信息安全管理有关 规定和要求 江西省公安厅网络安全保卫总队专家组 吴 雷 公安部认证等级保护测评师 信息安全管理有关规定和制度 第一部份 互联网安全保护技术措施规定 第二部份 等级保护制度的贯彻和实施 《互联网安全保护技术措施规定》的目的 保障 互联网网络安全和信息安全 促进 互联网健康、有序发展 维护 国家安全、社会秩序和公共利益 Ø第三条 互联网服务提供者、联网使用单位互联网服务提供者、联网使用单位负责落实落实 互联网安全保护技术措施互联网安全保护技术措施,并保障互联网安全保护技术 措施功能的正常发挥 Ø第四条 互联网服务提供者、联网使用单位互联网服务提供者、联网使用单位应当建立 相应的管理制度管理制度未经用户同意不得公开、泄露用户注 册信息,但法律、法规另有规定的除外 Ø第五条 公安机关网络安全保卫部门公安机关网络安全保卫部门负责对互联网安 全保护技术措施的落实情况依法实施监督管理依法实施监督管理 《规定》具体条款 Ø第七条 互联网服务提供者和联网使用单位应当落实以 下互联网安全保护技术措施: (一)防范计算机病毒、网络入侵和攻击破坏计算机病毒、网络入侵和攻击破坏等危害网络安 全事项或者行为的技术措施; (二)重要数据库和系统主要设备数据库和系统主要设备的容灾备份容灾备份措施; (三)记录并留存用户登录和退出时间、主叫号码、账号 、互联网地址或域名、系统维护日志日志的技术措施; (四)法律、法规和规章规定应当落实的其他安全保护技其他安全保护技 术措施术措施。
《规定》具体条款 Ø第十五条 违反违反本规定第七条至第十四条规定 的,由公安机关依照《《计算机信息网络国际联网安计算机信息网络国际联网安 全保护管理办法全保护管理办法》》第二十一条的规定予以处罚处罚 《规定》具体条款 《规定》具体条款 Ø第十六条 公安机关在依法监督检查时,互 联网服务提供者、联网使用单位应当派人参加 公安机关公安机关对监督检查发现的问题,应当提出改进应当提出改进 意见,意见,通知互联网服务提供者、联网使用单位及及 时整改时整改 《规定》具体条款 2005年11月23日,公安部部长永康签署了中华人 民共和国公安部第82号令,发布《互联网安全保护技术 措施规定》(以下简称“规定”)并于2006年3月1日起 施行 信息安全有关规定和制度 第一部份 互联网安全保护技术措施规定 第二部份 等级保护制度的贯彻和实施 信息安全等级保护制度 一、 什么是信息安全等级保护制度 二、 开展信息安全等级保护工作作用 三、 怎么样开展信息安全等级保护工作 一、什么是信息安全等级保护制度 信息安全等级保护制度 什么是信息安全等级保护制度 一、信息安全等级保护是我国信息安全保障工作的 一项基本制度基本制度。
二、信息安全等级保护是一种管理规范和技术标准管理规范和技术标准 三、信息安全等级保护是维护国家基础信息网络和 重要信息系统安全最直接、有效的措施最直接、有效的措施 四、信息安全等级保护是世界各国普遍推行普遍推行的信息 安全保护基本制度 信息安全等级保护的内容 ¨一是对信息系统信息系统分等级实施安全保护 ¨二是对信息系统中使用的信息安全产品信息安全产品实行分 等级管理 ¨三是对信息系统中发生的信息安全事件信息安全事件分等级 响应处置 ¨ 根据信息系统所承载的业务在国家安全、 经济建设、社会生活中的重要作用重要作用和业务对信息 系统的依赖程度依赖程度这两方面,依据国家规定的等级 等级 划分标准划分标准确定其保护等级,自主进行信息系统安 全建设和安全管理,并按照所定等级进行安全建 设,落实安全责任和安全技术措施提高安全保 护的科学性、整体性、实用性 等级保护的内容 信息安全标准体系 1、《信息系统安全等级保护实施指南》 2、《信息系统安全保护等级定级指南》 3、《信息系统安全等级保护基本要求》 4、《信息系统安全等级保护测评要求》 5、《网络基础安全技术要求》 …… 二、开展信息安全等级保护工作作用 实施信息安全等级保护的意义 实施信息安全等级保护,能够有效地提高我国信实施信息安全等级保护,能够有效地提高我国信 息和信息系统安全建设的整体水平。
