1、信息安全等级保护制度,信息安全等级保护法律法规2011年3月,提 纲,前言一、信息安全等级保护的制度体系二、信息安全等级保护的工作要求三、信息安全等级保护的支撑条件四、信息安全等级保护接着做什么,前言什么是等保,信息安全等级保护管理办法指出信息安全等级保护是以信息为核心的、根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素,对最核心的信息和信息系统划分为五个安全保护和监管等级,实行分级保护。,实施信息安全等级保护,可以
2、有效地提高我国信息安全建设的整体水平, 有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调; 有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督; 有利于明确国家、法人和其他组织、公民的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施; 有利于提高安全保护的科学性、整体性、针对性,推动信息安全产业水平,逐步探索一条适应社会主义市场经济发展的信息安全发展模式。,前言为什么实行等保,前言为什么实行等保,每月新增计算机病毒几千种。我省是国内僵尸网络控制端服务器和被控服务器最多的省份(连续多月排名全国第一),2010年2月共有6
3、0多个IP地址被作为控制端服务器,占全国21%,6000多个IP对应的主机被作为客户端,占全国11%。,前言为什么实行等保,英国国家医疗服务系统和10多家政府网站被入侵并植入病毒,登录这些网站的用户都可能感染病毒并导致个人信息泄露。,前言为什么实行等保,2009年,广州市破获省人事厅网站被入侵案,带破福建省建设信息网等10多起黑客入侵案件。该案中,朱某入侵修改政府网站,添加虚假证书查询连接或将虚拟证书信息添加入网站数据库。,前言为什么实行等保,2009年5月19号晚上,4名黑客利用多台中了木马的电脑向DNSPod进行狂轰滥炸,导致江苏、安徽、广西、海南、甘肃、浙江六省网民从当天晚上9点50分开
4、始几乎在同一时间感到网络反应变慢,并在随后长达三个多小时的时间内无法访问网络,直到次日凌晨1点20分,受影响地区的互联网服务才基本恢复正常。519事件也因此成为近年来我国规模较大的一次互联网断网事故。,前言为什么实行等保,黑客入侵了美国某银行在某商店的自动提款机网络,盗取客户识别码,继而使用空白卡从自动提款机提取现金。,前言为什么实行等保,2010年3月2日,西班牙警方破获全球最大黑客犯罪团伙。该团伙利用木马程序,控制全球190国的1300万台电脑,窃取信用卡密码、个人资料等数据,受入侵电脑包括家庭、政府、学校和1000家大型企亚,40多家重要银行机构受影响。,案例,近期一种名为“震网”(St
5、uxnet)的蠕虫病毒感染全球有超过4.5万个网络受到,伊朗、印尼、印度、美国等均有发生,其中伊朗布什尔核电站因此而推迟发电。据称,该病毒系当前首例专门针对工业控制系统编写的破坏性程序,也被称为“超级工厂病毒”,目前监测发现该病毒已开始在我国互联网上传播。,案例,即使是相对封闭的工业控制系统也无法以善其身为掌握我国信息网络安全和计算机病毒疫情现状,宣传信息网络安全知识,提高广大用户网络安全防范意识,公安部网络安全保卫局定于11月20日至12月20日组织开展2010年全国信息网络安全状况和计算机病毒疫情调查活动。本次调查活动由公安部网络安全保卫局主办,各省区市公安厅、局网络安全保卫部门、国家计算
6、机病毒应急处理中心、国家反计算机入侵和防病毒研究中心以及新浪网站承办,国内主要计算机病毒防治厂商提供技术支持,重点调查我国互联网接入服务单位、互联网数据中心、大型互联网站、重点联网单位、计算机、移动终端用户2010年以来发生网络安全事件状况以及感染计算机病毒状况。,数据交换中如随意使用移动存储设备,没有严格执行安全隔离要求,则可能被感染。专用网络难以及时获取安全补丁,安全软件升级滞后。,案例,2010年重大安全事件回顾及分析 事件一:维基解密2010年7月25日,“维基解密”通过英国卫报、德国明镜和美国纽约时报公布了92000份美军有关阿富汗战争的军事机密文件。10月23日,“维基解密”公布了
