《国家信息安全等级制度与等级保护(公安部).ppt》由会员分享,可在线阅读,更多相关《国家信息安全等级制度与等级保护(公安部).ppt(14页珍藏版)》请在金锄头文库上搜索。
1、国家信息安全等级制度国家信息安全等级制度与等级保护工作的实施与等级保护工作的实施 公安部公共信息网络安全监察局 郭启全目录 一、什么是信息安全等级保护一、什么是信息安全等级保护二、信息安全等级保护的工作进展二、信息安全等级保护的工作进展 三、安全保护等级的划分三、安全保护等级的划分 四、等级保护工作的职责分工四、等级保护工作的职责分工 五、等级保护工作的主要流程五、等级保护工作的主要流程 六、等级保护标准体系六、等级保护标准体系 七、信息安全产品和测评机构管理思路七、信息安全产品和测评机构管理思路 一、什么是信息安全等级保护 信息安全等级保护是国家信息安全信息安全等级保护是国家信息安全保障的基
2、本制度、基本策略、基本方法。保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。是信息安全保障工作中国家意志的体现。 1994年,年,中华人民共和国计算机信息系中华人民共和国计算机信息系统安全保护条例统安全保护条例 规定,规定,“计算机信息系统计算机信息系统实行安全等级保护,安全等级的划分标准和实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有安全等级保护的具体办法,由公安部会同有关部门制定关部门制定” 。 1
3、995年年2月月18日人大日人大12次会议通过并实次会议通过并实施的施的中华人民共和国警察法中华人民共和国警察法第二章第六第二章第六条第十二款规定,公安机关人民警察依法履条第十二款规定,公安机关人民警察依法履行行“监督管理计算机信息系统的安全保护工监督管理计算机信息系统的安全保护工作作”。法律依据。法律依据。 1999年,强制性国家标准年,强制性国家标准计算机信计算机信息系统安全保护等级划分准则息系统安全保护等级划分准则GB 17859)。)。 2003年,中办、国办转发的年,中办、国办转发的国家信息化国家信息化领导小组关于加强信息安全保障工作的意见领导小组关于加强信息安全保障工作的意见(中办
4、发(中办发200327号)明确指出号)明确指出“实行信息安实行信息安全等级保护全等级保护”。 “要重点保护基础信息网络和要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术度,制定信息安全等级保护的管理办法和技术指南指南” 。 2004年,公安部、国家保密局、国家密码年,公安部、国家保密局、国家密码管理局、国信办联合印发了管理局、国信办联合印发了关于信息安全等关于信息安全等级保护工作的实施意见级保护工作的实施意见(66号文件
5、)号文件) 2006年年1月,公安部、国家保密局、国家密月,公安部、国家保密局、国家密码管理局、国信办联合制定了码管理局、国信办联合制定了信息安全等级信息安全等级保护管理办法保护管理办法(公通字(公通字20067号)号) 等级保护制度的基本思想等级保护制度的基本思想1、 政府层面:国家制定统一信息安全等级保护管政府层面:国家制定统一信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对信息安全产品的信息系统分等级实行安全保护,对信息安全产品的使用分等级实行管理,对等级保护工作的实施进行使用分等级实行管理,对等级保
6、护工作的实施进行监督、指导。监督、指导。 2、用户层面、用户层面 :公民、法人和其他组织应当按照国:公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保家有关等级保护的管理规范和技术标准开展等级保护工作,服从国家对信息安全等级保护工作的监督、护工作,服从国家对信息安全等级保护工作的监督、指导,保障信息系统安全。指导,保障信息系统安全。 3、社会层面、社会层面 :信息安全产品的研制、生产单位,:信息安全产品的研制、生产单位,信息系统的集成、等级测评、风险评估等安全服务信息系统的集成、等级测评、风险评估等安全服务机构,依据国家有关管理规定和技术标准,开展相机构,依据国家有关管
7、理规定和技术标准,开展相应工作,并接受国家信息安全职能部门的监督管理。应工作,并接受国家信息安全职能部门的监督管理。 二、信息安全等级保护的工作进展 一是一是2006年年1月制定出台了月制定出台了信息安全等级保护信息安全等级保护管理办法(试行)管理办法(试行)。二是二是2006年年5月月18日组织召开了国家信息安全等日组织召开了国家信息安全等级保护工作协调小组第一次会议。级保护工作协调小组第一次会议。三是制定了等级保护系列技术标准。三是制定了等级保护系列技术标准。四是开展了等级保护基础调查工作。四是开展了等级保护基础调查工作。五是部署开展信息安全等级保护试点工作。五是部署开展信息安全等级保护试
8、点工作。六是出台新的六是出台新的信息安全等级保护管理办法信息安全等级保护管理办法。七是筹备召开全国信息系统定级工作。七是筹备召开全国信息系统定级工作。 三、安全保护等级的划分 四、等级保护工作的职责分工 公安机关负责信息安全等级保护工作的公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责监督、检查、指导;国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、等级保护工作中有关保密工作的监督、检查、指导;国家密码管理部门负责等级保护工作指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围
9、的事项,由有关职能其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国部门依照国家法律法规的规定进行管理;国务院信息化工作办公室及地方信息化领导小务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。组办事机构负责等级保护工作的部门间协调。 五、等级保护工作的主要流程 一是定级。包括评审与审批。一是定级。包括评审与审批。 二是备案(二级以上信息系统)。二是备案(二级以上信息系统)。三是系统建设、整改(按条件选择产品)。三是系统建设、整改(按条件选择产品)。四是开展等级测评(按条件选择测评机构)。四是开展等级测评(按条件选择测评机构)。五是信息安全
10、监管部门定期开展监督检查。五是信息安全监管部门定期开展监督检查。 六、等级保护的政策体系和标准体系六、等级保护的政策体系和标准体系 国务院国务院147号令、中央号令、中央27号文件、号文件、关于关于信息安全等级保护工作的实施意见信息安全等级保护工作的实施意见 (公通(公通字字200466号)号)、信息安全等级保护管信息安全等级保护管理办法(公通字理办法(公通字200743号)号)。 标准包括标准包括计算机信息系统安全保护等级计算机信息系统安全保护等级划分准则划分准则(GB17859-1999)、)、信息系信息系统安全等级保护基本要求统安全等级保护基本要求、信息系统安信息系统安全等级保护实施指南
11、全等级保护实施指南、信息系统安全等信息系统安全等级保护测评要求级保护测评要求等等30多个标准。多个标准。 七、信息安全产品和测评机构管理思路七、信息安全产品和测评机构管理思路 重要信息系统信息安全产品由第三方依据认证认可条例证明产品、服务、管理体系符合相关技技术术规规范范、相相关关技技术术规规范范的强制性要求或者标准的合格评定合格评定。第二关,可信性、可靠性、可控性审核。第一关,质量认证。由国家信息安全监管部门依据法律职权规定,对其可能具有危害国家安全、社会秩序、公共利益的功能、情况进行评估和审核。七、信息安全产品和测评机构管理思路七、信息安全产品和测评机构管理思路 重要信息系统技术测评队伍由第三方依据认证认可条例对实验室以及从事评审、审核等认证活动人员的能力和执业资格,予以承认的合格评定。第二关,可信性、可靠性、可控性审核。第一关,能力认可。由国家信息安全监管部门依据法律职权规定,对其可能具有危害国家安全、社会秩序、公共利益的功能、情况进行评估和审核。谢谢!
