(PPT课件)信息安全等级保护制度的主要内容和要求

*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,信息安全等级保护制度的主要内容和要求,北京市电子产品质量检测中心,王春雷,目 录,一、国外关键基础设施保护政策,二、我国信息安全政策法规综述,三、等级保护制度的主要内容,四、等级保护政策体系和标准体系,五、等级保护工作的具体内容和要求,一、国外关键基础设施保护政策,信息安全保障工作概况,知识子域：国外信息安全保障情况,了解发达国家信息安全状况和信息安全保障的主要举措,了解发达国家信息安全方面主要动态,知识子域：我国信息安全保障工作总体情况,了解我国信息安全保障工作发展阶段,理解国家信息安全保障基本原则,了解国家信息安全保障建设主要内容,发达国家信息安全保障的主要举措,信息安全是国家安全的重要组成部分已成为世界各国的共识;各国纷纷出台自己的信息安全战略和政策，加强自身的国家信息安全保障体系建设。,国外信息安全保障体系的最新趋势,战略,：发布网络安全战略、政策评估报告、推进计划等文件,政治,：通过设立网络安全协调机构、设立协调官，强化集中领导和综合协调,军事,：陆续成立网络战司令部，开展大规模攻防演练，招募网络战精英人才，加快军事网络和通信系统的升级改造，网络战成为热门话题,外交,：信息安全问题的国际交流与对话增多，美欧盟友之间网络协同攻防倾向愈加明显，信息安全成为国际多边或双边谈判的实质性内容,科技,：各国寻求走突破性跨越式发展路线推进技术创新，力求在科技发展上保持和占据优势地位,关键基础设施仍然是信息安全保障的最核心内容,美国信息安全保障战略,：一个轮回,三届政府 四个文件,7,网络空间国家安全战略框架,98,年克林顿政府,PDD63,00,年信息系统保护国家计划,01,年布什政府,PCIPB,03,年保护网际空间国家战略,1998,年,5,月，克林顿政府发布了第,63,号总统令（,PDD63,）：,克林顿政府对关键基础设施保护的政策,2000,年,1,月，克林顿政府发布了,信息系统保护国家计划,V1.0,，提出了美国政府在,21,世纪之初若干年的网络空间安全发展规划。,2001,年,10,月,16,日，布什政府意识到了,911,之后信息安全的严峻性，发布了第,13231,号行政令,信息时代的关键基础设施保护,，宣布成立“总统关键基础设施保护委员会”，简称,PCIPB,，代表政府全面负责国家的网络空间安全工作,2003,年,2,月，在征求国民意见的基础上，发布了,保护网际空间的国家战略,的正式版本，对原草案版本做了大篇幅的改动，重点突出国家政府层面上的战略任务，这是一个非常大的跨越,2010,年,3,月,2,日，,奥巴马政府部分解密了,CNCI,，,包括,3,个重要目标，,12,个倡议,美国CNCI：网络“曼哈顿计划”,2008年1月2日发布的国家安全总统令54/国土安全总统令23，建立了国家网络安全综合计划(CNCI),。,三道防线,建立第一线防御：减少当前漏洞和隐患，预防入侵；,全面应对各类威胁：增强反间能力，加强供应链安全来抵御各种威胁；,强化未来安全环境：增强研究、开发和教育以及投资先进的技术来构建将来的环境。,十二项任务,美国信息安全保障组织机构,网络安全协调官：负责领导白宫“网络安全办公室”，制定和发布国家信息安全政策,首任网络安全协调官霍华德,施密特，被喻为“网络沙皇”,国土安全部（,DHS）、国家安全局（NSA）、国防部（DOD）、联邦调查局（FBI）、中央情况报局（CIA）、国家标准技术研究所（NIST）等6个机构具体执行不同的分管职责,公私合作机构:国家基础设施顾问委员会（NIAC）、信息共享和分析中心（ISAC）、网络安全全国联盟（NCSA）等等,美国信息安全保障基本做法,1993年克林顿政府提出兴建“国家信息基础设施”（信息高速公路），1998年首次提出信息安全的概念和意义；,1998年5月国家安全局制定了信息保障技术框架；,2000年公布首个信息系统保护国家计划；,2002年下半年，以国土安全战略为引导，布什政府逐步出台一系列国家安全政策，将信息保障战略纳入总体国家战略之中：,美国信息安全保障的重点对象,2001年美国出台美国爱国者法案，定义“关键基础实施”的含义；,2003年12月发布国土安全总统令/HSPD-7确定了17个关键基础设施；,2008年3月国