《信息安全等级保护制度与等级保护工》由会员分享,可在线阅读,更多相关《信息安全等级保护制度与等级保护工(14页珍藏版)》请在金锄头文库上搜索。
1、国家信息安全等级制度 与等级保护工作的实施 公安部公共信息网络安全监察局 郭启全目录 一、什么是信息安全等级保护 二、信息安全等级保护的工作进展 三、安全保护等级的划分 四、等级保护工作的职责分工 五、等级保护工作的主要流程 六、等级保护标准体系 七、信息安全产品和测评机构管理思路 一、什么是信息安全等级保护信息安全等级保护是国家信息安全 保障的基本制度、基本策略、基本方法 。开展信息安全等级保护工作是保护信 息化发展、维护国家信息安全的根本保 障,是信息安全保障工作中国家意志的 体现。 1994年,中华人民共和国计算机信息系 统安全保护条例 规定,“计算机信息系统实 行安全等级保护,安全等级
2、的划分标准和安 全等级保护的具体办法,由公安部会同有关 部门制定” 。1995年2月18日人大12次会议通过并实 施的中华人民共和国警察法第二章第六 条第十二款规定,公安机关人民警察依法履 行“监督管理计算机信息系统的安全保护工作 ”。法律依据。1999年,强制性国家标准计算机信 息系统安全保护等级划分准则GB 17859) 。2003年,中办、国办转发的国家信息化 领导小组关于加强信息安全保障工作的意见 (中办发200327号)明确指出“实行信息安 全等级保护”。 “要重点保护基础信息网络和关 系国家安全、经济命脉、社会稳定等方面的重 要信息系统,抓紧建立信息安全等级保护制度 ,制定信息安全
3、等级保护的管理办法和技术指 南” 。2004年,公安部、国家保密局、国家密码 管理局、国信办联合印发了关于信息安全等 级保护工作的实施意见(66号文件)2006年1月,公安部、国家保密局、国家密 码管理局、国信办联合制定了信息安全等级 保护管理办法(公通字20067号)等级保护制度的基本思想 1、 政府层面:国家制定统一信息安全等级保护管 理规范和技术标准,组织公民、法人和其他组织对 信息系统分等级实行安全保护,对信息安全产品的 使用分等级实行管理,对等级保护工作的实施进行 监督、指导。 2、用户层面 :公民、法人和其他组织应当按照国 家有关等级保护的管理规范和技术标准开展等级保 护工作,服从
4、国家对信息安全等级保护工作的监督 、指导,保障信息系统安全。 3、社会层面 :信息安全产品的研制、生产单位, 信息系统的集成、等级测评、风险评估等安全服务 机构,依据国家有关管理规定和技术标准,开展相 应工作,并接受国家信息安全职能部门的监督管理 。 二、信息安全等级保护的工作进展 一是2006年1月制定出台了信息安全等级保护 管理办法(试行)。 二是2006年5月18日组织召开了国家信息安全等 级保护工作协调小组第一次会议。 三是制定了等级保护系列技术标准。 四是开展了等级保护基础调查工作。 五是部署开展信息安全等级保护试点工作。 六是出台新的信息安全等级保护管理办法。 七是筹备召开全国信息
5、系统定级工作。 三、安全保护等级的划分 四、等级保护工作的职责分工 公安机关负责信息安全等级保护工作的 监督、检查、指导;国家保密工作部门负责 等级保护工作中有关保密工作的监督、检查 、指导;国家密码管理部门负责等级保护工 作中有关密码工作的监督、检查、指导;涉 及其他职能部门管辖范围的事项,由有关职 能部门依照国家法律法规的规定进行管理; 国务院信息化工作办公室及地方信息化领导 小组办事机构负责等级保护工作的部门间协 调。 五、等级保护工作的主要流程 一是定级。包括评审与审批。 二是备案(二级以上信息系统)。 三是系统建设、整改(按条件选择产品)。 四是开展等级测评(按条件选择测评机构)。
6、五是信息安全监管部门定期开展监督检查。 六、等级保护的政策体系和标准体系 国务院147号令、中央27号文件、关于 信息安全等级保护工作的实施意见 (公通 字200466号)、信息安全等级保护管 理办法(公通字200743号)。标准包括计算机信息系统安全保护等级 划分准则(GB17859-1999)、信息系 统安全等级保护基本要求、信息系统安 全等级保护实施指南、信息系统安全等 级保护测评要求等30多个标准。 七、信息安全产品和测评机构管理思路 重要信息系统信息安全产品由第三方依据认证认可条例证明产品、服务、 管理体系符合相关技术规范、相关技术规范的 强制性要求或者标准的合格评定。第二关,可信性、可靠性、可 控性审核。第一关,质量认证。由国家信息安全监管部门依据法律职权规定, 对其可能具有危害国家安全、社会秩序、公共 利益的功能、情况进行评估和审核。七、信息安全产品和测评机构管理思路 重要信息系统技术测评队伍 由第三方依据认证认可条例对实验室以及从 事评审、审核等认证活动人员的能力和执业 资格,予以承认的合格评定。第二关,可信性、可靠性、可 控性审核。第一关,能力认可。由国家信息安全监管部门依据法律职权规定 ,对其可能具有危害国家安全、社会秩序、 公共利益的功能、情况进行评估和审核。谢谢!
