信息安全等级保护培训教材第2册.docx
《信息安全等级保护培训教材第2册.docx》由会员分享,可在线阅读,更多相关《信息安全等级保护培训教材第2册.docx(34页珍藏版)》请在冰豆网上搜索。
信息安全等级保护培训教材第2册
信息安全等级保护工作培训教材
(第二册)
目录
一、信息安全等级保护工作概论4
(一)信息安全等级保护制度的提出4
(二)信息安全等级保护的内涵5
(三)信息安全等级保护制度的特点9
(四)等级保护工作中的职责分工11
(五)等级保护工作配套政策和标准体系13
二、信息安全等级保护工作的总体目标和要求19
(一)总体目标19
(二)主要内容19
(三)基本方法21
三、信息安全等级保护定级工作24
(一)工作依据25
(二)总体要求25
(三)工作内容和方法25
1.确定定级对象25
2.确定信息系统安全保护等级27
3.组织专家评审29
4.主管部门审批29
5.备案29
6.监督管理32
(四)工作要求33
四、信息安全等级保护测评体系建设和管理34
(一)工作依据35
(二)总体要求35
1.工作目标35
2.完成时限35
3.职责分工36
(三)工作内容及方法36
1.申请受理36
2.机构初审36
3.测评机构能力评估39
4.专家审核39
5.推荐并公布40
6.监督检查40
(四)工作要求41
五、信息安全等级保护测评工作的监督42
(一)工作依据43
(二)总体要求43
1.工作目标43
2.完成时限43
(三)工作内容及方法44
1.组织备案单位制定测评工作计划44
2.指导备案单位选择测评机构44
3.指导备案单位合理选择测评工作开展时机44
4.监督第三级(含)以上信息系统备案单位开展等级测评45
5.监督测评机构的测评活动45
6.引导测评机构对所测评的系统进行安全建设整改的指导46
(四)工作要求46
六、信息安全等级保护安全建设整改工作的监督、检查和指导47
(一)工作依据48
(二)总体要求48
1.工作目标48
2.完成时限48
(三)工作内容及方法49
1.组织指导备案单位制定安全建设整改工作部署49
2.指导、督促备案单位开展信息安全保护现状分析49
3.指导、监督信息安全等级保护安全管理制度建设50
4.指导、监督信息安全等级保护安全技术措施建设51
5.指导、监督等级测评后的整改工作51
(四)工作要求51
七、信息安全等级保护工作的检查监督52
(一)工作依据52
(二)总体要求53
1.工作目标53
2.检查周期53
3.检查内容53
(三)检查内容54
1.检查等级保护工作部署和组织实施情况54
2.检查信息系统安全等级保护定级备案情况54
3.检查信息安全设施建设情况和信息安全整改情况55
4.检查信息安全管理制度建立和落实情况55
5.检查信息安全产品选择和使用情况56
6.检查聘请测评机构开展技术测评工作情况56
7.检查定期自查情况57
(四)检查方法57
1.督促备案单位开展定期自查57
2、督促行业主管部门开展督导检查57
3、公安机关定期开展监督检查58
4.及时查处违规行为58
(五)工作要求59
信息安全等级保护工作培训教材
为便于各单位全面了解和掌握开展信息安全等级保护工作的内容、方法和要求,切实加强管理,规范执法活动,广西壮族自治区公安厅网络安全保卫总队根据信息安全等级保护有关政策文件和标准,结合近年来开展等级保护工作实际,编写了本教材。
一、信息安全等级保护工作概论
(一)信息安全等级保护制度的提出
在1994年国务院第147号令《中华人民共和国计算机信息系统安全保护条例》第九条中,明确了“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”等具体制度、任务和职责分工,首次以国家行政法规形式确立了信息安全等级保护制度的法律地位。
在2003年中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)中明确提出了“实行信息安全等级保护”,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”等意见。
2003年8月,在上届国家网络与信息安全协调小组办公室制定的贯彻落实27号文件的工作安排中,明确将实行信息安全等级保护工作交由公安部牵头,并要求公安部会同有关部门研究提出实行信息安全等级保护的意见。
2004年7月召开的国家网络与信息安全协调小组第三次会议上,原则同意了公安部提出的《关于信息安全等级保护工作的实施意见》,责成公安部商有关部门联合印发。