土安全部将关键制造业类为第18项关键基础设施；,目前美国的关键基础设施和主要资源部门；,美国信息安全保障基本做法,2005年美国建立了国家漏洞库（NVD），利用技术优势掌握全球最全面的信息安全漏洞信息,2008年1月8日，布什以第54号国家安全总统令和第23号国土安全总统令的形式签署,国家网络安全综合计划,这项计划高度强调国家意志，被称为信息安全的“曼哈顿计划；,目标：保护没有网络安全，防止美国遭到敌对的电子攻击，并能对敌方展开在线攻击；预算：高达300-400亿美元,；,属于高度机密，2010年3,月奥巴马政府公开了其部分内容；要求美国政府与安全有关的部门参与实施；,英国信息安全保障体系建设动态,全面紧跟美国，2009年6月，英国发布首份国家网络安全战略,，宣布成立“网络安全办公室”和“网络安全运行中心”，提出建立新的网络管理机构的具体措施。,注重信息安全标准组织建设，重视将本国标准向海外推广，积极参与国际信息安全标准制定。,英国,BSI 7799标准享誉全球，已成为国际标准，并主导ISO/IEC 27000,系列标准,强化网络监控，规定警方和国家安全、税务等监察部门有权监控电子邮件和移动电话等系统，成为西方大国中唯一的政府可以要求网络用户交出加密资料密钥的国家,英国信息安全保障的重点对象,英国国计民生不可或缺的许多关键服务依赖信息技术，有10,个部分被认为是在提供“基本服务”。,英国信息安全保障基本做法,立法工作,1984年制定数据保护法,1990年出台反计算机滥用法,1997年实施电信诈骗法,2000年出台信息自由法,1998年贸易和工业部发表加强竞争力白皮书：确定了英国建设信息社会的方式,2005年英国政府制定发表了信息保障管理框架：作为信息安全保障战略。,英国信息安全保障基本做法,2009年6月，英国政府推出首份国家网络安全战略,，宣布成立“网络安全办公室”和“网络安全运行中心”，提出了建立网络管理机制的具体措施,英国建立了两个国家级的计算机应急响应小组,英国政府计算机响应小组,英国国防部计算机应急响应小组,注重政府信息系统安全,采用网络逻辑隔离、,PKI,等安全技术加强政务外网安全,构建支持“身份联合管理”的内部电子邮件系统,注重标准制定，,BS7799是国际信息安全管理标准ISO27000,的前身,注重网络监管,是唯一政府可以要求网络用户交出加密密钥的国家,英国信息安全保障组织机构,国家基础设施安全协调中心,负责信息安全工作的跨部门机构,运行着英国的计算机应急响应小组,信息保障中央主办局和民事应急局,负责信息安全工作的重要政府机构,世界上第一个建立电子政务标准的国家。1991年，德国在内政部下建立信息安全局（BSI），负责处理与网络空间相关的所有问题。重视关键基础设施信息安全保障，建立日尔曼人的“基线”防御。1997年建立部际关键基础设施工作组；2005年出台信息基础设施保护计划和关键基础设施保护的基线保护概念,德国信息安全保障体系建设动态,法国信息安全保障体系建设动态,2003年12月总理办公室提出强化信息系统安全国家计划,并得到政府批准实施，四大目标：,确保国家领导通信安全；,确保政府信息通信安全；,建立计算机反共济能力；,将法国信息系统安全纳入欧盟颞部法国安全政策范围。,2009年7月7日，成立国家级“网络和信息安全局”，置于总理领导之下，隶属国防部。,其他西方国家信息安全保障体系建设动态,加拿大：,2004年提出了国家安全政策；,2004年11月发布国家关键基础设施保护战略；,2010年10月3日，发布加拿大网络安全战略,。,澳大利亚：,把信息网络技术作为国家经济和社会发展的重要推动力量。,制定并采取一系列与信息安全有关的政策和措施，把建立安全可靠的网络空间作为信息安全保障的战略目标。,俄罗斯信息安全保障体系建设动态,重点保护对象：,经济、国内和外交政策、科学和技术、国家信息和通信系统、国防、司法、灾害响应,机构：,俄罗斯联邦安全理事会；,俄罗斯联邦安全局（国家安全管理机关，信息安全工作主管和执法机关）；,俄罗斯技术和出口控制局；,俄罗斯联邦保卫局、信息技术和通信部,基本做法：,俄罗斯国家安全纲要作为信息安全战略；,注重安全测评；,实施信息安全分级管理。,亚太地区信息安全保障体系建设动态,日本：实施了“保障型”信息安全战略；强调“信息安全保障是日本综合安全保障体系的核心” 。