信息安全等级保护安全建设整改工作培训材料之一

1信息安全等级保护安全建设整改工作培训材料公安部网络安全保卫局二〇〇九年十二月2前言为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》精神，有效解决信息系统安全保护中存在的管理制度不健全、技术措施不符合标准要求、安全责任不落实等突出问题，提高我国重要信息系统的安全保护能力，在全国信息系统安全等级保护定级工作基础上，公安部印发了《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号），部署开展信息系统等级保护安全建设整改工作。为便于信息系统等级保护安全建设整改工作相关单位全面了解和掌握信息安全等级保护安全建设整改工作所依据的政策和技术标准，明确开展等级保护安全建设整改工作的目标、内容和要求，更好地指导各单位、各部门开展信息安全等级保护安全建设整改工作，加强宣传和培训工作，我们编写了本培训材料，供参考使用。有关材料下载网址：公安部网站：等级保护网站：目录一、当前开展信息安全等级工作面临的形势二、信息安全等级保护安全建设整改工作依据的政策（一）总体政策（二）具体政策1、定级政策2、备案政策3、安全建设整改政策4、等级测评政策5、检查监督政策三、信息安全等级保护安全建设整改工作依据的标准（一）基础类标准（二）安全要求类标准（三）定级类标准（四）方法指导类标准（五）现状分析类标准四、信息安全等级保护安全建设整改的工作目标五、信息安全等级保护安全建设整改的工作对象六、信息安全等级保护安全建设整改的工作内容及要求（一）信息安全等级保护安全管理制度建设4（二）信息安全等级保护安全技术措施建设七、信息安全等级保护安全建设整改的工作流程八、信息安全等级保护安全建设整改的工作方法九、信息安全等级保护安全建设整改中的几项相关工作（一）信息安全等级测评（二）信息安全产品的选择使用（三）信息系统安全建设整改方案的制定十、信息安全等级保护安全建设整改工作的检查监督十一、总体工作要求附件：国家信息安全等级保护安全建设指导专家委员会职责国家信息安全等级保护安全建设指导专家委员会专家名单5信息安全等级保护安全建设整改工作培训材料一、当前开展信息安全等级工作面临的形势近年来，在党中央、国务院的高度重视下，通过各地区、各部门的共同努力，信息安全工作取得明显成效：信息安全责任进一步明确，等级保护、风险评估、网络信任体系、应急与灾备等基础性工作和基础设施建设取得明显进展，信息安全防护水平明显提高。与此同时我们应该看到，当前我国信息安全面临的形势仍然十分严峻，维护国家信息安全的任务十分艰巨、繁重。一是西强我弱的局面长期存在，信息安全战略威胁更加突出。近年来，我国重要信息系统的安全保护能力虽然有了很大提高，但同西方发达国家相比，还是处于西强我弱，总体比较被动的局面。奥巴马执政以来，美国高度重视网络安全问题，将网络空间视为继陆、海、空、太空后的“第五战略空间”，制订出台了包括强化联邦政府对网络安全的统一领导，整合各方资源力量，成立作战部队，加强技术研发和网络战资源储备，全面提升国家关键信息基础设施的安全防范能力等一系列重要举措。而美国推行国家网络安全新战略，正是将中国作为其头号假想敌。如果未来发生“网络战”，美国和西方国家首要攻击目标就是我国涉及国计民生的重要信息系统。同时，信息安全领域的一些关键技术和关键产品大部分掌握在西方信息化发达国家手中，从而使大量采用国外产品和服务的我国重要6信息系统受敌对势力、敌对分子渗透、攻击、控制的安全隐患进一步加大，构成了对我关键基础设施的战略威胁。二是各类网络安全威胁不断增多，网络安全防范难度加大。今年以来，截获计算机病毒数量、新增病毒种类以及感染计算机台数较去年同期均有所增加，计算机病毒通过网页挂马、网络共享、电子邮件和U盘等移动存储介质广泛传播。与第三方应用软件、浏览器服务有关安全漏洞也大幅上升，其中大量是高危漏洞。大量木马、后门病毒利用安全漏洞通过“网站挂马”、“U盘摆渡”、伪造和欺骗等手段侵入重要信息系统，消耗系统资源，窃取个人用户信息甚至国家秘密和商业秘密，给重要信息系统的安全运行造成很大危害。此外，境内外敌对势力、敌对分子和不法分子也利用重要信息系统的安全漏洞和管理缺陷，对我重要信息系统实施网络探测攻击，破坏国家网络基础设施的行为也逐年增多。三是信息安全建设缺乏规范，安全防护能力亟待提高。一些单位信息安全领导体制和工作机制等责任制未落实，人员安全管理、系统运维管理和系统建设管理制度不健全、不规范。缺乏常态化的系统安全保护状况的测评分析，在安全技术策略的选择、建设整改方案设计及实施等技术建设方面，既存在一定的盲目性，也缺乏完整性和系统性，导致信息安全整体防护能力和水平不高，给信息系统正常运行留下安全隐患。为切实履行中央赋予公安部的职责，2007年，公安部会同有关部门开展了信息安全等级保护定级工作。经过各部门、各行业、各单位的共同努力，定级工作已基本完成。为加快推进信息安全等级保护制度建设，将等级保护工作向纵深推进，定级备案工作完成后，公安部积极组织有关单7位和专家，制定并完善了等级保护相关政策和技术标准，为各单位、各部门深入开展等级保护安全建设整改工作奠定了必要的基础。一是制定了信息安全等级保护安全建设整改工作的相关政策。经过多年探索和实践，特别是经过北京奥运网络安全保卫工作的检验，进一步明确了开展等级保护安全建设整改工作的目标、内容、要求和方法，制定并印发了《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）及《信息安全等级保护安全建设整改工作指南》等附件，至此，针对等级保护定级、备案、安全建设整改、等级测评、监督检查等主要环节的政策体系已基本形成。二是制定了信息安全等级保护安全建设整改工作的相关标准。为配合信息安全等级保护安全建设整改工作顺利开展，公安部组织国内有关单位和专家经过多年研究，形成了以《计算机信息系统安全保护等级划分准则》（GB17859-1999）为基础的技术、管理和产品三大类标准体系，并在此基础上，形成了体现安全建设整改具体内容和要求的《信息系统安全等级保护基本要求》（GB/T22239-2008）。