1、国家信息安全等级保护制度的主要内容和要求公安部 网络安全保卫局 郭启全,全国公安机关网络安全保卫部门机构和职责,机构:公安部:网络安全保卫局 各省:网络警察总队 地市:网络警察支队 区县:网络警察大队职责:制定信息安全政策 互联网安全管理,网上监控 打击网络犯罪 重要系统安全监察 网络与信息安全通报,公安机关开展等级保护的依据,1.中华人民共和国人民警察法规定:人民警察履行“监督管理计算机信息系统的安全保护工作”的职责。2.国务院令第147号规定:“公安部主管全国计算机信息系统安全保护工作”,“等级保护的具体办法,由公安部会同有关部门制定”。3.2008年国务院三定方案。“监督、检查、指导信息
2、安全等级保护工作”。,目 录,一、信息安全等级保护制度的主要 内容二、信息安全等级保护政策体系和 标准体系三、信息安全等级保护工作的具体 内容和要求,国家信息安全保障工作主要内容,信息安全等级保护制度;信息保护和网络信任体系建设;信息安全监控体系;信息安全应急处理;信息安全技术研究,信息安全产业发展;信息安全法制建设和标准化建设;信息安全人才培养;保证信息安全资金;信息安全工作的领导,信息安全责任制。,网络与信息安全主要对策,加强组织领导,提高信息安全保障工作的组织协调能力。深化开展等级保护工作,提高网络主动防御能力。加强实时监测和分析研判,提高网络安全的发现预警能力。加强应急演练,提高网络应
3、急处置能力。加强信息通报机制建设,提高信息通报和共享能力。建立多方参与机制,有效发挥各方力量。,近年来等级保护工作成效,(一)重要行业、部门对网络安全重要性的认识明显提高,对网络安全的重视程度明显提高。(二)重要行业、部门以等级保护工作为抓手,全面系统地开展网络安全工作,有力提升了国家信息安全保障水平和能力。(三)通过对信息系统开展等级测评,及时发现了信息系统的安全隐患、漏洞和薄弱环节,初步掌握了重要信息系统安全保护状况。,近年来等级保护工作成效,(四)通过开展信息安全等级保护安全建设整改,重要信息系统安全防护能力显著增强,信息安全事件(事故)数量明显下降。(五)重要行业、部门以等级保护工作为
4、核心,创造出具有行业特点的网络与信息安全保障工作模式。,等级保护工作经验,领导重视是根本充分发挥行业主管部门作用是关键突出工作重点是有效对策充分调动多方力量是重要保障加强服务指导是科学方法公安机关开展监督检查是重要手段,一、等级保护制度的主要内容,(一)国家为什么要实施信息安全等级保护制度1.信息安全形势严峻敌对势力的入侵、攻击、破坏针对基础信息网络和重要信息系统的违法犯罪持续上升基础信息网络和重要信息系统安全隐患严重,一、等级保护制度的主要内容,2. 是维护国家安全的需要基础信息网络与重要信息系统已成为国家关键基础设施,必须要保护好。信息安全是国家安全的重要组成部分。信息安全的本质是信息对抗
5、、技术对抗,是网络空间的政治斗争。,一、等级保护制度的主要内容,(二)国家对等级保护制度的要求,一、等级保护制度的主要内容,确立了信息安全等级保护制度的法律地位;明确了实行等级保护是我国信息安全保障工作中一项重要制度和措施;赋予了公安机关牵头负责信息安全等级保护工作监督管理的职责。,一、等级保护制度的主要内容,(三)信息安全等级保护的内涵 是世界各国普遍推行的基本做法 是在吸收发达国家经验基础上的创新是我国最全面的信息安全保障政策体系 体现了我国加强信息安全保障工作的原则 解决了不同安全需要下的安全保护问题 体现了安全建设和管理模式的重大变革是在发展中逐步完善的政策体系,一、等级保护制度的主要
6、内容,(四)等级保护制度的特点紧迫性。信息安全滞后于信息化发展。 全面性。内容涉及广泛,各单位各部门落实。 基础性。基本制度、基本国策。 强制性。公安机关监督、检查、指导。规范性。政策和标准保障。,一、等级保护制度的主要内容,(五)等级保护工作中的职责分工 等级保护工作协调(领导)小组 负责信息安全等级保护工作组织领导,制定本地区、本行业开展信息安全等级保护的工作部署和实施方案,并督促有关单位落实,研究、协调、解决等级保护工作中的重要工作事项,及时通报或报告等级保护实施工作的相关情况。,一、等级保护制度的主要内容,信息安全职能部门 公安机关负责信息安全等级保护工作的监督、检查、指导,是等级保护
7、工作的牵头部门。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。工业和信息化及地方信息化领导小组办事机构负责等级保护工作的部门间协调。,一、等级保护制度的主要内容,信息系统运营使用单位及其主管部门 信息系统运营使用单位按照等级保护的管理规范和技术标准,开展信息系统定级、备案、安全建设整改、等级测评、自查等工作,并接受公安机关等部门的监督、指导。有主管部门的,主管部门要督促、检查、指导本行业、本部门信息系统运营使用单位开展信息安全等级保护工作。,一、等级保护制度的主要内容,安全服务机构 信息安全企业,信息系统安全
