国家信息安全等级保护制度.docx

1、国家信息安全等级保护制度沈阳经济技术开发区人民医院 国家信息安全等级保护制度的贯彻与实施 一、我国在信息安全保障工作中为什么要实行等级保护制度 随着我国国民经济和社会发展信息化进程的全面加快,我国信息化的程度越来越高,关系国计民生的重要领域信息系统已经成为国家的关键基础设施。这些基础信息网络和重要信息系统安全,已经严重关系国家安全和社会稳定,关系广大人民群众切身利益。当前,我国基础信息网络和重要信息系统安全面临的形势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节,维护国家信息安全的任务十分艰巨、繁重。一是针对基础信息网络和重要信息系统的违法犯罪持续上升。不法分子利用一些安全漏洞,使用病毒、木

2、马、网络钓鱼等技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪,对我国的经济秩序、社会管理秩序和公民的合法权益造成严重侵害。二是基础信息网络和重要信息系统安全隐患严重。由于各基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口,在操作系统、专用芯片和大型应用软件等方面不能自主可控,给我国的信息安全带来了深层的技术隐患。三是我国的信息安全保障工作基础还很薄弱。信息安全意识和安全防范能力薄弱,信息系统安全建设、监管缺乏依据和标准,安全保护措施和安全制度不落实,监管措施不到位。 面对当前信息安全面临的复杂、严峻形势,基础信息网络和重要信息系统一旦出现大的信息安全问题,不仅仅影响本单位、

3、本行业,而是直接威胁国家安全、社会稳定、经济发展,影响党的“十七大”和北京奥运会的胜利召开。1994年中华人民共和国计算机信息系统安全保护条例(国 务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。2003年中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确指出“实行信息安全等级保护”,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。 实行信息安全等级保护是

4、国际上通行的做法。 二、实行信息安全等级保护制度能够解决哪些主要问题 信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作不仅是实现国家对重要信息系统重点保护的重大措施,也是一项事关国家安全、社会稳定、党的“十七大”胜利召开和北京奥运会成功举办的政治任务。通过开展信息安全等级保护工作,可以有效解决我国信息安全面临的威胁和存在的主要问题,充分体现“适度安全、保护重点”的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安

5、全,有效提高我国信息安全保障工作的整体水平。 信息安全等级保护是当今发达国家保护关键信息基础设施,保障信息安全的通行做法,也是我国多年来信息安全工作经验的总结。实施信息安全等级保护,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,对 信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经

6、济发展的信息安全模式。 三、国家、有关部门和企业在信息安全等级保护工作中各自的责任和义务是什么 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 信息安全监管部门(包括公安机关、保密部门、国家密码工作部门)组织制定等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统实行分等级安全保护,对等级保护工作的实施进行监督、管理。 信息系统主管部门依照信息安全等级保护管理办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统运营使用单位按

7、照国家有关等级保护的管理规范和技术标准开展等级保护工作,建设安全设施、建立安全制度、落实安全责任,接受公安机关、保密部门、国家密码工作部门对信息安全等级保护工作的监督、指导,保障信息系统安全。 信息安全产品的研制、生产单位,信息系统的集成、等级测评、风险评估等安全服务机构,依据国家有关管理规定和技术标准,开展技术服务、技术支持等工作,并接受信息安全监管部门的监督管理。 四、近几年来公安部牵头实施信息安全等级保护制度,开展了哪些具 体工作 按照中华人民共和国计算机信息系统安全保护条例(国务院147号令)规定和国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)文件精神,公安部

8、会同国家保密局、国家密码管理局和国务院信息办开展了如下工作。 一是出台了等级保护规范标准。2004年9月联合出台了关于信息安全等级保护工作的实施意见(公通字200466号),2007年6月联合出台了信息安全等级保护管理办法(公通字200743号,以下简称管理办法),明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。制定了包括计算机信息系统安全保护等级划分准则(GB17859-1999)、信息系统安全等级保护定级指南、信息系统安全等级保护基本要求、信息系统安全等级保护

9、实施指南、信息系统安全等级保护测评要求等50多个国标和行标,初步形成了信息安全等级保护标准体系。 二是开展了等级保护基础调查工作。2005年底,公安部和国务院信息化工作办公室联合印发了关于开展信息系统安全等级保护基础调查工作的通知(公信安20051431号)。2006年上半年,公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。通过基础调查,基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况,为制定信息安全等级保护政策奠定了坚实的基础。 三是开展了等级保护试点工作。2006年6月,公安部、国家保密局、国家密码管理局、国务院信息办联合下发了关于开展信息安全等级保护 试点工作的通

