《信息安全等级保护培训教材(第2册)》由会员分享,可在线阅读,更多相关《信息安全等级保护培训教材(第2册)(50页珍藏版)》请在金锄头文库上搜索。
1、信息安全等级保护工作培训教材(第二册)目录一、信息安全等级保护工作概论6.(一)信息安全等级保护制度的提出6(二)信息安全等级保护的内涵7(三)信息安全等级保护制度的特点11(四)等级保护工作中的职责分工13(五)等级保护工作配套政策和标准体系15二、信息安全等级保护工作的总体目标和要求21(一)总体目标2.1(二)主要内容2.1(三)基本方法2.3三、信息安全等级保护定级工作2.6(一)工作依据2.6(二)总体要求2.7(三)工作内容和方法2.71确定定级对象2.72确定信息系统安全保护等级283组织专家评审3.14主管部门审批3.15备案3.16监督管理3.4(四)工作要求3.5四、信息安
2、全等级保护测评体系建设和管理36(一)工作依据3.7(二)总体要求3.71工作目标3.72完成时限3.73职责分工3.8(三)工作内容及方法3.81申请受理3.82机构初审3.83测评机构能力评估4.14专家审核4.25推荐并公布4.26监督检查4.2(四)工作要求4.3五、信息安全等级保护测评工作的监督45(一)工作依据4.5(二)总体要求4.61工作目标4.62完成时限4.6(三)工作内容及方法4.61组织备案单位制定测评工作计划462指导备案单位选择测评机构463指导备案单位合理选择测评工作开展时机474监督第三级(含)以上信息系统备案单位开展等级测评475监督测评机构的测评活动4.86
3、引导测评机构对所测评的系统进行安全建设整改的指导48(四)工作要求4.8六、信息安全等级保护安全建设整改工作的监督、检查和指导495.05.01工作目标5.02完成时限5.15.11组织指导备案单位制定安全建设整改工作部署512指导、督促备案单位开展信息安全保护现状分析523指导、监督信息安全等级保护安全管理制度建设524指导、监督信息安全等级保护安全技术措施建设535指导、监督等级测评后的整改工作54(四)工作要求5.4七、信息安全等级保护工作的检查监督55(一)工作依据5.5(二)总体要求5.51工作目标5.52检查周期5.53检查内容5.6(三)检查内容5.61检查等级保护工作部署和组织
4、实施情况562检查信息系统安全等级保护定级备案情况573检查信息安全设施建设情况和信息安全整改情况574检查信息安全管理制度建立和落实情况585检查信息安全产品选择和使用情况586检查聘请测评机构开展技术测评工作情况597检查定期自查情况5.9(四)检查方法6.01督促备案单位开展定期自查602、督促行业主管部门开展督导检查603、公安机关定期开展监督检查604及时查处违规行为6.16.2信息安全等级保护工作培训教材为便于各单位全面了解和掌握开展信息安全等级保护工作的内容、方法和要求,切实加强管理,规范执法活动,广西壮族自治区公安厅网络安全保卫总队根据信息安全等级保护有关政策文件和标准,结合近
5、年来开展等级保护工作实际,编写了本教材。一、信息安全等级保护工作概论(一)信息安全等级保护制度的提出在1994年国务院第147号令中华人民共和国计算机信息系统安全保护条例第九条中,明确了“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”等具体制度、任务和职责分工,首次以国家行政法规形式确立了信息安全等级保护制度的法律地位。在2003年中办、国办转发的国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)中明确提出了“实行信息安全等级保护”,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧
6、建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”等意见。2003年8月,在上届国家网络与信息安全协调小组办公室制定的贯彻落实27号文件的工作安排中,明确将实行信息安全等级保护工作交由公安部牵头,并要求公安部会同有关部门研究提出实行信息安全等级保护的意见。2004年7月召开的国家网络与信息安全协调小组第三次会议上,原则同意了公安部提出的关于信息安全等级保护工作的实施意见,责成公安部商有关部门联合印发。2004年9月15日,公安部、国家保密局、国家密码管理委员会、国务院信息化工作办公室向各地有关部门联合下发了关于印发关于信息安全等级保护工作的实施意见的通知(公通字200466号
7、)。此外。在2008年国务院“三定”方案中,规定了公安部十一局监督、检查、指导信息安全等级保护工作的职能。这些法规和政策性文件的制定,确立了信息安全等级保护制度的法律地位,明确了实行信息安全等级保护是我国信息安全保障工作中一项重要制度和措施,赋予了公安机关牵头负责信息安全等级保护工作监督管理的职责。(二)信息安全等级保护的内涵信息安全等级保护制度从提出到实施,经历了近二十年时间。纵观发展,随着世界科学技术的迅猛发展和信息技术的广泛应用,特别是随着我国国民经济和社会信息化进程的全面加快,网络与信息系统的基础性、全局性作用日益增强,国民经济和社会发展对基础信息网络和重要信息系统的依赖性越来越大,使
