1、信息安全等级保护,公安部公共信息网络安全监察局,(一)等级保护是什么 (二)等级保护做什么 (三)等级保护如何实施,法律和政策依据,中华人民共和国计算机信息系统安全保护条例第二章安全保护制度部分规定: “计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”计算机信息系统安全保护等级划分准则GB17859-1999(技术法规)规定: 国家对信息系统实行五级保护。国家信息化领导小组关于加强信息安全保障工作的意见重点强调: 实行信息安全等级保护制度,重点保护基础信息网络和重要信息系统。,一、等级保护是什么,(一)等级保护基本概念:信息系统安全等级保
2、护是指对信息安全实行等级化保护和等级化管理 根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。,等级保护是什么,(二)信息安全等级保护制度的主要内容 信息安全等级保护是指:对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护; 对信息系统按业务安全应用域和区实行分级保护。 对系统中
3、使用的信息安全产品实行按分级许可管理。 对等级系统的安全服务资质分级许可管理。 对信息系统中发生的信息安全事件分等级响应、处置。,等级保护是什么,(三)为什么要搞等级保护 保护业务安全应用。对信息安全分级保护是客观需求:信息系统的建立是为社会发展、社会生活的需要而设计、建立的,是社会构成、行政组织体系及其业务体系的反映,这种体系是分层次和级别的。因此,信息安全保护必须符合客观存在。 等级化保护是信息安全发展规律:按组织业务应用区域、分层、分类、分级进行保护和管理,分阶段推进等级保护制度建设,这是做好国家信息安全保护必须遵循的客观规律。,等级保护是什么,(四)信息安全保护存在的主要问题 当前,我
4、国信息安全存在的最大问题是信息安全保护工作不统一、不规范。有关各方对信息安全如何保护及安全与否无法把握,心中无数。 实行等级保护首先要解决这个问题,以国家法定信息安全等级保护制度,统一信息安全保护工作,推进规范化、法制化建设,保障安全,促进发展。促进民族信息安全科学技术发展,解决我国信息技术和安全技术“空心”问题,实现信息安全自主可控,保障国家安全。,二、等级保护做什么,(一)信息资源分类分级保护制度 信息资源已经成为国家经济建设和社会发展的重要战略资源。信息资源应当分类: 秘密信息:国家保密法规定的三类信息; 专有信息:国家、组织及个人所有的信息; 公开信息:国家、组织及个人的可公开信息。
5、各部门、单位可根据信息系统中的信息资源情况,在这三大类下再分若该类和级进行标记管理、保护。,等级保护做什么,(二)系统安全功能分级保护制度 以计算机信息系统安全保护等级划分准则GB17859-1999为指导,建立包括系统安全功能、系统之间、网络之间、设备之间、用户之间的可信鉴别保障平台,对信息系统的安全等级从功能上划分为五个级别的安全保护能力: 第一级:用户自主保护级 ; 第二级:系统审计保护级 ; 第三级:安全标记保护级 ; 第四级:结构化保护级 (系统整体安全设计); 第五级:访问验证保护级。 安全保护能力从第一级到第五级逐级增强。(见说明、有关标准),等级保护做什么,(三)安全产品使用分
6、级管理制度 国家对信息安全产品的使用实行分等级管理制度。按照信息安全产品的可控性、可靠性、可信性、安全性和可监督性的要求确定相应等级进行管理。 信息安全产品是指与信息网络或者信息系统安全相关的以计算机硬件或者软件的形态集成的,实现信息系统运行中的特定功能的,构建信息系统并使其正常运行的软硬设备。不同安全保护等级的信息系统和网络应使用与其安全等级相适应的信息安全产品。,等级保护做什么,(四)事件分级响应与处置制度 信息安全事件是指危害信息系统平台运行和安全功能、应用系统(包括数据信息)的完整性、可用性和保密性,危害国家安全、社会秩序、经济建设、公共利益、公民利益的故障、事故、案件、战争行为等。依
7、据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围,确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案,确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后,分等级按预案进行响应和处置。,等级保护做什么,(五)分级监管制度 第一级 :自主性保护 ; 第二级 :指导性保护 ; 第三级 :监督性保护 ; 第四级 :强制性保护 ; 第五级 :专控性保护 。 政府信息安全保护职能部门将逐级加大安全保护力度。系统主管部门也应按级加强自管、自查力度。,等级保护做什么,(六)信息安全等级保护原则 明确责任,共同保护 依照标准,自行保护 同步
8、建设,动态调整 监督指导,重点保护 确保重点、兼顾一般 按需保护、效费合理,等级保护做什么,(七)保护重点 国家优先重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括:国家事务处理信息系统(党政机关办公系统);金融、税务、工商、海关、能源、交通运输、社会保障、教育等关系到国计民生的信息系统;国防工业、国家科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统;网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。 区别重点,分级进行保护。,等级保护做什么,(八)安全等级保护制度运行五个关键控制环节 1.法律规范; 2.管理与技术规范; 3.