8、集成商、等级测评机构等安全服务机构,依据国家有关管理规定和技术标准,开展技术支持、服务等工作,并接受监管部门的监督管理。,一、等级保护制度的主要内容,专家组 宣传等级保护相关政策、标准; 指导备案单位研究拟定贯彻实施意见和建设规划、技术标准的行业应用;参与定级和安全建设整改方案论证、评审;协助发现树立典型、总结经验并推广;跟踪国内外信息安全技术最新发展,开展等级保护关键技术研究;研究提出完善等级保护政策体系和技术体系的意见和建议。,一、等级保护制度的主要内容,(六)开展等级保护工作的基本要求各单位、各部门,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求开展等级保护的定级、备案、
9、整改、测评等工作。公安机关要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。对故意将信息系统安全级别定低,逃避公安、保密、密码部门监管,造成信息系统出现重大安全事故的,要追究单位和人员的责任。,二、等级保护政策体系和标准体系,(一)信息安全等级保护政策体系 近几年,公安部根据国务院147号令的授权,会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了一些文件,公安部对有些具体工作出台了一些指导意见和规范,构成了信息安全等级保护政策体系。 汇集成信息安全等级保护政策汇编供有关单位、部门使用。,等级保护工作配套政策体系,1、关于信息安全等级保护工作的
10、实施意见(公通字200466号) 2、信息安全等级保护管理办法(公通字200743号) 3、关于开展全国重要信息系统安全等级保护定级工作的通知(公通字2007861号)4、信息安全等级保护备案实施细则(公信安20071360号) 5、关于开展信息系统等级保护安全建设整改工作的指导意见(公信安20091429号)6、关于做好信息安全等级保护测评机构审核推荐工作的通知(公信安2010559号),7、关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)8、关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安2010303号)。 9、关于印发信息系统
11、安全等级测评报告模版(试行)的通知(公信安20091487号)10、公安机关信息安全等级保护检查工作规范(公信安2008736号 )11、关于开展信息安全等级保护专项监督检查工作的通知(公信安20101175号)12、关于进一步推进中央企业信息安全等级保护工作的通知(公通字201070号),二、等级保护政策体系和标准体系,(二)信息安全等级保护标准体系 多年来,在有关部门支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系。汇集成信息安全等级保护标准汇编
12、供有关单位、部门使用。,在安全建设整改工作中的作用 等级保护有关标准,基础标准: 计算机信息系统安全保护等级划分准则。 在此基础上制定出技术类、管理类、产品类标准。安全要求: 信息系统安全等级保护基本要求 信息系统安全等级保护的行业规范,二、等级保护政策体系和标准体系,系统等级: 信息系统安全等级保护定级指南 信息系统安全等级保护行业定级细则方法指导: 信息系统安全等级保护实施指南 信息系统等级保护安全设计技术要求现状分析: 信息系统安全等级保护测评要求 信息系统安全等级保护测评过程指南,二、等级保护政策体系和标准体系,在应用有关标准中需注意的几个问题:1、基本要求是阶段性目标,信息系统等级保
13、护安全设计技术要求是实现该目标的方法和途径之一。2、基本要求中不包含安全设计和工程实施等内容,因此应参照信息系统等级保护安全设计技术要求等标准进行。3、重点行业可以按照基本要求等国家标准,结合行业特点和特殊安全需求,在公安部等有关部门指导下,制定行业标准规范或细则。,二、等级保护政策体系和标准体系,三、等级保护工作的具体内容和要求,(一)信息安全等级保护定级工作 信息系统定级原则:“自主定级、专家评审、主管部门审批、公安机关审核”。具体可按照关于开展全国重要信息系统安全等级保护定级工作的通知(公通字2007861号)要求执行。 定级工作流程:确定定级对象、确定信息系统安全保护等级、组织专家评审
