信息安全等级保护.docx
- 文档编号:6495196
- 上传时间:2023-01-07
- 格式:DOCX
- 页数:10
- 大小:20.55KB
信息安全等级保护.docx
《信息安全等级保护.docx》由会员分享,可在线阅读,更多相关《信息安全等级保护.docx(10页珍藏版)》请在冰豆网上搜索。
信息安全等级保护
信息安全等级保护
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
基本信息
∙中文名称
信息安全等级保护
∙外文名称
InformationSecurityProtection
∙第一级
用户自主保护级
∙第二级
系统审计保护级
工作内容
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,作为公安部授权的第三方测评机构,为企事业单位提供免费专业的信息安全等级测评咨询服务。
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程.信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。
因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
等级划分
《信息安全等级保护信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则.信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定.
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益.
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全.
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
实施原则
根据《信息系统安全等级保护实施指南》精神,山东省软件测评中心信息系统安全等级保护实施过程中,在工作手册上明确了以下基本原则:
自主保护原则:
信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
重点保护原则:
根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统.
同步建设原则:
信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
动态调整原则:
要跟踪信息系统的变化情况,调整安全保护措施。
由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
政策标准
折叠政策法规
中华人民共和国计算机信息系统安全保护条例 (1994年国务院147号令)
("第九条计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”)
计算机信息系统安全保护等级划分准则 (GB17859—1999)
(”第一级:
用户自主保护级;
第二级:
系统审计保护级;
第三级:
安全标记保护级;
第四级:
结构化保护级;
第五级:
访问验证保护级")
国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)
关于信息安全等级保护工作的实施意见(公通字[2004]66号)
定级标准
信息安全等级保护管理办法 (公通字[2007]43号)
关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)
关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)
折叠地方及行业范例
关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)
关于进一步推进中央企业信息安全等级保护工作的通知
水利网络与信息安全体系建设基本技术要求(2010年3月)
证券期货业信息系统安全等级保护基本要求(试行)(JR/T0060—2010)
山西省计算机信息系统安全保护条例 (2009年1月) 广东省计算机信息系统安全保护条例 (2008年4月)
宁夏回族自治区计算机信息系统安全保护条例(2009年10月)
徐州市计算机信息系统安全保护条例 (2009年1月)
标准规范
折叠十大重要标准
计算机信息系统安全等级保护划分准则(GB17859-1999)(基础类标准)
信息系统安全等级保护实施指南(GB/T25058-2010)(基础类标准)
信息系统安全保护等级定级指南(GB/T22240—2008)(应用类定级标准)
信息系统安全等级保护基本要求(GB/T22239-2008)(应用类建设标准)
信息系统通用安全技术要求(GB/T20271—2006)(应用类建设标准)
信息系统等级保护安全设计技术要求(GB/T25070—2010)(应用类建设标准)