韩国：将信息安全视为使馆国防安全的重大战略问题，不断加大信息安全保障系统管理力度，加快信息安全系统的建设步伐；在,2010年建立信息安全司令部，以维护韩国的国家网络安全。,日本,重点保护对象：通信、政府和行政管理服务、金融、民航、铁路、后勤保障、电力、天然气、医疗服务、水机构：日本,IT,战略本部、国家信息安全中心、信息安全政策理事会、经济贸易产业省、国家警察厅基本做法：,1992年建立国家计算机应急响应协调中心；2001年实施建设先进信息和电信网络社会基本法，同年公布确保电子政务实施过程中的信息安全行动方案；2003年经济经济贸易产业省开发多种信息安全评估系统；2004年国家警察厅在每个地区局建立反高科技犯罪科；2005年成立国家信息安全中心以美国网络空间安全国家战略为蓝本，发布日本计算机安全战略。,印度,重点保护对象：,银行和金融、保险、民航、电信、原子能、电力、邮政、铁路、太空、石油和天然气、国防、执法机关,机构：,国家信息委员会、国家信息安全协调中心、信息基础设施保护中心、信息技术局、印度计算机应急响应小组,基本做法：,2000年，颁布信息安全法；,积极推广互联网和IT基础设施建设等；,2009年印度政府宣布开发“中央监控系统”，直接连接国内所有通信服务商，实现对印度境内所有电话和互联网通信的监听,分析总结重点保护对象,各国之间历史、国情、文化不同，具体的重点保护对象也有所差异，但共同特点是将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点；国际关键信息基础设施保护手册（CIIP Handbook）2008/2009显示，所有国家最常被提到的关键部门都是现代化社会的核心部门，也是被破坏后可能造成极大规模灾害的部门；其中银行和金融被全部24个接受CIIP调查的国家列为国家关键基础设施。,分析总结信息安全组织机构,少数国家在中央政府一级设立机构专门负责处理网络信息安全问题，如美国；大多数国家信息安全管理职能由不同政府部门的多个机构和单位共同承担；机构单位的设立，以及机构在信息安全管理中的影响力，受到民防传统、资源配置、历史经验以及决策者对信息安全威胁总体认识程度的影响；两种观念在机构设置问题上具有较大影响力：执法机关强调信息安全属于防范敌对势力入侵及网络犯罪的范畴经营基础设施的部门将调信息安全属于技术问题或经济成本问题在现实信息安全威胁性质的决定下，前一种观念在大多数国家成为主流,分析总结基本做法,将信息安全视为国家安全的重要组成部分是主流,积极推动信息安全立法和标准规范建设是主流,重视对基础网络和重要信息系统的监管和安全测评是主流,普遍重视信息安全事件应急响应,普遍认识到公共私营合作伙伴关系的重要性，一方面政府加强管理力度，一方面充分利用社会资源,二、,我国信息安全政策法规综述,课程内容,29,信息安全法规与政策,知识体,知识域,信息安全,法律法规,知识子域,国家信息安全法治总体情况,等级保护有关政策规范,风险评估有关政策规范,信息安全,国家政策,现行重要信息安全法规,电子政务与重要信息系统信息安全政策,国家信息安全保障总体方针,知识域：信息安全相关法律,知识子域： 国家信息安全法治总体情况,了解信息安全法治建设的意义,了解我国信息安全法律法规体系框架,知识子域： 现行重要信息安全法规,掌握保守国家秘密法的主要内容,理解电子签名法的意义和作用,了解刑法有关信息安全犯罪的规定,了解全国人大常委会关于维护互联网安全的决定,30,国家法律体系,国务院各部委,多级立法,31,法律、政策的定义,法律（Law）-国家制定或认可的，由国家强制力保证实施的，以规定当事人权利和义务为内容的具有普遍约束力的社会规范。,政策（Policy）-,国家,或,政党组织等，以权威形式标准化地规定在一定的时期内，应该达到的目标、遵循的行动原则、完成的明确任务、实行的工作方式、采取的一般步骤和具体措施。,32,法律和政策的区别,政策有党的政策、国家政策之分，有总政策、基本政策和具体政策之别。,政策在成为法律之前，,表现为,决定、决议、纲领、宣言、通知、纪要等形式。,33,国家信息安全保障体系,信息安全技术与产业支撑平台,信息安全基础设施,信息安全法律法规与政策环境,信,息,安,全,人,才,培,训,教,育,体,系,信息安全组织机构及管理体系,信,息,安,全,标,准,与,规,范,34,信息安全在国家安全中的地位,党和国家长期以来一直十分重视安全保密工作，并从敏感性、特殊性和战略性的高度，至始至终置于党的绝对领导之下。