信息安全等级保护制度的主要内容和工作要求-曾科长.ppt

《信息安全等级保护制度的主要内容和工作要求-曾科长.ppt》由会员分享，可在线阅读，更多相关《信息安全等级保护制度的主要内容和工作要求-曾科长.ppt（65页珍藏版）》请在装配图网上搜索。

1、信息安全等级保护制度的主要内容和工作要求,目 录,一、信息安全等级保护制度的主要内容 二、信息安全等级保护政策、标准体系 三、等级保护工作的具体内容和工作要求,一、等级保护制度的主要内容,（一）国家为什么要实施信息安全等级保护制度 1.信息安全形势严峻 敌对势力的入侵、攻击、破坏 针对基础信息网络和重要信息系统的违法犯罪持续上升 基础信息网络和重要信息系统安全隐患严重,2. 是维护国家安全的需要 基础信息网络和重要信息系统已成为国家关键基础设施 信息安全是国家安全的重要组成部分 信息安全是非传统安全，信息安全本质是信息对抗、技术对抗 3、是国际上通行的做法。,一、等级保护制度的主要内容,（二）

2、国家对等级保护制度的要求 1.中华人民共和国计算机信息系统安全保护条例（国务院147号令）：“计算机信息系统实行安全等级保护，等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”,一、等级保护制度的主要内容,2、国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）规定：要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。,一、等级保护制度的主要内容,（三）等级保护制度的地位和作用 是国家信息安全保障工作的基本制度、基本国策。 是开展信息安全工作的基本办法。 是促

3、进国家信息化、维护国家信息安全 的根本保障。,一、等级保护制度的主要内容,一、等级保护制度的主要内容,（四）实施等级保护制度的主要目的 明确重点、突出重点、保护重点 有利于同步建设、协调发展。 优化信息安全资源的配置。 明确信息安全责任。 推动信息安全产业发展。 国家发展改革部门、财政部门、科技部门、公安机关对重要信息系统在政策上给予支持。,一、等级保护制度的主要内容,(五)公安机关组织开展等级保护工作的依据 1、警察法规定：警察履行“监督管理计算机信息系统的安全保护工作”的职责。 2、国务院第147号令规定：“公安部主管全国计算机信息系统安全保护工作”，“等级保护的具体办法，由公安部会同有关

4、部门制定”。 3、2008年国务院三定方案，公安机关新增职能：“监督、检查、指导信息安全等级保护工作”。,（六）等级保护工作的主要内容 对信息系统分等级进行安全保护和监管。 五个规定动作：信息系统定级、备案、安全建设整改、等级测评、监督检查。 信息安全产品分等级使用管理。 信息安全事件分等级响应、处置。,一、等级保护制度的主要内容,一、等级保护制度的主要内容,（七）相关部门的责任和义务 职能部门：制定管理规范和技术标准，组织实施，开展监督、检查、指导。 行业主管部门：督促、检查、指导本行业、本部门开展等级保护工作。 运营使用单位：开展信息系统定级、备案、建设整改、等级测评、自查等工作，落实等级

5、保护制度的各项要求 安全服务机构：开展技术支持、服务等工作，并接受监管部门的监督管理。,一、等级保护制度的主要内容,国家信息安全职能部门职责分工 公安机关：牵头部门，监督、检查、指导信息安全等级保护工作。 国家保密部门：负责等级保护工作中有关保密工作的监督、检查、指导。并负责涉及国家秘密信息系统分级保护 国家密码管理部门：负责等级保护工作中有关密码工作的监督、检查、指导 工业和信息化部门：负责等级保护工作中部门间的协调。,一、等级保护制度的主要内容,（八）开展等级保护工作的基本要求 各单位、各部门，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求开展等级保护的定级、备案、整改、测

6、评等工作。 公安机关要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。 对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。,（一）信息安全等级保护政策体系 近几年，公安部根据国务院147号令的授权，会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了一些文件，公安部和省厅对有些具体工作出台了一些指导意见和规范，构成了信息安全等级保护政策体系。 汇集成信息安全等级保护工作汇编供有关单位、部门使用。,二、等级保护政策体系和标准体系,政 策 体 系,（一）信息安全等级保护政策体系,1、

7、关于信息安全等级保护工作的实施意见（公通字200466号） 2、 信息安全等级保护管理办法公通字200743号） 3、 关于开展全国重要信息系统安全等级保护定级工作的通知（公通字2007861号） 4、 信息安全等级保护备案实施细则 （公信安20071360号） 5、 关于开展信息系统等级保护安全建设整改工作的指导意见公信安20091429号）,（一）信息安全等级保护政策体系,6、关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号） 7、关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安2010303号）。 8、关于印发信息系统安全等级测评

