《信息安全等级保护制度的主要内容和工作要求概要.ppt》由会员分享,可在线阅读,更多相关《信息安全等级保护制度的主要内容和工作要求概要.ppt(39页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、信息安全等级保护制度的主要内容和工作要求目 录一、信息安全等级保护制度的主要内容一、信息安全等级保护制度的主要内容二、信息安全等级保护政策、标准体系二、信息安全等级保护政策、标准体系三、等级保护工作的具体内容和工作要求三、等级保护工作的具体内容和工作要求一、等级保护制度的主要内容一、等级保护制度的主要内容(一)国家为什么要实施信息安全等级保(一)国家为什么要实施信息安全等级保护制度护制度1.信息安全形势严峻敌对势力的入侵、攻击、破坏针对基础信息网络和重要信息系统的违法犯罪持续上升基础信息网络和重要信息系统安全隐患严重2.是维护国家安全的需要是维护国家安全的需要l基础信息网络和重要信息系统已成为
2、国家关基础信息网络和重要信息系统已成为国家关键基础设施键基础设施l信息安全是国家安全的重要组成部分信息安全是国家安全的重要组成部分l信息安全是非传统安全,信息安全本质是信信息安全是非传统安全,信息安全本质是信息对抗、技术对抗息对抗、技术对抗3、是国际上通行的做法。、是国际上通行的做法。一、等级保护制度的主要内容一、等级保护制度的主要内容(二)国家对等级保护制度的要求(二)国家对等级保护制度的要求1.中华人民共和国计算机信息系统安全保护中华人民共和国计算机信息系统安全保护条例条例(国务院(国务院147号令):号令):“计算机信息计算机信息系统实行安全等级保护,等级的划分标准和系统实行安全等级保护
3、,等级的划分标准和安全等级保护的具体办法,由公安部会同有安全等级保护的具体办法,由公安部会同有关部门制定。关部门制定。”一、等级保护制度的主要内容一、等级保护制度的主要内容2、国家信息化领导小组关于加强信息安全国家信息化领导小组关于加强信息安全保障工作的意见保障工作的意见(中办发(中办发200327号)规号)规定:要重点保护基础信息网络和关系国家定:要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和度,制定信息安全等级保护的管理办法和
4、技术指南。技术指南。一、等级保护制度的主要内容一、等级保护制度的主要内容(三)等级保护制度的地位和作用(三)等级保护制度的地位和作用l是国家信息安全保障工作的基本制度、基是国家信息安全保障工作的基本制度、基本国策。本国策。l是开展信息安全工作的基本办法。是开展信息安全工作的基本办法。l是促进国家信息化、维护国家信息安全是促进国家信息化、维护国家信息安全 的的根本保障。根本保障。一、等级保护制度的主要内容一、等级保护制度的主要内容一、等级保护制度的主要内容一、等级保护制度的主要内容 (四)实施等级保护制度的主要目的(四)实施等级保护制度的主要目的明确重点、突出重点、保护重点明确重点、突出重点、保
5、护重点有利于同步建设、协调发展。有利于同步建设、协调发展。优化信息安全资源的配置。优化信息安全资源的配置。明确信息安全责任。明确信息安全责任。推动信息安全产业发展。推动信息安全产业发展。国家发展改革部门、财政部门、科技部门、公国家发展改革部门、财政部门、科技部门、公安机关对重要信息系统在政策上给予支持。安机关对重要信息系统在政策上给予支持。一、等级保护制度的主要内容一、等级保护制度的主要内容(五五)公安机关组织开展等级保护工作的依据公安机关组织开展等级保护工作的依据 1 1、警警察察法法规规定定:警警察察履履行行“监监督督管管理理计计算算机机信信息系统的安全保护工作息系统的安全保护工作”的职责
6、。的职责。2 2、国国务务院院第第147147号号令令规规定定:“公公安安部部主主管管全全国国计计算算机机信信息息系系统统安安全全保保护护工工作作”,“等等级级保保护护的的具具体体办法,由公安部会同有关部门制定办法,由公安部会同有关部门制定”。3 3、20082008年年国国务务院院三三定定方方案案,公公安安机机关关新新增增职职能能:“监督、检查、指导信息安全等级保护工作监督、检查、指导信息安全等级保护工作”。(六)等级保护工作的主要内容(六)等级保护工作的主要内容l对信息系统分等级进行安全保护和监管。对信息系统分等级进行安全保护和监管。五个规定动作五个规定动作:信息系统定级、备案、安全建:信