息和信息系统安全建设的整体水平 ¨ ¨ 有利于有利于建立建立各单位信息安全保障的各单位信息安全保障的长效机制长效机制,保证安,保证安 全保护管理工作稳固、持久地开展;全保护管理工作稳固、持久地开展; ¨ ¨ 有利于有利于减少减少信息安全保障信息安全保障工作盲目性工作盲目性;; ¨ ¨ 有利于有利于优化优化信息安全信息安全资源的配置资源的配置,达到少花钱,多办,达到少花钱,多办 事的功效;事的功效; ¨ ¨ 有利于有利于明确明确国家、行业、各单位的信息国家、行业、各单位的信息安全责任安全责任,清,清 晰划分不同角色,落实不同部门和岗位安全职责;晰划分不同角色,落实不同部门和岗位安全职责; 三、怎样开展信息安全等级保护工作 要求 ¨准确定级,严格审批 ¨及时备案,认真整改 ¨科学测评,加强检查 系统备案等级测评建设整改监督检查系统定级 一、定级 ¨首先要把握好定级的问题,定级是等级保护工 作的首要环节首要环节,是开展信息系统建设、整改、测 评、备案、监督检查等后续工作的重要基础 ¨定级要准确、科学、合理准确、科学、合理,要防止片面追求安 全而定级过高,也要防止忽视安全定级偏低 ¨依据《《信息系统安全保护等级定级指南信息系统安全保护等级定级指南》》 等级保护定级---一般流程 3、综合评定对客体的侵害程 度 2、确定业务信息安全受到破 坏时所侵害的客体 6、综合评定对客体的侵害 程度 5、确定系统服务安全受到破 坏时所侵害的客体 7、系统服务安全等级4、业务信息安全等级 8、定级对象的安全保护等级 1、确定定级对象 二、备案 已运营(运行)的第二级以上信息系统,第二级以上信息系统, 应当在安全保护等级确定后应当在安全保护等级确定后3030日内日内,由其运营、 使用单位到所在地设区市级以上公安机关办理备 案手续。
新建第二级以上信息系统,应当在投入运新建第二级以上信息系统,应当在投入运 行后行后3030日内日内,由其运营、使用单位到所在地设区 市级以上公安机关办理备案手续 备案 省生成的备案电子数据,到公安机关办理 备案手续,提交公安厅网警网站(公安厅网警网站( ))下载定级报告定级报告、《信息系统信息系统 安全等级保护备案表安全等级保护备案表》》和辅助备案工具辅助备案工具 持填 写的备案表和利用辅助备案工具有关备案材料及 电子数据文件 等级保护备案---备案审核 填写并提交信息系统备案材料后,公安机关 应当对信息系统的备案情况进行审核审核 审核结果根据被测评单位信息系统:符合等符合等 级保护要求、不符合等级保护要求、定级不准三级保护要求、不符合等级保护要求、定级不准三 种不同结果进行评判和整改种不同结果进行评判和整改 等级保护备案---备案审核 ¨符合等级保护要求的,在收到备案材料之日起 的10个工作日内颁发信息系统安全等级保护备备 案证明案证明; ¨不符合本办法及有关标准的,在收到备案材料 之日起的10个工作日内通知通知备案单位予以纠正 ; ¨定级不准的,在收到备案材料之日起的10个工 作日内通知通知备案单位重新审核确定。
三、等级测评 ¨开展信息系统安全等级保护测评保护测评,明确明确安全建设整 改需求需求 ¨备案单位选择符合《管理办法》和有关标准规定条 件的测评机构测评机构开展等级测评 ¨测评机构依据《信息系统安全等级保护测评要求测评要求》 等进行测评测评机构按照公安部制订的《信息系统 安全等级测评报告模版》编制测评报告 ¨备案单位根据测评报告中的改进建议,研究确定系 统安全建设整改的目标、内容和要求 四、等保基本要求----管理体系建设 依据《《信息系统安全等级保护基本要求信息系统安全等级保护基本要求》》 ◆建立制度体系; ◆强化组织机构; ◆加强人员控制; ◆控制建设过程; ◆提高运维效率; 