《培训体系信息安全等级保护安全建设整改工作培训材料》由会员分享,可在线阅读,更多相关《培训体系信息安全等级保护安全建设整改工作培训材料(27页珍藏版)》请在金锄头文库上搜索。
1、(培训体系)信息安全等级保护安全建设整改工作培训材料之一20XX年XX月峯年的企业咨询咸问经验.经过实战验证可以藩地执行的卓越萱理方案.值得您下载拥有信息安全等级保护安全建设整改工作培训材料公安部网络安全保卫局二00九年十二月、八、-前言为进壹步贯彻落实国家信息化领导小组关于加强信息安全保障工作的意见和关于信息安全等级保护工作的实施意见、信息安全等级保护管理办法精神,有效解决信息系统安全保护中存于的管理制度不健全、技术措施不符合标准要求、安全责任不落实等突出问题,提高我国重要信息系统的安全保护能力,于全国信息系统安全等级保护定级工作基础上,公安部印发了关于开展信息安全等级保护安全建设整改工作的
2、指导意见(公信安20091429号),部署开展信息系统等级保护安全建设整改工作。为便于信息系统等级保护安全建设整改工作关联单位全面了解和掌握信息安全等级保护安全建设整改工作所依据的政策和技术标准,明确开展等级保护安全建设整改工作的目标、内容和要求,更好地指导各单位、各部门开展信息安全等级保护安全建设整改工作,加强宣传和培训工作,我们编写了本培训材料,供参考使用。有关材料下载网址:公安部网站:等级保护网站:目录壹、当前开展信息安全等级工作面临的形势二、信息安全等级保护安全建设整改工作依据的政策(壹)总体政策(二)具体政策1、定级政策2、备案政策3、安全建设整改政策4、等级测评政策5、检查监督政策
3、三、信息安全等级保护安全建设整改工作依据的标准(壹)基础类标准(二)安全要求类标准(三)定级类标准(四)方法指导类标准(五)现状分析类标准四、信息安全等级保护安全建设整改的工作目标五、信息安全等级保护安全建设整改的工作对象六、信息安全等级保护安全建设整改的工作内容及要求(壹)信息安全等级保护安全管理制度建设(二)信息安全等级保护安全技术措施建设七、信息安全等级保护安全建设整改的工作流程八、信息安全等级保护安全建设整改的工作方法九、信息安全等级保护安全建设整改中的几项关联工作(壹)信息安全等级测评(二)信息安全产品的选择使用(三)信息系统安全建设整改方案的制定十、信息安全等级保护安全建设整改工作
4、的检查监督十壹、总体工作要求附件:国家信息安全等级保护安全建设指导专家委员会职责国家信息安全等级保护安全建设指导专家委员会专家名单信息安全等级保护安全建设整改工作培训材料壹、当前开展信息安全等级工作面临的形势近年来,于党中央、国务院的高度重视下,通过各地区、各部门的共同努力,信息安全工作取得明显成效:信息安全责任进壹步明确,等级保护、风险评估、网络信任体系、应急和灾备等基础性工作和基础设施建设取得明显进展,信息安全防护水平明显提高。和此同时我们应该见到,当前我国信息安全面临的形势仍然十分严峻,维护国家信息安全的任务十分艰巨、繁重。壹是西强我弱的局面长期存于,信息安全战略威胁更加突出。近年来,我
5、国重要信息系统的安全保护能力虽然有了很大提高,但同西方发达国家相比,仍是处于西强我弱,总体比较被动的局面。奥巴马执政以来,美国高度重视网络安全问题,将网络空间视为继陆、海、空、太空后的“第五战略空间”,制订出台了包括强化联邦政府对网络安全的统壹领导,整合各方资源力量,成立作战部队,加强技术研发和网络战资源储备,全面提升国家关键信息基础设施的安全防范能力等壹系列重要举措。而美国推行国家网络安全新战略,正是将中国作为其头号假想敌。如果未来发生“网络战”,美国和西方国家首要攻击目标就是我国涉及国计民生的重要信息系统。同时,信息安全领域的壹些关键技术和关键产品大部分掌握于西方信息化发达国家手中,从而使