9、系统安全等级实施过程控制; 4.系统安全等级实现结果控制; 5.国家监督管理。 以上五个关键控制环节,构成国家信息安全等级保护长效机制。,等级保护做什么,(九)信息系统安全集中控制管理体系 第一:防范与保护 ; 第二:监控与检查; 第三:响应与处置。 其中包括自我保护和国家保护两个方面。,等级保护做什么,(十)系统主要目标的安全管理: 1.组织责任管理 2.信息资源管理 3.保密信息管理 4.系统资源管理 5.密码使用管理 6.各类用户管理 7.应用边界管理 8.安全事件管理。,等级保护做什么,(十一)互连互通、信息共享,以利发展 互连互通:不同安全等级的系统之间应当尽可能实现纵、横互连互通,
10、互操作。 信息共享:符合信息共享要求。 保障环境:保障安全并为应用发展提供良好的环境。,三、等级保护如何实施,(一)信息安全等级保护责任制: 信息安全等级保护实行:谁主管谁负责:谁运营谁负责:谁使用谁负责:谁提供安全服务谁负责。,等级保护如何实施,(二)等级确定 各部门、各单位应当适用法律规范和有关标准规范,确定其系统安全保护等级,报其主管部门领导批准,并报当地同级信息安全职能部门备案。,等级保护如何实施,(三)制定等级化建设和管理的解决方案和实施规范 各部门、各单位应当适用有关标准规定, 制定适合本系统的安全等级保护解决方案,进行安全建设、使用、管理。,等级保护如何实施,(四)检测评估 安全
11、等级保护测评服务机构按其所取得的许可资质,按照法规、标准规定提供评估服务,接受信息安全职能部门的监督,并承担法律规定的安全责任和义务。,等级保护如何实施,(五)安全等级产品保护 安全等级保护产品研发、提供、选购,应当贯彻标准和法规规定,符合信息安全产品的可控性、可靠性、可信性、安全性和可监督性的要求。,等级保护如何实施,(六)系统安全等级保护服务 系统安全等级保护服务单位应当按标准和法规规定提供安全服务,并承担法律规定的安全责任和义务。,等级保护如何实施,(七)安全等级保护技术产品政策 重要、关键的信息安全技术和产品是国家信 息安全之安全。 国家对等级保护所需的信息技术安全产品选购使用应当实行
12、分级管理政策。第三级以上的安全产品出口实行审批制度,保障国家关键核心信息安全保护技术不外泄。 非等级保护产品可以进入国际商业交流领域。,等级保护如何实施,(八)监督、检查、指导 政府职能部门依法按标准进行监督、检查、指导、提供服务。,四、分三步推进等级保护工作,第一阶段:准备阶段 制定、制定、完善法律规范和技术规范,宣传培训,试点,推广信息安全等级保护试点经验和方法,落实安全管理制度和责任,由各单位确定保护等级,加固改造现有系统安全。,分三步推进等级保护工作,第二阶段:试行阶段 选择具有代表性的信息系统,开展等级保护试行工作,总结经验,完善标准,为全面开展等级保护创造条件。,分三步推进等级保护
13、工作,第三阶段:全面发展阶段 完成现有系统加固改造,基本实现规范化、等级化、制度化、法制化。保障基础信息网络安全和重要信息系统安全。 逐步更新网络系统的安全设备,使我国信息安全扎根于国家信息安全科学技术和产业的基础之用上,基本实现信息安全技术产业化,牵动国家经济和现代化发展。,五、信息安全等级保护实施准备,目前,关于信息安全等级保护实施意见已经会签发布。在国家信息化领导小组的领导下,在国务院信息办的组织协调下,公安部正在联合有关部门,积极开展信息安全等级保护以下实施准备工作:信息系统安全等级保护办法、实施指南等有关重要标准、系统安全等级保护技术整合、检查评估手段的完善、执法队伍和技术支撑队伍建设。,谢谢!,