2004年9月15日,公安部、国家保密局、国家密码管理委员会、国务院信息化工作办公室向各地有关部门联合下发了《关于印发<关于信息安全等级保护工作的实施意见>的通知》(公通字[2004]66号)。
此外。
在2008年国务院“三定”方案中,规定了公安部十一局监督、检查、指导信息安全等级保护工作的职能。
这些法规和政策性文件的制定,确立了信息安全等级保护制度的法律地位,明确了实行信息安全等级保护是我国信息安全保障工作中一项重要制度和措施,赋予了公安机关牵头负责信息安全等级保护工作监督管理的职责。
(二)信息安全等级保护的内涵
信息安全等级保护制度从提出到实施,经历了近二十年时间。
纵观发展,随着世界科学技术的迅猛发展和信息技术的广泛应用,特别是随着我国国民经济和社会信息化进程的全面加快,网络与信息系统的基础性、全局性作用日益增强,国民经济和社会发展对基础信息网络和重要信息系统的依赖性越来越大,使我们对信息安全的认识不断深化,对等级保护制度概念的内涵和外延的认识也不断深入。
1.信息安全等级保护是世界各国普遍推行的信息安全保护基本制度。
根据信息系统或大规模复杂信息系统中子系统的重要性和安全需求,化分为不同的保护等级,采取与之相适应的信息安全技术和管理策略,使信息安全的保护措施完整、适度,是发达国家在解决信息系统安全的基本做法。
他们制定的一系列与等级有关的技术标准或规范,得到了世界各国的广泛认同和普遍采用。
2.我国信息安全等级保护是在吸收发达国家经验基础上的实践总结。
自上个世纪八十年代以来,我国有关部门和专家、学者对信息安全等级保护制度进行了系统性研究。
大家普遍认为,信息安全等级保护是信息安全领域的一项根本性制度,是市场经济条件下,国家组织动员单位、企业和个人共同维护信息安全的有效形式。
从其他国家的多年实践看,这一制度是有效的、成功的。
我国已经进入社会主义市场经济和信息化高速发展的新阶段,在信息安全方面应该借鉴其他国家的成功经验,实行等级保护的基本制度。
同时,由于我国的国情和信息安全面临的特定形势,不能原封不动地照搬套用西方模式,必须有所改造、有所创新,走出有中国特色的信息安全等级保护道路,确保我国的信息安全。
我国信息安全等级保护制度的探索和实践,是各职能部门、专家学者、研究机构、企业等全社会共同努力、勇于创新、开拓进取的结果,是在发展中解决安全问题的具体体现。
3.信息安全等级保护是目前我国最全面的信息安全保障政策体系。
信息安全等级保护是根据国家秘密信息、公民、法人和其他组织的专有信息和公开信息以及存储、传输和处理这些信息的信息系统,在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,分等级进行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。
该制度涵盖了公民、单位、国家的各类信息的安全保护,涵盖了信息安全、系统安全、应用安全等信息安全保护的全部内容,涵盖了信息系统安全设计、施工、建设、验收、使用等系统工程的全过程,涵盖了国家和政府、单位用户和个人用户、安全产品和安全服务企业或机构等社会各主体,是目前我国最完整的一项信息安全保障政策。
4.信息安全等级保护制度体现了我国加强信息安全保障工作的重要原则。
信息安全等级保护制度针对信息化发展过程中存在的信息安全问题,提出了在现有发展水平基础上强化信息安全保护的工作思路,在互联互通、资源共享基础上提高信息安全保护水平的具体举措,体现了以发展求安全,以安全保发展的原则。
实行信息安全等级保护,可以进一步理顺政府部门之间以及政府与社会的在信息安全保障工作中的关系,整合社会资源,发展先进、自主、可控的信息安全技术,带动我国信息安全产业的发展,体现了以改革开放求发展的新思路。
实行信息安全等级保护,一手抓运营和使用单位自我管理和政府监督指导,一手抓信息安全等级保护技术创新,体现了管理与技术并重的原则。
五个等级的确定,既突出了涉及国家安全、社会稳定和经济命脉的重要信息系统的安全,又兼顾到公民、法人和其他组织信息系统的安全保护;既考虑了信息系统的重要性和安全风险,又综合平衡了安全需求和建设成本,体现了统筹兼顾,突出重点的原则。
5.信息安全等级保护制度有针对性地解决了不同安全需要下的安全保护问题。
信息安全等级保护所提出的根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定安全保护等级;信息系统运营、使用单位对信息系统进行分等级保护;国家有关信息安全监管部门对其信息安全等级保护工作分等级进行监督管理的信息系统安全保护分级模型,对保障国家安全,维护社会稳定,促进经济发展,确保国家基础信息网络和重要信息系统的安全具有十分重要的意义。