7、391,832份美军关于伊拉克战争的机密文件。11月28日,维基解密网站泄露了25万份美国驻外使馆发给美国国务院的秘密文传电报。“维基解密”是美国乃至世界历史上最大规模的一次泄密事件,其波及范围之广,涉及文件之众,均史无前例。该事件引起了世界各国政府对信息安全工作的重视和反思。据美国有线电视新闻网12月13日报道,为防止军事机密泄露,美国军方已下令禁止全军使用USB存储器、CD光盘等移动存储介质。,案例,2010年重大安全事件回顾及分析 事件二:震网病毒震网病毒(Stuxnet),是世界上首个以直接破坏现实世界中工业基础设施为目标的蠕虫病毒,被称为网络“超级武器”。震网病毒于2010年7月开始
8、爆发,截至2010年9月底,包括中国、印度、俄罗斯在内的许多国家都发现了这个病毒。据统计,目前全球已有约45000个网络被该病毒感染,其中60%的受害主机位于伊朗境内,并已造成伊朗核电站推迟发电。目前我国也有近500万网民、以及多个行业的领军企业遭此病毒攻击。 事件三:3Q之争2010年9月,奇虎公司针对腾讯公司的QQ聊天软件,发布了“360隐私保护器”和“360扣扣保镖”两款网络安全软件,并称其可以保护QQ用户的隐私和网络安全。腾讯公司认为奇虎360的这一做法严重危害了腾讯的商业利益,并称“360扣扣保镖”是“外挂”行为。随后,腾讯公司在11月3日宣布将停止对装有360软件的电脑提供QQ服务
9、。由此引发了“360 QQ大战”,同时引起了360软件与其它公司类似产品的一系列纷争,最终演变成为了互联网行业中的一场混战。最终3Q之争在国家相关部门的强力干预下得以平息,扣扣保镖被召回,QQ与360恢复兼容。但此次事件对广大终端用户造成的恶劣影响和侵害,并由此引发的公众对于终端安全和隐私保护的困惑和忧虑却远没有消除。,案例,上述三个安全事件均发自于终端,可见终端安全已经成为世界范围内的突出问题,在各国精心构建的信息安全防御体系中,终端安全仍是一个薄弱环节。美国政府历来以防御严密、技术先进著称,尚且发生了维基解密事件,我国在核心技术依赖于国外的情况下,面临的严峻的信息安全形势可想而知,发达国家
10、要使我们的网络信息系统瘫痪或盗窃我们的渉密信息易如反掌。因此,信息安全建设必须走自主之路,而3Q之争又暴露出国内安全厂商和安全产业发展存在的诸多问题,我们的安全意识、技术和管理水平都亟待提高。如何真正提高终端安全性,可以得到如下启示:,案例,(1)要建立可控的信息交换机制。不同等级网络之间进行数据交换的需求是客观存在的,禁止一切数据交换只会导致“地下”数据交换,专用U盘、刻光盘,物理隔离都存在安全风险和漏洞。强行“封堵”不如合理“疏导”,建立集中的数据交换渠道,并对交换过程进行全程监控和审计,切实落实信息使用和管理的相关责任,才能确保数据安全。(2)攻击和窃密是终端安全的外部原因,计算机系统存
11、在缺陷或漏洞、系统配置不当是终端安全的内部原因。外因通过内因起作用,内因是决定因素,通过实施终端安全核心配置,对操作系统等系统软件和常用软件进行安全配置,提高系统自身安全性,减少系统安全漏洞,降低对第三方工具技术的依赖,真正提高终端安全防护的自主性。(3)国家应尽快建立政府终端安全保障基础设施,形成从中央到地方多级部署,覆盖全国各级政府部门的终端安全管理应用支撑环境,实现对全国政务终端的统一安全管理和安全状态监测,掌握终端安全态势,提高运行管理效率,保障国家信息安全。(4)国家应加强对信息安全市场的监督管理,尽快出台有关信息安全、软件行为、信息采集及隐私保护方面的法律法规,规范商业竞争,维护广
12、大用户的合法权益,促进国内安全厂商和信息安全产业的良性发展。(来源:国家信息中心 李新友 刘蓓 蔡军霞 许涛 刘帅),前言为什么实行等保,制度要求法律法规,一、信息安全等级保护的制度体系,法规行政法规中华人民共和国计算机信息系统安全保护条例 1997年国务院行政法规,规定计算机信息系统实行安全等级保护。地方法规广东省计算机信息系统安全保护条例 2007年广东地方法规,系统规定了等级保护,并设置了法律责任,一、信息安全等级保护的制度体系,规范性文件国家 关于信息安全等级保护工作的实施意见 2004年公安部、保密局、密码委、信息办联合发文,初步规定了信息安全等级保护工作的指导思想、原则、要求 信息
