信息安全等级保护培训教材第1册.docx
《信息安全等级保护培训教材第1册.docx》由会员分享,可在线阅读,更多相关《信息安全等级保护培训教材第1册.docx(18页珍藏版)》请在冰豆网上搜索。
信息安全等级保护培训教材第1册
信息安全等级保护培训教材
(第一册)
目录
一、信息安全等级保护政策体系
(一)总体方面的政策文件
(二)具体环节的政策文件
1、定级环节
2、备案环节
3、安全建设整改环节
4、等级测评环节
5、安全检查环节
二、信息安全等级保护标准体系
(一)各类标准与等级保护工作的关系
1、基础标准
2、安全要求类标准
3、定级类标准
4、方法指导类标准
5、现状分析类标准
(二)在应用有关标准中需注意的几个问题
三、信息安全等级保护安全管理制度建设和技术措施建设
(一)信息安全等级保护安全管理制度建设
1、开展安全管理制度建设的依据
2、开展安全管理制度建设的内容
3、开展安全管理制度建设的要求
(二)开展信息安全等级保护安全技术措施建设
1、开展安全技术措施建设的依据
2、开展安全技术措施建设的内容
3、开展安全技术措施建设的要求
四、安全建设整改工作的原则和主要思路
(一)工作目标
(二)工作范围
(三)工作方法
五、安全建设整改工作基本流程
六、信息安全产品的选择使用
七、信息系统安全等级测评工作
(一)测评机构的选择
(二)等级测评工作的开展
八、安全自查和监督检查
(一)备案单位的定期自查
(二)行业主管部门的督导检查
(三)公安机关的监督检查
九、工作要求
(一)同步部署,同步实施
(二)加强宣传,树立典型
(三)认真总结,及时报送
广西壮族自治区
信息安全等级保护培训教材
公安部、国家保密局、国家密码管理局和原国务院信息办2007年7月在全国范围内组织开展的信息系统定级备案工作已基本完成。
通过定级,基本摸清了国家基础网络和信息系统底数,掌握了关系国家安全、国计民生的重要信息系统基本情况,为深入开展信息安全等级保护工作打下了坚实基础。
近年来,公安部会同有关部门开展了信息系统等级保护安全建设整改工作的试点、示范,以及为期3个月的信息安全等级保护测评体系建设试点工作,组织制定了《信息系统等级保护安全设计技术要求》、《信息安全等级保护测评机构及测评人员管理细则》和《信息系统等级保护测评报告模版》相关标准规范,在此基础上出台了《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号,以下简称《指导意见》),为指导各单位、各部门开展信息安全等级保护安全建设整改工作(以下简称“安全建设整改工作”)奠定了基础。
为了明确开展信息安全等级保护安全建设整改工作的内容和要求,这里对有关问题进一步进行解释说明。
一、信息安全等级保护政策体系
近几年,为组织开展信息安全等级保护工作,公安部根据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)的授权,会同国家保密局、国家密码管理局和原国务院信息办出台了一些文件,发改委会同公安部、国家保密局出台了相关文件,公安部对有些具体工作出台了一些指导意见和规范,这些文件初步构成了信息安全等级保护政策体系(如图1所示),为指导各地区、各部门开展等级保护工作提供了政策保障。
为了方便使用,我们已将信息安全等级保护政策文件汇编成《信息安全等级保护政策汇编》发给有关单位、部门。
图1信息安全等级保护法律政策体系
(一)总体方面的政策文件
总体方面的文件有两个,这两个文件确定了等级保护制度的总体内容和要求,对等级保护工作的开展起到宏观指导作用。
1、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)。
该文件是为贯彻落实国务院第147号令和中办27号文件、由四部委共同会签印发、指导相关部门实施信息安全等级保护工作的纲领性文件,主要内容包括贯彻落实信息安全等级保护制度的基本原则,等级保护工作的基本内容、工作要求和实施计划,以及各部门工作职责分工等。
2、《信息安全等级保护管理办法》(公通字[2007]43号)。
该文件是在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上,由四部委共同会签印发的重要管理规范,主要内容包括信息安全等级保护制度的基本内容、流程及工作要求,信息系统定级、备案、安全建设整改、等级测评的实施与管理,信息安全产品和测评机构选择等,为开展信息安全等级保护工作提供了规范保障。
(二)具体环节的政策文件
对应等级保护工作的具体环节(信息系统定级、备案、安全建设整改、等级测评、安全检查),出台了相应的政策规范:
1、定级环节
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)。
