等级保护工作开展参考资料文档说明1) 目标对象: 客户单位的信息主管/计算机信息系统运维管理人员2) 文档功能: 与客户一起探讨“信息安全等级保护工作”开展工作方法一. 等级保护重要性我们国家信息安全,当前的主要任务之一是要贯彻落实等级保护等级保护对于我们 国家所用的信息系统,按照它的重要性、等级的要求进行保护这是非常重要的信息安全保 障的基本制度二. 执行标准速查表序 号工作内容执行标准标准代号1指导 思想信息安全等 级保护工作信息安全等级保护管理办法(公通字[2007]43号)2基础计算机信息系统安全保护等级划分准则(GB 17859-1999)3信息系统安全等级保护实施指南(GB/T 25058-2010)4定级信息系统安全等级保护定级指南(GB/T 22240-2008)5信息系统安全等级保护基本要求(GB/T 22239-2008)6建设信息系统通用安全技术要求(GB/T 20271-2006)7信息系统等级保护安全设计技术要求(GB/T 25070-2010)8测评信息系统安全等级保护测评要求(GB/T 28448-2012)9信息系统安全等级保护测评过程指南(GB/T 28449-2012)10运维信息安全技术信息系统安全管理要求(GB/T 20269-2006)11信息系统安全工程管理要求(GB/T 20282-2006)三. 等保工作流程信息安全等级保护是国家信息安全保障的基本制度,等级保护的整体实施工作包括等级 保护定级与备案、等级保护差距分析、系统安全建设与整改、等级测评和监督检查等几个阶 段。
信息安全等级保护工作流程其中定级/备案是信息安全等级保护的首要环节,可以梳理各行业、各部门、各单位的 信息系统类型、重要程度和数量等,确定信息安全保护的重点是进行相应等级安全建设的 依据而安全建设整改是信息安全等级保护工作落实的关键,通过建设整改使具有不同等级的 信息系统达到相应等级的基本保护能力,从而提高我国基础网络和重要信息系统整体防护能 力用户完成定级工作之后,更主要的是依据等级保护整改的相关要求,通过一套规范的 等保整改过程,进行风险评估和等级保护差距分析,制定完整的安全整改建议方案,进行等 级化安全体系的设计与建设,最终符合国家等级保护建设要求用户必须在深入理解定级的 根本要求、充分调查评估信息资产价值和安全风险的基础上才能完成形成合理的整改建议方 案等级测评工作的主体是第三方测评中心,工作目的是检验和评价信息系统的安全建设整 改工作的成效,判断安全保护能力是否达到相关要求监督检查工作的主体是信息安全职能管理部门,通过定期的监督、检查和指导,保障重 要信息系统安全保护能力不断提高四. 参考---“沈昌祥院士对等保工作的意见”《关于重要信息系统安全等级保护定级的几点意见》国家信息安全保护等级专家评审委员会主任沈昌祥院士在调研、定级评审过程中,也发现当前定级工作还存在少数部门信息系统定级不合理、 不准确问题。
结合工作中掌握的一些具体情况,我认为主要有以下几方面原因:一是有些部 门未能站在国家安全、社会稳定的高度统筹考虑信息系统等级,而仅从行业和信息系统自身 安全角度考虑二是有些部门认为信息系统级别定高,要花费更多的资金,单位负担加重 三是有些部门对本行业下级单位定级指导不力,同类信息系统下级部门定级偏低,特别是一 些重要行业地市级单位的系统级别偏低四是少数部门领导对定级工作重视不够,还有些部 门以信息系统运维单位为主进行定级,业务单位参与定级不够信息安全等级保护制度是国家信息安全保障的基本制度,而定级是等级保护工作的首要 环节和关键环节,定级不准,系统备案、建设、整改、等级测评等后续工作都会失去意义, 信息系统安全就没有保证定级时应主要考虑信息系统破坏后对国家安全、社会稳定的影响 确定为三级以上的信息系统,均属于国家的重要信息系统,是国家要保护的重点,国家财政、 有关部门要投入财力、物力、人力,保证其安全重要信息系统属于国家关键基础设施,需 要运营使用单位、主管部门真正承担起安全责任,同时,信息安全监管部门代表国家对重要 信息系统的安全进行监督、检查、指导在重要信息系统安全方面,运营使用单位和主管部 门是第一责任部门,负主要责任,信息安全监管部门是第二责任部门,负监管责任。