13、安全等级保护管理办法 2007年公安部、保密局、密码委、信息办联合发文,系统规定了信息安全等级保护制度,一、信息安全等级保护的制度体系,公安机关信息安全等级保护检查工作规范(试行) 公安部十一局2008年颁发,规范监督检查工作的具体要求。信息安全等级保护备案工作实施细则 公安部十一局2008年颁发,一、信息安全等级保护的制度体系,规范性文件地方 广东省公安厅关于计算机信息系统安全保护的实施办法 2008年广东省公安厅(经省政府法制办审查通过)发布 关于贯彻和的通知 2008年广东省公安厅网警总队印发广东省信息安全等级保护备案工作实施细则(试行) 2008年广东省公安厅网警总队印发,标准系统定级
14、信息系统安全保护等级定级指南(国家推荐性标准)安全保护信息系统安全等级保护基本要求(国家推荐性标准)信息系统安全等级保护实施指南信息系统安全等级保护安全设计技术要求检测评估信息系统安全等级保护基本要求信息系统安全等级保护测评要求监督检查信息系统安全等级保护监督检查要求,一、信息安全等级保护的制度体系,标准计算机信息系统安全保护等级划分准则(GB17859-1999)信息安全技术 网络基础安全技术要求信息安全技术 信息系统通用安全技术要求信息安全技术 操作系统安全技术要求信息安全技术 数据库管理系统安全技术要求信息安全技术 服务器技术要求信息安全技术 终端计算机系统安全等级技术要求,一、信息安全
15、等级保护的制度体系,原则来源:关于信息安全等级保护工作的实施意见信息安全等级保护制度遵循以下基本原则:一是明确责任,共同保护二是依照标准,自行保护三是同步建设,动态调整四是指导监督,保护重点,二、信息安全等级保护的工作要求,明确责任,共同保护 通过等级保护,组织和动员职能部门、法人和其他组织、公民共同参与信息安全保护工作;各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任。,二、信息安全等级保护的工作要求,依照标准,自行保护 国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级、自行保护。,二、信息安全等级保护的工作要求,同步建设,动态调整。 信息系统
16、在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。,二、信息安全等级保护的工作要求,指导监督,重点保护 国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式,对重要信息和信息系统的信息安全保护工作进行指导监督。,二、信息安全等级保护的工作要求,主要内容来源:信息安全等级保护管理办法国家通过制定统一的信息安全等级保护管理规范和技术标准
17、,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。,二、信息安全等级保护的工作要求,职责分工 公安机关负责信息安全等级保护工作的监督、检查、指导。 国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。 国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。,二、信息安全等级保护的工作要求,在信息安全等级保护工作中,涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。 国务院信息化工作办公室及地方信息化领导小组办事机构负责信息安全等级保护工作中部门间的协调。,二、信息安全等级保护的工作要求,信息系统的主
18、管部门应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统运营、使用单位应当按照等级保护的管理规范和相关标准规范履行信息安全等级保护的义务和责任。,二、信息安全等级保护的工作要求,省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组各行业主管部门要成立行业信息安全等级保护工作小组各地级以上市参照成立相应工作机制重要信息系统运营使用单位成立信息安全等级保护工作组,二、信息安全等级保护的工作要求,公安机关职责内容指导信息系统运营使用单位及其主管部门确定系统安全保护等级。指导信息安全等级保
