《信息安全等级保护法律法规教材》由会员分享,可在线阅读,更多相关《信息安全等级保护法律法规教材(115页珍藏版)》请在金锄头文库上搜索。
1、信息安全等级保护制度 信息安全等级保护法律法规 提 纲 前言 一、信息安全等级保护的制度体系 二、信息安全等级保护的工作要求 三、信息安全等级保护的支撑条件 四、信息安全等级保护接着做什么 前言什么是等保 信息安全等级保护管理办法指出 信息安全等级保护是以信息为核心的、根据信息和信息系 统在国家安全、经济建设、社会生活中的重要程度;遭到 破坏后对国家安全、社会秩序、公共利益以及公民、法人 和其他组织的合法权益的危害程度;针对信息的保密性、 完整性和可用性要求及信息系统必须达到的基本的安全保 护水平等因素,对最核心的信息和信息系统划分为五个安 全保护和监管等级,实行分级保护。 实施信息安全等级保
2、护,可以有效地提高我 国信息安全建设的整体水平, 有利于在信息化建设过程中同步建设信息安 全设施,保障信息安全与信息化建设相协调; 有利于加强对涉及国家安全、经济秩序、社 会稳定和公共利益的信息系统的安全保护和管 理监督; 有利于明确国家、法人和其他组织、公民的 安全责任,强化政府监管职能,共同落实各项 安全建设和安全管理措施; 有利于提高安全保护的科学性、整体性、针对 性,推动信息安全产业水平,逐步探索一条适 应社会主义市场经济发展的信息安全发展模式 。 前言为什么实行等保 前言为什么实行等保 制度要求制度要求法律法规法律法规 一、信息安全等级保护的制度体系 法规 行政法规中华人民共和国计算
3、机信息系统安全 保护条例 1997年国务院行政法规,规定计算机信息系统实行安全 等级保护。 地方法规广东省计算机信息系统安全保护条例 2007年广东地方法规,系统规定了等级保护,并设置了 法律责任 一、信息安全等级保护的制度体系 规范性文件 国家 关于信息安全等级保护工作的实施意见 2004年公安部、保密局、密码委、信息办联合发文,初步 规定了信息安全等级保护工作的指导思想、原则、要求 信息安全等级保护管理办法 2007年公安部、保密局、密码委、信息办联合发文,系统 规定了信息安全等级保护制度 一、信息安全等级保护的制度体系 公安机关信息安全等级保护检查工作规范(试行) 公安部十一局2008年
4、颁发,规范监督检查工作的具体要求 。 信息安全等级保护备案工作实施细则 公安部十一局2008年颁发 一、信息安全等级保护的制度体系 规范性文件 地方 广东省公安厅关于计算机信息系统安全保护的实施办法 2008年广东省公安厅(经省政府法制办审查通过)发布 关于贯彻和的通 知 2008年广东省公安厅网警总队印发 广东省信息安全等级保护备案工作实施细则(试行) 2008年广东省公安厅网警总队印发 标准 系统定级 信息系统安全保护等级定级指南(国家推荐性标准) 安全保护 信息系统安全等级保护基本要求(国家推荐性标准) 信息系统安全等级保护实施指南 (国家推荐性标准) 信息系统安全等级保护安全设计技术要
5、求 (国家推荐 性标准) 检测评估 信息系统安全等级保护基本要求 (国家推荐性标准) 信息系统安全等级保护测评要求 监督检查 信息系统安全等级保护监督检查要求 一、信息安全等级保护的制度体系 标准 计算机信息系统安全保护等级划分准则(GB17859- 1999) 信息安全技术 网络基础安全技术要求 信息安全技术 信息系统通用安全技术要求 信息安全技术 操作系统安全技术要求 信息安全技术 数据库管理系统安全技术要求 信息安全技术 服务器技术要求 信息安全技术 终端计算机系统安全等级技术要求 一、信息安全等级保护的制度体系 原则 来源:关于信息安全等级保护工作的实施意见 信息安全等级保护制度遵循以
