单位信息安全等级保护课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,ppt课件,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单位名称,我们毕业啦,其实是答辩的标题地方,信息安全等级保护工作汇报,2016-01-18,1,ppt课件,单位名称我们毕业啦信息安全等级保护工作汇报2016-01-1,当前，我国信息化发展正进入全面深化的新阶段。,新型信息技术发展应用，给我国网络与信息安全保障工作提出了新任务。,前言,2,ppt课件,当前，我国信息化发展正进入全面深化的新阶段。前言2ppt,法律法规：,信息安全等级保护管理办法,（公通字,2007,43,号）,中华人民共和国计算机信息系统安全保护条例,广东省计算机信息系统安全保护条例,最高人民法院、最高人民检察院,2015,年,10,月,30,日联合发布,关于执行,中华人民共和国刑法,确定罪名的补充规定,(,六,),对适用刑法的部分罪名进行了补充或修改，其中,增加了拒不履行信息网络安全管理义务罪,、非法利用信息网络罪、帮助信息网络犯罪活动罪。,3,ppt课件,法律法规：3ppt课件,一、等级保护背景,二、等级保护概念,三、等保评定内容,四、推进等保工作的一些探讨,五、本单位的问题和建议,目录,4,ppt课件,一、等级保护背景目录4ppt课件,一、等级保护背景,5,ppt课件,一、等级保护背景5ppt课件,等保背景,中央网信办,2016,年第,1,期网络安全信息与动态周报,(12,月,28,日,-01,月,03,日,),6,ppt课件,等保背景中央网信办 www.cac.go,等保背景,当前面临的安全威胁：,独立黑客：黑客攻击越来越频繁，影响企事业正常的业务运作。,内部员工：,1,、信息安全意识薄弱的员工误用、滥用等；,2,、管理员权限过大，如：系统管理员越权访问数据；,3,、不稳定、情绪不满的员工。如：员工离职带走企业秘密。,竞争对手：法制环境不健全，行业不正当竞争（如：窃取机密）。,国外政府或机构：法制环境不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）。,7,ppt课件,等保背景当前面临的安全威胁：7ppt课件,等保背景,2014,年,8,月,1,日，浙江温州有线数字电视被攻击，电视屏幕叠加反动字幕和图片，,50,万用户、,80,万机顶盒受影响。,8,ppt课件,等保背景2014年8月1日，浙江温州有线数字电视被攻击，电视,等保背景,9,ppt课件,等保背景9ppt课件,等保背景,重要网站和信息系统被植入木马后门,10,ppt课件,等保背景重要网站和信息系统被植入木马后门10ppt课件,等保背景,网络病毒和网络攻击已形成一个黑色产业链，侵害政府公信力、社会公共安全、公民个人利益和隐私。,破坏数据、应用、服务、硬件；,盗取数据、资金；,对外传播危害信息，对内传播木马扩大危害范围；,利用被控制的电脑从事犯罪活动。,11,ppt课件,等保背景网络病毒和网络攻击已形成一个黑色产业链，侵害政府,等保背景,一个巴掌拍不响！,外因是条件，内因才是根本。,全省,3523,个重点网站安全技术检测结果：,存在安全漏洞的网站,2621,个，占被检网站数量,74.4%,；其中高危网站,1633,个，占检测网站的,46.35%,；,发现安全漏洞数量,93760,个，其中高危漏洞,25578,个。,平均,1,个网站有,26,个漏洞，,7,个高危漏洞。,本行业的漏洞，本单位网站漏洞：详见粤等保办,201413,号,2014,年上半年我省重点网站安全检测情况通报,12,ppt课件,等保背景一个巴掌拍不响！全省3523个重点网站安全技术检,等保背景,安全意识薄弱,人、财、物等保障不到位；,重建设、重应用、轻安全、轻管理；,系统建设与安全建设不同步，有的废弃后仍未关停，有的服务器长期未打补丁，有的虽然配备安全设备但配置不科学。,13,ppt课件,等保背景安全意识薄弱人、财、物等保障不到位；13ppt课,等保背景,14,ppt课件,等保背景14ppt课件,等保背景,信息安全责任不清,未成立领导机构、未明确责任、缺乏追责制度等。,缺乏长远信息安全规划,安全策略不当、安全措施不合理、没有数据备份和恢复等。,监测预警和应急处理能力欠缺,缺乏人员、技术、系统和预案、演练，各单位发现问题、处理问题能力有待提高。,15,ppt课件,等保背景信息安全责任不清15ppt课件,二、等级保护概念,16,ppt课件,二、等级保护概念16ppt课件,等保概念,什么是信息安全等级保护工作？,概念：,信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。