1、2019/7/13,信息安全等级保护法规/标准简介,陈威,文档密级: 客户,2019/7/13,Page 2,目录,2,1,3,信息安全等级保护的重要政策简介管理办法,信息安全等级保护的相关法律和标准,信息安全等级保护的重要标准简介基本要求,等级保护相关法规,1、1994年中华人民共和国计算机信息系统安全保护条例 (国务院147号令) 2、2003年国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号) 3、关于信息安全等级保护工作的实施意见(公通字200466号) 4、信息安全等级保护管理办法(公通字200743号) 5、关于开展全国重要信息系统安全保护等级定级工作的通知(
2、公信安2007861号) 6、国务院办公厅关于印发的通知(国办发200928号) 7、发改委、公安部、国家保密局会签文件关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号) 8、信息安全等级保护备案实施细则(公信安20071360号) 9、公安机关信息安全等级保护检查工作规范(试行)(公信安2008736号 ) 10、关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号),等级保护相关法规,1、1994年,中华人民共和国计算机信息系统安全保护条例 (国务院147号令)“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的
3、具体办法,由公安部会同有关部门制定”。该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度;二是出台配套的规章和技术标准;三是明确了公安部的牵头地位。,等级保护相关法规,2、2003年,国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障
4、工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。,等级保护相关法规,3、关于信息安全等级保护工作的实施意见(公通字200466号)主要内容包括:贯彻落实信息安全等级保护制度的重要意义和基本原则,等级保护工作的基本内容、信息安全等级保护各部门工作职责分工,信息安全等级保护工作的要求,等级保护工作的实施计划。66号文件是为贯彻落实国务院147号令和中办27号文件,由四部委共同会签印发,指导相关部门实施信息安全等级保护工作的纲领性文件。,实施意见的主要内容,信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等
5、级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。,实施意见的主要内容,根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;信息系统必须达到的基本的安全保护水平等因素,对信息和信息系统划分五个安全保护和监管等级。,信息安全产品使用,信息安全产品的安全功能和可控性直接关系到其所构建的信息系统的安全。 国家对信息安全产品的管理除按法律要求实行销售许可外,还对信息安全产品的使用按照其安全性,特别是其可控性和可信性进行分等级管理。,信息安全事件分等
6、级响应处置,依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围,确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案,确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后,分等级按照预案进行响应和处置。,信息安全等级保护制度的意义,实施信息安全等级保护,可以有效地提高我国信息安全建设的整体水平; 有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调; 有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督;,信息安全等级保护制度的意义(续),有利于明确国家、法人和其他组织、
7、公民的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施;有利于提高安全保护的科学性、整体性、针对性,推动信息安全产业水平,逐步探索一条适应社会主义市场经济发展的信息安全发展模式。,等级保护相关法规,5、关于开展全国重要信息系统安全保护等级定级工作的通知(公信安2007861号)通过组织开展定级培训、各级公安机关主动上门,加强指导,各级信息系统运营使用单位及其主管部门的高度重视、认真落实,定级备案工作顺利完成,并取得了重大成效。通过定级备案工作的开展,全面梳理和掌握了国家基础信息网络和重要信息系统的基本情况,进一步明确了关系国家安全、经济命脉、社会稳定的重点保护对象,为全面建立信息
8、安全等级保护制度、推动国家信息安全保障工作的深入开展奠定了坚实基础。,等级保护相关法规,6、国务院办公厅关于印发的通知(国办发200928号)规定了“政府信息系统安全检查中涉及信息安全等级保护工作的,按照国家信息安全等级保护管理规定执行。”,等级保护相关法规,7、信息安全等级保护备案实施细则(公信安20071360号)对公安机关受理信息系统运营使用单位备案工作的时限、内容、流程、审核原则等详细规定,并制作了法律文书下发全国各级公安机关,指导各级公安机关受理信息系统备案工作。,等级保护发展演进表,信息安全等级保护标准,为推动我国信息安全等级保护工作的开展,十多年来,在公安部领导和支持下,在国内有