19、护的建设、整改和管理。接受信息系统安全保护等级的备案。定期对受理备案的信息系统安全保护状况依法进行监督、检查。对安全保护等级为第三级以上信息系统选择使用信息安全产品的情况进行监督管理。对信息安全等级保护检测评估服务机构的监督管理。,二、信息安全等级保护的工作要求,二、信息安全等级保护的工作要求,各个环节,组织开展调查摸底合理确定保护等级依法履行备案手续开展安全建设整改组织系统安全测评加强日常测评自查加强安全监督检查,组织开展调查摸底 各信息系统主管部门、运营使用单位组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构以及系统建设规划等基本情况,为开
20、展信息安全等级保护工作打下基础。,二、信息安全等级保护的工作要求,合理确定保护等级(信息化项目立项前) 来源和依据:信息安全等级保护管理办法、广东省计算机信息系统安全保护条例,信息安全等级保护实施指南、信息系统安全等级保护定级指南,二、信息安全等级保护的工作要求,定级标准:计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级:,二、信息安全等级保护的工作要求,(一)计算机信息系统受到破坏后,可能对公民、法人和其他组织的合法权益造成损害,但不损
21、害国家安全、社会秩序和公共利益的,为第一级;,二、信息安全等级保护的工作要求,(二)计算机信息系统受到破坏后,可能对公民、法人和其他组织的合法权益产生严重损害,或者可能对社会秩序和公共利益造成损害,但不损害国家安全的,为第二级;,二、信息安全等级保护的工作要求,(三)计算机信息系统受到破坏后,可能对社会秩序和公共利益造成严重损害,或者可能对国家安全造成损害的,为第三级;,二、信息安全等级保护的工作要求,(四)计算机信息系统受到破坏后,可能对社会秩序和公共利益造成特别严重损害,或者可能对国家安全造成严重损害的,为第四级;(五)计算机信息系统受到破坏后,可能对国家安全造成特别严重损害的,为第五级。
22、,二、信息安全等级保护的工作要求,定级程序:信息系统运营、使用单位应当依照相关规定和标准和行业指导意见确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。,二、信息安全等级保护的工作要求,定级注意事项一级信息系统:适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。二级信息系统:适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网,
23、非涉及秘密、敏感信息的办公系统等。,二、信息安全等级保护的工作要求,三级信息系统:适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。四级信息系统:适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。,二、信息安全等级保护的工作要求,在申报系统新建、改建、扩建立项时须同时向立项审批部门提交定级报告。,二、信息安全等级保护的工作要求,依法履行备案手续
24、 来源和依据:信息安全等级保护管理办法、广东省计算机信息系统安全保护条例,广东省信息安全等级保护备案工作实施细则(试行) 、信息安全等级保护备案实施细则 、信息安全等级保护实施指南,二、信息安全等级保护的工作要求,备案时限。已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 新建第二级以上信息系统,在通过信息化项目立项后,由其运营、使用单位在30日内到所在地设区的市级以上公安机关办理备案手续。,二、信息安全等级保护的工作要求,补充备案。第三级以上信息系统还应当在系统整改、测评完成后30日内补交备案表表四及其有关材