14、、主管部门审批、公安机关审核。,三、等级保护工作的具体内容和要求,1. 确定定级对象起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)。用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统 。各单位网站。,三、等级保护工作的具体内容和要求,2.确定信息系统安全保护等级 管理办法规定的五个等级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。,三、等级保护工作的具体内容和要求,第三级,信
15、息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。,三、等级保护工作的具体内容和要求,实际操作中参考确定信息系统等级:第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。,三、等级保护工作的具体内容和要求,第三
16、级信息系统:一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省联接的网络系统等。,三、等级保护工作的具体内容和要求,第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全,影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信骨干传输网、铁路客票系统、列车指挥调度系统等。 3. 定级工作需注意的问题同类信息系统的安全保护等级不能
17、随着部、省、市行政级别的降低而降低。新建系统在规划设计阶段应确定等级,按照信息系统等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。,三、等级保护工作的具体内容和要求,(二)信息系统备案工作 备案工作包括:信息系统备案、受理、审核和备案信息管理。具体按照关于开展全国重要信息系统安全等级保护定级工作的通知要求开展。1、备案第二级以上信息系统,由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续,填写信息系统安全等级保护备案表。,三、等级保护工作的具体内容和要求,隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安
18、部备案;其他信息系统向北京市公安局备案。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。各部委统一定级信息系统在各地的分支系统,即使是上级主管部门定级的,也要到当地公安网络安全保卫部门备案。,三、等级保护工作的具体内容和要求,2. 受理备案与审核 公安机关受理备案,按照信息安全等级保护备案实施细则要求,对备案材料进行审核,定级准确、材料符合要求的颁发由公安部统一监制的备案证明。,三、等级保护工作的具体内容和要求,(三)信息系统安全建设整改工作 1、工作目标利用三年时间。力争2012前完成。开展三项重点工作:安全管理制度建设、技术措施建设和等级
19、测评。实现五方面目标:一是信息系统安全管理水平明显提高,二是信息系统安全防范能力明显增强,三是信息系统安全隐患和安全事故明显减少,四是有效保障信息化健康发展,五是有效维护国家安全、社会秩序和公共利益。,(三)信息系统安全建设整改工作,2、工作范围和工作特点工作范围: 已备案的第二级(含)以上信息系统纳入安全建设整改的范围。 尚未开展定级备案的信息系统,要先定级备案,定级不准的要先纠正,再开展安全建设整改。 新建系统要同步开展安全建设工作。工作特点:继承发展、引入标准、外部监督、政策牵引,(三)信息系统安全建设整改工作,3、工作方法突出重要系统,兼顾二级。试点示范,行业推广。管理制度建设和技术措
20、施建设同步 或分步实施。加固改造,缺什么补什么;也可以 进行总体安全建设整改规划。利用信息安全等级保护综合工作平 台,使等级保护工作常态化。,(三)信息系统安全建设整改工作,4、工作内容(1)等级保护安全管理制度建设 一是落实信息安全责任制。 二是落实人员安全管理制度。 三是落实系统建设管理制度。 四是落实系统运维管理制度。,(三)信息系统安全建设整改工作,落实信息安全责任制:成立信息安全工作领导机构,明确信息安全工作的主管领导。成立专门的信息安全管理部门或落实信息安全责任部门,确定安全岗位,落实专职人员或兼职人员。明确落实领导机构、责任部门和有关人员的信息安全责任。 落实人员安全管理制度:制