,党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素,信息安全是个大问题。必须把安全问题放到至关重要的位置上，认真加以考虑和解决。,-胡锦涛,35,我国的信息安全管理体制,目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，各相关主管部门分别执行各自的安全职能，共同维护国家的信息安全,国家信息化领导小组（国家网络与信息安全协调小组）,工信部,公安部,国家安全部,国家保密局,国家密码管理委员会,等等,36,我国的信息安全基础设施,中国信息安全测评中心(CNITSEC),中国信息安全认证中心(ISCCC),国家计算机网络应急技术处理协调中心（,CNCERT/CC,）,国家计算机病毒应急处理中心,全国信息安全标准化技术委员会（,TC260,）,等等,37,信息安全法治建设的意义,信息安全法律环境是信息安全保障体系中的必要环节,明确信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务,明确违反信息安全的行为，并对其行为进行相应的处罚等,保护国家信息主权和社会公共利益是信息安全立法的首要目标,38,信息安全法治建设的意义,信息安全不再只是个技术问题，而更多地是个商业和法律问题-安全漏洞、信息犯罪的本质？,信息安全产业的逐渐形成和成熟，需要必要的规范,信息安全法治建设涉及的主体：信息安全主管部门、各类IT产品和服务的安全（ITSP）、信息安全类产品和服务（ISSP）、信息及信息系统的拥有者和使用者,信息安全法治建设涉及的客体：信息数据、信息系统,狭义的信息安全,广义的信息安全,39,我国信息安全法治建设的初步成效,法律法规体系初步构建，但体系化与有效性等方面仍有待进一步完善,法律少而规章等偏多，缺乏信息安全的基本法,与信息安全相关的司法和行政管理体系迅速完善,法律,法规的内容,篇幅偏小，行为规范较简单,40,我国信息安全法治建设展望,需要一部信息安全的基本法,国家信息安全法 （或先出台信息安全条例）,信息安全的基本原则与,基本,制度,信息安全的主要核心内容,进一步完善各领域的信息安全专门法,信息安全的监管模式和认证体系（,面向信息安全各类主体和客体,）,信息安全,常态管理（,等级保护,制度等）,信息安全,应急管理（,预警、,监测、,通报和应急处理,等）,网络与信息系统,全生命周期,的信息安全,信息内容安全,特定领域的信息安全,（,电子政务、电子商务、,行业信息化等）,组织,信息,资产,的基本法律地位,个人信息保护的基本规范,信息安全犯罪,41,宪法中的有关规定,宪法,第二章,公民的基本权利和义务,第40条,公民的通信自由和通信秘密受法律的保护。,除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。,法律,42,刑法中的有关规定（1）,刑法 第六章 妨碍社会管理秩序罪 第一节 扰乱公共秩序罪 第285、286、287条,285条：,非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪。,违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。,违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。,提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。,法律,43,刑法中的有关规定（2）,刑法 第六章 妨碍社会管理秩序罪 第一节 扰乱公共秩序罪 第285、286、287条,286条：,破坏计算机信息系统罪。,违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。,违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。,故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。,287条：,利用计算机实施犯罪的提示性规定。,利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。