信息安全等级保护培训教材.docx

资源描述

信息安全等级保护培训教材.docx

《信息安全等级保护培训教材.docx》由会员分享，可在线阅读，更多相关《信息安全等级保护培训教材.docx（39页珍藏版）》请在冰豆网上搜索。

信息安全等级保护培训教材.docx

信息安全等级保护培训教材

前言

当前，我国信息安全面临的形势仍然十分严峻，维护国家信息安全的任务非常艰巨、繁重。

随着我国经济的持续发展和国际地位的不断提高，我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患比较严重，计算机病毒传播和网络非法入侵十分猖獗，网络违法犯罪持续大幅上升，犯罪分子利用一些安全漏洞，使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪，给用户造成严重损失。

特别是“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点，网络与信息安全已经成为事关北京奥运安全的重大问题之一。

党中央、国务院高度重视信息安全工作，中共中央办公厅转发的《国家网络与信息安全协调小组关于确保党的十七大信息安全的意见》，要求公安部会同有关部门，抓紧开展并完成重要信息系统安全等级保护定级工作，确保国家重要信息系统的信息网络安全，为党的十七大的胜利召开创造良好的信息网络环境。

信息安全等级保护制度是国家信息安全保障工作的基本制度。

开展信息安全等级保护工作不仅是加强国家信息安全保障工作的重要内容，也是一项事关国家安全、社会稳定、党的十七大胜利召开和北京奥运会成功举办的政治任务。

为了加快推进信息安全等级保护工作，2007年6月22日，公安部与国家保密局、密码管理局、国务院信息办联合会签并印发了《信息安全等级保护管理办法》（公通字[2007]43号），7月16日四部委联合会签并下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号），7月20日四部委联合组织召开了“全国重要信息系统安全等级保护定级工作电视电话会议”。

为保证信息系统运营使用单位、主管部门能够及时、扎实地开展重要信息系统安全等级保护定级工作（以下简称“定级工作”），配合公安、保密、密码部门履行职责，监督、检查、指导定级工作，结合近年来公安机关牵头组织开展信息安全等级保护工作的基础调查、试点等工作经验，我们编写了这本培训教材，供有关部门在开展信息安全等级保护工作中参考、借鉴。

一、信息安全等级保护工作概述

（一）开展信息安全等级保护工作的政策和法律依据

（二）近几年来公安部牵头实施信息安全等级保护制度，开展了哪些具体工作

（三）我国信息信息网络安全面临的严峻形势

（四）实行信息安全等级保护制度能够解决哪些主要问题

（五）信息安全等级保护工作的主要流程包括哪些

（六）开展等级保护工作的总体要求

二、明确各方责任义务

三、信息系统安全保护等级的划分与保护

（一）坚持“自主定级、自主保护”与国家监管相统一原则

（二）信息系统安全保护等级

（三）信息系统安全保护等级的定级要素

（四）五级保护和监管

四、信息系统安全保护等级的确定

（一）定级范围

（二）定级工作步骤

五、备案和备案审核

（一）备案

（二）备案审核

六、信息系统安全建设整改、等级测评

（一）信息系统安全建设整改

（二）有关技术标准和管理标准的简要说明

（三）信息安全产品分等级使用管理

（四）等级测评和自查

七、监督检查

（一）监督检查的主要内容

（二）监督检查方式

（三）信息系统运营使用单位的配合

八、对违反有关等级保护规定的处罚

（一）违规行为

（二）处罚方式

信息安全等级保护培训教材

一、信息安全等级保护工作概述

（一）开展信息安全等级保护工作的政策和法律依据

1、1994年，《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

该条明确了三个内容：

一是确立了等级保护是计算机信息系统安全保护的一项制度；二是出台配套的规章和技术标准；三是明确了公安部的牵头地位。

2、1995年2月18日人大12次会议通过并实施的《中华人民共和国警察法》第二章第六条第十二款规定，公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。

3、2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。

“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。

同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位，以及“谁主管谁负责，谁运营谁负责”的信息安全保障责任制。

（二）近几年来公安部牵头实施信息安全等级保护制度，开展了哪些具体工作

按照《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）规定和《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）文件精神，公安部会同国家保密局、国家密码管理局和国务院信息办开展了如下工作。

1、出台了等级保护规范标准。

2004年9月联合出台了《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），2007年6月联合出台了《信息安全等级保护管理办法》（公通字[2007]43号，以下简称《管理办法》），明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务，为开展信息安全等级保护工作提供了规范保障。