四、等保基本要求----管理体系建设 建立信息管理制度体系:建立信息管理制度体系: ◆建立制度文件建立制度文件层级层级概念,将所有的信息管理制度分为概念,将所有的信息管理制度分为四个主要 四个主要 层级层级,分别为,分别为: :一级方针、二级策略、三级规程、四级表单;一级方针、二级策略、三级规程、四级表单; ◆引入等级保护管理引入等级保护管理框架框架,将所有的信息管理制度分为,将所有的信息管理制度分为五个文件 五个文件 范围范围,分别为,分别为: :安全管理制度、安全管理机构、人员安全管理、系统安全管理制度、安全管理机构、人员安全管理、系统 建设管理、系统运维管理;建设管理、系统运维管理; ◆进行进行制度体系运维制度体系运维,对格式、版本、评审、修订、发布等过程 ,对格式、版本、评审、修订、发布等过程 进行控制;进行控制; ◆任命任命专职专职信息管理人员对制度体系进行运维;信息管理人员对制度体系进行运维; 建立信息管理制度体系 系统建设管理系统运维管理安全管理制度安全管理机构人员安全管理 安全管理方针 数据库安全管理规程 数据库日常巡检记录表 …… 系统运行管理制度 …… 操作系统安全管理规程 重要操作变更记录表 一级 文件 二级 策略 三级 规程 四级 表单 信息机房管理制度专业化…… …… …… …… 1、阐述信息安全总体目标和原则 ; 2、定义信息安全管理结构; 3、提出对组织成员的安全要求。
1、根据不同的工作层面划分制度 范围; 2、明确范围内的工作要求; 3、明确执行岗位 1、依据二级策略文件,对所属的 范围内工作进行细化要求和指导; 2、明确与四级表单的对应关系; 1、是整个制度体系的底层和策略 落实的关键; 2、依据三级规程文件,对该项工 作过程进行控制,表单中应有规程 中规定的要素 四、等保基本要求----管理体系建设 强化组织机构:强化组织机构: ◆建立信息安全管理委员会,应由建立信息安全管理委员会,应由组织高层组织高层和其他业务部门参与和其他业务部门参与 ,使得信息,使得信息安全意识安全意识和工作方式向组织高层和平级部门透明;并和工作方式向组织高层和平级部门透明;并明明 确确信息化工作过程中与其他部门的信息化工作过程中与其他部门的关系关系;; ◆对信息化部门自身,对信息化部门自身,划分岗位的职责划分岗位的职责、分工和技能要求、分工和技能要求 ◆落实授权与审批落实授权与审批,根据各个部门和岗位的职责明确授权审批事,根据各个部门和岗位的职责明确授权审批事 项、审批部门和批准人等项、审批部门和批准人等 ◆建立全面的建立全面的沟通机制沟通机制,覆盖信息化部门内部、平级部门、兄弟,覆盖信息化部门内部、平级部门、兄弟 单位、公安机关、电信公司、安全供应商和安全顾问等。
单位、公安机关、电信公司、安全供应商和安全顾问等 ◆组织组织专人定期专人定期进行安全检查,分析运行现状,发现安全隐患;进行安全检查,分析运行现状,发现安全隐患; 四、等保基本要求----管理体系建设 加强人员控制:加强人员控制: ◆加强信息化工作中的加强信息化工作中的岗位交接岗位交接控制;控制; ◆加大加大培训培训工作力度,贯彻培训计划,强调培训的有工作力度,贯彻培训计划,强调培训的有 效性;效性; ◆依据当前信息化工作的现状,分析人员需求,制定依据当前信息化工作的现状,分析人员需求,制定 合理的信息化合理的信息化岗位划分与人员要求岗位划分与人员要求 ◆对对外部人员访问外部人员访问的过程进行控制 的过程进行控制 四、等保基本要求----管理体系建设 控制建设过程:控制建设过程: ◆对信息系统的对信息系统的重要程度重要程度进行分析,进行等级保护进行分析,进行等级保护定级 定级,, 确定该信息系统所应达到的安全保护水平,确定该信息系统所应达到的安全保护水平,优化资源优化资源配置;配置; ◆依据信息系统的安全保护等级标准体系,制定依据信息系统的安全保护等级标准体系。