,44,法律,治安管理处罚法中的有关规定,治安管理处罚法 第三章 违反治安管理的行为和处罚 第一节 扰乱公共秩序的行为和处罚 第29条,有下列行为之一的，处五日以下拘留；情节较重的，处五日以上十日以下拘留：,（一）违反国家规定，侵入计算机信息系统，造成危害的；,（二）违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的；,（三）违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；,（四）故意制作、传播计算机病毒等破坏性程序，影响计算机信息系统正常运行的。,治安管理处罚法 其他规定（与非法信息传等播相关）：第42、47、68条,法律,45,全国人大关于维护互联网安全的决定,背景,互联网日益广泛的应用，对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。,互联网安全的范畴（法律约束力）,互联网的运行安全（,侵入、破坏性程序、攻击、中断服务等,）,国家安全和社会稳定（,有害信息、窃取/泄露国家秘密、煽动、非法组织等,）,市场经济秩序和社会管理秩序（,销售伪劣产品/虚假宣传、损害商业信誉、侵犯知识产权、扰乱金融秩序、淫秽内容服务等,）,个人、法人和其他组织的人身、财产等合法权利（,侮辱或诽谤他人、非法处理他人信息数据/侵犯通信自有和通信秘密、盗窃/诈骗/敲诈勒索等,）,法律责任,构成犯罪的，依照刑法有关规定追究刑事责任,构成民事侵权的，依法承担民事责任,尚不构成犯罪的：治安管理处罚 / 行政处罚 / 行政处分或纪律处分,法律,46,计算机信息系统安全保护条例,计算机信息系统,是指由计算机及其相关的和配套的设备、设施,(,含网络,),构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。,安全保护,保障计算机及其相关的和配套的设备、设施,(,含网络,),的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。,主管部门,公安部主管全国计算机信息系统安全保护工作（含安全监督,职权,）。,国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。,安全保护制度（要点）,计算机信息系统实行安全等级保护。,使用单位应当建立健全安全管理制度。,安全专用产品（,硬件、软件,）的销售实行许可证制度。,行政法规,47,其他一些行政法规和部门规章,行政法规,电信条例,计算机信息网络国际互联网管理暂行规定,计算机信息网络国际联网安全保护管理办法,互联网信息服务管理办法,部门规章,中国,互联网域名管理办法,（原信产部）,互联网IP地址备案管理办法（原信产部）,电子认证服务管理办法,（原信产部）,互联网电子邮件服务管理办法（原信产部）,互联网安全保护技术措施规定,（公安部）,计算机病毒防治管理办法（公安部）,信息安全等级保护管理办法（公安部）,计算机信息系统国际互联网保密管理规定（保密局）,互联网新闻信息服务管理规定,（国新办、原信产部）,48,一些地方性法规,北京市信息化促进条例（第五章 信息安全保障）,北京市公共服务网络与信息系统安全管理规定,北京市,党政机关,计算机网络与信息安全管理办法,广东省计算机信息系统安全保护管理规定,广东省电子政务信息安全管理暂行办法,上海市公共信息系统安全测评管理办法,。,49,知识域：信息安全国家政策,知识子域：国家信息安全管理总体方针,掌握国家有关政策对信息安全保障工作的总体要求,掌握国家有关政策规定的加强信息安全保障工作主要原则,掌握国家有关政策规定需要重点加强的信息安全保障工作,知识子域：电子政务及重要信息系统信息安全政策,了解关于加强政府信息系统安全和保密管理工作的四项基本要求：明确职责、强化人员培训、完善安全措施和手段、加强信息安全检查,50,国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）1,意义,标志着我国信息安全保障工作有了总体纲领,提出要在,5,年内建设中国信息安全保障体系,总体要求,坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。