2007年7月20日四部委在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”,会议根据该通知精神部署在全国范围内开展重要信息系统安全等级保护定级工作,标志着全国信息安全等级保护工作全面开展。
该文件由四部委共同会签印发。
2、备案环节
《信息安全等级保护备案实施细则》(公信安[2007]1360号)。
该文件规定了公安机关受理信息系统运营使用单位信息系统备案工作的内容、流程、审核等内容,并附带有关法律文书,指导各级公安机关受理信息系统备案工作。
该文件由公安部网络安全保卫局印发。
3、安全建设整改环节
(1)《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)。
该文件明确了非涉及国家秘密信息系统开展安全建设整改工作的目标、内容、流程和要求等,文件附件包括《信息安全等级保护安全建设整改工作指南》和《信息安全等级保护主要标准简要说明》。
该文件由公安部印发。
(2)《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号)。
该文件要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照《信息安全等级保护管理办法》进行,明确了项目验收条件:
公安机关颁发的信息系统安全等级保护备案证明、等级测评报告和风险评估报告。
该文件由发改委、公安部、国家保密局共同会签印发。
4、等级测评环节
关于印发《信息系统安全等级测评报告模版(试行)》的通知(公信安[2009]1487号)。
该文件明确了等级测评的内容、方法和测评报告格式等内容,用以规范等级测评活动。
该文件由公安部网络安全保卫局印发。
5、安全检查环节
《公安机关信息安全等级保护检查工作规范(试行)》(公信安[2008]736号)。
该文件规定了公安机关开展信息安全等级保护检查工作的内容、程序、方式以及相关法律文书等,使检查工作规范化、制度化。
该文件由公安部网络安全保卫局印发。
二、信息安全等级保护标准体系
为推动我国信息安全等级保护工作的开展,十多年来,在公安部领导和支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系,为开展信息安全等级保护工作提供了标准保障。
信息安全等级保护相关标准具体见《信息安全等级保护主要标准简要说明》。
为了方便使用,我们已将主要标准汇编成《信息安全等级保护标准汇编》发给有关单位、部门。
各单位、各部门信息系统安全建设整改工作应依据《基本要求》或行业标准规范,并在不同阶段、针对不同技术活动参照相应的标准规范进行,相关标准与等级保护各工作环节的关系如图2所示。
图2等级保护相关标准与等级保护各工作环节的关系
(一)各类标准与等级保护工作的关系
1、基础标准
《计算机信息系统安全保护等级划分准则》是强制性国家标准,是等级保护的基础性标准,在此基础上制定出《信息系统通用安全技术要求》等技术类、《信息系统安全管理要求》、《信息系统安全工程管理要求》等管理类、《操作系统安全技术要求》等产品类标准,为相关标准的制定起到了基础性作用。
2、安全要求类标准
《基本要求》以及行业标准规范或细则构成了信息系统安全建设整改的安全需求。
(1)《信息系统安全等级保护基本要求》(以下简称《基本要求》)。
该标准是在《计算机信息系统安全保护等级划分准则》、技术类标准和管理类标准基础上,总结几年的实践,结合当前信息技术发展的实际情况研究制定的,该标准提出了各级信息系统应当具备的安全保护能力,并从技术和管理两方面提出了相应的措施。
(2)信息系统安全等级保护基本要求的行业细则。
重点行业可以按照《基本要求》等国家标准,结合行业特点,在公安部等有关部门指导下,确定《基本要求》的具体指标,在不低于《基本要求》的情况下,结合系统安全保护的特殊需求,制定行业标准规范或细则。
3、定级类标准
《信息系统安全等级保护定级指南》和信息系统安全等级保护行业定级细则为确定信息系统安全保护等级提供支持。
(1)《信息系统安全等级保护定级指南》(GB/T22240-2008)。
该标准规定了定级的依据、对象、流程和方法以及等级变更等内容,用于指导开展信息系统定级工作。
(2)信息系统安全等级保护行业定级细则。
重点行业可以按照《信息系统安全等级保护定级指南》等国家标准,结合行业特点和信息系统的特殊性,在公安部等有关部门指导下,制定行业信息系统定级规范或细则。
4、方法指导类标准
《信息系统安全等级保护实施指南》和《信息系统等级保护安全设计技术要求》构成了指导信息系统安全建设整改的方法指导类标准。
(1)《信息系统安全等级保护实施指南》(信安字[2007]10号)。
该标准阐述了等级保护实施的基本原则、参与角色和信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等几个主要工作阶段中如何按照信息安全等级保护政策、标准要求实施等级保护工作。