25、料。 变更备案。备案表所载事项发生变更,备案单位应当自变更之日起30日内重新填写备案表报公安机关网监部门备案。其中,变更事项涉及备案证明的,公机关网监部门应当重新颁布备案证明。,二、信息安全等级保护的工作要求,书面填写信息系统安全等级保护备案表 一式两份。可填WORD文档,再打印输出,附上附件。利用备案工具填写。涉密系统填写涉及国家秘密的信息系统分级保护备案表,向保密部门备案。,备案表填写注意事项,信息系统安全等级保护备案表 WORD文档和备案工具及其他相关材料可到广东网警网站信息安全等级保护栏目下载。,备案表填写注意事项,信息系统安全等级保护备案表补充说明,一、表一04行政区划代码可到广东网
26、警网站信息安全等级保护栏目下载广东行政区划代码查询。二、表一08隶属关系1省直国家机关、省政府直属的企业、事业单位,国资委管理的企业选“2省(自治区、直辖市)”。2省直部门下设的企业、事业单位选“9其他 ”,再在横线上注明是哪个部门下设的企业、事业单位。,备案表填写注意事项,三、表二07关键产品使用情况的部分使用及使用率使用率:软件按产品的种类来计,硬件按件数来计。四、表三06是否有主管部门1企业、事业单位有主管部门的应履行相关报批手续,选“有”。2国家机关可选“无”,但在实际操作中可征求上级部门意见;如本系统内部有规定明确要经上级部门审批的,应履行审批手续。,备案表填写注意事项,管辖原则。
27、备案管辖分工采取级别管辖和属地管辖相结合。 中央在京单位。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由公安部公共信息网络安全监察局受理备案,其他信息系统由北京市公安局公共信息网络安全监察部门受理备案。 中央驻粤及省直国有单位。隶属中央或省的驻穗国有单位的信息系统,由省公安厅网警总队受理备案。上述单位在各地运行、维护的分支系统由其在各地的分支机构报所在地地级以上市公安机关网监部门备案。,二、信息安全等级保护的工作要求,办理信息系统安全保护等级备案手续时,应当填写信息系统安全等级保护备案表,第三级以上信息系统应当同时提供以下材料:(一)系统拓扑结构及说明;(二
28、)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案; (四)系统使用的信息安全产品清单及其认证、销售许可证明; (五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。,二、信息安全等级保护的工作要求,备案申请 办理备案手续,应当到公安机关指定网址下载信息安全等级保护备案软件,利用该软件填写生成信息系统安全等级保护备案表(简称备案表,下同)表一、表二、表三纸质WORD格式文档一式两份和电子数据(RAR格式),并准备好相关附件(一式两份),向公安机关网监部门提出备案申请。,二、信息
29、安全等级保护的工作要求,实质审查。对于通过形式审查的单位,公安网监部门应当在10个工作日内对下列内容进行审查:1备案表项目填写是否完整,是否符合要求,纸质材料和电子数据是否一致; 2信息系统所定安全保护等级是否准确。,二、信息安全等级保护的工作要求,审查结论。对符合要求的,公安机关网监部门应当在备案表加盖公共信息网络安全监察专用章并将其中一份反馈备案单位,并出具信息系统安全等级保护备案证明(以下简称备案证明)。备案证明由公安部统一监制。对不符合要求的,公安网监部门应当出具信息系统安全等级保护备案审核结果通知,通知备案单位进行整改。其中,对定级不准的备案单位,在通知整改的同时,应当建议备案单位重
30、新定级。(七)主管部门审核批准信息系统安全保护等级的意见。,二、信息安全等级保护的工作要求,运营、使用单位或者其主管部门重新确定计算机信息系统等级的,应当按照本条例向公安机关重新备案。,二、信息安全等级保护的工作要求,法律责任 广东省计算机信息系统安全保护条例规定,计算机信息系统的运营、使用单位没有向地级市以上人民政府公安机关备案的,或者违反本条例第三十六条规定,接到公安机关要求整改的通知后拒不按要求整改的,由公安机关处以警告或者停机整顿。,二、信息安全等级保护的工作要求,开展安全建设整改 来源和依据:信息安全等级保护管理办法、广东省计算机信息系统安全保护条例,信息安全等级保护实施指南、信息系