制定了包括《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》等50多个国标和行标，初步形成了信息安全等级保护标准体系。

2、开展了等级保护基础调查工作。

2005年底，公安部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》（公信安[2005]1431号）。

2006年上半年，公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。

调查对象共计65117家单位，涉及115319个信息系统。

通过基础调查，基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况，为制定信息安全等级保护政策奠定了坚实的基础。

3、开展了等级保护试点工作。

2006年6月，公安部、国家保密局、国家密码管理局、国务院信息办联合下发了《关于开展信息安全等级保护试点工作的通知》（公信安[2006]573号）。

在13个省区市和3个部委联合开展了信息安全等级保护试点工作。

通过试点，完善了开展等级保护工作的模式和思路，检验和完善了开展等级保护工作的方法、思路、规范标准，探索了开展等级保护工作领导、组织、协调的模式和办法，为全面开展等级保护工作奠定了坚实的基础。

4、部署开展定级工作。

2007年7月20日，公安部、国家保密局、国家密码管理局、国务院信息办在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”，部署在全国范围内开展重要信息系统安全等级保护定级工作。

国家信息安全等级保护协调小组组长、公安部副部长张新枫同志和国务院信息化工作办公室副主任、国家网络与信息安全协调小组办公室主任杨学山同志作了重要讲话。

国家信息安全职能部门、基础信息网络和重要信息系统主管部门、各省（区、市）公安厅（局）、保密局、国家密码管理局、信息化领导小组办公室和有关行业、部门的负责同志出席了会议。

为加强信息安全等级保护工作的领导，公安部、国家保密局、国家密码管理局联合成立了由公安部张新枫副部长任组长的“国家信息安全等级保护协调小组”（见附件），办公室设在公安部公共信息网络安全监察局。

（三）我国信息信息网络安全面临的严峻形势

随着我国国民经济和社会发展信息化进程的全面加快，我国信息化的程度越来越高，关系国计民生的重要领域信息系统已经成为国家的关键基础设施。

这些基础信息网络和重要信息系统安全，已经严重关系国家安全和社会稳定，关系广大人民群众切身利益。

当前，我国基础信息网络和重要信息系统安全面临的形势十分严峻，既有外部威胁，又有自身脆弱性和薄弱环节，维护国家信息安全的任务十分艰巨、繁重。

一是我们将长期面临国外的信息优势、技术优势所带来的信息安全威胁。

二是基础信息网络和重要信息系统安全隐患严重。

由于各基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口，在操作系统、专用芯片和大型应用软件等方面不能自主可控，给我国的信息安全带来了深层的技术隐患。

三是计算机病毒传播和网络非法入侵十分严重。

据公安机关调查，今年1-6月，我国平均每月截获计算机病毒6.6万个，累计感染计算机达1.18亿台次。

今年初在我国发生的“熊猫烧香”病毒案，短时间内就出现病毒变种700余个，感染了445万台计算机，大批网民的网上帐号、口令被窃取。

四是针对基础信息网络和重要信息系统的违法犯罪持续上升。

仅2006年，公安机关就查处网上违法犯罪案件4万多起，查获违法犯罪嫌疑人3万多名，同比大幅上升。

犯罪分子利用一些重要信息系统的安全漏洞，使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪，对我国的经济秩序、社会管理秩序和公民的合法权益造成严重侵害。

五是网上失、窃密情况严重。

一些国家和地区间谍情报机关利用我一些单位、人员和信息系统防范不严、警惕性不高、安全措施不力的状况在网上大肆对我进行窃密活动，目标直指我党政军要害部门和重要信息系统。

近年来，已发生多起危害严重的网上失、窃密案件。

六是我国的信息安全保障工作基础还很薄弱。

信息安全意识和安全防范能力薄弱，信息系统安全建设、监管缺乏依据和标准，安全保护措施和安全制度不落实，监管措施不到位。

金融、民航等重要信息系统连续发生运行事故，不仅直接影响生产业务的正常运行，而且造成了严重社会影响。

特别需要指出的是，“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点。

北京奥组委日常工作、赛事活动、宣传报道及票务等工作大多在网上进行，网络与信息安全已经成为事关北京奥运安全的重大问题之一。

同时，为北京奥运会提供保障服务的电信、广电、电力、铁路、民航、银行等基础信息网络与信息系统的安全稳定运行也是确保奥运会顺利召开的重要保障，我国的网络安全将面临又一次严峻考验。

