《信息安全等级保护培训教材.doc》由会员分享,可在线阅读,更多相关《信息安全等级保护培训教材.doc(63页珍藏版)》请在金锄头文库上搜索。
1、信息安全等级保护培训教材(第二版)公 安 部二七年八月前 言当前,我国信息安全面临的形势仍然十分严峻,维护国家信息安全的任务非常艰巨、繁重。随着我国经济的持续发展和国际地位的不断提高,我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患比较严重,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,犯罪分子利用一些安全漏洞,使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪,给用户造成严重损失。特别是“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点,网络与信息安全已经成为事关北京奥运安全的重大问题之一。党中央、国务院高度重视信
2、息安全工作,中共中央办公厅转发的国家网络与信息安全协调小组关于确保党的十七大信息安全的意见,要求公安部会同有关部门,抓紧开展并完成重要信息系统安全等级保护定级工作,确保国家重要信息系统的信息网络安全,为党的十七大的胜利召开创造良好的信息网络环境。信息安全等级保护制度是国家信息安全保障工作的基本制度。开展信息安全等级保护工作不仅是加强国家信息安全保障工作的重要内容,也是一项事关国家安全、社会稳定、党的十七大胜利召开和北京奥运会成功举办的政治任务。为了加快推进信息安全等级保护工作,2007年6月22日,公安部与国家保密局、密码管理局、国务院信息办联合会签并印发了信息安全等级保护管理办法(公通字20
3、0743号),7月16日四部委联合会签并下发了关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号),7月20日四部委联合组织召开了“全国重要信息系统安全等级保护定级工作电视电话会议”。为保证信息系统运营使用单位、主管部门能够及时、扎实地开展重要信息系统安全等级保护定级工作(以下简称“定级工作”),配合公安、保密、密码部门履行职责,监督、检查、指导定级工作,结合近年来公安机关牵头组织开展信息安全等级保护工作的基础调查、试点等工作经验,我们编写了这本培训教材,供有关部门在开展信息安全等级保护工作中参考、借鉴。目 录一、信息安全等级保护工作概述(一)开展信息安全等级保护工作的
4、政策和法律依据(二)近几年来公安部牵头实施信息安全等级保护制度,开展了哪些具体工作(三)我国信息信息网络安全面临的严峻形势(四)实行信息安全等级保护制度能够解决哪些主要问题(五)信息安全等级保护工作的主要流程包括哪些(六)开展等级保护工作的总体要求二、明确各方责任义务三、信息系统安全保护等级的划分与保护(一)坚持“自主定级、自主保护”与国家监管相统一原则(二)信息系统安全保护等级(三)信息系统安全保护等级的定级要素(四)五级保护和监管四、信息系统安全保护等级的确定(一)定级范围(二)定级工作步骤五、备案和备案审核(一)备案(二)备案审核六、信息系统安全建设整改、等级测评(一)信息系统安全建设整
5、改(二)有关技术标准和管理标准的简要说明(三)信息安全产品分等级使用管理(四)等级测评和自查七、监督检查(一)监督检查的主要内容(二)监督检查方式(三)信息系统运营使用单位的配合八、对违反有关等级保护规定的处罚(一)违规行为(二)处罚方式信息安全等级保护培训教材一、信息安全等级保护工作概述(一)开展信息安全等级保护工作的政策和法律依据1、1994年,中华人民共和国计算机信息系统安全保护条例 (国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度;
6、二是出台配套的规章和技术标准;三是明确了公安部的牵头地位。2、1995年2月18日人大12次会议通过并实施的中华人民共和国警察法第二章第六条第十二款规定,公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。3、2003年,国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度 。同时中央27号文明
7、确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。(二)近几年来公安部牵头实施信息安全等级保护制度,开展了哪些具体工作按照中华人民共和国计算机信息系统安全保护条例 (国务院147号令)规定和国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)文件精神,公安部会同国家保密局、国家密码管理局和国务院信息办开展了如下工作。1、出台了等级保护规范标准。2004年9月联合出台了关于信息安全等级保护工作的实施意见(公通字200466号),2007年6月联合出台了信息安全等级保护管理办法(公通字200743号,以下简称管理办法),明
8、确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。制定了包括计算机信息系统安全保护等级划分准则(GB17859-1999)、信息系统安全等级保护定级指南、信息系统安全等级保护基本要求、信息系统安全等级保护实施指南、信息系统安全等级保护测评要求等50多个国标和行标,初步形成了信息安全等级保护标准体系。2、开展了等级保护基础调查工作。2005年底,公安部和国务院信息化工作办公室联合印发了关于开展信息系统安全等级保护基础调查工作的通知(公信安20051431号)。2006年