信息系统安全等级保护测评要求(GB/T28448-2012)(应用类测评标准)
信息系统安全等级保护测评过程指南(GB/T28449—2012)(应用类测评标准)
信息系统安全管理要求(GB/T20269-2006)(应用类管理标准)
信息系统安全工程管理要求(GB/T20282—2006)(应用类管理标准)
折叠其它相关标准
GB/T21052—2007信息安全技术信息系统物理安全技术要求
GB/T20270—2006信息安全技术网络基础安全技术要求
GB/T20271-2006信息安全技术信息系统通用安全技术要求
GB/T20272—2006信息安全技术操作系统安全技术要求
GB/T20273-2006信息安全技术数据库管理系统安全技术要求
GB/T20984-2007信息安全技术信息安全风险评估规范
GB/T20985-2007信息安全技术信息安全事件管理指南
GB/Z20986—2007信息安全技术信息安全事件分类分级指南
GB/T20988-2007信息安全技术信息系统灾难恢复规范
图书信息
折叠基本信息
书名:
信息安全等级保护政策培训教程
作者:
公安部信息安全等级保护评估中心编著
ISBN978-7-121—10885-3
出版日期:
2010年6月
定价:
45。
00元
开本:
16开
页码:
292页
折叠内容简介
本教程共6章,主要介绍开展信息安全等级保护工作的主要内容、信息安全等级保护政策体系和标准体系、信息系统定级与备案工作、信息安全等级保护安全建设整改工作、信息安全等级保护等级测评工作、安全自查和监督检查。
本教程对信息安全等级保护工作的有关政策、标准进行解读,对主要工作环节进行解释说明,可供有关部门在开展信息安全等级保护培训中使用。
折叠前言
信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。
国务院法规和中央文件明确规定,要实行信息安全等级保护,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度。
信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法,也是我国多年来信息安全工作经验的总结。
开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施,也是一项事关国家安全、社会稳定、国家利益的重要任务。
近几年,为组织各单位、各部门开展信息安全等级保护工作,公安部根据法律授权,会同国家保密局、国家密码管理局和原国务院信息办组织开展了基础调查、等级保护试点、信息系统定级备案、安全建设整改等重要工作,出台了一系列政策文件,构成了信息安全等级保护政策体系,为指导各地区、各部门开展等级保护工作提供了政策保障.同时,在国内有关部门、专家、企业的共同努力下,公安部和标准化工作部门组织制订了信息安全等级保护工作需要的一系列标准,形成了信息安全等级保护标准体系,为开展信息安全等级保护工作提供了标准保障。
今后一段时期,公安机关、行业主管部门和信息系统运营使用单位将组织开展等级保护培训工作。
我们结合近些年的工作实践,在公安部网络安全保卫局的指导下,编写了这本教程,对开展信息安全等级保护工作的主要内容、方法、流程、政策和标准等内容进行解读,对信息系统定级备案、安全建设整改、等级测评、安全检查等工作进行详细解释说明,供读者参考、借鉴.由于水平所限,书中难免有不足之处,敬请读者指正.
本书由公安部信息安全等级保护评估中心组织编写,在编写过程中得到国家网络与信息安全信息通报中心赵林副主任的大力支持和指导,在此表示由衷地感谢。
参加编写的有周左鹰、郭启全、朱建平、毕马宁、景乾元、刘伟、张秀东、祝国邦、马力、任卫红、李升、刘静等。
读者可以登录中国信息安全等级保护网,了解最新情况。
作者
2010年5月
折叠目录
第1章信息安全等级保护制度的主要内容1
1。
1信息安全保障工作概述1
1.1。
1加强信息安全工作的必要性和紧迫性1
1.1.2信息安全基本属性2
1。
1.3我国信息安全保障工作的确立2
1。
1.4信息安全保障工作的主要内容3
1.1.5保障信息安全的主要措施3
1。
1.6北京奥运会网络安全保卫成功经验给信息安全工作带来的启示4
1。
2信息安全等级保护的基本含义5
1。
2。
1信息安全等级保护的法律和政策依据5
1.2。
2什么是信息安全等级保护6
1.2.3公安机关组织开展等级保护工作的法律、政策依据8
1.2。
4贯彻落实信息安全等级保护制度的原则9
1。
2.5信息系统安全保护等级的划分与监管10
1.3实行信息安全等级保护制度的必要性和紧迫性11
1.3.1为什么要强制实行信息安全等级保护制度11
1.3。
2实施信息安全等级保护制度能解决什么问题14
1.3.3国外实施等级保护的经验和做法15
1.4信息安全等级保护制度的主要内容17
1.4。
1等级保护工作中有关部门的责任和义务17
1.4.2等级保护工作的主要环节和基本要求18
1.5实施等级保护制度的工作情况20
1.5.1基础调查20
1。
5.2等级保护试点工作20
1。
5。
3部署定级备案工作20