运营使 用单位、主管部门和信息安全监管部门密切配合,共同承担责任,才能保护好国家基础信息 网络和重要信息系统的安全结合有些单位在定级工作中存在的问题,我就信息系统定级谈几点意见一)准确确定定级对象在定级工作中,如何科学、合理地确定定级对象是最关键的问题这里首先要明确一个 概念,信息系统包括起支撑、传输作用的基础信息网络和各类应用系统具体工作中,应按 如下原则确定定级对象:一是起支撑、传输作用的基础信息网络要作为定级对象但不是将整个网络作为一个定 级对象,而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域或最 小单元去定级二是专网、内网、外网等网络系统(包括网管系统)要作为定级对象同基础信息网络 一样,也不能将整个网络系统作为一个定级对象,而是要从安全管理和安全责任的角度将网 络系统划分成若干个最小安全域或最小单元去定级三是各单位网站要作为独立的定级对象如果网站的后台数据库管理系统安全级别高, 也要作为独立的定级对象网站上运行的信息系统(例如对社会服务的报名考试系统)也要 作为独立的定级对象四是用于生产、调度、管理、作业、指挥、办公等目的的各类应用系统,要按照不同业 务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条 件。
不能将某一类信息系统作为一个定级对象去定级五是确认负责定级的单位是否对所定级系统负有业务主管责任也就是说,业务部门应 主导对业务信息系统定级,运维部门(例如信息中心、托管方)可以协助定级并按照业务部 门的要求开展后续安全保护工作六是具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设 备、设施按照一定的应用目标和规则组合而成的有形实体应避免将某个单一的系统组件(如 服务器、终端、网络设备等)作为定级对象二)科学、合理、准确确定信息系统安全保护等级信息系统的安全保护等级是信息系统本身的客观自然属性,不应以已采取或将采取什么 安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳 定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级针对不同的信息系统,建议参考以下原则定级第一级信息系统:一般适用于乡镇所属信息系统、县级某些单位中一般的信息系统、小 型私营、个体企业、中小学的信息系统第二级信息系统:一般适用于县级某些单位中的重要信息系统,地市级以上国家机关、 企业、事业单位内部一般的信息系统例如非涉及工作秘密、商业秘密、敏感信息的办公系 统和管理系统等。
第三级信息系统:一般适用于地市级以上国家机关、重要企事业单位内部重要的信息系 统例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,重要领域、重要部门 跨省、跨市或全国(省)联网运行的用于生产、调度、管理、作业、指挥等方面的重要信息 系统,跨省或全国联网运行的重要信息系统在省、地市的分支系统,中央各部委、省(区、 市)门户网站和重要网站,跨省联接的网络系统等第四级信息系统:一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统 例如全国铁路、民航、电力等部门的调度系统,银行、证券、保险、税务、海关等几十个重 要行业、部门中的涉及国计民生的核心系统第五级信息系统:一般适用于国家重要领域、重要部门中的极端重要系统三)系统等级的确定与审批跨省或者全国统一联网运行的信息系统,可以由主管部门统一确定安全保护等级其中: 由各行业统一规划、统一建设、统一安全保护策略的全国联网系统,应由行业主管部门统一 对下各级系统分别确定等级;由各行业统一规划、分级建设、全国联网的信息系统,应由部、 省、地市分别确定系统等级,但各行业主管部门应对该类系统提出定级意见,避免出现同类 系统下级定级比上级高的现象。
对于该类系统的等级,下级确定后需报上级主管部门审批 此外,需特别注意的是,同类信息系统的安全保护等级不能随着部、省、市行政级别的降低 而降低,例如地市级的重要行业的重要系统不应定为一级或二级。