10、知(公信安2006573号)。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试点,完善了开展等级保护工作的模式和思路,检验和完善了开展等级保护工作的方法、思路、规范标准,探索了开展等级保护工作领导、组织、协调的模式和办法,为全面开展等级保护工作奠定了坚实的基础。 四是部署开展定级工作。2007年7月16日联合出台了关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号)。2007年7月20日,四部委在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。国家信息安全等级保护协调小组组长、公

11、安部副部长张新枫同志和国务院信息化工作办公室副主任、国家网络与信息安全协调小组办公室主任杨学山同志作了重要讲话。国家信息安全职能部门、基础信息网络和重要信息系统主管部门、各省(区、市)公安厅(局)、保密局、国家密码管理局、信息化领导小组办公室和有关行业、部门的负责同志出席了会议。 为加强信息安全等级保护工作的领导,公安部、国家保密局、国家密码管理局联合成立了由公安部张新枫副部长任组长的“国家信息安全等级保护协调小组”,办公室设在公安部公共信息网络安全监察局。 五、信息安全等级保护工作的主要流程包括哪些,开展等级保护工作的基本要求是什么 等级保护的主要流程包括六项内容:一是自主定级与审批。信息系

12、统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国 统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。二是评审。在信息系统确定安全保护等级过程中,可以组织专家进行评审。对拟确定为第四级以上信息系统的,运营使用单位或主管部门应当邀请国家信息安全保护等级专家评审委员会评审。三是备案。第二级以上信息系统定级单位到所在地所在地设区的市级以上公安机关办理备案手续。四是系统安全建设。信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全

13、组织,制定并落实安全管理制度。五是等级测评。信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。六是监督检查。公安机关依据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对第三级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。 开展等级保护工作的基本要求是:各基础信息网络和重要信息系统运营使用单位和主管部门,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。公安机关和保密、密码工作部门要及时开展监督检查,严格审查

14、信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。 六、重要信息系统安全等级保护定级工作的主要步骤是什么 信息系统定级是等级保护工作的首要环节,是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。信息系统安全级别定不准,系统备案、建设整改、等级测评等工作都失去了针对性。定级工作的主要步骤是: 第一步:开展摸底调查。按照定级工作通知确定的定级范围,各单位、各部门可以组织开展对所属信息系统进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,为下一步明确要求、落实责任奠定基础。 第二步:确定定级对象。在全国重要信息系统

15、安全等级保护定级工作(以下简称“定级工作”)中,如何科学、合理地确定定级对象是最关键、最复杂的问题。信息系统运营使用单位或主管部门按如下原则确定定级对象:一是应用系统应按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。起传输作用的基础网络要作为单独的定级对象。二是确认负责定级的单位是否对所定级系统具有安全管理责任。三是具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件(如服务器、终端、网络设备等)作为定级对象。 第三步:初步确定信息系统等级。信息系统的安

16、全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全保护等级。既要防止个别单位片面追求绝对安全而定级过高,也要防止为了逃避监管定级偏低。信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级,不以在其上运行的信息系统的最高等级或最低等级为标准。 跨省或者全国统一联网运行的信息系统,可以由主管部门统一确定安 全保护等级。由各行业统一规划、统一建设、统一安全保护策略的信息系统,应由各部委统一确定一个级别;由各部委统

17、一规划、分级建设、运行的信息系统,应由部、省、地市分别确定系统等级,但各行业应对该类系统提出定级意见,避免出现同类系统定级出现较大偏差问题。 第四步:信息系统等级评审。在信息系统安全保护等级确定过程中,可以聘请专家进行咨询评审,并出具定级评审意见。对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审,出具评审意见。 第五步:信息系统等级的最终确定与审批。信息系统运营使用单位参考专家定级评审意见,最终确定信息系统等级,形成定级报告。如果专家评审意见与运营使用单位意见不一致时,由运营使用单位自主决定系统等级,信息系统运营使用单位有上级主管部门的,应当

18、经上级主管部门对安全保护等级进行审核批准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由其上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。 第六步:备案。第二级以上信息系统,在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。定级工作的结果是以备案完成为标志。基础信息网络和重要信息系统

19、的定级、备案工作9月底前完成。 第七步:备案审核。受理备案的公安机关要公布备案受理地点、备案 联系方式等。在受理备案时,应对提交的备案材料进行完整性审核和定级准确性审核。对符合等级保护要求的,应颁发信息系统安全等级保护备案证明。发现定级不准的,通知备案单位重新审核确定。 第八步:及时总结并提交总结报告。各地区、各部门要结合本地区、本行业开展定级工作的实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议,及时总结定级工作经验,形成定级工作总结报告,并于10月中旬报送公安部。 七、定级工作完成后需要开展哪些工作 一是开展安全建设和整改。信息系统定级、备案工作完成后,运营使用单位应按照国家信

20、息安全等级保护管理规范和技术标准,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作,制定并落实符合本系统安全保护等级要求的安全管理制度。 二是开展等级测评。信息系统建设、整改完成后,运营使用单位或者其主管部门选择符合管理办法规定条件的测评机构,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。 三是开展自查。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保