该标准与测评要求等状况分析方面的标准和实施指南、安全设计技术要求等方法指导方面标准，共同为安全建设整改工作提供技术标准支撑。至此，信息安全等级保护标准体系也已基本形成。三是等级保护测评体系建设已经开展。等级测评工作是信息安全等级保护整体工作的一个重要组成部分。为推动信息安全等级保护测评机构建设，规范测评机构和人员及其测评活动的管理，保障等级保护工作的顺利开展，公安部已于今年年初组织开展等级测评体系建设。先后组织编写了《信息安全等级保护测评要求》、《信息安全等级保护测评过程指南》以及《信息系统等级保护测评报告模版》等标准8和规范。为检验标准和规范的可行性和必要性，公安部于今年7—10月份组织开展了等级测评体系建设试点工作，六个省市公安机关和十多家测评机构参加，积累了对测评机构及人员规范管理的经验和方法。下一步公安部将在全国推广试点工作经验，加强对测评机构的能力审验和安全审查，加强对测评人员的安全审查和培训，并将通过评估的测评机构向社会公布，供相关单位选择。此外，电力等一些行业及一些信息安全企业已经按照等级保护相关政策和标准，开始进行信息安全等级保护安全建设整改工作，摸索了一些经验。总之，综合开展信息安全等级保护安全建设整改工作面临的形势和前期工作基础，既是形势所迫，也具备了一定的条件，既有必要性，也有可行性。因此，各单位要全面准确把握当前我国信息安全工作面临的形势，进一步统一思想，提高认识，增强做好信息安全等级保护安全建设整改工作的责任感和紧迫感，将等级保护工作落实好。二、信息安全等级保护安全建设整改工作依据的政策近几年，为组织开展信息安全等级保护工作，公安部根据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）的授权，会同国家保密局、国家密码管理局和原国务院信息办出台了一些文件，国家发改委会同公安部、国家保密局出台了相关文件，公安部对有些具体工作出台了一些指导意见和规范，这些文件初步构成了信息安全等级保护政策体系（如图1所示），为指导各地区、各部门开展等级保护工作提供了政策保障。9图1信息安全等级保护法律政策体系为了方便使用，我们已将信息安全等级保护政策文件汇编成《信息安全等级保护政策汇编》发给有关单位、部门。（一）总体政策总体方面的文件有两个，这两个文件确定了等级保护制度的总体内容和要求，对等级保护工作的开展起到宏观指导作用。《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）信息安全等级保护工作《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《信息安全等级保护备案实施细则》（公信安[2007]1360号）《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）关于印发《信息系统安全等级测评报告模版（试行）》的通知（公信安[2009]1487号）《公安机关信息安全等级保护检查工作规范（试行）》（公信安[2008]736号）《信息安全等级保护管理办法》（公通字[2007]43号）定级备案安全建设整改等级测评检查101、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）。该文件是为贯彻落实国务院第147号令和中办27号文件、由四部委共同会签印发、指导相关部门实施信息安全等级保护工作的纲领性文件，主要内容包括贯彻落实信息安全等级保护制度的基本原则，等级保护工作的基本内容、工作要求和实施计划，以及各部门工作职责分工等。2、《信息安全等级保护管理办法》（公通字[2007]43号）。该文件是在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上，由四部委共同会签印发的重要管理规范，主要内容包括信息安全等级保护制度的基本内容、流程及工作要求，信息系统定级、备案、安全建设整改、等级测评的实施与管理，信息安全产品和测评机构选择等，为开展信息安全等级保护工作提供了规范保障。（二）具体政策对应等级保护工作的具体环节（信息系统定级、备案、安全建设整改、等级测评、安全检查），出台了相应的政策规范：1．定级政策《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）。2007年7月20日四部委在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”，会议根据该通知精神部署在全国范围内开展重要信息系统安全等级保护定级工作，标志着全国信息安全等级保护工作全面开展。该文件由四部委共同会签印发。2．备案政策《信息安全等级保护备案实施细则》（公信安[2007]1360号）。该文11件规定了公安机关受理信息系统运营使用单位信息系统备案工作的内容、流程、审核等内容，并附带有关法律文书，指导各级公安机关受理信息系统备案工作。该文件由公安部网络安全保卫局印发。3．安全建设整改政策（1）《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）。该文件明确了非涉及国家秘密信息系统开展安全建设整改工作的目标、内容、流程和要求等，文件附件包括《信息安全等级保护安全建设整改工作指南》和《信息安全等级保护主要标准简要说明》。该文件由公安部印发。（2）《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）。该文件要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照《信息安全等级保护管理办法》进行，明确了项目验收条件：公安机关颁发的信息系统安全等级保护备案证明、等级测评报告和