,主要原则,立足国情，以我为主，坚持技术与管理并重；,正确处理安全和发展的关系，以安全保发展，在发展中求安全；,统筹规划，突出重点，强化基础工作；,明确国家、企业、个人的责任和义务，充分发挥各方面的积极性，共同构筑国家信息安全保障体系。,51,国家信息化领导小组关于加强信息安全保障工作的意见,（中办发200327号）2,主要任务（重点加强的安全保障工作）,实行信息安全等级保护,加强以密码技术为基础的信息保护和网络信任体系建设,建设和完善信息安全监控体系,重视信息安全应急处理工作,加强信息安全技术研究开发，推进信息安全产业发展,加强信息安全法制建设和标准化建设,加快信息安全人才培养，增强全民信息安全意识,保证信息安全资金,加强对信息安全保障工作的领导，建立健全信息安全管理责任制,信息安全与国家安全,27号文：信息安全已成为国家安全的重要组成部分,十六届四中全会：确保国家的政治安全、经济安全、文化安全和信息安全,十一五：试点,十二五：普及推广,52,国家电子政务工程建设项目管理暂行办法,本身不是政策，属于法律法规,部门规章,-,国家发改委令,2007,第,55,号,对国家电子政务工程建设项目有明确的信息安全要求,第六章 验收评价管理,项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作。,第七章 运行管理,项目建设单位或其委托的专业机构应按照风险评估的相关规定,对建成项目进行信息安全风险评估,检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性,保障信息安全目标的实现。,项建书、可研报告、初步设计方案,在“项建和可研”的项目建设方案中应包含“安全系统建设方案”,在“初设”的项目设计方案中应包含“安全系统设计”,关于加强政府信息安全和保密管理工作的通知,（国办发200817号）,明确职责,把,信息安全和保密工作列入重要议事日程，明确一名主管领导,谁主管谁负责、谁运行谁负责、谁使用谁负责,强化人员培训,组织信息安全和保密基本技能培训，开展信息安全和保密形势分析,深入学习宣传信息安全“五禁止”规定,完善安全措施和手,段,管理制度+技术手段,加强信息安全检查,详见,政府信息系统安全检查办法,54,关于印发政府信息系统安全检查办法的通知,（国办发200928号）1,依据,关于加强政府信息系统安全和保密管理工作的通知,（国办发,200817,号）,检查范围和检查重点,各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的办公系统、业务系统、网站系统等，每半年要进行一次全面的安全检查。,国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重要新闻网站，要作为检查重点。,检查方式,各单位自查 + 统一组织抽查 + 安全检测（按需）,工信部负责协调、指导、监督，公安/安全/保密/密码等部门按职责分工,2009,年度政府信息系统安全检查指南,（工信部协,2009168,号）,2010,年度政府信息系统安全检查指南,（工信部协,2010143,号）,55,关于印发政府信息系统安全检查办法的通知,（国办发200928号）2,检查内容,安全制度落实情况,-,人员、制度、经费等,安全防范措施落实情况,-,各类技术措施,应急响应机制建设情况,-,应急,预案制定和演练、应急队伍、事故处置、数据/系统备份等,信息技术产品和服务国产化情况,-,终端,/OA/,信息安全产品国产情况、信息安全服务外包情况等,安全教育培训情况,-,参加、掌握、持证等情况,责任追究情况,安全隐患排查及整改情况,安全形势、安全风险评估状况,56,2010,年度政府信息系统安全检查指南,（工信部协,2010143,号）,检查内容（检查指南比检查办法更细化，以2010年为例）,信息安全组织机构,日常信息安全管理 （人员、资产、运维）,等级保护与风险评估,技术防护手段建设 （网络边界、信息安全产品、服务器、网络设备、终端计算机和移动存储设备、门户网站、密码技术、网络信任措施）,应急管理工作开展 （应急预案、应急演练、应急技术支援队伍、灾难备份、应急处置）,信息技术产品和信息安全产品使用,信息安全服务,信息安全教育培训,信息安全经费保障,安全隐患排查及整改,57,关于印发国家网络与信息安全事件应急预案的通知,（国办函2008168号）,背景,2003年：国务院成立应急办，颁布了国家突发公共卫生事件应急条例,2004年：国家突发公共事件总体应急预案（4大类公共安全）,国家网络与信息安全事件应急预案,2007年：制定发布国家突发事件应对法,预案要点,网络与信息安全事件的分类分级,参照标准：信息安全事件分类分级指南（GB/Z 20986）,应急流程：预防预警,应急处置,后期处置,参照标准：信息安全事件管理指南（GB/Z 20985）,组织体系和应急保障,应急队伍、经费、物资、通信、科技。