信息安全等级保护策略

,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,信息平安等级保护,主讲内容,国家信息平安等级保护政策及定级,国家信息平安等级保护现状及本卷须知,等级保护的政策定位,等级保护是国家信息平安保障的根本制度,表达了信息平安是国家平安的重要组成局部,具有强制实施的性质,等级保护政策推进现状,行业等级保护工作,定级：各行业针对系统定级都发布了标准性文件，统一确定系统的平安等级,电力：?电力行业信息系统平安等级保护定级实施指南?doc,税务：?税务信息系统平安等级保护定级工作指南?,银行：?银行业信息系统定级专家评审意见?,保险：?保险行业定级指导意见?,海关：?海关总署关于做好全国海关信息系统平安等级保护定级工作的通知?,证券：?关于开展证券期货业重要信息系统平安等级保护定级工作的通知?,09年等级保护政策走势分析,全国性政策,持续发文和发布国家标准,可能正式发文的“有关等级保护检查工作的推进,可能正式发布的等级保护国家标准,?信息系统平安等级保护测评标准?,?信息系统平安等级保护方案设计指南?,行业和区域性政策,各行业等级保护标准将会陆续推出,行业统一规划建设,地方性法规将会陆续推出,行政执法、强制实施,国务院信息化工作办公室制定的标准,应用在电子政务系统,信息系统平安等级保护实施指南,公安部制定的,标准,应用在非电子政务和涉密系统,信息系统平安等级保护实施指南,信息系统平安等级保护根本要求,信息系统平安等级保护定级指南,等级保护主要标准,计算机信息系统平安保护等级划分准那么,我国政府及各行各业在进行大量的信息系统的建设，并且已经成为国家的重要根底设施。,计算机犯罪、黑客攻击、有害病毒等问题的出现对社会稳定、国家平安造成了极大的危害，信息平安的重要性日益突出。,信息系统平安问题已经被提到关系国家平安和国家主权的战略性高度。,系统平安保护等级划分准那么,大多数信息系统缺少有效的平安技术防范措施，平安性非常脆弱。,我国的信息系统平安专用产品市场一直被外国产品占据，增加了新的平安隐患。,因此，尽快建立能适应和保障我国信息产业健康开展的国家信息系统平安等级保护制度已迫在眉睫。,系统平安保护等级划分准那么,为了从整体上形成多级信息系统平安保护体系。,为了提高国家信息系统平安保护能力。,为从根本上解决信息社会国家易受攻击的脆弱性和有效预防计算机犯罪等问题。,?中华人民共和国计算机信息系统平安保护条例?第九条明确规定，计算机信息系统实行平安等级保护。,系统平安保护等级划分准那么,公安部组织制订了?计算机信息系统平安保护等级划分准那么?国家标准,于1999年9月13日由国家质量技术监督局审查通过并正式批准发布,于 2001年1月1日执行,系统平安保护等级划分准那么,该准那么的发布为计算机信息系统平安法规和配套标准的制定和执法部门的监督检查提供了依据;,为平安产品的研制提供了技术支持;,为平安系统的建设和管理提供了技术指导是我国计算机信息系统平安保护等级工作的根底。,系统平安保护等级划分准那么,?准那么?规定了计算机系统平安保护能力的五个等级，即：,第一级：用户自主保护级,第二级：系统审计保护级,第三级：平安标记保护级,第四级：结构化保护级,第五级：访问验证保护级,系统平安保护等级划分准那么,2007年人民银行根据全国重要信息系统平安等级保护滴定级工作电视 会议精神和总行、各分支行以及银行业金融机构信息系统实际情况制定了重要信息系统平安等级保护定级工作。,系统平安保护等级划分准那么,明确全国商业性银行的核心业务信息系统或综合业务信息系统应当定为四级，其网上银行系统、跨省骨干网络、重要支撑设施、在线效劳的重要信息系统、重要管理信息系统等应定为三级；政策性银行中的和核心业务信息系统或综合业务信息系统、跨省骨干网络、重要管理信息系统等应定为三级；中国银联的银行卡信息交换系统应定为四级，跨省骨干网络应定为三级。其他信息系统可以定为二级。,主讲内容,国家信息平安等级保护政策及定级,国家信息平安等级保护现状及本卷须知,开展状况,近期状况,目前，我信息系统平安保障工作还处于起步阶段。虽然信息系统建设时期已经考虑到了平安保障能力的建设，但是由信息化起步早，建设周期长，在许多建设开始之际，国家的相关法律法规还不完善，缺乏与国防信息化建设相适应的平安保障措施和手段，因此普遍存在平安保障能力低，信息对抗能力缺乏等问题，一方面造成应用系统部署进度推迟，另一方面造成信息系统不能最大限度地发挥作用，制约了国防信息化建设的开展。,近十年来，全国信息系统按照有关要求开展信息系统平安保障体系的实施和运行工作，取得了一定的成绩，但是在实施过程中也存在一些问题：早期平安措施要求过于单一，没有划分平安层次与级别，实施本钱比较高等。目前，随着信息系统等级保护工作的全面推开，信息系统的平安保护工作迈上了一个新台阶。,等级保护现状,在改造过程中要严格按照国家的相关标准，结合信息系统的实际情况，逐项进行平安风险分析。根据平安风险分析的结果，对局部保护 要求进行适当的调整和改造。调整应以不降低信息系统整体平安保护强度，确保国家平安为原那么。,当保护要求不能满足实际平安需求时，应适中选择采用局部较高的保护要求。,当保护要求明显高于实际平安需求时，可适中选择采用局部较低的保护要求。,信息系统定级遵循“谁建设、谁定级的原那么。,针对不同的平安域确定不同的等级，并进行相应的保护。,在同一个系统里，还允许划分不同的平安域，在每个平安域可以分别定级，不同的级别采取不同的平安措施，,等级保护本卷须知,