6、大量采用国外产品和服务的我国重要信息系统受敌对势力、敌对分子渗透、攻击、控制的安全隐患进壹步加大,构成了对我关键基础设施的战略威胁。二是各类网络安全威胁不断增多,网络安全防范难度加大。今年以来,截获计算机病毒数量、新增病毒种类以及感染计算机台数较去年同期均有所增加,计算机病毒通过网页挂马、网络共享、电子邮件和U盘等移动存储介质广泛传播。和第三方应用软件、浏览器服务有关安全漏洞也大幅上升,其中大量是高危漏洞。大量木马、后门病毒利用安全漏洞通过“网站挂马”、“U盘摆渡”、伪造和欺骗等手段侵入重要信息系统,消耗系统资源,窃取个人用户信息甚至国家秘密和商业秘密,给重要信息系统的安全运行造成很大危害。此
7、外,境内外敌对势力、敌对分子和不法分子也利用重要信息系统的安全漏洞和管理缺陷,对我重要信息系统实施网络探测攻击,破坏国家网络基础设施的行为也逐年增多。三是信息安全建设缺乏规范,安全防护能力亟待提高。壹些单位信息安全领导体制和工作机制等责任制未落实,人员安全管理、系统运维管理和系统建设管理制度不健全、不规范。缺乏常态化的系统安全保护情况的测评分析,于安全技术策略的选择、建设整改方案设计及实施等技术建设方面,既存于壹定的盲目性,也缺乏完整性和系统性,导致信息安全整体防护能力和水平不高,给信息系统正常运行留下安全隐患。为切实履行中央赋予公安部的职责,2007年,公安部会同有关部门开展了信息安全等级保
8、护定级工作。经过各部门、各行业、各单位的共同努力,定级工作已基本完成。为加快推进信息安全等级保护制度建设,将等级保护工作向纵深推进,定级备案工作完成后,公安部积极组织有关单位和专家,制定且完善了等级保护关联政策和技术标准,为各单位、各部门深入开展等级保护安全建设整改工作奠定了必要的基础。壹是制定了信息安全等级保护安全建设整改工作的关联政策。经过多年探索和实践,特别是经过北京奥运网络安全保卫工作的检验,进壹步明确了开展等级保护安全建设整改工作的目标、内容、要求和方法,制定且印发了关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号)及信息安全等级保护安全建设整改工作指南等
9、附件,至此,针对等级保护定级、备案、安全建设整改、等级测评、监督检查等主要环节的政策体系已基本形成。二是制定了信息安全等级保护安全建设整改工作的关联标准。为配合信息安全等级保护安全建设整改工作顺利开展,公安部组织国内有关单位和专家经过多年研究,形成了以计算机信息系统安全保护等级划分准则(GB17859-1999)为基础的技术、管理和产品三大类标准体系,且于此基础上,形成了体现安全建设整改具体内容和要求的信息系统安全等级保护基本要求(GB/T22239-2008)。该标准和测评要求等情况分析方面的标准和实施指南、安全设计技术要求等方法指导方面标准,共同为安全建设整改工作提供技术标准支撑。至此,信
10、息安全等级保护标准体系也已基本形成。三是等级保护测评体系建设已经开展。等级测评工作是信息安全等级保护整体工作的壹个重要组成部分。为推动信息安全等级保护测评机构建设,规范测评机构和人员及其测评活动的管理,保障等级保护工作的顺利开展,公安部已于今年年初组织开展等级测评体系建设。先后组织编写了信息安全等级保护测评要求、信息安全等级保护测评过程指南以及信息系统等级保护测评方案模版等标准和规范。为检验标准和规范的可行性和必要性,公安部于今年710月份组织开展了等级测评体系建设试点工作,六个省市公安机关和十多家测评机构参加,积累了对测评机构及人员规范管理的经验和方法。下壹步公安部将于全国推广试点工作经验,