,监督管理,宣传教育、培训、演练、责任与奖惩,58,知识域：信息安全国家政策,知识子域：风险评估有关政策规范,了解国家有关政策对信息安全风险评估工作提出的要求,了解国家有关政策对电子政务工程及国家重要信息系统建设项目风险评估专控队伍的规定,知识子域：等级保护有关政策规范,了解信息安全等级保护管理办法的有关要求,知识子域：国,家密码管理政策,了解我国对密码的管理政策要求,59,关于开展信息安全风险评估的意见,（国信办20065号）,信息安全风险评估（基于风险管理）,系统分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,基本工作要求,应贯穿于网络和信息系统建设运行的全过程（,设计、验收、运维,）,定期组织实施网络与信息系统自评估，并积极配合有关部门的检查评估,相关保障,参照标准:信息安全风险评估规范（GB/T 20984）、信息安全风险管理规范（制定中）,服务资质（,对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务，要由国家专控的队伍来承担,）,60,关于加强国家电子政务工程建设项目信息安全风险评估工作的通知,（发改高技20082071号）,依据和目的,国家电子政务工程建设项目管理暂行办法,-,国,家发改委令2007,第,55,号,三部委联合发文：发改委、公安部、保密局,将“信息安全风险评估”作为项目验收的重要内容（按要求提交一系列文档）,风险评估的主要内容,分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等,两类信息系统的工作开展,涉密信息系统参照“分级保护”，,进行系统测评并履行审批手续,非涉密信息系统参照“等级保护”，,完成等级测评和风险评估工作，并形成,相关报告,相关要点,对信息安全风险评估机构的指定（,1家+3家）,信息安全风险评估经费计入该项目总投资,投入运行后，应定期开展信息安全风险评估,61,关于信息安全等级保护工作的实施意见,（公字通200466号）1,信息安全等级保护,是,保障和促进信息化建设健康发展的一项基本制度,核心是对信息安全分等级、按标准进行建设、管理和监督,公安机关负责信息安全等级保护工作的监督、检查、指导,保密/密码/信息化工作部门各自的职责分工,信息和信息系统的安全保护等级（,及其适用范围,）,第一级为自主保护级,第二级为指导保护级,第三级为监督保护级,第四级为强制保护级,第五级为专控保护级,定级依据,根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度,;,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,62,关于信息安全等级保护工作的实施意见,（公字通200466号）2,实施要求,完善标准,分类指导（管理规范和技术标准）,科学定级,严格备案（专家评审委员会。,三级以上系统备案,）,建设整改,落实措施（,信息系统：已有、,新建、改建、扩建）,自查自纠,落实要求（运营、 使用单位及其主管部门）,建立制度,加强管理（运营、 使用单位及其主管部门）,监督检查,完善保护（公安机关,重点对,第三、,第四,级,系统,）,其他等级要求,国家对信息安全产品的使用实行分等级管理,信息安全事件实行分等级响应、处置的制度,63,关于印发的通知,（公字通200743号）,通知是政策，管理办法属于法律法规,四部委联合发文：公安部、保密局、密码管理局、原国信办,国家信息安全等级保护坚持“自主定级、自主保护”的原则,信息系统的安全保护等级分为五级,实施与管理,具体实施等级保护工作,参照标准：,信息系统安全等级保护实施指南,确定安全保护等级,参照标准：信息,系统安全等级保护定级指南,系统建设 