31、统安全等级保护基本要求等,二、信息安全等级保护的工作要求,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。 计算机信息系统规划、设计、建设和维护应当同步落实相应的安全措施,二、信息安全等级保护的工作要求,在信息系统建设过程中,运营、使用单位应当按照计算机信息系统安全保护等级划分准则(GB17859-1999)、信息系统安全等级保护基本要求等技术标准,参照信息安全技术 信息系统通用安全技术要求(GB/T20271-2006)、信息安全技术 网络基础安全技术要求(GB/T20270-2
32、006)、信息安全技术 操作系统安全技术要求(GB/T20272-2006)、信息安全技术 数据库管理系统安全技术要求(GB/T20273-2006)、信息安全技术 服务器技术要求、信息安全技术 终端计算机系统安全等级技术要求(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。,二、信息安全等级保护的工作要求,运营、使用单位应当参照信息安全技术 信息系统安全管理要求(GB/T20269-2006)、信息安全技术 信息系统安全工程管理要求(GB/T20282-2006)、信息系统安全等级保护基本要求等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。,二、信息
33、安全等级保护的工作要求,通过委托等保测评机构进行测评、风险评估等方式分析整改需求,或者委托等保技术支持单位、安全服务机构(须已参加安全服务机构从业人员培训班并取得信息网络安全专业技术人员继续教育证书)提供咨询等方式对照有关标准了解系统安全保护现状以及与相应等级保护要求的差距,分析整改需求。制订安全整改方案。落实安全整改技术措施和完善安全管理制度。,已投入使用的系统,在实施项目时,要同步设计、同步建设等级保护措施。对照相应等级的安全保护要求,制订安全建设方案。落实安全技术措施和制订安全管理制度。,新建系统,组织系统安全测评 来源和依据:信息安全等级保护管理办法、广东省计算机信息系统安全保护条例、
34、广东省信息安全等级测评工作细则,信息安全等级保护实施指南、信息系统安全等级保护测评准则等,二、信息安全等级保护的工作要求,信息系统建设完成后,二级以上的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评(在系统试运行阶段)合格方可投入使用。已投入运行信息系统在完成系统整改后也应当进行测评。经测评,信息系统安全状况未达到安全保护等级要求的,运营使用单位应当制定方案进行整改。 电子政务信息系统均应测评合格方可投入使用。,二、信息安全等级保护的工作要求,测评程序 计算机信息系统运营、使用单位委托安全测评机构测评,应当提交下列资料: (一)安全测评委托书; (二)计算机信息系统应用需求、系统
35、结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产品清单。,二、信息安全等级保护的工作要求,安全测评机构在收到委托材料后,应当与委托方协商制订安全测评计划,开展安全测评工作,并出具安全测评报告。经测评,计算机信息系统安全状况未达到国家有关规定和标准的要求的,委托单位应当根据测评报告的建议,完善计算机信息系统安全建设,并重新提出安全测评委托。,二、信息安全等级保护的工作要求,测评机构对计算机信息系统进行使用前安全测评,应当预先报告地级以上市公安机关公共信息网络安全监察部门。安全测评报告由计算机信息系统运营、使用单位报地级以上市公安机关公
36、共信息网络安全监察部门。还须报送信息系统安全等级保护备案表二,表四(三级以上系统,含三级)。,二、信息安全等级保护的工作要求,法律责任 广东省计算机信息系统安全保护条例规定,第二级以上计算机信息系统的运营、使用单位计算机信息系统投入使用前未经符合国家规定的安全等级测评机构测评合格的 ,由公安机关责令限期改正,给予警告;逾期不改的,对单位的主管人员、其他直接责任人员可以处五千元以下罚款,对单位可以处一万五千元以下罚款。有违法所得的,没收违法所得;情节严重的,并给予六个月以内的停止联网、停机整顿的处罚;必要时公安机关可以建议原许可机构撤销许可或者取消联网资格。,二、信息安全等级保护的工作要求,加强