,信息安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。,17,ppt课件,等保概念什么是信息安全等级保护工作？信息安全等级保护是指,等保概念,什么是信息安全等级保护工作？,意义：,信息安全等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法；是当今发达国家的通行做法，也是我国多年来信息安全工作经验的总结。,开展信息安全等级保护工作：有利于同步建设；有利于指导和服务；有利于保障重点；有利于明确责任；有利于企事业单位保护商业秘密和知识产权。,18,ppt课件,等保概念什么是信息安全等级保护工作？信息安全等级保护制度是国,等保概念,实施等级保护工作的基本原则：,自主保护原则,：信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。,重点保护原则,：根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。,同步建设原则,：信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。,动态调整原则,：要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。,19,ppt课件,等保概念实施等级保护工作的基本原则：自主保护原则：信息系统运,等保概念,信息系统的安全保护等级分为以下五级：,第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；,第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；,第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；,第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；,第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。,20,ppt课件,等保概念20ppt课件,等保概念,信息安全等级保护工作,定级,备案,检查,等级测评,安全建设整改,关于开展全国重要信息系统安全等级保护定级工作的通知,（公通字,2007861,号）,信息安全等级保护备案实施细则,（公信安,20071360,号）,关于开展信息安全等级保护安全建设整改工作的指导意见,（公信安,20091429,号）,关于加强国家电子政务工程建设项目信息安全风险评估工作的通知,（发改高技,2008 2071,号）,关于推动信息安全等级保护测评 体系建设和开展等级测评工作的通知,（公信安,2010303,号）,公安机关信息安全等级保护检查工作规范（试行）,（公信安,2008736,号）,信息系统安全等级测评报告模版（试行）,（公信安,20091487,号）,信息安全等级保护管理办法,（公通字,200743,号）,关于信息安全等级保护工作的实施意见,（公通字,200466,号）,中华人民共和国计算机信息系统安全保护条例,（国务院,147,号令）,国家信息化领导小组关于加强信息安全保障工作的意见,（中办发,200327,号）,21,ppt课件,等保概念信息安全等级保护工作定级备案检查等级测评安全建设整改,等保概念,等级保护实施过程中涉及的角色和职责：,22,ppt课件,等保概念等级保护实施过程中涉及的角色和职责：22ppt课件,等保概念,等级保护实施的基本流程：,23,ppt课件,等保概念等级保护实施的基本流程：23ppt课件,三、等保评定内容,24,ppt课件,三、等保评定内容24ppt课件,评定内容,等级测评内容：,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,25,ppt课件,评定内容等级测评内容：物理安全技术要求管理要求基本要求网络安,评定内容,等级测评内容：,物理层面构成组件包括信息系统工作的设施环境以及构成信息系统的硬件设备和介质等。