8、报告模版（试行）的通知（公信安20091487号） 9、公安机关信息安全等级保护检查工作规范（公信安2008736号 ）,（二）信息安全等级保护标准体系,多年来，在有关部门支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作系列标准，形成了比较完整的信息安全等级保护标准体系。,（二）信息安全等级保护标准体系,基础标准： 计算机信息系统安全保护等级划分准则。 在此基础上制定出技术类、管理类、产品类标准。 安全要求： 信息系统安全等级保护基本要求 信息系统安全等级保护的行业规范,（二）信息安全等级保护标准体系,系统

9、定级： 信息系统安全等级保护定级指南 信息系统安全等级保护行业定级细则 方法指导： 信息系统安全等级保护实施指南 信息系统等级保护安全设计技术要求 现状分析： 信息系统安全等级保护测评要求 信息系统安全等级保护测评过程指南,（二）信息安全等级保护标准体系,在应用有关标准中需注意的几个问题： 1、基本要求是阶段性目标，信息系统等级保护安全设计技术要求是实现该目标的方法和途径之一。 2、基本要求中不包含安全设计和工程实施等内容，因此可以参照信息系统等级保护安全设计技术要求等标准进行。,（二）信息安全等级保护标准体系,3、在进行安全建设整改时，应根据业务信息安全等级和系统服务安全等级确定基本要求中相

10、应的安全保护要求。 4、重点行业可以按照基本要求等国家标准，结合行业特点和特殊安全需求，在公安部等有关部门指导下，制定行业标准规范或细则。,三、等级保护工作的具体内容和要求,（一）信息安全等级保护定级工作 信息系统定级原则：“自主定级、专家评审、主管部门审批、公安机关审核”。具体可按照关于开展全省重要信息系统安全等级保护定级工作的通知（赣公字2007155号）要求执行。 定级工作流程：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。,三、等级保护工作的具体内容和要求,1、确定定级对象 起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）。 用于生产、调

11、度、管理、指挥、作业、控制、办公等目的各类业务系统。 各单位网站。,三、等级保护工作的具体内容和要求,2、确定信息系统安全保护等级 管理办法规定的五个等级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。,第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系

12、统受到破坏后，会对国家安全造成特别严重损害。,三、等级保护工作的具体内容和要求,实际操作中参考确定信息系统等级： 第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。 第二级信息系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。,三、等级保护工作的具体内容和要求,第三级信息系统：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业

13、、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络系统等。,三、等级保护工作的具体内容和要求,第四级信息系统：一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全，影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。 3、定级工作需要注意的问题 同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。,三、等级保护工作的具体内容和要求,（二

14、）信息系统备案工作 备案工作包括：信息系统备案、受理、审核和备案信息管理。具体按照关于开展全省重要信息系统安全等级保护定级工作的通知要求开展。 1、备案 第二级以上信息系统，由信息系统运营适用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续，填写信息系统安全等级保护备案表。,三、等级保护工作的具体内容和要求,三、等级保护工作的具体内容和要求,省直单位、跨市或者全省统一联网运行的信息系统，由主管部门向省公安厅备案； 各行业统一定级信息系统在各地的分支系统，即使是上级主管部门定级的，也要到当地公安网络安全保卫部门备案。,2、受理备案与审核 公安机关受理备案，按照信息安全等级保护备案实

15、施细则要求，对备案材料进行审核，定级准确、材料符合要求的颁发由公安部统一监制的备案证明。,三、等级保护工作的具体内容和要求,（三）信息系统安全建设整改工作 充分认识工作的复杂性和艰巨性： 政策性和技术性很强。 涉及范围广。 信息系统安全加固改造，需要国家在经费上予以支持。 跨省全国联网的大系统结构复杂、运行实时保障性高、数据重要，加固改造周期长。,三、等级保护工作的具体内容和要求,1、工作目标 利用三年时间。力争2012前完成。 开展三项重点工作：安全管理制度建设、技术措施建设和等级测评。 实现五方面目标：一是信息系统安全管理水平明显提高，二是信息系统安全防范能力明显增强，三是信息系统安全隐患

16、和安全事故明显减少，四是有效保障信息化健康发展，五是有效维护国家安全、社会秩序和公共利益。,（三）信息系统安全建设整改工作,2、工作范围和工作特点 工作范围： 已备案的第二级（含）以上信息系统纳入安全建设整改的范围。 尚未开展定级备案的信息系统，要先定级备案，定级不准的要先纠正，再开展安全建设整改。 新建系统要同步开展安全建设工作。 工作特点：继承发展、引入标准、外部监督、政策牵引,（三）信息系统安全建设整改工作,3、工作方法 突出重要系统，兼顾二级。 试点示范，行业推广。 管理制度建设和技术措施建设同步或分步实施。 加固改造，缺什么补什么；也可以进行总体安全建设整改规划。 利用信息安全等级保