7、息系统定级、备案、安全建设整改、等级测评、监督检查。设整改、等级测评、监督检查。l信息安全产品分等级使用管理。信息安全产品分等级使用管理。l信息安全事件分等级响应、处置。信息安全事件分等级响应、处置。一、等级保护制度的主要内容一、等级保护制度的主要内容一、等级保护制度的主要内容一、等级保护制度的主要内容(七)相关部门的责任和义务(七)相关部门的责任和义务职能部门:制定管理规范和技术标准,组织实施,开展职能部门:制定管理规范和技术标准,组织实施,开展监督、检查、指导。监督、检查、指导。行业主管部门:督促、检查、指导本行业、本部门开展行业主管部门:督促、检查、指导本行业、本部门开展等级保护工作等级
8、保护工作。运营使用单位:开展信息系统定级、备案、建设整改、运营使用单位:开展信息系统定级、备案、建设整改、等级测评、自查等工作,落实等级保护制度的各项要求等级测评、自查等工作,落实等级保护制度的各项要求安全服务机构:开展技术支持、服务等工作,并接受监安全服务机构:开展技术支持、服务等工作,并接受监管部门的监督管理。管部门的监督管理。一、等级保护制度的主要内容一、等级保护制度的主要内容 国家信息安全职能部门职责分工国家信息安全职能部门职责分工公安机关:公安机关:牵头部门牵头部门,监督、检查、指导信息安全等级,监督、检查、指导信息安全等级保护工作。保护工作。国家保密部门:负责等级保护工作中有关保密
9、工作的监国家保密部门:负责等级保护工作中有关保密工作的监督、检查、指导。并负责涉及国家秘密信息系统分级保督、检查、指导。并负责涉及国家秘密信息系统分级保护护国家密码管理部门:负责等级保护工作中有关密码工作国家密码管理部门:负责等级保护工作中有关密码工作的监督、检查、指导的监督、检查、指导工业和信息化部门:负责等级保护工作中部门间的协调。工业和信息化部门:负责等级保护工作中部门间的协调。一、等级保护制度的主要内容一、等级保护制度的主要内容(八)开展等级保护工作的基本要求(八)开展等级保护工作的基本要求各单位、各部门,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求开展等级保护的定级
10、、备案、整改、测评等工作。公安机关要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。对故意将信息系统安全级别定低,逃避公安、保密、密码部门监管,造成信息系统出现重大安全事故的,要追究单位和人员的责任。(一)信息安全等级保护政策体系 近几年,公安部根据国务院147号令的授权,会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了一些文件,公安部和省厅对有些具体工作出台了一些指导意见和规范,构成了信息安全等级保护政策体系。汇集成信息安全等级保护工作汇编供有关单位、部门使用。二、等级保护政策体系和标准体系二、等级保护政策体系和标准体系 政政 策策 体体
11、系系信息安全等级保护工作信息安全等级保护工作定级定级备案备案安全建设整改安全建设整改等级测评等级测评关关于于开开展展全全国国重重要要信信息息系系统统安安全全等等级级保保护护定定级级工工作作的的通通知知(公公信信安安 2 20 00 07 7 8 86 61 1号号)检查检查信息安全等级保护管理办法(公通字信息安全等级保护管理办法(公通字200743200743号号)关于信息安全等级保护工作的实施意见(公通字关于信息安全等级保护工作的实施意见(公通字200466200466号)号)中华人民共和国计算机信息系统安中华人民共和国计算机信息系统安全保护条例全保护条例(国务院国务院147147号令号令)
12、国家信息化领导小组关于加强信息安全保国家信息化领导小组关于加强信息安全保障工作的意见障工作的意见(中办发(中办发200327200327号)号)信信息息安安全全等等级级保保护护备备案案实实施施细细则则(公公信信安安 2 20 00 07 7 1 13 36 60 0号号)关关于于开开展展信信息息安安全全等等级级保保护护安安全全建建设设整整改改工工作作的的指指导导意意见见(公公信信安安 2 20 00 09 9 1 14 42 29 9号号)关关于于加加强强国国家家电电子子政政务务工工程程建建设设项项目目信信息息安安全全风风险险评评估估工工作作的的通通知知(发发改改高高技技 2 20 00 08
13、 8 2 20 07 71 1号号)关关于于推推动动信信息息安安全全等等级级保保护护测测评评体体系系建建设设和和开开展展等等级级测测评评工工作作的的通通知知(公公信信安安 2 20 01 10 0 3 30 03 3号号)信信息息系系统统安安全全等等级级测测评评报报告告模模版版(试试行行)(公公信信安安 2 20 00 09 9 1 14 48 87 7)公公安安机机关关信信息息安安全全等等级级保保护护检检查查工工作作规规范范 (公公信信安安 2 20 00 08 8 7 73 36 6号号)(一)信息安全等级保护政策体系(一)信息安全等级保护政策体系1、关于信息安全等级保护工作的实施意见关于