,26,ppt课件,评定内容等级测评内容：物理层面构成组件包括信息系统工作的设,评定内容,物理安全解读,27,ppt课件,评定内容物理安全解读27ppt课件,评定内容,物理安全解读,2,28,ppt课件,评定内容物理安全解读228ppt课件,评定内容,等级测评内容：,结构安全和网段划分,网络安全,(,三级,),网络访问控制,网络安全审计,边界完整性检查,网络入侵检测,恶意代码防护,网络设备防护,29,ppt课件,评定内容等级测评内容：结构安全和网段划分网络安全(三级)网络,评定内容,网络安全解读,30,ppt课件,评定内容网络安全解读30ppt课件,评定内容,网络安全解读,2,31,ppt课件,评定内容网络安全解读231ppt课件,评定内容,等级测评内容：,身份鉴别,主机系统安全,(,三级,),访问控制,安全审计,剩余信息保护,入侵防范,恶意代码防范,资源控制,32,ppt课件,评定内容等级测评内容：身份鉴别主机系统安全(三级)访问控制安,评定内容,主机安全解读,33,ppt课件,评定内容主机安全解读33ppt课件,评定内容,主机安全解读,2,34,ppt课件,评定内容主机安全解读234ppt课件,评定内容,等级测评内容：,身份鉴别,应用安全,(,三级,),访问控制,通信完整性,通信保密性,安全审计,剩余信息保护,抗抵赖,软件容错,资源控制,35,ppt课件,评定内容等级测评内容：身份鉴别应用安全(三级)访问控制通信完,评定内容,应用安全解读,36,ppt课件,评定内容应用安全解读36ppt课件,评定内容,等级测评内容：,数据完整性,数据安全,(,三级,),数据保密性,安全备份,37,ppt课件,评定内容等级测评内容：数据完整性数据安全(三级)数据保密性安,评定内容,数据安全解读,38,ppt课件,评定内容数据安全解读38ppt课件,评定内容,等级测评内容：,岗,位设置,安全管理机构,(,三级,),人员配备,授权和审批,沟,通与合作,审核和检查,39,ppt课件,评定内容等级测评内容：岗 位设置安全管理机构(三级,评定内容,等级测评内容：,管理制度,安全管理制度,(,三级,),制订和发布,评审和修订,安全管理制度一般是文档化的，被正式制定、评审、发布和修订，内容包括策略、制度、规程、表格和记录等，构成一个塔式结构的文档体系。,40,ppt课件,评定内容等级测评内容：管理制度安全管理制度(三级)制订和发布,评定内容,等级测评内容：,人员录用,人员安全管理,(,三级,),人员离岗,人员考核,安全意识教育和培训,外部人员访问管理,41,ppt课件,评定内容等级测评内容：人员录用人员安全管理(三级)人员离岗人,评定内容,等级测评内容：,系统定级,系统建设管理,(,三级,),安全方案设计,产品采购和使用,自行软件开发,外包软件开发,工程实施,测试验收,系统交付,安全服务商选择,系统备案,42,ppt课件,评定内容等级测评内容：系统定级系统建设管理(三级)安全方案设,评定内容,等级测评内容：,环境管理,系统运维管理,(,三级,),资产管理,设备管理,介质管理,运行管理和监控管理,网络安全管理,系统安全管理,恶意代码防范管理,变更管理,密码管理,备份和恢复管理,安全事件处置,应急预案管理,43,ppt课件,评定内容等级测评内容：环境管理系统运维管理(三级)资产管理设,评定内容,管理安全解读,44,ppt课件,评定内容管理安全解读44ppt课件,评定内容,管理安全解读,2,45,ppt课件,评定内容管理安全解读245ppt课件,评定内容,管理安全解读,3,46,ppt课件,评定内容管理安全解读346ppt课件,评定内容,管理安全解读,4,47,ppt课件,评定内容管理安全解读447ppt课件,评定内容,管理安全解读,5,48,ppt课件,评定内容管理安全解读548ppt课件,四、推进等保工作的一些探讨,49,ppt课件,四、推进等保工作的一些探讨49ppt课件,探讨,安全管理制度体系典型结构,安全方针,管理规定、规范,作业指导书、操作规程,记录、日志,第一级,方针，是信息安全,管理工作的纲领性文件。,第二级,管理规定,和规范，规定所要求的管理制度或技术控制措施。,第三级,作业指导书、操作规程，规定各种工作和活动的细节。,第四级,记录、日志，,记录,管理活动,的客观证据,。,50,ppt课件,探讨安全管理制度体系典型结构安全方针管理规定、规范作业指导书,探讨,PDCA,（戴明环）,大环套小环，小环保大环，推动大循环,PDCA循环作为质量管理的基本方法，不仅适用于整个工程项目，也适应于整个,单位和单位,内的,处,室、,队伍,以至个人。各级部门根据,单位,的方针目标，都有自己的PDCA循环，层层循环，形成大环套小环，小环里面又套更小的环。大环是小环的母体和依据，小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把,单位,上下或工程项目的各项工作有机地联系起来，彼此协同，互相促进。,51,ppt课件,探讨PDCA（戴明环）大环套小环，小环保大环，推动大循环51,探讨,PDCA,（戴明环）,不断前进、不断提高,PDCA,循环就像爬楼梯一样，一个循环运转结束，生产的质量就会提高一步，然后再制定下一个循环，再运转、再提高，不断前进，不断提高，是一个螺旋式上升的过程。,52,ppt课件,探讨PDCA（戴明环）不断前进、不断提高52ppt课件,探讨,思考与建议,当前的要求与原则,总体要求,:,坚持,积极防御、综合防范,的方针，全面提高信息安全防护能力，保障和促进信息化发展，保护公众利益，维护企业商业利益。