國家資訊保安等級保護制度的貫徹與實施

2021-06-17 02:49:52 字數 5258 閱讀 8591

國家資訊保安等級保護制度

的貫徹與實施

公安部公共資訊網路安全監察局

重要資訊系統安全監察處處長郭啟全

目錄一、我國在資訊保安保障工作中為什麼要實行等級保護制度

二、實行資訊保安等級保護制度能夠解決哪些主要問題

三、國家、有關部門和企業的責任和義務是什麼

四、近幾年來公安部牽頭,開展了哪些具體工作

五、等級保護工作的主要流程是什麼

六、重要資訊系統安全等級保護定級工作的主要步驟是什麼

七、定級工作完成後需要開展哪些工作

八、開展安全等級保護工作依據的主要標準有哪些

九、公安機關的職責任務是什麼

一、我國在資訊保安保障工作中為

什麼要實行等級保護制度

當前,我國基礎資訊網路和重要資訊系統安

全面臨的形勢十分嚴峻,既有外部威脅,又有自身脆弱性和薄弱環節。

一是針對基礎資訊網路和重要資訊系統的違法犯罪持續上公升。

二是基礎資訊網路和重要資訊系統安全隱患嚴重。三是我國的資訊保安保障工作基礎還很薄弱。

二、實行資訊保安等級保護制度能

夠解決哪些主要問題

資訊保安等級保護是國家資訊保安保障工作的基本制度、基本策略、基本方法。開展資訊保安等級保護工作是保護資訊化發展、維護國家資訊保安的根本保障,是資訊保安保障工作中國家意志的體現。

有效解決我國資訊保安面臨的威脅和存在的主要問題,充分體現「適度安全、保護重點」的目的,將有限的財力、物力、人力投入到重要資訊系統安全保護中,按標準建設安全保護措施,建立安全保護制度,落實安全責任,有效保護基礎資訊網路和關係****、經濟命脈、社會穩定的重要資訊系統的安全,有效提高我國資訊保安保障工作的整體水平。

三、國家、有關部門和企業在等級保護

工作中各自的責任和義務是什麼

1、國家層面

2、資訊保安監管部門(包括公安機關、保密部門、國家密碼工作部門)

3、資訊系統主管部門

4、資訊系統運營使用單位

5、安全服務機構

等級保護工作的職責分工

公安機關是等級保護工作的牽頭部門,承擔著資訊保安等級保護工作的監督、檢查、指導;

國家保密工作部門、國家密碼管理部門負責等級保護工作中有關保密工作和密碼工作的監督、檢查、指導;

國信辦及地方資訊化領導小組辦事機構負責等級保護工作部門間的協調。

其中,涉及國家秘密資訊系統的等級保護監督管理工作由國家保密工作部門負責;非涉及國家秘密資訊系統的等級保護監督管理工作由公安機關負責。

公安機關牽頭開展等級保護工作的法律政策依據2023年,《中華人民共和國計算機資訊系統安全保護條例》規定,「計算機資訊系統實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定」。

2023年2月18日人大12次會議通過並實施的《中華人民共和國警察法》第二章第六條第十二款規定,公安機關人民警察依法履行「監督管理計算機資訊系統的安全保護工作」。

2023年《國家資訊化領導小組關於加強資訊保安保障工作的意見》(中辦發[2003]27號)明確指出「實行資訊保安等級保護」。「要重點保護基礎資訊網路和關係****、經濟命脈、社會穩定等方面的重要資訊系統,抓緊建立資訊保安等級保護制度,制定資訊保安等級保護的管理辦法和技術指南」。

四、近幾年來公安部牽頭實施資訊保安等級保護制度,開展了哪些具體工作

一是制定了50多個國標和行標,初步形成了資訊保安等級保護標準體系

二是開展了等級保護基礎調查工作

三是開展了等級保護試點工作

四是出台了66號文、43號文、861號文等政策檔案五是召開「全國重要資訊系統安全等級保護定級工作電視**會議」

六是成立「國家資訊保安等級保護協調小組」

五、等級保護工作的主要流程包括哪些,開展等級保護工作的基本要求是什麼

主要流程包括六項內容:

一是自主定級與審批。

二是評審。

三是備案。

四是系統安全建設。

五是等級測評。

六是監督檢查。

開展等級保護工作的總體要求

各基礎資訊網路和重要資訊系統,按照「準確定級、嚴格審批、及時備案、認真整改、科學測評」的要求完成等級保護的定級、備案、整改、測評等工作。

公安機關和保密、密碼工作部門要及時開展監督檢查,嚴格審查資訊系統所定級別,嚴格檢查資訊系統開展備案、整改、測評等工作。

對故意將資訊系統安全級別定低,逃避公安、保密、密碼部門監管,造成資訊系統出現重大安全事故的,要追究單位和人員的責任。

定級是等級保護工作的首要環節,是開展資訊系統建設、整改、測評、備案、監督檢查等後續工作的重要基礎。

第一步,摸底調查,掌握資訊系統底數

第二步,確定定級物件

第三步,初步確定資訊系統等級

第四步,資訊系統等級評審

第五步,資訊系統等級的最終確定與審批第六步:備案。

第七步:備案審核。

第八步:及時總結並提交總結報告。

第一步,摸底調查,掌握資訊系統底數按照《定級工作通知》確定的定級範圍,各單位、各部門可以組織開展對所屬資訊系統進行摸底調查,摸清資訊系統底數,掌握資訊系統(包括資訊網路)的業務型別、應用或服務範圍、系統結構等基本情況,為下一步明確要求、落實責任奠定基礎。

第二步,確定定級物件

一是應用系統應按照不同業務類別單獨確定為定級物件,不以系統是否進行資料交換、是否獨享裝置為確定定級物件條件。起傳輸作用的基礎網路要作為單獨的定級物件。

二是確認負責定級的單位是否對所定級系統具有安全管理責任。

三是具有資訊系統的基本要素。

第三步,初步確定資訊系統等級

資訊系統的安全保護等級是資訊系統的客觀屬性,不以已採取或將採取什麼安全保護措施為依據,而是以資訊系統的重要性和資訊系統遭到破壞後對****、社會穩定、人民群眾合法權益的危害程度為依據,確定資訊系統的安全保護等級。既要防止個別單位片面追求絕對安全而定級過高,也要防止為了逃避監管定級偏低。

資訊網路的安全等級可以參照在其上執行的資訊系統的等級、網路的服務範圍和自身的安全需求確定適當的保護等級,不以在其上執行的資訊系統的最高等級或最低等級為標準。

第三步,初步確定資訊系統等級

跨省或者全國統一聯網執行的資訊系統,可以由主管部門統一確定安全保護等級。由各行業統一規劃、統一建設、統一安全保護策略的資訊系統,應由各部委統一確定乙個級別;由各部委統一規劃、分級建設、執行的資訊系統,應由部、省、地市分別確定系統等級,但各行業應對該類系統提出定級意見,避免出現同類系統定級出現較大偏差問題。

安全保護等級的劃分第五級第四級第******

第四級第**第二級

社會秩序、公共利益第二級第二級第一級

公民、法人和其他組織的合法權益特別嚴重損害嚴重損害一般損害

對相應客體的侵害程度

業務資訊保安被破壞時所侵害的客

體五級監管專門監督檢查

特別嚴重損害****

極端重要

系統第五級嚴重損害****

強制監督檢查特別嚴重損害社會秩序和公共利益

第四級損害****

監督檢查嚴重損害社會秩序和公共利益

重要系統第**損害

社會秩序和公共利益指導嚴重損害

合法權益第二級自主保護

損害合法權益一般系統第一級監管強度

侵害程度侵害客體物件等級

第四步,資訊系統等級評審

在資訊系統安全保護等級確定過程中,可以聘請專家進行諮詢評審,並出具定級評審意見。對擬確定為第四級以上資訊系統的,運營使用單位或者主管部門應當請國家資訊保安保護等級專家評審委員會評審,出具評審意見。

當專家意見與運營使用單位或者主管部門不一致時,以運營使用單位或者主管部門意見為準。

第四步,資訊系統等級評審

在資訊系統安全保護等級確定過程中,可以聘請專家進行諮詢評審,並出具定級評審意見。對擬確定為第四級以上資訊系統的,運營使用單位或者主管部門應當請國家資訊保安保護等級專家評審委員會評審,出具評審意見。