14、信息安全等级保护工作的实施意见(公通(公通字字200466号)号)2、信息安全等级保护管理办法信息安全等级保护管理办法公通字公通字200743号)号)3、关于开展全国重要信息系统安全等级保护定级工关于开展全国重要信息系统安全等级保护定级工作的通知作的通知(公通字(公通字2007861号)号)4、信息安全等级保护备案实施细则信息安全等级保护备案实施细则(公信安(公信安20071360号)号)5、关于开展信息系统等级保护安全建设整改工作的关于开展信息系统等级保护安全建设整改工作的指导意见指导意见公信安公信安20091429号)号)(一)信息安全等级保护政策体系(一)信息安全等级保护政策体系6、关于
15、加强国家电子政务工程建设项目信息安全风关于加强国家电子政务工程建设项目信息安全风险评估工作的通知险评估工作的通知(发改高技(发改高技20082071号)号)7、关于推动信息安全等级保护测评体系建设和开展关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知等级测评工作的通知(公信安(公信安2010303号)。号)。8、关于印发关于印发信息系统安全等级测评报告模版(试信息系统安全等级测评报告模版(试行)行)的通知的通知(公信安(公信安20091487号)号)9、公安机关信息安全等级保护检查工作规范公安机关信息安全等级保护检查工作规范(公(公信安信安2008736号号 )(二)信息安全等级保
16、护标准体系(二)信息安全等级保护标准体系 多年来,在有关部门支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作系列标准,形成了比较完整的信息安全等级保护标准体系。(二)信息安全等级保护标准体系(二)信息安全等级保护标准体系基础标准:计算机信息系统安全保护等级划分准则。在此基础上制定出技术类、管理类、产品类标准。安全要求:信息系统安全等级保护基本要求 信息系统安全等级保护的行业规范(二)信息安全等级保护标准体系(二)信息安全等级保护标准体系系统定级:信息系统安全等级保护定级指南 信息系统安全等级保护行业定级细则
17、方法指导:信息系统安全等级保护实施指南信息系统等级保护安全设计技术要求现状分析:信息系统安全等级保护测评要求信息系统安全等级保护测评过程指南(二)信息安全等级保护标准体系(二)信息安全等级保护标准体系在应用有关标准中需注意的几个问题:在应用有关标准中需注意的几个问题:1、基本要求基本要求是阶段性目标,是阶段性目标,信息系统等级信息系统等级保护安全设计技术要求保护安全设计技术要求是实现该目标的方法是实现该目标的方法和途径之一。和途径之一。2、基本要求基本要求中不包含安全设计和工程实施等中不包含安全设计和工程实施等内容,因此可以参照内容,因此可以参照信息系统等级保护安全信息系统等级保护安全设计技术
18、要求设计技术要求等标准进行。等标准进行。(二)信息安全等级保护标准体系(二)信息安全等级保护标准体系3、在进行安全建设整改时,应根据业务信息安全、在进行安全建设整改时,应根据业务信息安全等级和系统服务安全等级确定等级和系统服务安全等级确定基本要求基本要求中中相应的安全保护要求。相应的安全保护要求。4、重点行业可以按照基本要求等国家标准,结合行业特点和特殊安全需求,在公安部等有关部门指导下,制定行业标准规范或细则。三、等级保护工作的具体内容和要求三、等级保护工作的具体内容和要求(一)信息安全等级保护定级工作 信息系统定级原则:“自主定级、专家评审、主管部门审批、公安机关审核”。具体可按照关于开展
19、全省重要信息系统安全等级保护定级工作的通知(赣公字2007155号)要求执行。定级工作流程:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。三、等级保护工作的具体内容和要求三、等级保护工作的具体内容和要求1、确定定级对象、确定定级对象起支撑、传输作用的信息网络(包括专起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)。网、内网、外网、网管系统)。用于生产、调度、管理、指挥、作业、用于生产、调度、管理、指挥、作业、控制、办公等目的各类业务系统。控制、办公等目的各类业务系统。各单位网站。各单位网站。三、等级保护工作的具体内容和要求三、等级保护工作的具体内