21、护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。经测评或者自 查,信息系统安全状况未达到安全保护等级要求的,运营使用单位应当制定方案进行整改。 八、开展安全等级保护工作依据的主要标准有哪些 信息安全等级保护工作涉及信息安全科学基础、系统建设、产品、测评、管理等多个方面工作。为保障全面实施信息安全等级保护制度,必须建立信息安全等级保护标准体系。经过公安部、国信安标委、标准编制企事业单位、有关专家等多方努力,多年攻关,目前,已基本形成了由50多个国家标准和公共安全行业标准构成的比较完整的信

22、息安全等级保护标准体系,基本能够满足国家信息安全等级保护制度全面实施的需求。管理办法规定了信息系统运营使用单位在等级保护工作中按照或参照国家、行业技术标准开展系统定级、建设、整改、测评等工作。鼓励重要行业根据行业特点制定等级保护行业标准。 1、计算机信息系统安全保护等级划分准则(GB17859-1999)是强制性国标,从技术法规角度对信息系统安全保护划分了五级。是开展等级保护工作的基础性标准,是信息安全等级保护系列标准编制、系统建设与管理、产品研发、监督检查的科学技术基础和依据。 2、信息系统安全等级保护实施指南是信息系统安全等级保护实施的过程控制标准,规范了信息系统安全等级保护的实施各阶段内

23、容和过程控制问题。 3、信息系统安全等级保护定级指南是信息系统安全保护等级确定标准,属于管理规范,规范了信息系统安全保护等级的定级方法。 4、信息系统安全等级保护基本要求(国标报批稿试用,全国信息安全标准化技术委员会文件信安字200712号)。是以GB17859为基础的分等 级信息系统的安全建设和管理系列标准之一,是现阶段五个级别的信息系统的基本安全保护技术和管理要求,提出了各级信息系统应当具备的基本安全保护能力和技术与管理措施,该标准需与信息安全技术系统安全等级保护通用安全技术要求GB/T20271-2006信息安全技术操作系统安全技术要求GB/T20272-2006、信息安全技术操作系统安

24、全评估准则GB/T20009-2005、信息安全技术数据库管理系统安全技术要求GB/T20273-2006、信息安全技术数据库管理系统安全评估准则GB/T20009-2005、信息安全技术网络基础安全技术要求GB/T20270-2006等安全等级保护系列标准配合使用,规范、指导信息系统安全等级保护整改建设工作。 5、信息安全技术服务器安全技术要求GB/T20273-2006和信息安全技术终端计算机系统技术要求GA/T672-2006是信息系统关键设备安全等级保护标准,规范和解决信息系统主机和终端安全等级保护问题。 6、信息安全技术系统安全等级防护工程管理要求GB/T20282-2006是信息系

25、统安全等级保护管理标准之一,规范信息系统安全等级保护方案技术集成和工程实施过程控制问题。信息安全技术系统安全等级保护管理要求GB/T20269-2006是信息系统安全等级保护管理标准,规范信息系统生命周期的安全等级保护技术和相关人员问题的管理工作。信息安全技术系统安全等级保护测评准则和信息安全技术系统安全等级保护测评指南即将出台,规范了信息系统安全等级保护测评工作。 九、公安机关组织开展信息安全等级保护中的职责任务是什么 中华人民共和国警察法第二章第六条第十二款规定,公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。组织开展信 息安全等级保护工作是公安机关在信息网络领域开展的面

26、向全社会的管理监察工作,是公安机关在社会信息化条件的一项新的职责。实施信息安全等级保护是公安机关依法保障重要信息系统安全的重要手段。人民警察法和中华人民共和国计算机信息系统安全保护条例规定了公安机关负责监督管理信息系统特别是重点领域信息系统安全保护工作。具体职责是:组织、指导信息系统运营使用单位和主管部门开展信息安全等级保护工作;监督、检查信息系统运营使用单位的安全保护管理制度和技术措施落实情况。 十、公安机关如何对实施信息安全等级保护进行监督管理 一是指导定级。指导信息系统运营使用单位及其主管部门科学、合理地确定定级对象,准确确定信息系统安全保护等级。既要防止个别单位片面追求绝对安全而定级过高,也要防止忽视安全定级偏低。 二是受理备案。对备案单位提交的备案材料进行完整性审核和定级准确性审核,对定级不准确的信息系统运行使用单位提出整改意见;对符合等级保护要求的第二级以上信息系统,颁发信息系统安全保护等级备案证明。 三是定期检查。定期对三级以上重要信息系统的安全保护状况进行检查。检查信息系统运营使用单位的安全保护管理制度和技术措施落实情况。发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,通知运营使用单位进行整改。