8、我们对信息安全的认识不断深化,对等级保护制度概念的内涵和外延的认识也不断深入。1.信息安全等级保护是世界各国普遍推行的信息安全保护基本制度。根据信息系统或大规模复杂信息系统中子系统的重要性和安全需求,化分为不同的保护等级,采取与之相适应的信息安全技术和管理策略,使信息安全的保护措施完整、适度,是发达国家在解决信息系统安全的基本做法。他们制定的一系列与等级有关的技术标准或规范,得到了世界各国的广泛认同和普遍采用。2我国信息安全等级保护是在吸收发达国家经验基础上的实践总结。自上个世纪八十年代以来,我国有关部门和专家、学者对信息安全等级保护制度进行了系统性研究。大家普遍认为,信息安全等级保护是信息安
9、全领域的一项根本性制度,是市场经济条件下,国家组织动员单位、企业和个人共同维护信息安全的有效形式。从其他国家的多年实践看,这一制度是有效的、成功的。我国已经进入社会主义市场经济和信息化高速发展的新阶段,在信息安全方面应该借鉴其他国家的成功经验,实行等级保护的基本制度。同时,由于我国的国情和信息安全面临的特定形势,不能原封不动地照搬套用西方模式,必须有所改造、有所创新,走出有中国特色的信息安全等级保护道路,确保我国的信息安全。我国信息安全等级保护制度的探索和实践,是各职能部门、专家学者、研究机构、企业等全社会共同努力、勇于创新、开拓进取的结果,是在发展中解决安全问题的具体体现。3信息安全等级保护
10、是目前我国最全面的信息安全保障政策体系。信息安全等级保护是根据国家秘密信息、公民、法人和其他组织的专有信息和公开信息以及存储、传输和处理这些信息的信息系统,在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,分等级进行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。该制度涵盖了公民、单位、国家的各类信息的安全保护,涵盖了信息安全、系统安全、应用安全等信息安全保护的全部内容,涵
11、盖了信息系统安全设计、施工、建设、验收、使用等系统工程的全过程,涵盖了国家和政府、单位用户和个人用户、安全产品和安全服务企业或机构等社会各主体,是目前我国最完整的一项信息安全保障政策。4信息安全等级保护制度体现了我国加强信息安全保障工作的重要原则。信息安全等级保护制度针对信息化发展过程中存在的信息安全问题,提出了在现有发展水平基础上强化信息安全保护的工作思路,在互联互通、资源共享基础上提高信息安全保护水平的具体举措,体现了以发展求安全,以安全保发展的原则。实行信息安全等级保护,可以进一步理顺政府部门之间以及政府与社会的在信息安全保障工作中的关系,整合社会资源,发展先进、自主、可控的信息安全技术
12、,带动我国信息安全产业的发展,体现了以改革开放求发展的新思路。实行信息安全等级保护,一手抓运营和使用单位自我管理和政府监督指导,一手抓信息安全等级保护技术创新,体现了管理与技术并重的原则。五个等级的确定,既突出了涉及国家安全、社会稳定和经济命脉的重要信息系统的安全,又兼顾到公民、法人和其他组织信息系统的安全保护;既考虑了信息系统的重要性和安全风险,又综合平衡了安全需求和建设成本,体现了统筹兼顾,突出重点的原则。5信息安全等级保护制度有针对性地解决了不同安全需要下的安全保护问题。信息安全等级保护所提出的根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序
13、、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定安全保护等级;信息系统运营、使用单位对信息系统进行分等级保护;国家有关信息安全监管部门对其信息安全等级保护工作分等级进行监督管理的信息系统安全保护分级模型,对保障国家安全,维护社会稳定,促进经济发展,确保国家基础信息网络和重要信息系统的安全具有十分重要的意义。6信息安全等级保护体现了在社会主义市场经济条件下信息安全建设和管理模式的重大变革。信息安全保护虽然事关国家安全、经济命脉和社会稳定,但政府不能包打天下,需要国家、政府、企事业单位和个人的共同参与。信息安全等级保护体现了社会主义市场经济环境下政府职能的转变。首先,信息安全等级保
14、护体现了“谁主管、谁负责,谁使用、谁负责,谁运营、谁负责”的信息安全责任制,信息和信息系统的主管部门及运营、使用单位按照等级保护的管理规范和技术标准,根据信息和信息系统安全需求,“自主定级”、“自行建设”、“自主保护”。第二,发挥了政府职能部门运用政策、法规、标准等制度的作用,通过备案、指导、检查、督促整改等行政管理方式,符合行政许可法的基本精神。第三,信息安全等级保护使公安机关、国家保密工作部门、国家密码管理部门以及其他职能部门在信息安全工作中的权利和责任更加统一,职责更加明确。7信息安全等级保护是在发展中逐步完善和发展的政策体现。各信息系统的安全设施建设要按照国家规范和标准,与信息化建设同步进行,不能先建设后保护。随着信息技术的发展和实际情况的变化,信息系统的安全保护措施以及管理规范和技术标准也要适时调整,适应形势的变化,跟上信息化和信息技术发展的步伐。(三)信息安全等级保护制度的特点1 紧迫性针对当前我国信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善等突出问题,实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水