(2)《信息系统等级保护安全设计技术要求》(信安秘字[2009]059号)。
该标准提出了信息系统等级保护安全设计的技术要求,包括第一级至第五级信息系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求,以及定级系统互联的设计技术要求,明确了体现定级系统安全保护能力的整体控制机制,用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构等开展信息系统等级保护安全技术设计。
5、现状分析类标准
《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》构成了指导开展等级测评的标准规范。
(1)《信息系统安全等级保护测评要求》。
该标准阐述了等级测评的原则、测评内容、测评强度、单元测评要求、整体测评要求、等级测评结论的产生方法等内容,用于规范和指导测评人员如何开展等级测评工作。
(2)《信息系统安全等级保护测评过程指南》。
该标准阐述了信息系统等级测评的测评过程,明确了等级测评的工作任务、分析方法以及工作结果等,包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动,用于规范测评机构的等级测评过程。
(二)在应用有关标准中需注意的几个问题
1、《基本要求》是信息系统安全建设整改的基本目标,《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一。
《基本要求》中不包含安全设计和工程实施等内容,因此,在系统安全建设整改中,可以参照《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》和《信息系统安全工程管理要求》进行。
2、由于信息系统定级时是根据业务信息安全等级和系统服务安全等级确定的系统安全等级,因此,在进行信息系统安全建设整改时,应根据业务信息安全等级和系统服务安全等级确定《基本要求》中相应的安全保护要求。
各单位、各部门在进行信息系统安全建设整改方案设计时,要按照整体安全的原则,综合考虑安全保护措施,建立系统综合防护体系,提高系统的整体保护能力。
3、《信息系统等级保护安全设计技术要求》依据《计算机信息系统安全保护等级划分准则》从“计算环境安全、区域边界安全、通信网络安全和安全管理中心”(一个中心三维防护)四方面给出了五个级别信息系统安全保护设计的技术要求,用于指导信息系统等级保护安全技术设计。
本标准不包括信息系统物理安全、安全管理、安全运维等方面的安全要求,所以应与《基本要求》等标准配合使用。
三、信息安全等级保护安全管理制度建设和技术措施建设
(一)信息安全等级保护安全管理制度建设
1、开展安全管理制度建设的依据
按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,建立健全并落实符合相应等级要求的安全管理制度。
2、开展安全管理制度建设的内容
一是落实信息安全责任制。
成立信息安全工作领导机构,明确信息安全工作的主管领导。
成立专门的信息安全管理部门或落实信息安全责任部门,确定安全岗位,落实专职人员或兼职人员。
明确落实领导机构、责任部门和有关人员的信息安全责任。
二是落实人员安全管理制度。
制定人员录用、离岗、考核、教育培训等管理制度,落实管理的具体措施。
对安全岗位人员要进行安全审查,定期进行培训、考核和安全保密教育,提高安全岗位人员的专业水平,逐步实现安全岗位人员持证上岗。
三是落实系统建设管理制度。
建立信息系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理制度,明确工作内容、工作方法、工作流程和工作要求。
四是落实系统运维管理制度。
建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置等管理制度,制定应急预案并定期开展演练,采取相应的管理技术措施和手段,确保系统运维管理制度的有效落实。
3、开展安全管理制度建设的要求
(1)在具体实施过程中,可逐项建立管理制度,也可以进行整合,形成完善的安全管理体系。
要根据具体情况,结合系统管理实际,不断健全完善管理制度。
同时,将管理制度与管理技术措施有机结合,确保安全管理制度得到有效落实。
(2)建立并落实监督检查机制。
备案单位定期对各项制度的落实情况进行自查,行业主管部门组织开展督导检查,公安机关会同主管部门开展监督检查。
(二)开展信息安全等级保护安全技术措施建设
1、开展安全技术措施建设的依据
按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,建设信息系统安全保护技术措施。