17、护综合工作平台，使等级保护工作常态化。,（三）信息系统安全建设整改工作,4、工作内容 （1）等级保护安全管理制度建设 一是落实信息安全责任制。 二是落实人员安全管理制度。 三是落实系统建设管理制度。 四使落实系统运维管理制度。,（三）信息系统安全建设整改工作,落实信息安全责任制：成立信息安全工作领导机构，明确信息安全工作的主管领导。成立专门的信息安全管理部门或落实信息安全责任部门，确定安全岗位，落实专职人员或兼职人员。明确落实领导机构、责任部门和有关人员的信息安全责任。 落实人员安全管理制度：制定人员录用、离岗、考核、教育培训等管理制度，落实管理的具体措施。对安全岗位人员要进行安全审查，定期进

18、行培训、考核和安全保密教育。提高安全岗位人员的专业水平，逐步实现安全岗位人员持证上岗。,（三）信息系统安全建设整改工作,落实系统建设管理制度：建立信息系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理制度，明确工作内容、工作方法、工作流程和工作要求。 落实系统运维管理制度：建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置等管理制度，制定应急预案并定期开展演练，采取相应的管理技术措施和手段，确保了、系统运维管理制度的有效落实。,（三）信息系统安全建设整改工作,（2）等级保护安全技术措

19、施建设 结合行业特点和安全需求，制定符合相应等级要求的信息系统安全技术建设整改方案，开展安全技术措施建设。 可以采取“一个中心三维防护”的防护策略，实现相应级别信息系统的安全保护技术要求。,（三）信息系统安全建设整改工作,信息系统安全建设整改方案主要内容： 项目背景 政策和技术标准依据 安全需求分析 安全建设整改技术方案设计 安全建设整改管理体系设计 信息系统安全产品选型及技术指标 安全监视整改后信息系统残余风险分析 安全建设整改建设项目实施计划 项目预算,（三）信息系统安全建设整改工作,5、工作流程 第一步：制定安全建设整改工作计划，对安全建设整改工作进行总体部署。 第二步：开展信息系统安全

20、现状分析，从管理和技术两方面确定安全建设整改需求。 第三步：确定安全保护策略，制定信息系统哦安全建设整改方案。 第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施。 第五步：开展安全自查和等级测评，及时发现问题并进一步整改。,（三）信息系统安全建设整改工作,6、信息系统应达到的保护能力目标 第二级信息系统：经过安全建设整改工作，信息系统具有抵御小规模、较弱强度恶意攻击的能力，抵抗一般的自然灾害的能力，防范一般性计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对安全事件进行记录的能力；系统遭到损害后，具有恢复系统正常运行状态的能力。

21、,（三）信息系统安全建设整改工作,第三级信息系统：经过安全建设整改工作，信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现报警、记录入侵行为的能力；具有对安全事件进行相应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能立即恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。,（三）信息系统安全建设整改工作,第四级信息系统：经过安全建设整改工作，信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力，抵

22、抗严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力：具有检测、发现报警、记录入侵行为的能力；具有对安全事件进行快速相应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能迅速恢复正常运行状态，具有对系统资源、用户、安全机制等进行集中控管的能力。,（三）信息系统安全建设整改工作,（四）信息安全等级保护测评工作 等级测评是测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。是信息安全等级保护工作的重要环节。 公安机关按照关于推动信息安全等级保护测评

23、体系建设和开展等级测评工作的通知（公信安2010303号）要求，开展测评机构和测评人员的管理工作，保证等级测评的客观、公正和安全。,三、等级保护工作的具体内容和要求,三、等级保护工作的具体内容和要求,1、测评机构和测评人员的管理 （1）职责分工 国家信息安全等级保护工作协调小组办公室（以下简称“等保办”）负责隶属国家信息安全职能部门和重点行业测评机构的申请受理、审批推荐和监督检查等工作。 各省级等保办负责等级测评机构的申请受理、审核推荐和监督检查等工作。 公安部信息安全等级保护评估中心（以下简称“评估中心”）负责测评机构的能力评估和培训工作。,（2）测评机构申请流程 申请：申请单位向省级以上等

24、保办书公面申请，提交信息安全等级保护测评机构申请表。 受理、初审：等保办受理申请，并对申请材料进行初审。 能力评估：公安部信息安全等级保护评估中心对申请单位进行能力评估，对测评师进行培训、考试、发证。,三、等级保护工作的具体内容和要求,三、等级保护工作的具体内容和要求, 专家审核 ：等保办组织专家对测评能力,评估合格的申请单位进行审核。, 推荐：等保办向通过评审的申请单位颁发,信息安全等级保护测评机构推荐证书 。, 公布：省级等保办向社会公布测评机构推,荐目录并报国家等保办，国家等保办汇总,公布全国信息安全等级保护测评机构推荐目录。,三、等级保护工作的具体内容和要求,（3）监督管理, 日常监督

