信息安全等级保护制度的主要内容和工作要求

信息安全等级保护制度的主要内容和工作要求目录一、信息安全等级保护制度的主要内容二、信息安全等级保护政策、标准体系三、等级保护工作的具体内容和工作要求一、等级保护制度的主要内容（一）国家为什么要实施信息安全等级保护制度1.信息安全形势严峻◆敌对势力的入侵、攻击、破坏◆针对基础信息网络和重要信息系统的违法犯罪持续上升◆基础信息网络和重要信息系统安全隐患严重2.是维护国家安全的需要基础信息网络和重要信息系统已成为国家关键基础设施信息安全是国家安全的重要组成部分信息安全是非传统安全，信息安全本质是信息对抗、技术对抗3、是国际上通行的做法。一、等级保护制度的主要内容（二）国家对等级保护制度的要求1.《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）：“计算机信息系统实行安全等级保护，等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”一、等级保护制度的主要内容2、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）规定：要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。一、等级保护制度的主要内容（三）等级保护制度的地位和作用是国家信息安全保障工作的基本制度、基本国策。是开展信息安全工作的基本办法。是促进国家信息化、维护国家信息安全的根本保障。一、等级保护制度的主要内容一、等级保护制度的主要内容（四）实施等级保护制度的主要目的◆明确重点、突出重点、保护重点◆有利于同步建设、协调发展。◆优化信息安全资源的配置。◆明确信息安全责任。◆推动信息安全产业发展。国家发展改革部门、财政部门、科技部门、公安机关对重要信息系统在政策上给予支持。一、等级保护制度的主要内容(五)公安机关组织开展等级保护工作的依据1、《警察法》规定：警察履行“监督管理计算机信息系统的安全保护工作”的职责。2、国务院第147号令规定：“公安部主管全国计算机信息系统安全保护工作”，“等级保护的具体办法，由公安部会同有关部门制定”。3、2008年国务院三定方案，公安机关新增职能：“监督、检查、指导信息安全等级保护工作”。（六）等级保护工作的主要内容对信息系统分等级进行安全保护和监管。五个规定动作：信息系统定级、备案、安全建设整改、等级测评、监督检查。信息安全产品分等级使用管理。信息安全事件分等级响应、处置。一、等级保护制度的主要内容一、等级保护制度的主要内容（七）相关部门的责任和义务职能部门：制定管理规范和技术标准，组织实施，开展监督、检查、指导。行业主管部门：督促、检查、指导本行业、本部门开展等级保护工作。运营使用单位：开展信息系统定级、备案、建设整改、等级测评、自查等工作，落实等级保护制度的各项要求安全服务机构：开展技术支持、服务等工作，并接受监管部门的监督管理。一、等级保护制度的主要内容国家信息安全职能部门职责分工公安机关：牵头部门，监督、检查、指导信息安全等级保护工作。国家保密部门：负责等级保护工作中有关保密工作的监督、检查、指导。并负责涉及国家秘密信息系统分级保护国家密码管理部门：负责等级保护工作中有关密码工作的监督、检查、指导工业和信息化部门：负责等级保护工作中部门间的协调。一、等级保护制度的主要内容（八）开展等级保护工作的基本要求各单位、各部门，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求开展等级保护的定级、备案、整改、测评等工作。公安机关要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。（一）信息安全等级保护政策体系近几年，公安部根据国务院147号令的授权，会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了一些文件，公安部和省厅对有些具体工作出台了一些指导意见和规范，构成了信息安全等级保护政策体系。汇集成《信息安全等级保护工作汇编》供有关单位、部门使用。二、等级保护政策体系和标准体系政策体系信息安全等级保护工作定级备案安全建设整改等级测评《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）检查信息安全等级保护管理办法（公通字[2007]43号)关于信息安全等级保护工作的实施意见（公通字[2004]66号）中华人民共和国计算机信息系统安全保护条例(国务院147号令)《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《信息安全等级保护备案实施细则》（公信安[2007]1360号）《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技[2008]2071号）《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）信息系统安全等级测评报告模版（试行）（公信安[2009]1487）公安机关信息安全等级保护检查工作规范（公信安[2008]736号）（一）信息安全等级保护政策体系1、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）2、《信息安全等级保护管理办法》公通字[2007]43号）3、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）4、《信息安全等级保护备案实施细则》（公信安[2007]1360号）5、《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1429号）（一）信息安全等级保护政策体系6、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）7、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）。