6.信息安全等级保护体现了在社会主义市场经济条件下信息安全建设和管理模式的重大变革。
信息安全保护虽然事关国家安全、经济命脉和社会稳定,但政府不能包打天下,需要国家、政府、企事业单位和个人的共同参与。
信息安全等级保护体现了社会主义市场经济环境下政府职能的转变。
首先,信息安全等级保护体现了“谁主管、谁负责,谁使用、谁负责,谁运营、谁负责”的信息安全责任制,信息和信息系统的主管部门及运营、使用单位按照等级保护的管理规范和技术标准,根据信息和信息系统安全需求,“自主定级”、“自行建设”、“自主保护”。
第二,发挥了政府职能部门运用政策、法规、标准等制度的作用,通过备案、指导、检查、督促整改等行政管理方式,符合《行政许可法》的基本精神。
第三,信息安全等级保护使公安机关、国家保密工作部门、国家密码管理部门以及其他职能部门在信息安全工作中的权利和责任更加统一,职责更加明确。
7.信息安全等级保护是在发展中逐步完善和发展的政策体现。
各信息系统的安全设施建设要按照国家规范和标准,与信息化建设同步进行,不能先建设后保护。
随着信息技术的发展和实际情况的变化,信息系统的安全保护措施以及管理规范和技术标准也要适时调整,适应形势的变化,跟上信息化和信息技术发展的步伐。
(三)信息安全等级保护制度的特点
1.紧迫性
针对当前我国信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善等突出问题,实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
2.全面性
信息安全等级保护制度内容涉及广泛,保护的对象包括国家秘密信息、公民、法人和其他组织的专有信息和公开信息,以及存储、传输和处理这些信息的信息系统;保护的内容包括信息安全责任、人员安全、系统建设、系统运维等安全管理制度和物理安全、网络安全、主机安全、应用安全、数据安全等安全保护技术措施;保护的客体包括国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益;责任的主体包括信息安全职能部门、行业主管部门、运营使用单位、安全产品企业、安全服务机构等;工作内容包括定级、备案、安全建设整改、等级测评、监督检查等主要工作环节。
3.基础性
信息安全等级保护制度是国家信息安全保障工作的基本制度、基本国策,是开展信息安全保障工作的主要抓手,是落实《国家信息化领导小组关于加强信息安全保障工作的意见》提出的网络信任体系、安全监控体系、应急处理、风险评估、灾难备份、技术开发和产业发展等其他信息安全保障工作的基础。
4.强制性
国家将监督、检查、指导信息安全等级保护制度落实的职责赋予了公安机关,特别是对安全保护等级第三级以上的信息系统采取监督、强制监督和专控等措施,这些信息系统的运营使用单位及其主管部门必须履行安全保护应尽的义务,最大限度地维护国家安全、社会秩序和公共利益。
因此,实行信息安全等级保护,是在信息安全保障工作中国家意志的体现,具有明显的强制性。
5.规范性
信息安全等级保护制度不仅包含了定级、备案、安全建设、安全测评、监督检查等各工作环节的工作文件,还包含了安全保护等级划分准则、实施指南、定级指南、基本要求、通用安全技术要求、安全管理要求、安全工程管理要求、安全设计技术要求、测评要求、测评过程指南等一整套50余个技术标准,技术性强。
这些工作要求和技术标准体现了等级保护工作规范化、标准化、制度化等特点。
(四)等级保护工作中的职责分工
1.各级信息安全等级保护工作协调(领导)小组
各级信息安全等级保护工作协调(领导)小组应切实发挥组织领导作用,协调处理工作中存在的问题,及时通报等级保护实施工作的相关情况,研究等级保护工作中的重要问题,布置推进等级保护工作的任务,协调成员单位充分发挥自身优势,积极承担等级保护工作任务。
2.信息安全职能部门
在信息安全等级保护工作中,公安机关、国家保密工作部门、国家密码管理部门、工业和信息化部门是信息安全职能部门。
按照“分工负责、密切配合”的原则,公安机关负责信息安全等级保护工作的监督、检查、指导,是等级保护工作的牵头部门。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
公安机关和国家保密工作部门职责划分以信息系统是否涉及国家秘密为边界,涉及国家秘密的信息系统分级保护由国家保密工作部门负责,非涉及国家秘密的信息系统等级保护工作由公安机关负责。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