25、：测评报告、测评过程、测,评服务用 。, 变更处理：机构名称、法人、测评师,等变动的，在30日内到等保办办理变 更。, 违规处置：限期整改 、警告 、取消,证书。, 年度检查 ：检查时间 、内容 、方式 。,三、等级保护工作的具体内容和要求,测评机构不得从事下列活动：,（一）影响被测评信息系统正常运行，,危害被测评信息系统安全；,（二）泄露知悉的被测评单位及被测评,信息系统的国家秘密和工作秘密；,（三）故意隐瞒测评过程中发现的安全 问题，或者在测评过程中弄虚作假， 未如实出具等级测评报告；,（四）未按规定格式出具等级测评报告；,三、等级保护工作的具体内容和要求,（五）非授权占有、使用等级测评相

26、关资 料及数据文件；,（六）分包或转包等级测评项目；,（七）信息安全产品开发、销售和信息系,统安全集成；,（八）限定被测评单位购买、使用其指定,的信息安全产品；,（九）其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。,三、等级保护工作的具体内容和要求,2、等级测评工作的开展,测评目的：一是掌握信息系统安全状况、,排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求；二是能够衡量出信息系统安全保护措施是否符合等级保护基本要求，是否具备了相应等级的安全保护能力。,三、等级保护工作的具体内容和要求,测评时机：建设整改前：等级测评，现状,分析；建设整改后：等级测评，检验整改效果。,测评

27、频率：第三级以上定期；第二级参照。,测评费用：参照国家信息化项目人工计费标准,或根据被测设备数量与测评项预算测评费用。,三、等级保护工作的具体内容和要求,3、测评业务范围, 职能部门测评机构在全国范围内开展测评,业务，到地方时，应当事先告知属地省级 等保办。, 行业测评机构原则上在本行业内开展测评，,到地方时应与属地省级等保办协调。可以 承担其他行业信息系统的测评任务。, 地方测评机构原则上在本地开展测评，也,可以到异地开展测评，但事先须与当地等 保办协调。可以承担各部委信息系统的测 评任务。, 特殊情况由公安机关进行协调。,三、等级保护工作的具体内容和要求,3、测评业务范围, 职能部门测评机

28、构在全国范围内开展测评,业务，到地方时，应当事先告知属地省级 等保办。, 行业测评机构原则上在本行业内开展测评，,到地方时应与属地省级等保办协调。可以 承担其他行业信息系统的测评任务。, 地方测评机构原则上在本地开展测评，也,可以到异地开展测评，但事先须与当地等 保办协调。可以承担各部委信息系统的测 评任务。, 特殊情况由公安机关进行协调。,三、等级保护工作的具体内容和要求,（五）安全自查和监督检查,备案单位、行业主管部门、公安机关要分别建立并落实监督检查机制，定期开展监督检查。,1、备案单位的定期自查, 定期开展自查，掌握信息系统安全状况、,安全管理制度及技术保护措施的落实情况 等。, 配合

29、公安机关的监督检查工作，如实提供,有关资料及文件。当重要信息系统发生事 件、案件时，备案单位应当及时向受理备 案的公安机关报告。,三、等级保护工作的具体内容和要求,2、行业主管部门的督导检查, 行业主管部门要建立督导检查制度，,组织制定本行业、本部门的信息安全 等级保护检查工作规范。, 定期组织对本行业、本部门等级保护,工作开展情况进行检查，督促落实信 息安全等级保护制度，达到重点督促， 以点带面的目的。,三、等级保护工作的具体内容和要求,3、公安机关的监督检查, “谁受理备案、谁负责检查”。依据,公安机关信息安全等级保护检查工 作规范（试行）开展监督检查。, 会同主管部门共同开展，建立监督检

30、,查配合机制。, 对重要信息系统发生的事件、案件及,时进行调查和立案侦查，并指导开展 应急处置工作。,三、等级保护工作的具体内容和要求,（六）信息安全产品的选择使用,1、信息安全产品在市场上销售，必须通过公安部信息安全产品检测中心检测，并获得公安部颁发的销售许可证。 2、公安部发布了关于调整更新计算机信息系统安全专用产品检测执行标准规范的公告（公信安20091157号），对已有分级标准的29类信息安全产品开展分级检测工作。对于检测并审核通过的产品，产品销售许可证书标注产品分级信息，便于用户选择使用。,三、等级保护工作的具体内容和要求,3、管理办法规定，第三级以上信息系统应当选择使用我国自主研发的信息安全产品。信息安全产品是信息系统安全的重要基础，尤其是进入到重要信息系统中的信息安全产品将直接影响信息系统安全。因此，应在满足使用要求的前提下，优先选择国内产品。,谢 谢！,