37、日常测评自查 来源和依据:信息安全等级保护管理办法、广东省计算机信息系统安全保护条例、广东省信息安全等级测评工作细则,信息安全等级保护实施指南、信息系统安全等级保护测评准则,二、信息安全等级保护的工作要求,计算机信息系统的运营、使用单位及其主管部门应当按照国家规定定期对计算机信息系统开展安全等级测评,并对计算机信息系统安全状况、安全管理制度及措施的落实情况进行自查。,二、信息安全等级保护的工作要求,计算机信息系统投入使用后,存在下列情形之一的,应当进行安全自查,同时委托安全测评机构进行安全测评: (一)变更关键部件; (二)安全测评时间满一年; (三)发生危害计算机信系统安全的案件或安全事故;
38、 (四)公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评; (五)其他应当进行安全自查和安全测评的情形。,二、信息安全等级保护的工作要求,第三级计算机信息系统应当每年至少进行一次安全自查和安全测评,第四级计算机信息系统应当每半年至少进行一次安全自查和安全测评,第五级计算机信息系统应当依据特殊安全要求进行安全自查和安全测评。 自查报告连同测评报告应当由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门。,二、信息安全等级保护的工作要求,计算机信息系统安全状况经测评或者自查,未达到安全等级保护要求的,运营、使用单位应当进行整改。,二、信息安全等级保护
39、的工作要求,加强安全监督检查 来源和依据:信息安全等级保护管理办法、广东省计算机信息系统安全保护条例,公安机关信息安全等级保护检查工作规范(试行) 、信息安全等级保护实施指南、信息系统安全等级保护监督检查要求,二、信息安全等级保护的工作要求,总体要求 公安机关对第三级计算机信息系统每年至少检查一次,对第四级计算机信息系统每半年至少检查一次。对第五级计算机信息系统,应当会同国家指定的专门部门进行检查。对其他计算机信息系统应当不定期开展检查。 公安机关公共信息网络安全监察部门发现计算机信息系统的安全保护等级和安全措施不符合有关规定和技术标准,或者存在安全隐患的,应当通知运营、使用单位进行整改。,二
40、、信息安全等级保护的工作要求,检查方式 信息安全等级保护检查工作采取询问情况,查阅、核对材料,调看记录、资料,现场查验等方式进行。,二、信息安全等级保护的工作要求,检查的主要内容:(一)等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;(二)按照信息安全法律法规、标准规范的要求制定具体实施方案和落实情况;(三)信息系统定级备案情况,信息系统变化及定级备案变动情况;(四)信息安全设施建设情况和信息安全整改情况;,二、信息安全等级保护的工作要求,(五)信息安全管理制度建设和落实情况;(六)信息安全保护技术措施建设和落实情况;(七)选择使用信息安全产品情况;(
41、八)聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;(九)自行定期开展自查情况;(十)开展信息安全知识和技能培训情况。,二、信息安全等级保护的工作要求,检查项目等级保护工作部署和组织实施情况1下发开展信息安全等级保护工作的文件,出台有关工作意见或方案,组织开展信息安全等级保护工作情况。2建立或明确安全管理机构,落实信息安全责任,落实安全管理岗位和人员。3依据国家信息安全法律法规、标准规范等要求制定具体信息安全工作规划或实施方案。4制定本行业、本部门信息安全等级保护行业标准规范并组织实施。,二、信息安全等级保护的工作要求,检查项目信息系统安全等级保护定级备案情况1了解未定级
42、、备案信息系统情况以及第一级信息系统有关情况,对定级不准的提出调整建议。2现场查看备案的信息系统,核对备案材料,备案单位提交的备案材料与实际情况相符合情况。3补充提交信息系统安全等级保护备案登记表表四中有关备案材料。4信息系统所承载的业务、服务范围、安全需求等发生变化情况,以及信息系统安全保护等级变更情况。5新建信息系统在规划、设计阶段确定安全保护等级并备案情况。,二、信息安全等级保护的工作要求,检查项目信息安全设施建设情况和信息安全整改情况1部署和组织开展信息安全建设整改工作。2制定信息安全建设规划、信息系统安全建设整改方案。3按照国家标准或行业标准建设安全设施,落实安全措施。,二、信息安全
