我国电子政务等级保护的基本原则

电子政务信息安全等级保护实施指南2005年11月8日27号文件确定未来3－5年的信息安全纲领当前我国信息安全保障工作的九大任务实行信息安全等级保护加强以密码技术为基础的信息保护和网络信任体系建设建设和完善信息安全监控体系重视信息安全应急处理工作加强信息安全技术研究开发，推进信息安全产业发展加强信息安全法制建设 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 化建设加快信息安全人才培养，增强全民信息安全意识保证信息安全资金加强对信息安全保障工作的领导，建立健全信息安全管理责任制安全目标基础网络数据业务等级保护的基本概念区域5区域4区域3区域2区域1等级化信息安全体系框架安全措施技术运行组织策略统一终端管理内网监控边界保护策略发布策略制定组织建设运维手册岗位职责检查考核电子政务等级保护的含义实行信息安全等级保护：信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。电子政务等级保护的含义依据电子政务系统的使命与目标和系统重要程度，将系统划分为不同的安全等级，并综合平衡考虑系统安全要求、系统所面临安全风险和实施安全保护措施的成本，进行安全措施的调整和定制，形成不同等级的安全措施进行保护电子政务等级保护工作的内容等级保护管理办法等级保护定级指南基本安全要求等级评估 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 定级确定安全保障措施安全 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 与建设运行监控与改进管理层用户层电子政务等级保护的基本原则重点保护原则：电子政务等级保护要突出重点，重点保护关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统，集中资源首先确保重点系统安全。自主保护原则：电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则，由各主管部门和运营单位依照国家相关法规和标准，自主确定电子政务系统的安全等级并组织实施安全防护。分区域保护原则：电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平，分类、分级、分阶段进行实施，通过划分不同安全保护等级的区域，实现不同强度的安全保护。同步建设、动态调整原则：电子政务系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当重新确定系统的安全保护等级。电子政务的五个安全等级安全等级等级名称基本描述安全保护要求第一级自主保护级适用于一般的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。第二级指导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下，按照国家标准自主进行保护。第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。在主管部门的强制监督和检查下，按国家标准严格落实各项措施进行保护。第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。根据安全需求，由主管部门和运营单位对电子政务系统进行专门控制和保护。安全等级等级名称基本描述安全保护要求第一级自主保护级适用于一般的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。电子政务的五个安全等级－1安全等级等级名称基本描述安全保护要求第一级自主保护级适用于一般的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。第二级指导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下，按照国家标准自主进行保护。第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。在主管部门的强制监督和检查下，按国家标准严格落实各项措施进行保护。第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。根据安全需求，由主管部门和运营单位对电子政务系统进行专门控制和保护。安全等级等级名称基本描述安全保护要求第二级指导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下，按照国家标准自主进行保护。电子政务的五个安全等级－2电子政务的五个安全等级－3安全等级等级名称基本描述安全保护要求第一级自主保护级适用于一般的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。第二级指导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下，按照国家标准自主进行保护。第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。在主管部门的强制监督和检查下，按国家标准严格落实各项措施进行保护。第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。根据安全需求，由主管部门和运营单位对电子政务系统进行专门控制和保护。