工业和信息化及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
3.信息系统运营使用单位及其主管部门
信息和信息系统运营、使用单位按照等级保护的管理规范和技术标准,开展信息系统定级、备案、安全建设整改、等级测评、自查等工作,并接受公安机关、保密部门、国家密码工作部门对信息安全等级保护工作的监督、指导。
有主管部门的,主管部门要督促、检查、指导本行业、本部门信息系统运营使用单位开展信息安全等级保护工作。
4.安全服务机构
信息安全企业,信息系统安全集成商、等级测评机构等安全服务机构,依据国家有关管理规定和技术标准,开展技术支持、服务等工作,并接受监管部门的监督管理。
5.专家组
信息安全和信息化等领域的专家、研究机构和企业组成专家组,承担以下职责:
配合公安机关宣传信息安全等级保护安全相关政策,根据等级保护工作总体部署,指导备案单位研究拟定信息安全等级保护贯彻实施意见和建设规划;宣传国家信息安全等级保护相关技术标准,并结合行业特点,研究、指导备案单位等级保护相关技术标准的行业应用,指导备案单位研究拟定行业技术标准规范;参与备案单位信息安全等级保护定级和安全建设整改方案的论证、评审,指导备案单位信息安全等级保护工作;了解掌握并研究探索行业开展信息安全等级保护工作中安全管理、安全技术和工程建设、工程管理等最佳实践,总结成功经验,树立典型并提出推广意见;跟踪国内外信息安全技术最新发展,组织和引导信息安全研究机构和企业开展信息安全等级保护共性技术和关键技术专题研究,推动等级保护技术研究工作,促进信息安全产业发展;研究提出完善国家信息安全等级保护政策体系和技术体系的意见和建议。
(五)等级保护工作配套政策和标准体系
1.政策体系
为保证信息安全等级保护工作顺利开展,公安部会同国家保密局、国家密码管理局、原国务院信息办和发改委等部门出台了一系列信息安全等级保护工作配套政策,公安部十一局还就具体工作出台了相关指导意见和规范。
这些文件涵盖了等级保护制度、定级、备案、等级测评、安全建设、监督检查等工作的各个环节,构成了比较完备政策体系。
如图1所示。
(1)公安部、国家保密局、国家密码管理局、原国务院信息办等四部门联合印发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号),明确了等级保护制度的主要内容、职责分工、实施计划、工作要求等,以及信息系统定级这一关键基础工作的主要内容和要求。
(2)国家发改委、公安部、国家保密局联合印发的《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071号),明确了非涉密国家电子政务项目开展等级测评和信息安全风险评估的相关要求。
(3)公安部根据职责制定并印发的《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429号),明确了非涉及国家秘密信息系统开展安全建设整改工作的目标、内容、流程和要求等。
(4)公安部十一局根据职责制定并印发的《信息安全等级保护备案实施细则》(公信安[2007]1360号)、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)、《关于印发〈信息系统安全等级测评报告模版(试行)〉的通知》(公信安[2009]1487号)、《公安机关信息安全等级保护检查工作规范(试行)》(公信安[2008]736号)等,分别就信息系统备案、测评机构及其测评活动管理、公安机关监督检查等工作明确了具体内容和要求。
图1信息安全等级保护法律政策体系
2.标准体系
十多年来,公安部组织国内有关专家、研究机构、企业先后制订了信息安全等级保护工作需要的一整套国家标准和公安行业标准,形成了比较完备的信息安全等级保护标准体系,为开展信息安全等级保护工作提供了标准保障。
该标准体系大致可以分为四类:
基础类、应用类、产品类和其他类。
(1)基础类标准。
此类标准在等级保护中起基础支撑作用和全局性作用。
包括《计算机信息系统安全保护等级划分准则》(GB17859-1999,以下简称《划分准则》)、《信息系统安全等级保护基本要求》(GB/T22239-2008,以下简称《基本要求》)两个标准。
《划分准则》及在其基础上制定的《信息系统通用安全技术要求》等技术类标准、《信息系统安全管理要求》等管理类标准和《操作系统安全技术要求》等产品类标准等等级保护配套标准,是《基本要求》的基础。