43、等级保护的工作要求,检查项目信息安全管理制度建立和落实情况1建立基本安全管理制度,包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度。2建立安全责任制,系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书。3建立安全审计管理制度、岗位和人员管理制度。4建立技术测评管理制度,信息安全产品采购、使用管理制度。5建立安全事件报告和处置管理制度,制定信息系统安全应急处置预案,定期组织开展应急处置演练。6建立教育培训制度,定期开展信息安全知识和技能培训。,二、信息安全等级保护的工作要求,检查
44、项目信息安全产品选择和使用情况1按照管理办法要求的条件选择使用信息安全产品。2要求产品研制、生产单位提供相关材料。包括营业执照,产品的版权或专利证书,提供的声明、证明材料,计算机信息系统安全专用产品销售许可证等。3采用国外信息安全产品的,经主管部门批准,并请有关单位对产品进行专门技术检测。,二、信息安全等级保护的工作要求,检查项目聘请测评机构开展技术测评工作情况1按照管理办法的要求部署开展技术测评工作。对第三级信息系统每年开展一次技术测评,对第四级信息系统每半年开展一次技术测评。2按照管理办法规定的条件选择技术测评机构。3要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等。 4
45、与测评机构签订保密协议。,二、信息安全等级保护的工作要求,检查程序 公安机关开展检查前,应当提前通知被检查单位,并发送信息安全等级保护监督检查通知书。 检查时,检查民警不得少于两人,并应当向被检查单位负责人或其他有关人员出示工作证件。 检查中应当填写信息系统安全等级保护监督检查记录(以下简称监督检查记录)。检查完毕后,监督检查记录应当交被检查单位主管人员阅后签字;对记录有异议或者拒绝签名的,监督、检查人员应当注明情况。监督检查记录应当存档备查。,二、信息安全等级保护的工作要求,整改程序 检查时,发现不符合信息安全等级保护有关管理规范和技术标准要求,具有下列情形之一的,应当通知其运营使用单位限期
46、整改,并发送信息系统安全等级保护限期整改通知书(以下简称整改通知,见附件3)。逾期不改正的,给予警告,并向其上级主管部门通报(通报书见附件4): (一)未按照管理办法开展信息系统定级工作的; (二)信息系统安全保护等级定级不准确的; (三)未按管理办法规定备案的; (四)备案材料与备案单位、备案系统不符合的;,二、信息安全等级保护的工作要求,(五)未按要求及时提交信息系统安全等级保护备案登记表表四的有关内容的;(六)系统发生变化,安全保护等级未及时进行调整并重新备案的; (七)未按管理办法规定落实安全管理制度、技术措施的;(八)未按管理办法规定开展安全建设整改和安全技术测评的;(九)未按管理办
47、法规定选择使用信息安全产品和测评机构的;(十)未定期开展自查的;(十一)违反管理办法其他规定的。,二、信息安全等级保护的工作要求,检查发现需要限期整改的,应当出具整改通知,自检查完毕之日起10个工作日内送达被检查单位。 信息系统运营使用单位整改完成后,应当将整改情况报公安机关,公安机关应当对整改情况进行检查。,二、信息安全等级保护的工作要求,法律责任 广东省计算机信息系统安全保护条例规定,计算机信息系统的运营、使用单位接到公安机关要求整改的通知后拒不按要求整改的,由公安机关处以警告或者停机整顿。,二、信息安全等级保护的工作要求,关键环节,定级-备案-需求分析安全建设整改-测评,应急处置 来源和依据:广东省计算机信息系统安全保护条例、广东省公安厅关于计算机信息系统安全保护的实施办法。,二、信息安全等级保护的工作要求,联防机制公安机关公共信息网络安全监察部门与所在地安全服务机构、互联网运营单位和其他计算机信息系统运营、使用单位应当建立联防机制,依法及时查处通过计算机信息系统进行的违法犯罪行为,组织处置重大突发事件。情况报告 对计算机信息系统中发生的案件和重大安全事故,计算机信息系统的运营、使用单位应当在二十四小时内报告县级以上人民政府公安机关公共信息网络安全监察部门,并保留有关原始记录。,