1。
5。
4等级测评体系建设试点工作21
1.5。
5等级保护协调(领导)机构和专家组建设22
第2章信息安全等级保护政策体系和标准体系24
2.1信息安全等级保护政策体系24
2.1。
1总体方面的政策文件24
2。
1。
2具体环节的政策文件26
2。
2信息安全等级保护标准体系28
2.2。
1信息安全等级保护相关标准类别28
2。
2.2相关标准与等级保护各工作环节关系32
2。
2。
3在应用有关标准中需要注意的几个问题35
2.2。
4信息安全等级保护主要标准简要说明36
第3章信息系统定级与备案工作60
3。
1信息系统安全保护等级的划分与保护60
3。
1。
1信息系统定级工作原则60
3.1。
2信息系统安全保护等级61
3.1.3信息系统安全保护等级的定级要素61
3。
1.4五级保护和监管62
3。
2定级工作的主要步骤62
3.2。
1开展摸底调查62
3。
2.2确定定级对象63
3。
2.3初步确定信息系统等级64
3。
2。
4信息系统等级评审64
3。
2.5信息系统等级的审批64
3.3如何确定信息系统安全保护等级65
3.3。
1如何理解信息系统的五个安全保护等级65
3.3.2定级的一般流程66
3。
4信息系统备案工作的内容和要求71
3。
4.1信息系统备案与受理71
3.4.2公安机关受理备案要求72
3。
4.3对定级不准以及不备案情况的处理73
第4章信息安全等级保护安全建设整改工作74
4。
1工作目标和工作内容74
4.1.1工作目标74
4.1。
2工作范围和工作特点75
4.1。
3工作内容76
4。
1.4信息系统安全保护能力目标78
4。
1。
5基本要求的主要内容81
4。
2工作方法和工作流程85
4.2。
1工作方法85
4.2.2工作流程86
4.4安全管理制度建设87
4.4。
1落实信息安全责任制87
4。
4。
2信息系统安全管理现状分析89
4。
4。
3制定安全管理策略和制度89
4。
4.4落实安全管理措施90
4。
4.5安全自查与调整93
4。
5 安全技术措施建设93
4。
5。
1信息系统安全保护技术现状分析93
4.5。
2信息系统安全技术建设整改方案设计95
4。
5。
3安全建设整改工程实施和管理99
4。
5.4信息系统安全建设整改方案要素100
4.6信息安全产品的选择使用102
4。
6。
1选择获得销售许可证的信息安全产品102
4.6.2产品分等级检测和使用102
4.6。
3第三级以上信息系统使用信息安全产品问题103
第5章信息安全等级保护等级测评工作104
5。
1等级测评工作概述104
5.1.1等级测评的基本含义104
5。
1。
2等级测评的目的104
5.1。
3开展等级测评时机105
5。
1.4错就错等级测评机构的选择105
5。
1。
5等级测评依据的标准106
5.2等级测评机构及测评人员的管理与监督107
5。
2.1为什么要开展等级测评体系建设工作107
5。
2.2对测评机构和测评人员的管理108
5.2.3等级测评机构应当具备的基本条件108
5。
2。
4测评机构的业务范围和工作要求109
5.2.5测评机构的的禁止行为110
5。
2.6测评机构的申请、受理、审核、推荐流程110
5.2.7对测评机构的监督管理113
5.3等级测评的工作流程和工作内容113
5。
3.1基本工作流程和工作方法113
5.3.2系统信息收集115
5。
3。
3编制测评方案118
5.3。
4现场测评122
5。
3。
5测评结果判断126
5。
3。
6测评报告编制128
5.4等级测评工作中的风险控制129
5。
4。
1存在的风险129
5。
4。
2风险的规避129
5。
5等级测评报告的主要内容131
5.5.1等级测评报告的构成131
5。
5。
2等级测评报告的主要内容说明131
第6章安全自查和监督检查134
6.1定期自查与督导检查134
6。
1.1备案单位的定期自查134
6.1.2行业主管部门的督导检查135
6.2公安机关的监督检查135
6。
2。
1检查的原则和方法135
6.2.2检查的主要内容135
6。
2.3检查整改要求136
6.2.4检查工作要求136
附录A关于信息安全等级保护工作的实施意见138
附录B信息安全等级保护管理办法148
附录C关于开展全国重要信息系统安全等级保护定级工作的通知162
附录D信息安全等级保护备案实施细则(试行)177
附录E公安机关信息安全等级保护检查工作规范(试行)187
附录F关于加强国家电子政务工程建设项目信息安全风险评估工作的通知202
附录G关于开展信息安全等级保护安全建设整改工作的指导意见223
附录H信息系统安全等级测评报告模版(试行)228
附录I关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知所属250
附录J信息安全等级保护测评工作管理规范(试行)253
附录K信息安全等级保护安全建设指导委员会专家名单277
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 等级 保护