71信息安全等级保护工作培训.ppt

北京市教委各直属单位
信息安全等级保护工作培训
2007年10月24日
信息安全等级保护工作概述
信息安全保护等级的划分
2
信息安全等级保护工作的流程
3
信息系统的定级工作
4
信息系统的备案工作
5
培训提纲
1
一、信息安全等级保护工作概述
信息安全等级保护工作的定位
信息安全等级保护是国家信息安全保障工作
的基本制度、基本策略、基本方法。开展信息安
全等级保护工作不仅是实现国家对重要信息系统
重点保护的重大措施,也是一项事关国家安全、
社会稳定和北京奥运会成功举办的政治任务。
信息安全等级保护工作法律法规标准依据
国家层面:
《中华人民共和国计算机信息系统安全保护条例》(1994年,国务院147号令)
《国家信息化领导小组关于加强信息安全保障工作的意见》(2003年,中办27号文)
《关于信息安全等级保护工作的实施意见》(2004年9月,公通字[2004]66号文件)
《信息安全等级保护管理办法》(2007年6月,公通字[2007]43号文件
北京市:
《北京市公共服务网络与信息系统安全管理规定》(2005年11月,市政府第163号令)
《关于开展信息安全等级保护工作的通知》(2006年3月)
《北京市开展信息安全等级保护工作的实施方案》(2007年8月)
《北京市信息化促进条例》(2007年9月通过,12月1日施行)
信息安全等级保护工作法律法规标准依据
二、信息安全保护等级的划分
信息系统安全保护等级的决定要素
信息系统的安全保护等级由两个要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
受侵害的客体:
一是公民、法人和其他组织的合法权益;二是社会秩序、
公共利益;三是国家安全。
对客体的侵害程度:
一是造成损害;二是造成严重损害;三是造成特别
严重损害。
侵害国家安全的事项包括以下方面:影响国家政权稳固和国防实力;影响国家统一、
民族团结和社会安定;影响国家对外活动中的政
治、经济利益等
侵害社会秩序的事项包括以下方面:影响国家机关社会管理和公共服务的工作秩序;
影响各种类型的经济活动秩序等;
影响公共利益的事项包括以下方面:影响社会成员使用公共设施;影响社会成员获取
公开信息资源等;
影响公民、法人和其他组织的合法权益是指:由法律确认的并受法律保护的公民、法
人和其他组织所享有的一定的社会权利和利益。
受侵害的客体的具体事项体现
侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同。在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:
如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;
如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
如何确定对客体的侵害程度