面对当前信息安全面临的复杂、严峻形势，基础信息网络和重要信息系统一旦出现大的信息安全问题，不仅仅影响本单位、本行业，而是直接威胁国家安全、社会稳定、经济发展，影响党的“十七大”和北京奥运会的胜利召开。

胡锦涛总书记等中央领导同志对信息安全工作始终高度重视，先后多次作出重要指示，要求我们必须敏锐地把握当今世界信息化发展的趋势，积极推进国民经济和社会信息化，确保我国在日趋激烈的国际竞争中掌握主动权。

（四）实行信息安全等级保护制度能够解决哪些主要问题

信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。

开展信息安全等级保护工作不仅是实现国家对重要信息系统重点保护的重大措施，也是一项事关国家安全、社会稳定、党的“十七大”胜利召开和北京奥运会成功举办的政治任务。

通过开展信息安全等级保护工作，可以有效解决我国信息安全面临的威胁和存在的主要问题，充分体现“适度安全、保护重点”的目的，将有限的财力、物力、人力投入到重要信息系统安全保护中，按标准建设安全保护措施，建立安全保护制度，落实安全责任，有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全，有效提高我国信息安全保障工作的整体水平。

信息安全等级保护是当今发达国家保护关键信息基础设施，保障信息安全的通行做法，也是我国多年来信息安全工作经验的总结。

实施信息安全等级保护，有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务；有利于优化信息安全资源的配置，对信息系统分级实施保护，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全；有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理；有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式。

各地区、各行业、各部门要认真学习、深刻领会中央领导同志的重要指示精神，充分认识当前信息安全保障工作面临形势的严峻性，切实增强责任感、使命感、紧迫感，加强领导，落实责任，分工负责，密切配合，扎实工作，切实把信息安全等级保护工作抓紧、抓实、抓好。

（五）信息安全等级保护工作的主要流程包括哪些

等级保护的主要流程包括六项内容：

一是自主定级与审批。

信息系统运营使用单位按照等级保护管理办法和定级指南，自主确定信息系统的安全保护等级。

有上级主管部门的，应当经上级主管部门审批。

跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。

二是评审。

在信息系统确定安全保护等级过程中，可以组织专家进行评审。

对拟确定为第四级以上信息系统的，运营使用单位或主管部门应当邀请国家信息安全保护等级专家评审委员会评审。

三是备案。

第二级以上信息系统定级单位到所在地所在地设区的市级以上公安机关办理备案手续。

四是系统安全建设。

信息系统安全保护等级确定后，运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。

五是等级测评。

信息系统建设完成后，运营使用单位选择符合管理办法要求的检测机构，对信息系统安全等级状况开展等级测评。

六是监督检查。

公安机关依据信息安全等级保护管理规范，监督检查运营使用单位开展等级保护工作，定期对第三级以上的信息系统进行安全检查。

运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。

（六）开展等级保护工作的总体要求

各基础信息网络和重要信息系统，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。

公安机关和保密、密码工作部门要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。

对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。

二、明确各方责任义务

《管理办法》中第二条至第五条明确了国家、信息安全监管部门、信息系统主管部门、信息系统运营使用单位的责任义务。

（一）第二条明确了国家的责任：

国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

（二）第三条明确了信息安全监管部门的职责：

信息安全监管部门（包括公安机关、保密部门、国家密码工作部门）组织制定等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统实行分等级安全保护，对等级保护工作的实施进行监督、管理。

公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

在信息安全等级保护工作中，坚持“分工负责、密切配合”的原则。

公安机关牵头，负责全面工作的监督、检查、指导，国家保密工作部门、国家密码管理部门配合，国务院信息化工作办公室及地方信息化领导小组办事机构协调；涉及国家秘密的信息系统，主要由国家保密工作部门负责，其他部门参与、配合。

因为涉及国家秘密信息系统中也会发生信息安全问题和密码问题；非涉及国家秘密的信息系统，主要由公安机关负责，其他部门参与、配合。

因为非涉及国家秘密信息系统中也会发生保密问题和密码问题。

一方为主负责某一领域工作，其他相关部门参与、配合。

需要强调的是，涉及工作秘密的信息系统不属于涉密信息系统，不能将涉密信息系统扩大化。

当信息系统难以认定是否属于涉密信息系统时，可以由信息系统运营使用单位、公安机关、国家保密工作部门共同认定。

（三）第四条明确了信息系统主管部门的责任义务：

信息系统主管部门依照《信息安全等级保护管理办法》及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

（四）第五条明确了运营使用单位的责任义务：

信息系统运营使用单位按照国家有关等级保护的管理规范和技术标准开展等级保护工作，建设安全设施、建立安全制度、落实安全责任，接受公安机关、保密部门、国家密码工作部门对信息安全等级保护工作的监督、指导，保障信息系统安全。

