国家等级保护政.pptVIP

Copyright 2011 PBC * 第二级：系统审计保护级 提供： ? 自主访问控制 ? 身份鉴别 ? 边界的完整性 ? 审计 ? 数据完整性保护 * Copyright 2011 PBC * 第三级：安全标记保护级 提供： ? 自主访问控制 ? 强制访问控制 ? 标记 ? 身份鉴别 ? 边界的完整性 ? 审计 ? 数据完整性保护 * Copyright 2011 PBC * 第四级：结构化保护级 提供： ?自主访问控制 ? 边界的完整性 ?强制访问控制 ?审计 ?标记 ? 数据完整性保护 ?身份鉴别 ?可信路径 * Copyright 2011 PBC * 第五级：访问验证保护级 提供： ?自主访问控制 ? 边界的完整性 ?强制访问控制 ?审计 ?标记 ? 数据完整性保护 ?身份鉴别 ?可信路径 ?可信恢复 * Copyright 2011 PBC * 信息系统等级划分原则 受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重 损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 * Copyright 2011 PBC * 信息系统等级划分原则 第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。 第二级信息系统：一般适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。 * Copyright 2011 PBC * 信息系统等级划分原则 第三级信息系统：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省、跨市或全国（省）联网运行的用于生产、调度、管理、作业、指挥等方面的信息系统；跨省或全国联网的重要信息系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络等。 * Copyright 2011 PBC * 信息系统等级划分原则 第四级信息系统：一般适用于国家重要领域、重要部门中的特别重要系统。例如全国银行、铁路、电力、电信等重要行业、部门中涉及国计民生的核心系统。 第五级信息系统：一般适用于国家重要领域、重要部门中的极端重要系统。 * Copyright 2011 PBC * 金融业信息系统等级划分原则 人民银行于2007年10月分别组织了人民银行分支行、人民银行总行和银行业的定级评审会。 评审会后，人民银行科技司对专家评审意见进行了及时的反馈，并下发了定级指导性意见。 * Copyright 2011 PBC * 金融业信息系统等级划分原则 全国商业性银行的核心业务信息系统或综合业务信息系统应当定为四级； 网上银行系统、跨省骨干网络、重要支撑设施、在线服务的重要信息系统、重要管理信息系统等应定为三级； 政策性银行中的和核心业务信息系统或综合业务信息系统、跨省骨干网络、重要管理信息系统等应定为三级； 中国银联的银行卡信息交换系统应定为四级，跨省骨干网络应定为三级； 其他信息系统可以定为二级。 * Copyright 2011 PBC * 开展等级保护工作意义 人民银行的网络和信息系统担负着维护国家金融稳定、金融运转的重要职责，因此需要具备更高的信息安全保障水平。 目前人民银行的信息系统已经具有一定的防护能力，但随着数据大集中、多应用整合，业务和技术结合日趋紧密、系统日趋复杂庞大，更需要体系化加强信息安全保障能力。 综上所述，依据国家等级保护相关标准，结合人行需求，从体系化和可操作性强两个方面编制的人民银行等保系列标准，对促进和提高人行信息安全保障水平、推动等级保护工作，具有深远的意义。 * Copyright 2011 PBC * 建设整改是关键 定级/备案是信息安全等级保护的首要环节 等级测评是评价安全保护现状的重要方法 建设整改是等级保护工作落实的关键 监督检查是使信息系统保护能力不断提高的保障 * 开展等级保护工作流程 Copyright 2011 PBC * * Copyright 2011 PBC * 信息系统安全建设整改基本流程 一是制定安全建设整改工作规划，对工作进行总体部署； 二是开展信息系统安全需求分析或差距分析，确定安全建设整改需求； 三是规划系统安全建设整改的管理体系，制定系统安全建设整改技术方案； * Copyright 2011 PBC * 信息系统安全建设整改基本流程 四是按照安全建设整改管理体系规划，开展信息系