9、关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系,为开展信息安全等级保护工作奠定了基础。信息安全等级保护相关标准大致可以分为四类:基础类、应用类、产品类和其他类。,等级保护标准体系基础类标准,计算机信息系统安全保护等级划分准则(GB17859-1999) 信息系统安全等级保护基本要求(GB/T 22239-2008),等级保护标准体系应用类标准,信息系统定级 信息系统安全保护等级定级指南(GB/T 22240-2008) 等级保护实施 信息系统安全等级保护实施指南(
10、 GB/T25058-2010) 信息系统安全建设 信息系统通用安全技术要求(GB/T 20271-2006) 信息系统等级保护安全设计技术要求( GB/T25070-2010) 信息系统安全管理要求(GB/T 20269-2006) 信息系统安全工程管理要求(GB/T 20282-2006) 信息系统物理安全技术要求(GB/T 21052-2007) 网络基础安全技术要求(GB/T 20270-2006) 信息系统安全等级保护体系框架(GA/T 708-2007) 信息系统安全等级保护基本模型(GA/T 709-2007) 信息系统安全等级保护基本配置(GA/T 710-2007),等级测评
11、 信息系统安全等级保护测评要求(报批稿) 信息系统安全等级保护测评过程指南(报批稿) 信息系统安全管理测评(GA/T 713-2007),等级保护标准体系产品类标准,操作系统 操作系统安全技术要求 操作系统安全评估准则 数据库 数据库管理系统安全技术要求 数据库管理系统安全评估准则 网络 网络端设备隔离部件技术要求 网络端设备隔离部件测试评价方法 PKI 公钥基础设施安全技术要求 PKI系统安全等级保护技术要求 网关 网关安全技术要求 服务器 服务器安全技术要求,入侵检测 入侵检测系统技术要求和检测方法 计算机网络入侵分级要求 防火墙 防火墙安全技术要求 防火墙技术测评方法 路由器 路由器安全
12、技术要求 路由器安全评估准则 路由器安全测评要求 交换机 网络交换机安全技术要求 交换机安全测评要求 其他产品 终端计算机系统安全等级技术要求 终端计算机系统测评方法 审计产品技术要求和测评方法 ,等级保护标准体系其他类标准,风险评估 信息安全风险评估规范(GB/T 20984-2007) 事件管理 信息安全事件管理指南(GB/Z 20985-2007) 信息安全事件分类分级指南(GB/Z 20986-2007) 信息系统灾难恢复规范(GB/T 20988-2007),等级保护标准关系,Page 23,目录,2,1,3,信息安全等级保护的重要政策简介管理办法,信息安全等级保护的相关法律和标准,
13、信息安全等级保护的重要标准简介基本要求,信息系统的等级的划分与如何保护,等级保护的实施与管理(包括如何定级、备案、开展测评工作、选择符合要求的信息安全产品和测评机构等)以及信息系统运营、使用单位法律责任作出了明确规定。43号文件明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。,主要内容,等级保护职责分工,重申等级划分,第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民
14、、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。,等级保护的实施与管理,信息系统运营、使用单位应当依据本办法和信息系统安全等级保护定级指南确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。 跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的,
15、运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。,等级保护标准的定位与相互关系,管理办法第十二条规定:在信息系统建设过程中,运营、使用单位应当按照计算机信息系统安全保护等级划分准则(GB17859-1999)、信息系统安全等级保护基本要求等技术标准,参照信息安全技术 信息系统通用安全技术要求(GB/T20271-2006)、信息安全技术 网络基础安全技术要求(GB/T20270-2006)、信息安全技术 操作系统安全技术要求(GB/T20272-2006)、信息安全技术 数据库管理系统安全技术要求(GB/T20273-2006)、信息安全技术 服务器技术要求、信息安全技
16、术 终端计算机系统安全等级技术要求(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。,标准之间的相互关系,管理办法第十三条:运营、使用单位应当参照信息安全技术信息系统安全管理要求(GB/T20269-2006)、信息安全技术信息系统安全工程管理要求(GB/T20282-2006)、信息系统安全等级保护基本要求等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。,标准之间的相互关系,管理办法第十四条:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展
17、等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。,测评与自查周期,第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。 信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。,备案要求,已运营(运行)的第二级以上信息系统,应当在安全保护等级确
18、定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。,备案要求,办理信息系统安全保护等级备案手续时,应当填写信息系统安全等级保护备案表,第三级以上信息系统应当同时提供以下材料: (一)系统拓扑结构及说明; (二)系统安全组织机构和管理制度; (三)