（五）公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作，服从国家对信息安全等级保护工作的监督、指导，保障信息系统安全。

信息安全产品的研制、生产单位，信息系统的集成、等级测评、风险评估等安全服务机构，依据国家有关管理规定和技术标准，开展技术服务、技术支持等工作，并接受信息安全监管部门的监督管理。

三、信息系统安全保护等级的划分与保护

（一）坚持“自主定级、自主保护”与国家监管相统一原则

《管理办法》第六条规定，国家信息安全等级保护工作坚持“自主定级、自主保护”的原则，但“自主定级”是在公安机关指导下的定级。

各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，自主确定信息系统的安全保护等级。

同时，按照所定等级，依照相应等级的管理规范和技术标准，建设信息安全保护设施，建立安全制度，落实安全责任，自主对信息系统进行保护。

在等级保护工作，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。

运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任；公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。

由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序，也会影响国家安全、社会稳定、公共利益，因此，国家必然要对重要信息系统的安全进行监管。

（二）信息系统安全保护等级

《管理办法》第六条、第七条规定，信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为五级。

（三）信息系统安全保护等级的定级要素

信息系统的安全保护等级由两个定级要素决定：

等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

1、受侵害的客体。

等级保护对象受到破坏时所侵害的客体包括以下三个方面：

一是公民、法人和其他组织的合法权益；二是社会秩序、公共利益；三是国家安全。

2、对客体的侵害程度。

对客体的侵害程度由客观方面的不同外在表现综合决定。

由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。

等级保护对象受到破坏后对客体造成侵害的程度为三种：

一是造成一般损害；二是造成严重损害；三是造成特别严重损害。

（四）五级保护和监管

《管理办法》第八条规定，信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

定级要素与信息系统安全保护等级的关系如表1所示。

表1定级要素与安全保护等级的关系

等级

对象

侵害客体

侵害程度

监管强度

第一级

一般系统

合法权益

损害

自主保护

第二级

合法权益

严重损害

指导

社会秩序和公共利益

损害

第三级

重要系统

社会秩序和公共利益

严重损害

监督检查

国家安全

损害

第四级

社会秩序和公共利益

特别严重损害

强制监督检查

国家安全

严重损害

第五级

极端重要系统

国家安全

特别严重损害

专门监督检查

四、信息系统安全保护等级的确定

《管理办法》第十条规定，信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。

有主管部门的，应当经主管部门审核批准。

跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号），定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作（以下简称“定级工作”）。

电信、广电、铁路、银行、海关、税务、民航、电力、证券、保险等重要领域的基础信息网络和重要信息系统的定级工作于9月底前完成，其他行业、部门的基础信息网络和重要信息系统的定级工作于10底前完成。

（一）定级范围

1、电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

2、铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

3、市（地）级以上党政机关的重要网站和办公信息系统。

4、涉及国家秘密的信息系统（以下简称涉密信息系统）。

（二）定级工作步骤

定级是等级保护工作的首要环节，是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。

信息系统安全级别定不准，系统建设、整改、备案、等级测评等后续工作都失去了针对性。

需要特别说明的是：

信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护措施为依据，也不以风险评估为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全等级。

即从国家、人民群众的根本利益出发，考虑了信息系统受到损害后的最大风险。

因此，各部门、各单位要高度重视定级工作，切实加强对定级工作的组织领导，科学、准确地确定信息系统等级。

信息系统运营使用单位在定级时，公安网监部门可以对信息系统运营使用单位在定级工作中给予指导和帮助，保障信息系统运营使用单位科学、合理地确定定级对象和准确定级。

定级工作可以参照以下几个步骤进行：

第一步：

摸底调查，掌握信息系统底数

按照《定级工作通知》确定的定级范围，各部委和各省（区、市）可以组织开展对所属信息系统进行摸底调查，摸清信息系统底数；掌握信息系统（包括信息网络）的业务类型、应用或服务范围、系统结构等基本情况。

各部委和各省（区、市）要加强对等级保护工作的组织领导，明确责任部门，可以成立信息安全等级保护工作领导小组（以下简称领导小组），并下设等级保护工作办公室。

信息系统运营使用单位成立等级保护工作组。