安全等级等级名称基本描述安全保护要求第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。安全等级等级名称基本描述安全保护要求第一级自主保护级适用于一般的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。第二级指导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下，按照国家标准自主进行保护。第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。在主管部门的强制监督和检查下，按国家标准严格落实各项措施进行保护。第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。根据安全需求，由主管部门和运营单位对电子政务系统进行专门控制和保护。安全等级等级名称基本描述安全保护要求第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。在主管部门的强制监督和检查下，按国家标准严格落实各项措施进行保护。电子政务的五个安全等级-4安全等级等级名称基本描述安全保护要求第一级自主保护级适用于一般的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。参照国家标准自主进行保护。第二级指导保护级适用于处理日常政务信息和提供一般政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。在主管部门的指导下，按照国家标准自主进行保护。第三级监督保护级适用于处理重要政务信息和提供重要政务服务的电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害。在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。第四级强制保护级适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害。在主管部门的强制监督和检查下，按国家标准严格落实各项措施进行保护。第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。根据安全需求，由主管部门和运营单位对电子政务系统进行专门控制和保护。安全等级等级名称基本描述安全保护要求第五级专控保护级适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统，系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。根据安全需求，由主管部门和运营单位对电子政务系统进行专门控制和保护。电子政务的五个安全等级-5电子政务安全措施的等级指标电子政务安全措施等级指标是满足不同等级电子政务系统基本安全要求的安全措施集合。电子政务安全措施指标体系包括五个级别，从第一级至第五级，对应第1－5级的电子政务系统。电子政务的安全措施指标体系可以分解为安全策略、安全组织、安全技术和安全运行四个方面的安全指标。2级要求：采用设备提供的多级用户管理授权，对每一个不同的用户授予不同的设备管理权限。信息安全等级化指标库举例安全体系指标框架技术框架网络基础设施网络设备管理网络设备管理授权1级要求：采用网络设备自身提供的普通/特权两级授权管理机制管理设备。对应措施：《网络设备配置规范》《网络设备管理流程》《网络设备配置检查流程》3级要求：采用集中统一设备管理授权，通过中心服务器实现对各个设备的用户管理、用户授权。例如TACACS+、RADIOUS等。量化了安全要求量化了安全措施电子政务等级保护的基本要素电子政务系统使命与目标信息安全等级安全保护要求安全风险安全保护措施安全保护成本等级保护各要素之间的关系根本关系是不同等级的电子政务系统对应不同等级的安全措施核心问题是安全措施的确定安全措施需要满足系统保护要求，对抗系统所面临的风险系统保护要求的确定：不同电子政务系统的使命和业务目标的差异性，业务和系统本身的特性（所属信息资产特性、实际运行情况和所处环境等）的差异性，决定了系统保护要求特性（安全保护要求的类型和强度）的差异性。安全措施的确定：系统保护要求类型和强度的差异性，安全风险的差异性，决定了选择不同类型和强度的安全措施；安全措施的选择需要符合系统保护要求的满足程度，面临风险的控制和降低程度和实施安全措施的成本三者之间的平衡，在适度成本下实现适度安全电子政务等级保护是以等级化的电子政务保护对象和电子政务安全措施等级指标为参照系，以风险管理过程为主线，建立并实施电子政务等级保护体系的过程。电子政务等级保护的实现原理电子政务等级保护实施过程等级保护过程与新建和已建系统生命周期对应关系系统间互联互通的等级保护要求同等级电子政务系统之间的互联互通：由系统的拥有单位参照该等级的安全措施等级指标对访问控制的要求，协商确定边界防护措施，保障互联互通电子政务系统的安全不同等级电子政务系统间的互联互通：各系统要按照自身相应的安全等级要求进行保护，在此基础上协商对相互连接的保护。同时，高安全等级的系统要充分考虑引入低安全等级系统后带来的风险，采取有效措施进行控制。涉密系统与其它系统的互联互通，按照国家保密部门的有关规定执行。电子政务系统互联互通中的密码配置按照国家密码管理部门的要求执行。定级的方式与过程电子政务系统定级可以采用以下两种方式进行：对系统整体定级：系统整体定级是在识别出政务机构所拥有的电子政务系统后，针对系统整体确定其安全等级。将系统分解为子系统后分别定级：若规模庞大、系统复杂，则可以将系统分解为多层次的多个子系统后，对所分解的每个子系统分别确定其安全等级。