19、系统安全保护设施设计实施方案或者改建实施方案; (四)系统使用的信息安全产品清单及其认证、销售许可证明; (五)测评后符合系统安全保护等级的技术检测评估报告; (六)信息系统安全保护等级专家评审意见; (七)主管部门审核批准信息系统安全保护等级的意见。,安全建设要求产品选择,第三级以上信息系统应当选择使用符合以下条件的信息安全产品: (一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格; (二)产品的核心技术、关键部件具有我国自主知识产权; (三)产品研制、生产单位及其主要业务、技术人员无犯罪记录; (四)产品研制、生产单位声明没有故意留
20、有或者设置漏洞、后门、木马等程序和功能; (五)对国家安全、社会秩序、公共利益不构成危害; (六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。,Page 35,目录,2,1,3,信息安全等级保护的重要政策简介管理办法,信息安全等级保护的相关法律和标准,信息安全等级保护的重要标准简介基本要求,标准编制思路,安全保护能力,基本安全要求,某级的信息系统,基本技术措施,基本管理措施,具备,包含,包含,满足,满足,实现,标准编制思路,一级系统,二级系统,三级系统,四级系统,防护,防护/监测,策略/防护/监测/恢复,策略/防护/监测/恢复/响应,标准编制思路,一级系统,
21、二级系统,三级系统,四级系统,通信/边界(基本),通信/边界/内部(关键设备),通信/边界/内部(主要设备),通信/边界/内部/基础设施(所有设备),标准编制思路,一级系统,二级系统,三级系统,四级系统,计划和跟踪(主要制度),计划和跟踪(主要制度),良好定义(管理活动制度化),持续改进(管理活动制度化/及时改进),标准的主要内容,由9个章节2个附录构成 1.适用范围 2.规范性引用文件 3术语定义 4.等级保护概述 5. 6.7.8.9基本要求 附录A 关于信息系统整体安全保护能力的要求 附录B 基本安全要求的选择和使用,基本要求的组织方式,标准的主要内容,7 第三级基本要求 7.1 技术要
22、求 7.1.1 物理安全(类) 7.1.1.1 物理位置的选择(控制点)本项要求包括(具体要求)a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。7.2 管理要求 7.2.1 安全管理制度(类) 7.2.1.1 管理制度(控制点)本项要求包括: (具体要求)a) 应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等;b) 应对安全管理活动中的各类管理内容建立安全管理制度;,标准的主要内容,某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安
23、全及备份恢复,安全管理制度,安全管理机构,人员安全管理,系统建设管理,系统运维管理,技术要求物理安全,物理位置选择,物理安全(3级),物理访问控制,防盗窃和防破坏,防雷击,防火,防水和防潮,温湿度控制,电力供应,电磁防护,防 静 电,技术要求网络安全,结构安全,网络安全(3级),访问控制,安全审计,边界完整性检查,入侵防范,恶意代码防范,网络设备防护,技术要求主机安全,身份鉴别,主机系统安全(3级),访问控制,安全审计,剩余信息保护,入侵防范,恶意代码防范,系统资源控制,技术要求应用安全,身份鉴别,应用安全(3级),访问控制,通信完整性,通信保密性,安全审计,剩余信息保护,抗抵赖,软件容错,资
24、源控制,技术要求数据安全,管理要求安全管理机构,管理要求安全管理制度,管理制度,安全管理制度(3级),制订和发布,评审和修订,管理要求人员安全管理,人员录用,人员安全管理(3级),人员离岗,人员考核,安全意识教育和培训,外部人员访问管理,管理要求系统建设管理,系统定级,系统建设管理(3级),安全方案设计,产品采购和使用,自行软件开发,外包软件开发,工程实施,测试验收,系统交付,安全服务商选择,等 级 测 评,管理要求系统运维管理,系统运维管理(3级),环境管理,资产管理,设备管理,介质管理,监控管理,网络安全管理,系统安全管理,恶意代码防范管理,变更管理,密码管理,备份和恢复管理,安全事件处置
25、,应急预案管理,基本要求标注方式,基本要求 技术要求 管理要求要求标注 业务信息安全类要求(标记为S类) 系统服务保证类要求(标记为A类) 通用安全保护类要求(标记为G类),三类要求之间的关系,通用安全保护类要求(G),业务信息安全类(S),系统服务保证类(A,安全要求,安全保护和系统定级的关系,定级指南要求按照“业务信息”和“系统服务”的需求确定整个系统的安全保护等级定级过程反映了信息系统的保护要求,不同级别系统控制点的差异,不同级别系统要求项的差异,基本要求的使用,(一)基本要求对第一级信息系统的基本要求仅供用户参考,按照自主保护的原则采取必要的安全技术和管理措施。(二)用户在进行信息系统
26、安全建设整改时,可以在基本要求基础上,根据行业和系统实际,提出特殊安全要求,开展安全建设整改。(三)基本要求给出了各级信息系统每一保护方面需达到的要求,不是具体的安全建设整改方案或作业指导书,所以,实现基本要求的措施或方式并不局限于基本要求给出的内容,要结合系统自身的特点综合考虑采取的措施来达到基本要求提出的保护能力。,基本要求的使用,(四)基本要求中不包含安全设计和工程实施等内容,因此,在系统安全建设整改中,可以参照信息系统安全等级保护实施指南、信息系统等级保护安全设计技术要求和信息系统安全工程管理要求进行。(五)基本要求综合了信息系统物理安全技术要求、信息系统通用安全技术要求和信息系统安全管理要求的有关内容,在进行系统安全建设整改方案设计时可进一步参考后三个标准。,Page 61,小结,2,1,3,信息安全等级保护的重要政策简介管理办法,信息安全等级保护的相关法律和标准,信息安全等级保护的重要标准简介基本要求,2019/7/13,Thank You,,
