【课件】等级保护实施技术环节说明知识分享.pptVIP

等级保护实施技术环节说明 /sundae_meng 实施阶段 等级变更 局部调整 信息系统定级 总体安全规划 安全设计与实施 安全运行维护 信息系统终止 实施指南描述特点 为了便于用户使用，《实施指南》分章介绍5个实施阶段，以不同的节介绍和描述本阶段所要进行的主要安全过程，以及该过程所包含的活动，包括活动目标、参与角色，活动中包含的子活动，活动过程参照的等级保护对应标准，活动的输入和输出等内容。在每个实施阶段中，如果过程具有顺序性，将用流程图的形式表述过程的执行方式，如果没有顺序性，则用框图分别表述每一个阶段的过程 。 实施指南描述特点 阶段 过程 活动 子活动 例如: 信息系统定级 信息系统分析 系统识别和描绘 识别信息系统的基本信息 识别信息系统的管理框架 … 信息系统划分 定级阶段相关技术环节 行业定级指导意见 定级对象确定 定级过程 定级阶段 根据《管理办法》第十条：信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 根据《关于开展全国重要信息系统安全等级保护定级工作的通知》（以下简称《定级通知》）要求：各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的指导意见。 定级阶段-关于行业定级指导意见 为什么需要行业对定级提出指导意见 行业的职能不同 信息系统在行业内所发挥的作用不同 信息系统被破坏后对国家和社会的危害后果不同 行业主管部门比运营使用单位具有更高的站位、更宏观的视野 定级阶段-关于行业定级指导意见 行业定级指导意见的意义： 贯彻四部委会签的《管理办法》 阐明本行业实施等级保护工作的政策和方针 制定本行业定级工作的阶段计划 统一本行业对定级要素赋值规范 定级阶段-关于行业定级指导意见 定级工作的指导意见应包括： 对定级对象确定的指导 符合哪些条件的信息系统的等级保护客体是国家安全、哪些是公共利益/社会秩序。。。 对不同类型的等级保护客体，本行业主要关注哪些危害后果 对于每一类等级保护客体，符合哪些条件可以判断为一般损害、哪些是严重损害、哪些是非常严重损害 定级阶段-关于行业定级指导意见 对《定级指南》中有关概念的补充说明： 三种客体 对客体侵害程度 定级阶段-关于行业定级指导意见 三种受侵害的客体体现了三种不同层次、不同覆盖范围的社会关系。 国家安全利益体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全和资源环境安全等方面利益。 社会秩序包括社会的政治、经济、生产、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社会成员所共同享有的，维持其生产、生活、教育、卫生等方面的利益。 合法权益是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益， 定级阶段-关于行业定级指导意见 关于国家安全 重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统；广播、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件；处理国家对外活动信息的信息系统；处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统；尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统，以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。 定级阶段-关于行业定级指导意见 关于社会秩序 各级政府机构的社会管理和公共服务系统，如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统，也包括教育、科研机构的工作系统，以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。 定级阶段-关于行业定级指导意见 关于公共利益 借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面，例如：公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。 公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害。 定级阶段-关于行业定级指导意见 对客体的侵害不是威胁直接作用的结果，而是通过对等级保护对象——信息系统的破坏而导致的，因此确定对客体侵害的程度时，必须考虑对等级保护对象所造成破坏的不同客观表现形态以及不同程度的结果，也就是侵害的客观方面。 定级阶段-关于行业定级指导意见 定级阶段-关于行业定级指导意见 客体 对客体的侵害 对等级保护对象的危害 等级保护对象 危害后果 对客体侵害 的客观方面 危害方式 + 关于危害后果 影响行使工作职能，工作职能包括国家管理职能、公共管理职能、公共服