6、下基本原则: 一是明确责任,共同保护 二是依照标准,自行保护 三是同步建设,动态调整 四是指导监督,保护重点 二、信息安全等级保护的工作要求 明确责任,共同保护 通过等级保护,组织和动员职能部门、法人和其他组织、 公民共同参与信息安全保护工作;各方主体按照规范和标 准分别承担相应的、明确具体的信息安全保护责任。 二、信息安全等级保护的工作要求 依照标准,自行保护 国家运用强制性的规范及标准,要求信息和信息系统按照 相应的建设和管理要求,自行定级、自行保护。 二、信息安全等级保护的工作要求 同步建设,动态调整。 信息系统在新建、改建、扩建时应当同步建设信息安全设 施,保障信息安全与信息化建设相适
7、应。因信息和信息系 统的应用类型、范围等条件的变化及其他原因,安全保护 等级需要变更的,应当根据等级保护的管理规范和技术标 准的要求,重新确定信息系统的安全保护等级。等级保护 的管理规范和技术标准应按照等级保护工作开展的实际情 况适时修订。 二、信息安全等级保护的工作要求 指导监督,重点保护 国家指定信息安全监管职能部门通过备案、指导、检查、 督促整改等方式,对重要信息和信息系统的信息安全保护 工作进行指导监督。 二、信息安全等级保护的工作要求 主要内容 来源:信息安全等级保护管理办法 国家通过制定统一的信息安全等级保护管理规范和技术标准 ,组织公民、法人和其他组织对信息系统分等级实行安全 保
8、护,对等级保护工作的实施进行监督、管理。 二、信息安全等级保护的工作要求 职责分工 公安机关负责信息安全等级保护工作的监督、检查、指 导。 国家保密工作部门负责等级保护工作中有关保密工作的 监督、检查、指导。 国家密码管理部门负责等级保护工作中有关密码工作的 监督、检查、指导。 二、信息安全等级保护的工作要求 在信息安全等级保护工作中,涉及其他职能部门管 辖范围的事项,由有关职能部门依照国家法律法规的规定 进行管理。 国务院信息化工作办公室及地方信息化领导小组办事机 构负责信息安全等级保护工作中部门间的协调。 二、信息安全等级保护的工作要求 我国信息安全监管部门 信息系统的主管部门应当依照相关
9、规范和标准督促、 检查、指导本行业、本部门或本地区信息系统运营、使用 单位的信息安全等级保护工作。 信息系统运营、使用单位应当按照等级保护的管理规范 和相关标准规范履行信息安全等级保护的义务和责任。 二、信息安全等级保护的工作要求 省公安厅、省国家保密局、省国家密码管理局、省信息化 领导小组办公室联合成立信息安全等级保护工作协调小组 各行业主管部门要成立行业信息安全等级保护工作小组 各地级以上市参照成立相应工作机制 重要信息系统运营使用单位成立信息安全等级保护工作组 二、信息安全等级保护的工作要求 公安机关职责内容 指导信息系统运营使用单位及其主管部门确定系 统安全保护等级。 指导信息安全等级
10、保护的建设、整改和管理。 接受信息系统安全保护等级的备案。 定期对受理备案的信息系统安全保护状况依法进 行监督、检查。 对安全保护等级为第三级以上信息系统选择使用 信息安全产品的情况进行监督管理。 对信息安全等级保护检测评估服务机构的监督管 理。 二、信息安全等级保护的工作要求 二、信息安全等级保护的工作要求 各个环节 组织开展调查摸底 合理确定保护等级 依法履行备案手续 开展安全建设整改 组织系统安全测评 加强日常测评自查 加强安全监督检查 组织开展调查摸底 各信息系统主管部门、运营使用单位组织开展对所属 信息系统的摸底调查,全面掌握信息系统的数量、分布、 业务类型、应用或服务范围、系统结构
11、以及系统建设规划 等基本情况,为开展信息安全等级保护工作打下基础。 二、信息安全等级保护的工作要求 合理确定保护等级(信息化项目立项前) 来源和依据:信息安全等级保护管理办法、广东省计算机信息系统安全 保护条例,信息安全等级保护实施指南、信息系统安全等级保护定 级指南 二、信息安全等级保护的工作要求 定级标准:计算机信息系统安全保护等级根据计算机 信息系统在国家安全、经济建设、社会生活中的重要程度 ,计算机信息系统受到破坏后对国家安全、社会秩序、公 共利益以及公民、法人和其他组织的合法权益的危害程度 等因素确定,分为五级: 二、信息安全等级保护的工作要求 (一)计算机信息系统受到破坏后,可能对