20、容和要求2 2、确定信息系统安全保护等级 管理办法规定的五个等级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。三、等级保护工作的具体内容和要求三、等级保护工作的具体内
21、容和要求实际操作中参考确定信息系统等级:实际操作中参考确定信息系统等级:第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。三、等级保护工作的具体内容和要求三、等级保护工作的具体内容和要求第三级信息系统:一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重
22、要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省联接的网络系统等。三、等级保护工作的具体内容和要求三、等级保护工作的具体内容和要求第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全,影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。3、定级工作需要注意的问题 同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。三、等级保护工作的具体内容和要求
23、三、等级保护工作的具体内容和要求(二)信息系统备案工作 备案工作包括:信息系统备案、受理、审核和备案信息管理。具体按照关于开展全省重要信息系统安全等级保护定级工作的通知要求开展。1、备案第二级以上信息系统,由信息系统运营适用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续,填写信息系统安全等级保护备案表。三、等级保护工作的具体内容和要求三、等级保护工作的具体内容和要求三、等级保护工作的具体内容和要求三、等级保护工作的具体内容和要求省直单位、跨市或者全省统一联网运行的信息系统,由主管部门向省公安厅备案;各行业统一定级信息系统在各地的分支系统,即使是上级主管部门定级的,也要到当地公安
24、网络安全保卫部门备案。2、受理备案与审核、受理备案与审核 公安机关受理备案,按照信息安全等级保护备案实施细则要求,对备案材料进行审核,定级准确、材料符合要求的颁发由公安部统一监制的备案证明。三、等级保护工作的具体内容和要求三、等级保护工作的具体内容和要求三、等级保护工作的具体内容和要求三、等级保护工作的具体内容和要求3、测评业务范围、测评业务范围 物理安全,主机安全,应用安全,网络安全,数据安全,及备份与恢复,安全管理机构,安全管理制度,人员安全管理,系统建设管理 系统运维管理10个类别进行测评。共计73个测 评项,290个测评指标。其中44个子类符合,27个子类基本符合,1个 子类不符合,1
25、个子类不适用。三、等级保护工作的具体内容和要求三、等级保护工作的具体内容和要求4、二级与三级的测评内容区别、二级与三级的测评内容区别物理环境:对重要的设备和磁介质实施电磁屏 蔽。网络环境:按照对业务服务的重要次序来指定带宽分配优先级别。网络端口配置要达到端口级别。主机服务器:身份鉴别要达到两种以上。应用系统:身份鉴别达到两种以上之外,对并 发会话连接数进行限制。(四)信息安全等级保护测评工作(四)信息安全等级保护测评工作 等级测评是测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。是信息安全等级保护工作的重要环节。
26、公安机关按照关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安2010303号)要求,开展测评机构和测评人员的管理工作,保证等级测评的客观、公正和安全。三、等级保护工作的具体内容和要求三、等级保护工作的具体内容和要求三、等级保护工作的具体内容和要求三、等级保护工作的具体内容和要求1、测评机构和测评人员的管理、测评机构和测评人员的管理 (1)职责分工)职责分工国家信息安全等级保护工作协调小组办公室(以下简称“等保办”)负责隶属国家信息安全职能部门和重点行业测评机构的申请受理、审批推荐和监督检查等工作。各省级等保办负责等级测评机构的申请受理、审核推荐和监督检查等工作。公安部信息安全等级保护评估中心(以下简称“评估中心”)负责测评机构的能力评估和培训工作。谢谢 谢!谢!
黑公网安备:91230400333293403D