2、开展安全技术措施建设的内容
结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设整改方案,开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。
在信息系统安全技术建设整改中,可以采取“一个中心、三维防护”(即一个安全管理中心和计算环境安全、区域边界安全和通信网络安全)的防护策略,实现相应级别信息系统的安全保护技术要求,建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平。
3、开展安全技术措施建设的要求
备案单位要开展信息系统安全保护现状分析,确定信息系统安全技术建设整改需求,制定信息系统安全技术建设整改方案,组织实施信息系统安全建设整改工程,开展安全自查和等级测评,及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设整改工作。
四、安全建设整改工作的方法和主要思路
安全建设整改工作与各单位、各部门在信息系统建设中开展的安全建设工作有联系又有区别,但信息安全等级保护工作中的安全建设整改工作具有鲜明的特点,主要体现在以下四个方面:
(1)安全建设整改工作是在各单位、各部门信息系统安全保护工作基础上开展的,是对原有工作的继承和发展。
(2)各单位、各部门是按照国家有关标准规范开展安全建设整改工作,强调将技术措施和管理措施有机结合,着重建立信息系统综合防护体系,提高信息系统整体安全保护能力。
(3)传统的信息系统安全保护工作大多是自主、自愿行为,而信息安全等级保护安全建设整改工作是有政府职能部门监督的行为。
全国公安机关对各单位、各部门等级保护工作的开展进行监督、检查。
(4)公安机关会同国家保密部门、密码工作部门和信息化部门出台了一系列政策文件和工作指南,为各单位、各部门开展等级保护工作提供了一定的保障机制。
各单位、各部门在开展安全建设整改工作中,应坚持管理和技术并重的原则,依据《基本要求》,落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。
(一)工作目标
利用三年时间,开展三项重点工作,实现五方面目标。
1、三年时间。
由于一些重要行业信息系统较多,受资金、人员等条件限制,考虑实际情况,全国已定级信息系统安全建设整改工作总体上用三年时间完成。
各行业主管(监管)部门应按照时间要求,根据本行业信息系统数量和实际情况,合理部署总体工作进度。
2、三项重点工作。
通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评等三项重点工作,落实等级保护制度的各项要求。
3、五方面目标。
通过开展安全建设整改工作,达到以下五方面目标:
一是信息系统安全管理水平明显提高,二是信息系统安全防范能力明显增强,三是信息系统安全隐患和安全事故明显减少,四是有效保障信息化健康发展,五是有效维护国家安全、社会秩序和公共利益。
(二)工作范围
目前,少数单位和部门尚未开展信息系统定级备案工作,存在漏定级、漏备案和定级不准等情况,所以,各行业主管(监管)部门应在公安部指导下出台行业信息系统定级指导意见和要求,先解决信息系统定级备案工作存在的突出问题,在此基础上开展安全建设整改工作。
开展安全建设整改工作的信息系统范围如下:
1、各单位、各部门要将已备案的第二级(含)以上信息系统纳入安全建设整改的范围。
2、尚未开展定级备案的信息系统,要先定级备案,再开展安全建设整改。
3、新建系统要同步开展安全建设工作。
(三)工作方法
1、安全建设整改工作应以《基本要求》为基本目标,可以针对安全现状分析发现的问题进行加固改造,缺什么补什么;也可以进行总体安全建设整改设计,将不同区域、不同层面的安全保护措施形成有机的安全保护体系,落实《基本要求》,最大程度发挥安全措施的保护能力。
2、突出重点。
建设过程中要突出重点,可以先对第三、四级信息系统开展安全建设整改,再对第二级系统开展整改;也可以对各等级系统同步规划实施,确保按期完成任务。
3、试点示范。
重点行业、部门可以根据需要和实际情况,选择有代表性的第二、三、四级信息系统先进行安全建设整改和等级测评工作试点、示范,在总结经验的基础上全面推开。
4、安全建设整改工作具体实施可以根据实际情况,将安全管理制度建设和安全技术措施建设内容一并实施,或分步实施。
5、将安全建设整改工作与业务工作、信息化建设工作有机结合,利用信息安全等级保护综合工作平台,使等级保护工作常态化。
五、安全建设整改工作基本流程
安全建设整改工作可以分五步进行。
第一步:
落实负责安全建设整改工作的责任部门,由责任部门牵头制定本单位和本行业信息系统安全建设整改工作规划,对安全建设整改工作进行总体部署。
第二步:
开展信息系统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求。
可以依据《基本要求》等标准,采取对照检查、风险评估、等级测评等方法,分析判断目前所采取的安全保护措施与等级保护标准要求之间的差距,分析系统已发生的事件或事故,分析安全保护方面存在的问题,形成安全建设整改的需求并论证。
第三步:
确定安全保护策略,制定信息系统安全建设整改方案。
在安全需求分析的基础上,进行信息系统安全建设整改方案设计,包括总体设计和详细设计,制定工程预算和工程实施计划等,为后续安全建设整改工程实施提供依据。
安全建设整改方案须经专家评审论证,第三级(含)以上信息系统安全建设整改方案应报公安机关备案,公安机关监督检查备案单位安全建设整改方案的实施。
第四步:
按照信息系统安全建设整改方案,实施安全建设整改工程,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施。
在实施安全建设整改工程中,需要加强投资风险控制、实施流程管理、进度规划控制、工程质量控制和信息保密管理。
第五步:
开展安全自查和等级测评,及时发现信息系统中存在的安全隐患和问题,并通过风险分析,确定应解决的主要问题,进一步开展安全整改工作。
安全建设整改工作的具体步骤见图3所示。
图3信息系统安全建设整改工作基本流程
六、信息安全产品的选择使用
为落实《关于信息安全等级保护工作的实施意见》中提出的“对信息系统中使用的信息安全产品实行按等级管理”的要求,公安部发布了《关于调整更新计算机信息系统安全专用产品检测执行标准规范的公告》(公信安[2009]1157号),对已有分级标准的29类信息安全产品开展分级检测工作。
对于检测并审核通过的产品,产品销售许可证书标注产品分级信息,便于用户根据信息系统安全需求选择相应等级的产品。
《管理办法》规定第三级以上信息系统应当选择使用我国自主研发的信息安全产品。
信息安全产品是信息系统安全的重要基础,信息安全产品的使用和管理是国家信息安全等级保护制度的重要组成部分,尤其是进入到基础信息网络和重要信息系统中的信息安全产品将直接影响信息系统安全,甚至危及国家安全、社会稳定。
因此,各单位、各部门应在满足使用要求的前提下,优先选择国产品。
国家信息安全监管部门对进入第三级以上信息系统中使用的信息安全产品进行管理。
七、信息系统安全等级测评工作
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
信息系统运营使用单位通过开展等级测评,一是可以掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求;二是衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力。
(一)测评机构的选择
为了加强信息安全等级保护等级测评机构建设和管理,规范等级测评活动,保障等级测评工作的顺利开展,公安机关组织对测评机构和测评人员进行安全审查和能力审验。
开展等级测评的机构须获得省级(含)以上信息安全等级保护协调(领导)小组办公室颁发的由公安部统一监制的资格证明文件。
开展等级测评的人员须获得专门机构颁发的等级测评师证书(等级测评师分为初级、中级和高级三种)和省级(含)以上公安机关网络安全保卫部门颁发的上岗资格证书。
省级(含)以下备案单位可以在本省信息安全等级保护工作协调(领导)小组办公室发布的《信息安全等级保护测评机构推荐目录》中选择测评机构。
省级以上各备案单位可以在国家信息安全等级保护工作协调小组办公室发布的《全国信息安全等级保护测评机构推荐目录》中选择测评机构。
没有测评机构的省(市)可以在《全国信息安全等级保护测评机构推荐目录》中选择测评机构。
(二)等级测评工作的开展
各单位、各部门在开展信息系统安全建设整改之前,可以通过等级测评进行信息系统安全现状分析,明确信息系统安全建设整改的需求,制定安全建设整改方案。
信息系统安全建设整改后,按照《管理办法》的要求进行等级测评,经测评未达到安全保护要求的,要根据测评报告中的改进建议,制定整改方案并进一步进行整改。
对第三级(含)以上信息系统要定期开展等级测评工作,对于重要部门的第二级信息系统,可以参照上述要求开展等级测评工作。
各单位、各部门要对测评机构和测评人员的测评活动进行监督管理,与测评机构签订工作协议和保密协议,查验测评机构和测评人员的相关材料,落实测评过程监管措施,防范对信息系统可能造成新的安全风险。
各单位、各部门要监督检查测评机构是否依据《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》等国家标准开展等级测评,是否按照公安部统一制订的《信息系统安全等级测评报告模版》(公信安[2009]1487号)格
升级会员 