12、公民、法人和其 他组织的合法权益造成损害,但不损害国家安全、社会秩 序和公共利益的,为第一级; 二、信息安全等级保护的工作要求 (二)计算机信息系统受到破坏后,可能对公民、法人和其 他组织的合法权益产生严重损害,或者可能对社会秩序和 公共利益造成损害,但不损害国家安全的,为第二级 ; 二、信息安全等级保护的工作要求 (三)计算机信息系统受到破坏后,可能对社会秩序和公 共利益造成严重损害,或者可能对国家安全造成损害的, 为第三级; 二、信息安全等级保护的工作要求 (四)计算机信息系统受到破坏后,可能对社会秩序和公共 利益造成特别严重损害,或者可能对国家安全造成严重损 害的,为第四级; (五)计算
13、机信息系统受到破坏后,可能对国家安全造成特 别严重损害的,为第五级。 二、信息安全等级保护的工作要求 定级程序: 信息系统运营、使用单位应当依照相关规定和标准和行业指 导意见确定信息系统的安全保护等级。有主管部门的,应 当经主管部门审核批准。 跨省或者全国统一联网运行的信息系统可以由主管部门统一 确定安全保护等级。 对拟确定为第四级以上信息系统的,运营、使用单位或者主 管部门应当请国家信息安全保护等级专家评审委员会评审 。 二、信息安全等级保护的工作要求 定级注意事项 一级信息系统:适用于乡镇所属信息系统、县级某些单位中不 重要的信息系统。小型个体、私营企业中的信息系统。中小 学中的信息系统。
14、 二级信息系统:适用于地市级以上国家机关、企业、事业单位 内部一般的信息系统。例如小的局域网,非涉及秘密、敏感 信息的办公系统等。 二、信息安全等级保护的工作要求 三级信息系统:适用于地市级以上国家机关、企业、事业单位 内部重要的信息系统;重要领域、重要部门跨省、跨市或全 国(省)联网运行的信息系统;跨省或全国联网运行重要信 息系统在省、地市的分支系统;各部委官方网站;跨省(市 )联接的信息网络等。 四级信息系统:适用于重要领域、重要部门三级信息系统中的 部分重要系统。例如全国铁路、民航、电力等调度系统,银 行、证券、保险、税务、海关等部门中的核心系统。 二、信息安全等级保护的工作要求 在申报
15、系统新建、改建、扩建立项时 须同时向立项审批部门提交定级报告。 二、信息安全等级保护的工作要求 依法履行备案手续 来源和依据:信息安全等级保护管理办法、广东省计算机信息系统安全 保护条例,广东省信息安全等级保护备案工作实施细则(试行) 、信息 安全等级保护备案实施细则 、信息安全等级保护实施指南 二、信息安全等级保护的工作要求 备案时限。已运营(运行)的第二级以上信息系统, 应当在安全保护等级确定后30日内,由其运营、使用单位 到所在地设区的市级以上公安机关办理备案手续。 新建第二级以上信息系统,在通过信息化项目立项后, 由其运营、使用单位在30日内到所在地设区的市级以上公 安机关办理备案手续
16、。 二、信息安全等级保护的工作要求 补充备案。第三级以上信息系统还应当在系统整改、测评 完成后30日内补交备案表表四及其有关材料。 变更备案。备案表所载事项发生变更,备案单位应 当自变更之日起30日内重新填写备案表报公安机关网 监部门备案。其中,变更事项涉及备案证明的,公机 关网监部门应当重新颁布备案证明。 二、信息安全等级保护的工作要求 书面填写信息系统安全等级保护备案表 一式两份。可填 WORD文档,再打印输出,附上附件。 利用备案工具填写。 涉密系统填写涉及国家秘密的信息系统分级保护备案表,向 保密部门备案。 备案表填写注意事项 信息系统安全等级保护备案表 WORD文档和备案工具 及其他相关材料可到