定级原则依据电子政务五个安全等级的基本要求，从信息安全的保密性、完整性、可用性三个基本属性在遭到破坏时对政务机构履行其政务职能、机构财产、人员造成的影响来定义安全级别，并划分为五个等级。安全级别的确定应在单位层面和国家层面的整体环境下进行考虑。安全级别第一级对政务机构自身造成较小的负面影响,包括：对政务机构履行其政务职能带来较小的负面影响，政务机构还可以履行其基本的政务职能，但效率有较小程度的降低；对政务机构、相关单位、人员造成较小经济损失；对政务机构、相关单位、人员的形象或名誉造成较小影响；不会造成人身伤害；不会造成犯罪或防碍对犯罪行为的调查；安全级别第二级对政务机构自身造成中等程度的负面影响,包括：对政务机构运行带来中等程度的负面影响，政务机构还可以履行其基本的政务职能，但效率有较大程度的降低；对政务机构、相关单位、人员造成一定程度的经济损失；对政务机构、相关单位、人员的形象或名誉造成一定程度的负面影响；造成轻微的人身伤害；不会造成犯罪或防碍对犯罪行为的调查；安全级别第三级对政务机构自身造成较大的负面影响，对国家安全造成一定程度的损害，包括：对政务机构运行带来较大的负面影响，政务机构的一项或多项政务职能无法履行；对政务机构、相关单位、人员造成较大经济损失；对政务机构、相关单位、人员的形象或名誉造成较大的负面影响；导致严重的人身伤害；导致犯罪或防碍对犯罪行为的调查；安全级别第四级对政务机构自身造成严重的负面影响，对国家安全造成较大损害，包括：对政务机构运行带来严重的负面影响，政务机构的多项政务职能无法履行，并在省级行政区域范围内造成严重影响；对国家造成严重的经济损失；对国家形象造成严重影响；导致较多的人员伤亡；导致危害国家安全的犯罪行为；安全级别第五级对政务机构自身造成极其严重的负面影响，对国家安全造成严重损害，包括：对政务机构运行带来较小的负面影响，中央政务机构的一项或多项政务职能无法履行，并在全国范围内造成极其严重的影响；对国家造成极大的经济损失；对国家形象造成极大影响；导致大量人员伤亡；导致危害国家安全的严重犯罪行为；定级方法考虑信息和服务两个因素，通过对每一类信息和服务安全级别的分析，得到系统三性的级别，最终确定系统的安全等级。安全级别可以根据实际情况进行调整。系统定级公式：系统安全等级(A)＝Max{(系统保密性级别),(系统完整性级别),(系统可用性级别)}系统保密性级别＝Max{(各信息或服务的保密性级别)}系统完整性级别＝Max{(各信息或服务的完整性级别)}系统可用性级别＝Max{(各信息或服务的可用性级别)}安全规划与设计的过程安全域划分原则功能应用相似性原则安全属性相似性原则资产价值安全要求安全威胁保护对象分类建立系统分域保护框架的方法充分覆盖互不重叠无需细分如何构建系统分域保护框架选择和调整安全措施的过程安全措施调整因素和调整方式序号调整因素调整方式1三性等级中的1－2项低于系统安全等级降低对应控制项的等级2出现基本安全要求之外的特定安全要求增加控制项3不存在基本安全要求所要控制的安全风险删减控制项4风险评估识别出的风险在基本安全要求中没有控制项增加控制项5与相应基本安全要求提供的安全强度相比，风险较低降低控制项的强度等级6与对应基本安全要求提供的安全强度相比，风险较高提高控制项的强度等级7相应基本安全要求中某些措施成本太高，无法承受通过其他措施进行弥补安全规划与 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 设计安全需求分析安全现状和等级要求之间的差距安全项目规划对安全项目的相关性、紧迫性、难易程度和预期效果等因素进行分析，确定实施的先后顺序安全工作规划确定安全工作的宗旨、远期安全工作目标和当年目标、关键和重点的工作，并分析潜在的风险和障碍、所需的资源和预算，进行实施策略选择，确定当年的安全工作 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 和等级保护项目建设计划安全方案设计技术解决方案、管理解决方案实施、等级评估与运行安全管理措施建设安全技术措施建设等级评估与验收运行监控与改进交付成果简介安全评估报告通过调查资产、分析网络、系统和业务等方式，全面了解安全组织、策略、运作和技术等安全现状。安全体系总体框架确定信息系统安全等级、安全建设的目标以及总体安全笼廓和框架。安全规划对比安全现状和目标之间的差距，分析并明确安全重点工作。安全策略为客户指定不同层面和类型的安全策略，包括制度、流程、规范和运行维护计划等。安全解决方案根据现有安全问题和安全规划，制定各类详细的安全解决方案。等级化安全体系管理软件（定制）通过管理软件对等级化安全体系进行管理和维护。等级化安全体系试点交付成果等级化安全体系的设计成果——安全组织主管领导（主管安全）领导小组组长Xx部门负责人成员Xx部门负责人成员Xx部门负责人成员Xx部门负责人工作组组长Xx部门负责人成员Xx系统管理员成员Xx系统管理员成员Xx系统管理员成员Xx系统管理员办公室负责人Xx系统管理员成员安全管理员安全技术员信息安全办公室等级化安全体系的设计成果——安全技术防病毒监控审计认证第三方统一接入安全域访问控制访问控制访问控制主机安全边界隔离数据库安全应用安全安全域边界隔离表现：解决方案等级化安全体系的设计成果——安全运行项目工程建设安全风险管理安全运行维护安全体系建设建设期间运行维护期间等级化安全体系的设计成果——安全策略《信息安全方针》xx管理规定工作流程xx组织人员职责xx安全技术规范《信息安全体系》xx层面xx信息安全工作管理办法xx组织人员职责xx层面工作表单运行维护计划应急响应计划xx层面等级化安全体系的设计成果----指标库谢谢！演讲完毕，谢谢观看！