内容概要内容概要Ø政策背景政策背景Ø等保等保/ /分保概念分保概念Ø等保等保/ /分保制度与标准分保制度与标准Ø等保等保/ /分保职能分工分保职能分工Ø等保等保/ /分保各相关方职责分保各相关方职责Ø实施要求实施要求Ø管理过程管理过程Ø资质管理资质管理�等保等保/ /分保概念分保概念•1、什么是等级保护?•【解释】是我国实施信息安全管理的一项法定制度,1994年147号令、2003年27号文件、2004年66号文件都有明确规定,信息系统安全实施等级化保护和等级化管理•2、什么是分级保护?•涉密信息系统依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,实施信息安全分级保护的强制执行制度涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级�政策背景政策背景( (一一) )等级保护是国家信息安全的基本制度等级保护是国家信息安全的基本制度 Ø等级保护思想始于1994年发布的《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令),其中明确提出了“计算机信息系统实行安全等级保护”之后于1999年发布了《计算机信息系统安全保护等级划分准则》(GB 17859-1999)。
Ø等级保护工作推动取得突破性进展的标志是2003年发布《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)和2005年发布的《关于信息安全等级保护的实施意见》(公通字 [2005] 66号),确立了等级保护作为国家信息安全保障的基本制度Ø等级保护制度是从国家的视角,依据信息系统被破坏后,对国家安全、社会秩序和公共利益造成的影响程度来划分系统的安全等级等级保护制度充分体现了信息安全的国家意志�政策背景政策背景( (二二) )等级保护与分级保护的分开管理等级保护与分级保护的分开管理Ø在66号文发布之后,等级保护按照信息系统的涉密情况分成两条线管理非涉密信息系统的等级保护由公安部负责监督、检查、指导,称为“信息系统安全等级保护”;涉及国家秘密信息系统的等级保护由国家保密工作机构负责监督、检查、指导,称为“涉及国家秘密的信息系统分级保护”Ø在等级保护方面,国家发布了《信息安全等级保护管理办法》(公通字 [2007] 43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)等文件,并起草了“信息系统安全等级保护定级指南”、“信息系统安全等级保护基本要求”、“信息系统安全等级保护实施指南”等系列国家标准(报批稿)。
Ø在分级保护方面,国家保密局发布了《涉及国家秘密的信息系统分级保护管理办法》(国保发[2005]16号),之后陆续发布了《涉及国家秘密的信息系统分级保护技术要求》、《涉及国家秘密的信息系统分级保护管理规范》、《涉及国家秘密的信息系统分级保护方案设计指南》、《涉及国家秘密的信息系统分级保护测评指南》等一系列分级保护的国家保密标准 �等保等保/ /分保制度与标准分保制度与标准�标准(一)标准(一)等级保护主要标准等级保护主要标准: :Ø《信息系统安全等级保护定级规范》”(国标报批稿);Ø《信息系统安全等级保护基本要求》(国标报批稿);Ø《信息系统安全等级保护实施指南》(国标报批稿);Ø《信息系统安全等级保护测评规范》(国标报批稿);Ø《电子政务信息安全等级保护实施指南》(试用稿)�标准(二)标准(二)等级保护配套标准等级保护配套标准: :Ø《计算机信息系统安全保护等级划分准则》(GB 17859-1999);Ø《信息系统通用安全技术要求》(GB/T20271);Ø《网络基础安全技术要求》(GB/T20270);Ø《操作系统安全技术要求》(GB/T20272);Ø《数据库管理系统安全技术要求》(GB/T20273);Ø《终端计算机系统安全等级技术要求》(GA/T671);Ø《信息系统安全管理要求》(GB/T20269);Ø《信息系统安全工程管理要求》(GB/T20282)。
�标准(三)标准(三)分级保护标准分级保护标准: :Ø《涉及国家秘密的信息系统分级保护技术要求》(BMB17-2006);Ø《涉及国家秘密的信息系统工程监理规范》(BMB18-2006);Ø《涉及国家秘密的信息系统分级保护管理规范》(BMB20-2007);Ø《涉及国家秘密的信息系统分级保护测评指南》(BMB22-2007);Ø《涉及国家秘密的信息系统分级保护方案设计指南》(BMB23-2008)�等级保护与分级保护职能分工等级保护与分级保护职能分工�等级保护各相关方职责等级保护各相关方职责( (一一) )等级保护实施工程所涉及的主管部门与协作单位等级保护实施工程所涉及的主管部门与协作单位 �分级保护各相关方职责分级保护各相关方职责( (二二) )分级保护实施工程所涉及的主管部门与协作单位分级保护实施工程所涉及的主管部门与协作单位 �实施要求实施要求( (一一) )等级保护实施要求等级保护实施要求: :�实施要求实施要求( (二二) )分级保护实施要求分级保护实施要求: :�管理过程管理过程( (一一) )等级保护管理过程等级保护管理过程: :�管理过程管理过程( (二二) )等级保护主管部门的管理手段等级保护主管部门的管理手段: :�管理过程管理过程( (三三) )分级保护管理过程分级保护管理过程: :�管理过程管理过程( (四四) )分级保护主管部门的管理手段分级保护主管部门的管理手段: :�等级保护对厂商和产品的资质管理等级保护对厂商和产品的资质管理: :资质管理资质管理( (一一) )�分级保护对厂商和产品的资质管理分级保护对厂商和产品的资质管理: :资质管理资质管理( (二二) )�提交提交的的材料材料•涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料: •(一)系统设计、实施方案及审查论证意见; •(二)系统承建单位资质证明材料; •(三)系统建设和工程监理情况报告; •(四)系统安全保密检测评估报告; •(五)系统安全保密组织机构和管理制度情况; •(六)其他有关材料。