《信息安全等级保护培训教材(第1册)》由会员分享,可在线阅读,更多相关《信息安全等级保护培训教材(第1册)(22页珍藏版)》请在金锄头文库上搜索。
1、信息安全等级保护培训教材(第一册)目 录一、信息安全等级保护政策体系(一)总体方面的政策文件(二)具体环节的政策文件1、定级环节2、备案环节3、安全建设整改环节4、等级测评环节5、安全检查环节二、信息安全等级保护标准体系(一)各类标准与等级保护工作的关系1、基础标准2、安全要求类标准3、定级类标准4、方法指导类标准5、现状分析类标准(二)在应用有关标准中需注意的几个问题三、信息安全等级保护安全管理制度建设和技术措施建设(一)信息安全等级保护安全管理制度建设1、开展安全管理制度建设的依据2、开展安全管理制度建设的内容3、开展安全管理制度建设的要求(二)开展信息安全等级保护安全技术措施建设1、开展
2、安全技术措施建设的依据2、开展安全技术措施建设的内容3、开展安全技术措施建设的要求四、安全建设整改工作的原则和主要思路(一)工作目标(二)工作范围(三)工作方法五、安全建设整改工作基本流程六、信息安全产品的选择使用七、信息系统安全等级测评工作(一)测评机构的选择(二)等级测评工作的开展八、安全自查和监督检查(一)备案单位的定期自查(二)行业主管部门的督导检查(三)公安机关的监督检查九、工作要求(一)同步部署,同步实施(二)加强宣传,树立典型(三)认真总结,及时报送广西壮族自治区信息安全等级保护培训教材公安部、国家保密局、国家密码管理局和原国务院信息办2007年7月在全国范围内组织开展的信息系统
3、定级备案工作已基本完成。通过定级,基本摸清了国家基础网络和信息系统底数,掌握了关系国家安全、国计民生的重要信息系统基本情况,为深入开展信息安全等级保护工作打下了坚实基础。近年来,公安部会同有关部门开展了信息系统等级保护安全建设整改工作的试点、示范,以及为期3个月的信息安全等级保护测评体系建设试点工作,组织制定了信息系统等级保护安全设计技术要求、信息安全等级保护测评机构及测评人员管理细则和信息系统等级保护测评报告模版相关标准规范,在此基础上出台了关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号,以下简称指导意见),为指导各单位、各部门开展信息安全等级保护安全建设整改工
4、作(以下简称“安全建设整改工作”)奠定了基础。为了明确开展信息安全等级保护安全建设整改工作的内容和要求,这里对有关问题进一步进行解释说明。一、信息安全等级保护政策体系近几年,为组织开展信息安全等级保护工作,公安部根据中华人民共和国计算机信息系统安全保护条例(国务院147号令)的授权,会同国家保密局、国家密码管理局和原国务院信息办出台了一些文件,发改委会同公安部、国家保密局出台了相关文件,公安部对有些具体工作出台了一些指导意见和规范,这些文件初步构成了信息安全等级保护政策体系(如图1所示),为指导各地区、各部门开展等级保护工作提供了政策保障。为了方便使用,我们已将信息安全等级保护政策文件汇编成信
5、息安全等级保护政策汇编发给有关单位、部门。关于开展全国重要信息系统安全等级保护定级工作的通知(公通字2007861号)中华人民共和国计算机信息系统安全保护条例 (国务院147号令)国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)信息安全等级保护工作关于信息安全等级保护工作的实施意见(公通字200466号)信息安全等级保护备案实施细则(公信安20071360号)关于开展信息系统等级保护安全建设整改工作的指导意见(公信安20091429号)关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)关于印发信息系统安全等级测评报告模版(试行)的通
6、知(公信安20091487号)公安机关信息安全等级保护检查工作规范(试行)(公信安2008736号)信息安全等级保护管理办法(公通字200743号)定级备案安全建设整改等级测评检查图1 信息安全等级保护法律政策体系(一)总体方面的政策文件总体方面的文件有两个,这两个文件确定了等级保护制度的总体内容和要求,对等级保护工作的开展起到宏观指导作用。1、关于信息安全等级保护工作的实施意见(公通字200466号)。该文件是为贯彻落实国务院第147号令和中办27号文件、由四部委共同会签印发、指导相关部门实施信息安全等级保护工作的纲领性文件,主要内容包括贯彻落实信息安全等级保护制度的基本原则,等级保护工作的
7、基本内容、工作要求和实施计划,以及各部门工作职责分工等。2、信息安全等级保护管理办法(公通字200743号)。该文件是在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上,由四部委共同会签印发的重要管理规范,主要内容包括信息安全等级保护制度的基本内容、流程及工作要求,信息系统定级、备案、安全建设整改、等级测评的实施与管理,信息安全产品和测评机构选择等,为开展信息安全等级保护工作提供了规范保障。(二)具体环节的政策文件对应等级保护工作的具体环节(信息系统定级、备案、安全建设整改、等级测评、安全检查),出台了相应的政策规范:1、定级环节关于开展全国重要信息系统安全等级保护定级工作
