搜索
公安部信息安全等级保护评估中心信息安全等级保护制度实施毕马宁公安部信息安全等级保护评估中心2019/10/12引言近年来,党中央、国务院高度重视,各有关方面协调配合、共同努力,我国信息安全保障工作取得了很大进展。但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:公安部信息安全等级保护评估中心2019/10/13存在的问题信息安全滞后于信息化发展;信息安全阻碍了信息化发展。公安部信息安全等级保护评估中心2019/10/14存在的问题(续)—大多数单位均采用防火墙作为内外网的防护设备奠定了最基本的网络安全基础。—重视外部攻击与入侵,忽视内部的非法行为—偏重产品,忽视体系和管理。—关键技术、产品受制于人。公安部信息安全等级保护评估中心2019/10/15产生问题的原因信息安全防范意识和能力薄弱;信息安全法律法规不完善,标准体系尚待完善;信息系统安全建设和管理缺乏体系化思想;监督管理缺乏依据和标准,监管体系尚待完善。公安部信息安全等级保护评估中心2019/10/16我们的对策美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁,制定了一系列强化信息网络安全建设的政策和标准,其中一个很重要思想就是将不同重要程度的信息系统划分不同的安全等级,以指导不同领域的信息安全工作。面对严峻的形势和严重的问题,如何解决我国信息安全问题,是摆在我国政府、企业、公民面前的重大关键问题。公安部信息安全等级保护评估中心2019/10/17我们的对策(续)经过我国信息安全领域有关部门和专家学者的多年研究,在借鉴国外先进经验和结合我国国情的基础上,提出了分等级保护的策略来解决我国信息安全问题:信息安全等级保护制度公安部信息安全等级保护评估中心2019/10/18信息安全等级保护制度《中华人民共和国计算机信息系统安全保护条例》(1994年国务院147号令)规定“计算机信息系统实行安全等级保护。等级划分标准和等级管理办法由公安部会同有关部门制定”。公安部信息安全等级保护评估中心2019/10/19信息安全等级保护制度(续)2003年,中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出:要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度。制定信息安全等级保护的管理办法和技术指南。公安部信息安全等级保护评估中心2019/10/110信息安全等级保护制度(续)2004年9月,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),文件中明确指出:信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。公安部信息安全等级保护评估中心2019/10/111等级保护制度的主要内容根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;信息系统必须达到的基本的安全保护水平等因素,对信息和信息系统划分以下五个安全保护和监管等级:公安部信息安全等级保护评估中心2019/10/112第一级为自主保护级适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。信息系统运营、使用单位或个人依照国家管理规范和技术标准进行自主保护。公安部信息安全等级保护评估中心2019/10/113第二级为指导保护级适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全;信息系统运营、使用单位应当依据国家管理规范和技术标准自主进行保护。必要时,国家信息安全监管职能部门进行指导。公安部信息安全等级保护评估中心2019/10/114第三级为监督保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害;依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。公安部信息安全等级保护评估中心2019/10/115第四级为强制保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,对国家安全、社会秩序和公共利益造成严重损害;依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查。公安部信息安全等级保护评估中心2019/10/116第五级为专控保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,所承载的业务受到破坏后,会直接对国家安全造成特别严重损害;依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督。公安部信息安全等级保护评估中心2019/10/117信息安全产品使用信息安全产品的安全功能和可控性直接关系到其所构建的信息系统的安全;国家对信息安全产品的管理除按法律要求实行销售许可外,还对信息安全产品的使用按照其安全性,特别是其可控性和可信性进行分等级管理。公安部信息安全等级保护评估中心2019/10/118信息安全事件分等级响应处置依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围,确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案,确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后,分等级按照预案进行响应和处置。