8、《关于印发〈信息系统安全等级测评报告模版（试行）〉的通知》（公信安[2009]1487号）9、《公安机关信息安全等级保护检查工作规范》（公信安[2008]736号）（二）信息安全等级保护标准体系多年来，在有关部门支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作系列标准，形成了比较完整的信息安全等级保护标准体系。（二）信息安全等级保护标准体系基础标准：《计算机信息系统安全保护等级划分准则》。在此基础上制定出技术类、管理类、产品类标准。安全要求：《信息系统安全等级保护基本要求》信息系统安全等级保护的行业规范（二）信息安全等级保护标准体系系统定级：《信息系统安全等级保护定级指南》信息系统安全等级保护行业定级细则方法指导：《信息系统安全等级保护实施指南》《信息系统等级保护安全设计技术要求》现状分析：《信息系统安全等级保护测评要求》《信息系统安全等级保护测评过程指南》（二）信息安全等级保护标准体系在应用有关标准中需注意的几个问题：1、《基本要求》是阶段性目标，《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一。2、《基本要求》中不包含安全设计和工程实施等内容，因此可以参照《信息系统等级保护安全设计技术要求》等标准进行。（二）信息安全等级保护标准体系3、在进行安全建设整改时，应根据业务信息安全等级和系统服务安全等级确定《基本要求》中相应的安全保护要求。4、重点行业可以按照《基本要求》等国家标准，结合行业特点和特殊安全需求，在公安部等有关部门指导下，制定行业标准规范或细则。三、等级保护工作的具体内容和要求（一）信息安全等级保护定级工作信息系统定级原则：“自主定级、专家评审、主管部门审批、公安机关审核”。具体可按照《关于开展全省重要信息系统安全等级保护定级工作的通知》（赣公字[2007]155号）要求执行。定级工作流程：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。三、等级保护工作的具体内容和要求1、确定定级对象◆起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）。◆用于生产、调度、管理、指挥、作业、控制、办公等目的各类业务系统。◆各单位网站。三、等级保护工作的具体内容和要求2、确定信息系统安全保护等级《管理办法》规定的五个等级：◆第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。◆第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。◆第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造损害。◆第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。◆第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。三、等级保护工作的具体内容和要求实际操作中参考确定信息系统等级：◆第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。◆第二级信息系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。三、等级保护工作的具体内容和要求第三级信息系统：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络系统等。三、等级保护工作的具体内容和要求第四级信息系统：一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全，影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。3、定级工作需要注意的问题◆同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。◆新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。三、等级保护工作的具体内容和要求（二）信息系统备案工作备案工作包括：信息系统备案、受理、审核和备案信息管理。具体按照《关于开展全省重要信息系统安全等级保护定级工作的通知》要求开展。1、备案◆第二级以上信息系统，由信息系统运营适用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续，填写《信息系统安全等级保护备案表》。三、等级保护工作的具体内容和要求三、等级保护工作的具体内容和要求省直单位、跨市或者全省统一联网运行的信息系统，由主管部门向省公安厅备案；各行业统一定级信息系统在各地的分支系统，即使是上级主管部门定级的，也要到当地公安网络安全保卫部门备案。2、受理备案与审核公安机关受理备案，按照《信息安全等级保护备案实施细则》要求，对备案材料进行审核，定级准确、材料符合要求的颁发由公安部统一监制的备案证明。三、等级保护工作的具体内容和要求三、等级保护工作的具体内容和要求3、测评业务范围物理安全，主机安全，应用安全，网络安全，数据安全，及备份与恢复，安全管理机构，安全管理制度，人员安全管理，系统建设管理系统运维管理10个类别进行测评。共计73个测评项，290个测评指标。其中44个子类符合，27个子类基本符合，1个子类不符合，1个子类不适用。三、等级保护工作的具体内容和要求4、二级与三级的测评内容区别物理环境：对重要的设备和磁介质实施电磁屏蔽。网络环境：按照对业务服务的重要次序来指定带宽分配优先级别。网络端口配置要达到端口级别。主机服务器：身份鉴别要达到两种以上。应用系统：身份鉴别达到两种以上之外，对并发会话连接数进行限制。（四）信息安全等级保护测评工作等级测评是测评机