工作,由信息系统运营使用或主管部门发起的咨询工作;安全培训:是指为开展安全工作对相应人员进行的培训;如果在上述服务外还采用了其他服务,可以选其它,并在其后的横线中标明具体的内容。
65
备案表中有关数据项的说明 (2)服务责任方类型:是指提供服务的服务单位是属于本行业的,还是属于国内其他行业(单位),还是国外服务商。国内服务商是指服务机构在我国境内注册成立,由中国公民、法人或国家投资的企事业单位。 等级测评单位名称:是指开展等级测评工作的测评单位的全称。 何时投入运行使用:是指信息系统正式投入运行使用的时间。试运行时间不算在内。 系统是否是分系统:分系统是指大系统分支应用的信息系统或完成大系统部分功能的信息系统。 上级系统名称:如果该信息系统是分系统,则需要填写该项。上级系统是指分系统所隶属或归属的信息系统。
66
备案表中有关数据项的说明 十六、确定业务信息安全保护等级、确定系统服务安全保护等级、信息系统安全保护等级:是指根据《定级指南》确定业务和系统服务等级后,信息系统最终的安全保护等级由业务信息安全等级和系统服务安全等级两个较高者确定。 专家评审情况:是指请专家对信息系统定级情况进行评审的情况。其中第四级以上信息系统须由国家信息安全保护等级专家评审委进行评审。 主管部门:是指本单位信息系统所承载业务的上级主管部门。只有该类主管部门对信息系统定级的准确与否具有发言权。如果业务主管部门不明确,也可以将本单位的上级行政主管部门作为其主管部门。如果业务主管部门和行政主管部门均不明确,则可以不填。一般而言,部委的主管部门就是其自身,省厅的主管部门也是其自身。
67
备案表中有关数据项的说明 系统定级报告:是指依据《定级报告模版》编写的定级报告。所有信息系统均应该填写。
系统拓扑结构及说明:是指信息系统中的服务器、工作站的网络配置和相互间的连接方式图及其说明。 系统安全组织机构及管理制度:是指根据《基本要求》进行系统整改后建立的信息安全组织机构及管理制度。 系统安全保护设施设计实施方案或改建实施方案:是指根据信息系统所定安全保护等级与《基本要求》对相应等级的要求,制定的系统设计实施方案(新建系统)或改建实施方案(已有系统)。
68
备案表中有关数据项的说明 系统使用的安全产品清单及认证、销售许可证明:是指该信息系统具体使用的信息安全产品名称、型号、数量、购置日期、生产单位、销售单位、是否取得计算机安全专用产品销售许可证、销售许可证号、在同类型(功能)产品中该产品的使用率等信息。 系统等级测评报告:是指由符合条件的等级测评单位根据信息系统确定的安全保护等级,依据《基本要求》、《测评准则》等标准对信息系统开展测评后出具的报告,提交公安机关备案的测评报告必须是测评合格的报告。 十七、上级主管部门审批意见:是指上级主管部门对信息系统定级情况的审批意见。
69
教育系统单位的主要工作 (一)开展培训,组织相关人员学习工作精神和要求 (二)对单位内信息系统开展全面的摸底调查
(三)对所有系统初步进行定级;定级有问题可组织专家咨询和评审 (四)上报主管部门审批等级 (五)编写《定级报告》,下载《备案表》填写备案信息,保存电子版数据并打印纸制文件盖章(一式2份) (六)联系市公安局文化单位保卫处网监处进行备案 (七)接受备案审核 (八)获准备案或进行备案整改,重复(三—八)
70
宣传网站 了解工作动态 下载文件、标准和备案材料等
71
最后预祝 工作顺利! 谢谢!!!
Similar presentations