,主要原则：立足国情，以我为主，坚持管理与技术并重；正确处理安全与发展的关系，,以安全促发展，在发展中求安全,；,统筹规划，突出重点，强化基础性工作；明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。,53,ppt课件,探讨思考与建议当前的要求与原则53ppt课件,探讨,（,1,）加强顶层设计,应加强统筹规划、顶层设计，在战略发展规划、信息化专项规划的基础上，做好信息安全体系的设计，制定信息安全专项规划或工作计划。充分重视信息资源、资产的梳理、界定工作，将信息安全与商业信息、个人信息保护工作密切结合。,（,2,）强化组织保障,应明确专门信息安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查。信息化工作领导小组组长应承担起信息安全的领导责任，建立并完善信息化管理部门与保密及其他业务部门齐抓共管、协同配合的信息安全工作机制，并逐级落实信息安全责任制。,应加强信息安全人才培养，打造适应信息化要求的专业人才队伍。建立健全信息安全专业岗位持证上岗制度。加强全员信息安全教育培训工作，把相关培训纳入员工培训计划。定期对从业人员进行网络安全教育、技术培训和技能考核，积极组织或参与信息安全知识技能竞赛，形成培养、选拔、吸引和使用信息安全人才的良性机制。,54,ppt课件,探讨（1）加强顶层设计54ppt课件,探讨,安全保障体系架构,55,ppt课件,探讨安全保障体系架构55ppt课件,探讨,想做做不到：,外包服务单位的人员素质、业务结构、管理水平等客观因素都会对信息系统的安全和发展带来风险，而外包单位也会显得无能为力。,没想到要做到：,信息化项目是一个创新性的工作，服务外包采购时不可能把未来服务细节说清楚，在合同履行期间发现新的需求时，服务提供商能否主动积极配合提供服务或提升服务能力，也形成直接影响整个电子政务健康发展的风险。,三专：,在服务外包项目招标时要明确要求服务商做到：专业团队专注做专项服务。,监管：,建立外包监管办法，对人员结构及流动，业务内容，工作规范等全面进行强有力的监管。,考核：,制定和实行严格的目标考核与奖惩制度。,说到不做到：,在投标时承诺很好，在建设运行中许多方面达不到服务要求，还不积极主动想办法改进，使信息安全保障处于被动地位，使工作发展受到影响。,56,ppt课件,探讨 想做做不到：外包服务单位的人员素质、业务结构、管理水平,探讨,习近平总书记在中央网信领导小组第一次会议上强调，网络安全与信息化是事关国家安全和国家发展、事关广大,人民群众工作生活的重大战略问题，没有网络安全就没有国家安全，网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。,信息安全已经上升为国家意志,57,ppt课件,探讨习近平总书记在中央网信领导小组第一次会议上强调，网络,探讨,（一）落实信息安全工作责任,严格落实信息安全“一把手”责任制，建立单位网络安全与信息化领导机构，全面统筹信息安全工作。,建立信息安全责任追究制度，明确责任部门、工作岗位、具体负责人、将安全责任逐级落实到人。,按照信息安全等级保护要求，落实机构、人员、经费保障，加快推动信息安全等级保护，提升安全防护能力。,58,ppt课件,探讨（一）落实信息安全工作责任58ppt课件,探讨,（二）建立信息化与信息安全衔接机制,2011,年，公安厅、保密局、经信委、财厅、国资委联合发出,关于继续深化我省信息安全等级保护工作的通知,（粤公通字,2011124,号），明确了信息安全要与信息化同步立项、设计、建设。,按照通知要求，各单位要将等级保护定级、备案、建设和整改、测评工作环节纳入本单位信息化建设流程，在信息化项目建设过程中，同步立项、同步规划、同步设计、同步建设信息安全措施。,彻底解决信息化与信息安全“两张皮”问题。,59,ppt课件,探讨（二）建立信息化与信息安全衔接机制59ppt课件,探讨,（三）全面开展等级保护重点工作,摸清底数，全面定级，落实备案。,定级测评，排查隐患，落实整改。,加强培训，强化素质，提升意识。,60,ppt课件,探讨（三）全面开展等级保护重点工作60ppt课件,探讨,（四）加强网络安全监测预警和应急处理,制订应急预案。,加强安全监测。,加强通报预警。,提升处理能力。,健全应急支撑。,加强应急演练。,61,ppt课件,探讨（四）加强网络安全监测预警和应急处理61ppt课件,五、单位的问题和建议,62,ppt课件,五、单位的问题和建议62ppt课件,问题与建议,单位有多少信息系统？,63,ppt课件,问题与建议单位有多少信息系统？63ppt课件,问题与建议,64,ppt课件,问题与建议64ppt课件,完,65,ppt课件,完65ppt课件,