當專家意見與運營使用單位或者主管部門不一致時,以運營使用單位或者主管部門意見為準。

第五步,資訊系統等級的最終確定與審批資訊系統運營使用單位參考專家定級評審意見,最終確定資訊系統等級,形成《定級報告》。資訊系統運營使用單位有上級主管部門的,應當經上級主管部門對安全保護等級進行審核批准。主管部門一般是指行業的上級主管部門或監管部門。

如果是跨地域聯網運營使用的資訊系統,則必須由其上級主管部門審批,確保同類系統或分支系統在各地域分別定級的一致性。

第六步:備案。

第二級以上資訊系統,在安全保護等級確定後30日內,由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。隸屬於**的在京單位,其跨省或者全國統一聯網執行並由主管部門統一定級的資訊系統,由主管部門向公安部辦理備案手續。跨省或者全國統一聯網執行的資訊系統在各地執行、應用的分支系統,應當向當地設區的市級以上公安機關備案。

定級工作的結果是以備案完成為標誌。基礎資訊網路和重要資訊系統的定級、備案工作9月底前完成。

第七步:備案審核。

受理備案的公安機關要公布備案受理地點、備案****等。在受理備案時,應對提交的備案材料進行完整性審核和定級準確性審核。對符合等級保護要求的,應頒發資訊系統安全等級保護備案證明。

發現定級不准的,通知備案單位重新審核確定。

第八步:及時總結並提交總結報告。

各地區、各部門要結合本地區、本行業開展定級工作的實際,認真總結經驗和不足,提出改進和完善定級方法的意見和建議,及時總結定級工作經驗,形成定級工作總結報告,並於10月中旬報送公安部。

七、定級工作完成後需要開展

哪些工作

一是開展安全建設和整改。

二是開展等級測評。

三是開展自查。

八、開展安全等級保護工作依據

的主要標準有哪些

1、基礎標準-劃分準則(gb17859)

2、基線標準-《資訊系統安全等級保護基本要求》

3、輔助標準-定級指南、實施指南、測評準則

4、目標標準-

《資訊系統通用安全技術要求》(gb/t20271)

《網路基礎安全技術要求》(gb/t20270)

《作業系統安全技術要求》(gb/t20272)

《資料庫管理系統安全技術要求》(gb/t20273)

《終端計算機系統安全等級技術要求》(ga/t671)

《資訊系統安全管理要求》(gb/t20269)

《資訊系統安全工程管理要求》(gb/t20282)

5、產品標準-防火牆、入侵檢測、終端裝置隔離部件等

九、公安機關組織開展等級保護

中的職責任務是什麼

一是指導定級。

二是受理備案。

三是定期檢查。

1、監督、檢查、指導資訊系統運營使用單位和主管部門開展資訊保安等級保護工作;

2、監督、檢查資訊系統運營使用單位的安全保護管理制度和技術措施落實情況、定級和備案情況、安全整改、等級測評、產品使用、自查等情況。謝謝

醫院落實國家資訊保安等級保護制度的具體措施

一 資訊保安等級保護 資訊保安等級保護是對資訊和資訊載體按照重要性等級分級別進行保護的一種工作,在中國 美國等很多國家都存在的一種資訊保安領域的工作。在中國,資訊保安等級保護廣義上為涉及到該工作的標準 產品 系統 資訊等均依據等級保護思想的安全工作 狹義上稱為的一般指資訊系統安全等級保護,是指對 法...

三甲醫院實施國家資訊保安等級保護制度

國家資訊保安等級保護制度 一 醫療衛生行業的資訊化系統安全建設目標如下 實施國家資訊保安等級保護制度,實行資訊系統操作許可權分級管理,保障網路資訊保安,保護患者隱私。推動系統執行維護的規範化管理,落實突發事件響應機制,保證業務的連續性。二 醫療衛生行業的資訊化系統安全建設需求如下 需要加強資訊系統的...

資訊保安等級保護的職責分工

個人資料整理,僅供個人學習使用 公安機關負責資訊保安等級保護工作的監督 檢查 指導。國家保密工作部門負責等級保護工作中有關保密工作的監督 檢查 指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監督 檢查 指導。在資訊保安等級保護工作中,涉及其他職能部門管轄範圍的事項,由有關職能部門依照國家法律...