21、定人员录用、离岗、考核、教育培训等管理制度,落实管理的具体措施。对安全岗位人员要进行安全审查,定期进行培训、考核和安全保密教育,提高安全岗位人员的专业水平,逐步实现安全岗位人员持证上岗。,(三)信息系统安全建设整改工作,落实系统建设管理制度:建立信息系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理制度,明确工作内容、工作方法、工作流程和工作要求。落实系统运维管理制度:建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置等管理制度,制定应急预案并定期开展演练,采取相应的管理技
22、术措施和手段,确保系统运维管理制度的有效落实。,(三)信息系统安全建设整改工作,(2)等级保护安全技术措施建设 结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设整改方案,开展安全技术措施建设。 可以采取“一个中心三维防护” 的防护策略,实现相应级别信息系统的安全保护技术要求。,(三)信息系统安全建设整改工作,信息系统安全建设整改方案主要内容:项目背景政策和技术标准依据安全需求分析安全建设整改技术方案设计安全建设整改管理体系设计信息系统安全产品选型及技术指标安全建设整改后信息系统残余风险分析安全建设整改项目实施计划项目预算,(三)信息系统安全建设整改工作,5、工作流程第一步:制
23、定安全建设整改工作规划,对安全建设整改工作进行总体部署。第二步:开展信息系统安全现状分析,从管理和技术两方面确定安全建设整改需求。第三步:确定安全保护策略,制定信息系统安全建设整改方案。第四步:开展信息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施。第五步:开展安全自查和等级测评,及时发现问题并进一步整改。,工作流程,(三)信息系统安全建设整改工作,6、信息系统应达到的保护能力目标 第二级信息系统:经过安全建设整改工作,信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击
24、行为,并对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。,(三)信息系统安全建设整改工作,第三级信息系统:经过安全建设整改工作,信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。,(三)信息系统安全建设整改工作,第四级信息系统:经过安全
25、建设整改工作,信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力,抵抗严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行快速响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能迅速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。,三、等级保护工作的具体内容和要求,(四)信息安全等级保护测评工作 等级测评是测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行
26、检测评估的活动。是信息安全等级保护工作的重要环节。 公安机关按照关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安2010303号)要求,开展测评机构和测评人员的管理工作,保证等级测评的客观、公正和安全 。,三、等级保护工作的具体内容和要求,1、测评机构和测评人员的管理 (1)职责分工国家信息安全等级保护工作协调小组办公室(以下简称“等保办”)负责隶属国家信息安全职能部门和重点行业测评机构的申请受理、审核推荐和监督检查等工作。各省级等保办负责等级测评机构的申请受理、审核推荐和监督检查等工作。公安部信息安全等级保护评估中心(以下简称“评估中心”)负责测评机构的能力评估和培训工作
27、。,三、等级保护工作的具体内容和要求,(2)测评机构申请流程申请:申请单位向省级以上等保办书面申请,提交信息安全等级保护测评机构申请表。受理、初审:等保办受理申请,并对申请材料进行初审。能力评估:公安部信息安全等级保护评估中心对申请单位进行能力评估,对测评师进行培训、考试、发证。,三、等级保护工作的具体内容和要求,专家审核 :等保办组织专家对测评能力评估合格的申请单位进行审核。 推荐:等保办向通过评审的申请单位颁发信息安全等级保护测评机构推荐证书 。公布。省级等保办向社会公布测评机构推荐目录并报国家等保办,国家等保办汇总公布全国信息安全等级保护测评机构推荐目录。,三、等级保护工作的具体内容和要