公安部信息安全等级保护评估中心2019/10/119信息安全等级保护制度的意义实行等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。公安部信息安全等级保护评估中心2019/10/120信息安全等级保护制度的意义(续)实施信息安全等级保护,可以有效地提高我国信息安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督;公安部信息安全等级保护评估中心2019/10/121信息安全等级保护制度的意义(续)有利于明确国家、法人和其他组织、公民的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施;有利于提高安全保护的科学性、整体性、针对性,推动信息安全产业水平,逐步探索一条适应社会主义市场经济发展的信息安全发展模式。公安部信息安全等级保护评估中心2019/10/122信息安全等级保护制度的基本原则信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。信息安全等级保护制度遵循以下基本原则:一是明确责任,共同保护二是依照标准,自行保护三是同步建设,动态调整四是指导监督,重点保护公安部信息安全等级保护评估中心2019/10/123信息安全等级保护工作的基本要求实施信息安全等级保护应当做好以下六个方面工作:(一)完善标准,分类指导。(二)科学定级,严格备案。(三)建设整改,落实措施。(四)自查自纠,落实要求。(五)建立制度,加强管理。(六)监督检查,完善保护。公安部信息安全等级保护评估中心2019/10/124等级保护工作的职责分工公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。在信息安全等级保护工作中,涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室负责信息安全等级保护工作中部门间的协调。公安部信息安全等级保护评估中心2019/10/125等级保护工作的职责分工信息和信息系统的建设、运行、维护、使用单位和个人,按照“谁主管、谁负责”的原则,在信息安全等级保护工作中承担具体的安全责任。重要行业的主管部门负责在本行业内贯彻落实信息安全等级保护工作,并对行业内信息系统运营、使用单位的落实情况进行管理。公安部信息安全等级保护评估中心2019/10/126等级保护工作的组织开展随着信息化的发展,信息共享,互联互通已经成为主流,10年前147号令提出重要领域信息系统安全保护的工作任务已经向信息安全保障方向发展,谁主管谁负责已经成为信息安全保障工作的基本原则。因此,要与时俱进,为信息安全等级保护工作注入新的内涵,等级保护要适应当前信息化发展和信息安全保障工作的总体要求以保持其生命力。公安部信息安全等级保护评估中心2019/10/127等级保护工作的组织开展等级保护工作的开展要适应当前政府职能转变的要求,转变过去那种对重要信息系统采取的偏重内保型管理、治安管理型和包办型管理,逐步转变到前瞻型管理、社会型管理和服务型管理的新型管理模式上。要提高服务保障意识,努力为社会服务,为经济建设服务,为国家的安定和稳定服务。公安部信息安全等级保护评估中心2019/10/128《中华人民共和国计算机信息系统安全保护条例》国家基础标准(GB17859)及配套标准《信息安全等级保护管理办法》及相关规定运营单位/主管部门行政执法部门咨询监理工程测评重要信息系统规划设计建设运行等级化的重要信息系统安全等级保护体系技术支持行业管理规范和技术规范业务分类与定级网络系统结构产品装备与配置过程控制与管理授权指定公安部信息安全等级保护评估中心2019/10/129部/省级公安机关/网监部门重要信息系统的主管/建设/运营部门/机构重要信息系统指导监督、检查处置机构/人员/制度/规范/服务/产品/测评/备案技术支持体系监督检查执法体系公安部信息安全等级保护评估中心2019/10/130技术支持体系社会力量公安部公共信息网络安全监察局各地技术支持机构公安部信息安全等级保护评估中心地方网监部门技术服务与支持重要信息系统规划、设计、建设、运行、测评、备案监督、检查、执法授权机构等级安全检测公安部信息安全等级保护评估中心2019/10/131关于我们“公安部信息安全等级保护评估中心”是由公安部批准成立,国家发改委划拨专项经费支持,为国家推行信息安全等级保护制度提供技术支持的专业机构.公安部信息安全等级保护评估中心2019/10/132我们的使命为国家推行信息安全等级保护制度所进行的监督执法检查提供技术支持为重点行业、重要信息系统实行信息安全等级保护提供技术服务公安部信息安全等级保护评估中心2019/10/133GB17859_1999。。。。。。信息系统安全保护等级定级指南信息系统安全等级保护基本要求信息系统安全等级保护管理监督检查要求信息系统安全保护等级测评准则信息系统等级保护实施指南信息系统等级保护评估指南。。。。。。技术标准体系公安部信息安全等级保护评估中心2019/10/134等级保护工作的具体做法系统定级等级备案与检测等级保护运行与管理基本要求,实施指南、安全产品标准定级指南、实施指南监督管理要求、测评准则、基本要求基本要求,定级指南、实施指南,评估指南安全规划与设计安全建设与实现监督管理要求实施指南公安部信息安全等级保护评估中心2019/10/135系统定级阶段安全规划设计阶段安全实施阶段运行管理和状态监控阶段等级备案与检测系统调查和描述子系统划分子系统定级子系统边界设定定级结果文档化等级保护工作的具体做法等级化风险评估分级保护模型化处理安全策略规划安全建设规划安全建设详细方案设计安全产品采购安全控制开发安全控制集成验收等级安全检测备案操作管理和控制配置管理和控制变更管理和控制安全状态监控安全事件处理和应急预案自主检查和监督检查持续改进公安部信息安全等级保护评估中心2019/10/136等级确定的