11、加强对测评机构的能力审验和安全审查,加强对测评人员的安全审查和培训,且将通过评估的测评机构向社会公布,供关联单位选择。此外,电力等壹些行业及壹些信息安全企业已经按照等级保护关联政策和标准,开始进行信息安全等级保护安全建设整改工作,摸索了壹些经验。总之,综合开展信息安全等级保护安全建设整改工作面临的形势和前期工作基础,既是形势所迫,也具备了壹定的条件,既有必要性,也有可行性。因此,各单位要全面准确把握当前我国信息安全工作面临的形势,进壹步统壹思想,提高认识,增强做好信息安全等级保护安全建设整改工作的责任感和紧迫感,将等级保护工作落实好。二、信息安全等级保护安全建设整改工作依据的政策近几年,为组织
12、开展信息安全等级保护工作,公安部根据中华人民共和国计算机信息系统安全保护条例(国务院147号令)的授权,会同国家保密局、国家密码管理局和原国务院信息办出台了壹些文件,国家发改委会同公安部、国家保密局出台了关联文件,公安部对有些具体工作出台了壹些指导意见和规范,这些文件初步构成了信息安全等级保护政策体系(如图1所示),为指导各地区、各部门开展等级保护工作提供了政策保障。n宀人4L为了方便使级息安全:等级保护的开(壹通|总体政策行关)于的印通发知信(息公系保护制度用号全部门关评加估强工国作家1件确定了电等知政策汇编)等勺文件有两备级保护工作施关全于信息安全等为贯彻落实国:政发1360总体公方面的通
13、信丁自内容和要求息对等字信至开展信息黍等4的|导意见.禅安合文-位、到宏项改程j=r.7m统2号等号)。该文件|是部委共同会签印发级保2实施意见项山7号令和息全。等级测字872)告27模号文件版&公安机关信息安全等輸护阀查由规范试行公信宀徐号A4、O责分工等件是和信息安全03J27号)等级保护工作的基本内容、工作要求和实施计划,以及各部门工作职关于信息安全等级保护工作的实施意见(公通字200466号)护试点工作基础上,由四部委共同会签印发的重要管理规范,主要内容包括信息安全等级保护制度的基本内容、流程及工作要求,信息系统定级、备案、安全建设整改、等级测评的实施和管理,信息安全产品和测评机构选择
14、等,为开展信息安全等级保护工作提供了规范保障。(二)具体政策对应等级保护工作的具体环节(信息系统定级、备案、安全建设整改、等级测评、安全检查),出台了相应的政策规范:1定级政策关于开展全国重要信息系统安全等级保护定级工作的通知(公通字2007861号)。2007年7月20日四部委于北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”,会议根据该通知精神部署于全国范围内开展重要信息系统安全等级保护定级工作,标志着全国信息安全等级保护工作全面开展。该文件由四部委共同会签印发。2备案政策信息安全等级保护备案实施细则(公信安20071360号)。该文件规定了公安机关受理信息系统运营使用单
15、位信息系统备案工作的内容、流程、审核等内容,且附带有关法律文书,指导各级公安机关受理信息系统备案工作。该文件由公安部网络安全保卫局印发。3安全建设整改政策(1)关于开展信息系统等级保护安全建设整改工作的指导意见(公信安20091429号)。该文件明确了非涉及国家秘密信息系统开展安全建设整改工作的目标、内容、流程和要求等,文件附件包括信息安全等级保护安全建设整改工作指南和信息安全等级保护主要标准简要说明。该文件由公安部印发。(2)关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)。该文件要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照信息安全等级保护管理办法进行,明确了项目验收条件:公安机关颁发的信息系统安全等级保护备案证明、等级测评方案和风险评估方案。该文件由发改委、公安部、国家保密局共同会签印发。4等级测评政策关于印发信息系统安全等级测评方案模版(试行)的通知(公信安20091487号)。该文件明确了等级测评的内容、方法和测评方案格式等内容,用以规范等级测评活动。该文件由公安部网络安全保卫局印发。5检查监督政策公安