《基本要求》以上述标准为基础,根据现有技术发展水平,从技术和管理两方面提出并确定了不同安全保护等级信息系统的最低保护要求,即基线要求,是信息系统安全建设整改的具体依据。
行业主管部门可以依据《基本要求》,结合行业特点和信息系统实际,制定不低于《基本要求》的行业规范和细则。
(2)应用类标准。
此类标准在等级保护各项具体工作中使用。
主要包括:
一是定级工作依据的标准《信息系统安全保护等级定级指南》(GB/T22240-2008);二是指导等级保护工作实施依据的标准《信息系统安全等级保护实施指南》;三是信息系统安全建设依据的标准《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》、《信息系统安全管理要求》、《信息系统安全工程管理要求》、《信息系统物理安全技术要求》、《网络基础安全技术要求》;四是等级测评依据的标准《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》等。
(3)产品类标准。
此类标准用于等级保护所需产品应具备的技术要求和产品检测。
主要包括操作系统、数据库、网络设备、网关、服务器、公钥基础设施、入侵检测、防火墙、路由器、交换机、终端、审计、生物特征识别、虚拟专网、应用软件系统、网络脆弱性扫描等产品的技术要求或测评准则。
(4)其他类标准。
主要包括等级保护相关工作依据的标准,如《信息安全风险评估规范》、《信息安全事件管理指南》、《信息安全事件分类分级指南》、《信息系统灾难恢复规范》等标准。
围绕信息安全等级保护安全建设整改工作对有关标准说明如图2所示。
图2等级保护标准体系
二、信息安全等级保护工作的总体目标和要求
(一)总体目标
2010年底前完成等级测评体系建设,并完成30%第三级以上信息系统的等级测评和安全建设整改,2011年底前完成第三级以上信息系统的等级测评,并完成80%第三级以上信息系统安全建设整改,2012年底之前完成第三级以上信息系统安全建设整改。
通过上述工作的开展,使信息安全等级保护制度在各地区、各部门得到有效落实。
(二)主要内容
信息安全等级保护工作主要分为定级备案、安全建设整改、等级测评、监督检查等主要环节的内容。
1.定级备案
信息系统安全保护定级工作按照自主定级、专家评审、主管部门审批、公安机关监督的流程进行。
信息系统运营使用单位按照《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》)和《信息系统安全等级保护定级指南》(GB/T22240-2008),自主确定信息系统的安全保护等级。
为保证信息系统定级准确,可以组织专家进行评审。
有上级主管部门的,应当经上级主管部门审批,跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。
公安机关要对整个定级工作进行监督,确保定级工作顺利进行和定级准确性。
第二级以上信息系统,由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续。
公安机关按照《信息安全等级保护备案实施细则》(公信安[2007]1360号)要求,对备案材料进行审核,定级准确、材料符合要求的颁发由公安部统一监制的备案证明。
2.安全建设整改
信息系统安全保护等级确定后,运营使用单位按照《管理办法》、《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)等有关管理规范和技术标准,选择《管理办法》要求的信息安全产品,制定并落实安全管理制度。
落实安全责任,建设安全设施,落实安全技术措施。
3.等级测评
信息系统建设整改完成后,运营使用单位选择符合要求的测评机构,依据《管理办法》和《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》标准,对信息系统安全保护状况开展等级测评,按照《信息系统安全等级测评报告模版(试行)》(公信安[2009]1487号)编写等级测评报告。
4.监督检查
公安机关依据《管理办法》和《公安机关信息安全等级保护检查工作规范(试行)》(公信安[2008]736号),监督检查运营使用单位开展等级保护工作,定期对第三级以上的信息系统进行安全检查。
运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
需要说明的是,《关于信息安全等级保护工作的实施意见》(公
升级会员 