28、求,(3)监督管理 日常监督:测评报告、测评过程、测评服务费用 。 变更处理:机构名称、法人、测评师等变动的,在30日内到等保办办理变更。 违规处置:限期整改 、警告 、取消证书。年度检查 :检查时间 、内容 、方式 。,三、等级保护工作的具体内容和要求,测评机构不得从事下列活动:影响被测评信息系统正常运行,危害被测评信息系统安全;泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密;故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告;未按规定格式出具等级测评报告;,三、等级保护工作的具体内容和要求,非授权占有、使用等级测评相关资料及数据文件;分包或转包等级
29、测评项目;信息安全产品开发、销售和信息系统安全集成;限定被测评单位购买、使用其指定的信息安全产品;其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。,三、等级保护工作的具体内容和要求,2、等级测评工作的开展测评目的:一是掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求;二是能够衡量出信息系统安全保护措施是否符合等级保护基本要求,是否具备了相应等级的安全保护能力。,三、等级保护工作的具体内容和要求,测评时机:建设整改前:等级测评,现状分析;建设整改后:等级测评,检验整改效果。测评频率:第三级以上定期;第二级参照。测评费用:参照国家信息化项目人工计费标准或根
30、据被测设备数量与测评项预算测评费用。,三、等级保护工作的具体内容和要求,测评工作要求: 测评工作应按照“流程规范、方法科学、结论公正”的要求进行。 被测单位要监督管理测评机构和测评人员的测评活动;与测评机构签订工作协议和保密协议;查验相关材料;落实测评过程监管措施。 测评报告备案:备案单位每年应将等级测评报告向受理备案的公安机关备案,三、等级保护工作的具体内容和要求,3、测评业务范围职能部门测评机构在全国范围内开展测评业务,到地方时,应当事先告知属地省级等保办。行业测评机构原则上在本行业内开展测评,到地方时应与属地省级等保办协调。可以承担其他行业信息系统的测评任务。地方测评机构原则上在本地开展
31、测评,也可以到异地开展测评,但事先须与当地等保办协调。可以承担各部委信息系统的测评任务。特殊情况由公安机关进行协调。,三、等级保护工作的具体内容和要求,(五)安全自查和监督检查 备案单位、行业主管部门、公安机关要分别建立并落实监督检查机制,定期开展监督检查。 1、备案单位的定期自查定期开展自查,掌握信息系统安全状况、安全管理制度及技术保护措施的落实情况等。配合公安机关的监督检查工作,如实提供有关资料及文件。当重要信息系统发生事件、案件时,备案单位应当及时向受理备案的公安机关报告。,三、等级保护工作的具体内容和要求,2、行业主管部门的督导检查行业主管部门要建立督导检查制度,组织制定本行业、本部门
32、的信息安全等级保护检查工作规范。定期组织对本行业、本部门等级保护工作开展情况进行检查,督促落实信息安全等级保护制度,达到重点督促,以点带面的目的。,三、等级保护工作的具体内容和要求,3、公安机关的监督检查 依据关于开展信息安全等级保护专项监督检查工作的通知(公信安20101175) 和公安机关信息安全等级保护检查工作规范(试行)开展监督检查。会同主管部门共同开展,建立监督检查配合机制。对重要信息系统发生的事件、案件及时进行调查和立案侦查,并指导开展应急处置工作。,三、等级保护工作的具体内容和要求,检查内容:等级保护工作部署和组织实施情况信息系统安全等级保护定级备案情况信息安全设施建设情况和信息
33、安全整改情况信息安全管理制度建立和落实情况信息安全产品选择和使用情况聘请测评机构开展技术测评工作情况定期自查情况,三、等级保护工作的具体内容和要求,(六)信息安全产品的选择使用 1、信息安全产品在市场上销售,必须通过公安部信息安全产品检测中心检测,并获得公安部颁发的销售许可证。 2、公安部发布了关于调整更新计算机信息系统安全专用产品检测执行标准规范的公告(公信安20091157号),对已有分级标准的29类信息安全产品开展分级检测工作。对于检测并审核通过的产品,产品销售许可证书标注产品分级信息,便于用户选择使用。,三、等级保护工作的具体内容和要求,3、管理办法规定,第三级以上信息系统应当选择使用我国自主研发的信息安全产品。信息安全产品是信息系统安全的重要基础,尤其是进入到重要信息系统中的信息安全产品将直接影响信息系统安全。因此,应在满足使用要求的前提下,优先选择国产品。,请登陆电子工业出版社信息安全等级保护政策培训教程谢 谢!,