8、的通知(公通字2007861号)。2007年7月20日四部委在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”,会议根据该通知精神部署在全国范围内开展重要信息系统安全等级保护定级工作,标志着全国信息安全等级保护工作全面开展。该文件由四部委共同会签印发。2、备案环节信息安全等级保护备案实施细则(公信安20071360号)。该文件规定了公安机关受理信息系统运营使用单位信息系统备案工作的内容、流程、审核等内容,并附带有关法律文书,指导各级公安机关受理信息系统备案工作。该文件由公安部网络安全保卫局印发。3、安全建设整改环节(1)关于开展信息系统等级保护安全建设整改工作的指导意见(公信
9、安20091429号)。该文件明确了非涉及国家秘密信息系统开展安全建设整改工作的目标、内容、流程和要求等,文件附件包括信息安全等级保护安全建设整改工作指南和信息安全等级保护主要标准简要说明。该文件由公安部印发。(2)关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)。该文件要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照信息安全等级保护管理办法进行,明确了项目验收条件:公安机关颁发的信息系统安全等级保护备案证明、等级测评报告和风险评估报告。该文件由发改委、公安部、国家保密局共同会签印发。4、等级测评环节关于印发信息系统安全等级测评报告模版(试
10、行)的通知(公信安20091487号)。该文件明确了等级测评的内容、方法和测评报告格式等内容,用以规范等级测评活动。该文件由公安部网络安全保卫局印发。5、安全检查环节公安机关信息安全等级保护检查工作规范(试行)(公信安2008736号)。该文件规定了公安机关开展信息安全等级保护检查工作的内容、程序、方式以及相关法律文书等,使检查工作规范化、制度化。该文件由公安部网络安全保卫局印发。二、信息安全等级保护标准体系为推动我国信息安全等级保护工作的开展,十多年来,在公安部领导和支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等
11、级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系,为开展信息安全等级保护工作提供了标准保障。信息安全等级保护相关标准具体见信息安全等级保护主要标准简要说明。为了方便使用,我们已将主要标准汇编成信息安全等级保护标准汇编发给有关单位、部门。 各单位、各部门信息系统安全建设整改工作应依据基本要求或行业标准规范,并在不同阶段、针对不同技术活动参照相应的标准规范进行,相关标准与等级保护各工作环节的关系如图2所示。信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则(GB17859)信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系
12、统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息安全等级保护安全建设整改工作网络基础安全技术要求网络和终端设备隔离部件技术要求安全等级安全要求现状分析方法指导信息系统安全等级保护实施指南图2 等级保护相关标准与等级保护各工作环节的关系(一)各类标准与等级保护工作的关系1、基础标准计算机信息系统安全保护等级划分准则是强制性国家标准,是等级保护的基础性
13、标准,在此基础上制定出信息系统通用安全技术要求等技术类、信息系统安全管理要求、信息系统安全工程管理要求等管理类、操作系统安全技术要求等产品类标准,为相关标准的制定起到了基础性作用。2、安全要求类标准基本要求以及行业标准规范或细则构成了信息系统安全建设整改的安全需求。(1)信息系统安全等级保护基本要求(以下简称基本要求)。该标准是在计算机信息系统安全保护等级划分准则、技术类标准和管理类标准基础上,总结几年的实践,结合当前信息技术发展的实际情况研究制定的,该标准提出了各级信息系统应当具备的安全保护能力,并从技术和管理两方面提出了相应的措施。(2)信息系统安全等级保护基本要求的行业细则。重点行业可以
14、按照基本要求等国家标准,结合行业特点,在公安部等有关部门指导下,确定基本要求的具体指标,在不低于基本要求的情况下,结合系统安全保护的特殊需求,制定行业标准规范或细则。3、定级类标准信息系统安全等级保护定级指南和信息系统安全等级保护行业定级细则为确定信息系统安全保护等级提供支持。(1)信息系统安全等级保护定级指南(GB/T22240-2008)。该标准规定了定级的依据、对象、流程和方法以及等级变更等内容,用于指导开展信息系统定级工作。(2)信息系统安全等级保护行业定级细则。重点行业可以按照信息系统安全等级保护定级指南等国家标准,结合行业特点和信息系统的特殊性,在公安部等有关部门指导下,制定行业信
15、息系统定级规范或细则。4、方法指导类标准信息系统安全等级保护实施指南和信息系统等级保护安全设计技术要求构成了指导信息系统安全建设整改的方法指导类标准。(1)信息系统安全等级保护实施指南(信安字200710号)。该标准阐述了等级保护实施的基本原则、参与角色和信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等几个主要工作阶段中如何按照信息安全等级保护政策、标准要求实施等级保护工作。(2)信息系统等级保护安全设计技术要求(信安秘字2009059号)。该标准提出了信息系统等级保护安全设计的技术要求,包括第一级至第五级信息系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求,以及定级系统互联的设计技术要求,明确了体现定级系统安全保护能力的整体控制机制,用于指导信息系统运营使用单位、信息