9、上半年,公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。调查对象共计65117家单位,涉及115319个信息系统。通过基础调查,基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况,为制定信息安全等级保护政策奠定了坚实的基础。3、开展了等级保护试点工作。2006年6月,公安部、国家保密局、国家密码管理局、国务院信息办联合下发了关于开展信息安全等级保护试点工作的通知(公信安2006573号)。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试点,完善了开展等级保护工作的模式和思路,检验和完善了开展等级保护工作的方法、思路、规范标准,探索了开展等级保护工作领导、
10、组织、协调的模式和办法,为全面开展等级保护工作奠定了坚实的基础。4、部署开展定级工作。2007年7月20日,公安部、国家保密局、国家密码管理局、国务院信息办在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。国家信息安全等级保护协调小组组长、公安部副部长张新枫同志和国务院信息化工作办公室副主任、国家网络与信息安全协调小组办公室主任杨学山同志作了重要讲话。国家信息安全职能部门、基础信息网络和重要信息系统主管部门、各省(区、市)公安厅(局)、保密局、国家密码管理局、信息化领导小组办公室和有关行业、部门的负责同志出席了会议。为加
11、强信息安全等级保护工作的领导,公安部、国家保密局、国家密码管理局联合成立了由公安部张新枫副部长任组长的“国家信息安全等级保护协调小组”(见附件),办公室设在公安部公共信息网络安全监察局。(三)我国信息信息网络安全面临的严峻形势随着我国国民经济和社会发展信息化进程的全面加快,我国信息化的程度越来越高,关系国计民生的重要领域信息系统已经成为国家的关键基础设施。这些基础信息网络和重要信息系统安全,已经严重关系国家安全和社会稳定,关系广大人民群众切身利益。当前,我国基础信息网络和重要信息系统安全面临的形势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节,维护国家信息安全的任务十分艰巨、繁重。一是我们将
12、长期面临国外的信息优势、技术优势所带来的信息安全威胁。二是基础信息网络和重要信息系统安全隐患严重。由于各基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口,在操作系统、专用芯片和大型应用软件等方面不能自主可控,给我国的信息安全带来了深层的技术隐患。三是计算机病毒传播和网络非法入侵十分严重。据公安机关调查,今年1-6月,我国平均每月截获计算机病毒6.6万个,累计感染计算机达1.18亿台次。今年初在我国发生的“熊猫烧香”病毒案,短时间内就出现病毒变种700余个,感染了445万台计算机,大批网民的网上帐号、口令被窃取。四是针对基础信息网络和重要信息系统的违法犯罪持续上升。仅2006
13、年,公安机关就查处网上违法犯罪案件4万多起,查获违法犯罪嫌疑人3万多名,同比大幅上升。犯罪分子利用一些重要信息系统的安全漏洞,使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪,对我国的经济秩序、社会管理秩序和公民的合法权益造成严重侵害。五是网上失、窃密情况严重。一些国家和地区间谍情报机关利用我一些单位、人员和信息系统防范不严、警惕性不高、安全措施不力的状况在网上大肆对我进行窃密活动,目标直指我党政军要害部门和重要信息系统。近年来,已发生多起危害严重的网上失、窃密案件。六是我国的信息安全保障工作基础还很薄弱。信息安全意识和安全防范能力薄弱,信息系统安
14、全建设、监管缺乏依据和标准,安全保护措施和安全制度不落实,监管措施不到位。金融、民航等重要信息系统连续发生运行事故,不仅直接影响生产业务的正常运行,而且造成了严重社会影响。特别需要指出的是,“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点。北京奥组委日常工作、赛事活动、宣传报道及票务等工作大多在网上进行,网络与信息安全已经成为事关北京奥运安全的重大问题之一。同时,为北京奥运会提供保障服务的电信、广电、电力、铁路、民航、银行等基础信息网络与信息系统的安全稳定运行也是确保奥运会顺利召开的重要保障,我国的网络安全将面临又一次严峻考验。面对当前信息安全面临的复杂、严峻形势,基础信息网络和重要
15、信息系统一旦出现大的信息安全问题,不仅仅影响本单位、本行业,而是直接威胁国家安全、社会稳定、经济发展,影响党的“十七大”和北京奥运会的胜利召开。胡锦涛总书记等中央领导同志对信息安全工作始终高度重视,先后多次作出重要指示,要求我们必须敏锐地把握当今世界信息化发展的趋势,积极推进国民经济和社会信息化,确保我国在日趋激烈的国际竞争中掌握主动权。(四)实行信息安全等级保护制度能够解决哪些主要问题信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作不仅是实现国家对重要信息系统重点保护的重大措施,也是一项事关国家安全、社会稳定、党的“十七大”胜利召开和北京奥运会成功举办的政治任务。通过开展信息安全等级保护工作,可以有效解决我国信息安全面临的威胁和存在的主要问题,充分体现“适度安全、保护重点”的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,有效提高我国信息安全保障工作的整体水平。信息安全等级保护是当今发达国家保护关键信息基础设施,保障信息安全的通行做法,也