参照标准：信息,系统安全等级保护,基本要求等,等级测评,参照标准：信息,系统安全等级保护,测评要求,二级以上系统的备案要求（由公安机关颁发,备案证明,）,三级以上系统的定期自查、测评和检查要求,三级以上系统的信息安全产品选择使用要求,三级以上系统,等级保护测评机构,的选择要求,涉密信息系统,按,分级保护管理（,略,）,对信息安全等级保护的密码实行分类分级管理（,略,）,64,关于开展信息安全等级保护安全建设整改工作的指导意见,（公信安20091429号）,工作目标,力争在,2012,年底前完成已定级信息系统,(,不,含,涉密信息系统,),安全建设整改工作,工作内容,开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平,开展信息安全等级保护安全技术措施建设,提高信息系统安全保护能力,开展信息系统安全等级测评,使信息系统安全保护状况逐步达到等级保护要求,信息安全等级保护安全建设整改工作指南,参照标准：,信息系统安全等级保护基本要求,信息系统安全建设整改工作基本流程（,管理建设、技术建设,）,信息安全,等级保护,主要,标准,简要说明及相互间,的关系（基础类、应用类、产品类和其他类）,65,关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知,（公信安2010303号）,工作目标,提高测评机构能力，规范测评活动，确保信息安全等级保护安全建设整改工作顺利进行,工作内容,积极稳妥地推动等级测评机构建设,确保测评机构的水平和能力符合测评工作要求,督促备案单位开展信息系统等级测评工作,信息安全等级保护测评工作管理规范（试行）,信息系统安全等级测评报告模版（试行）,另有政策：公信安20091487号,66,我国信息安全政策的初步成效,依托2003年的27号文（总体纲领），明确了信息安全保障工作的总体要求、工作原则和重点工作内容,围绕信息安全保障体系，广度结合深度，制定、发布并落实了一些典型的信息安全政策（风险评估、等级保护、电子政务类、应急预案等）,其他领域：灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等,67,我国信息安全政策的后续展望,“十一五”期间发布的各项政策均将进入落实期,由电子政务领域向其他领域拓展,关系到国计民生的行业,公共服务类,商业性、一般业务类,尽快形成“统一的”信息安全服务资质管理体制,基于信息安全服务类的标准（政策带动标准，标准支撑政策）,统一安全服务行业的企业资质和人员资质,由“狭义信息安全”向“广义信息安全”延伸,IT服务（外包）的信息安全保障,新技术、新应用下的信息安全保障,68,三、等级保护制度的主要内容,基本含义, 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的丏有信息以及公开信息和储存、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置；, 信息系统包括支撑、传输作用的基础信息网络和各类应用系统。是由计算机及其相关和配备的设备、设施构成的，按照一定的应用目标和觃则对信息迚行储存、传输、处理的系统或网络；而，信息是指在信息系统中储存、传输、处理的数字化信息。, 信息安全等级保护是国家信息安全保障的,基本制度、基本策略、基本方法。,国家为什么要实施信息安全等级保护制度,1.信息安全形势严峻,敌对势力的入侵、攻击、破坏,针对基础信息网络和重要信息系统的违法犯罪持续上升,基础信息网络和重要信息系统安全隐患严重,国家对等级保护制度的要求,中华人民共和国计算机信息系统安全保护条例,（国务院第,147,号令）,国家信息化领导小组关于加强信息安全保障工作的意见,（中办发,200327,号）,关于信息安全等级保护工作的实施意见,（公通字,200466,号）,2008,年国务院“三定”方案中，增加了公安部职能：,监督、检查、指导信息安全等级保护工作。,2. 是维护国家安全的需要,基础信息网络与重要信息系统已成为国家关键基础设施，必须要保护好。,信息安全是国家安全的重要组成部分。,信息安全的本质是信息对抗、技术对抗，是网络空间的政治斗争。,国家对等级保护制度的要求,确立了信息安全等级保护制度的法律地位；,明确了实行等级保护是我国信息安全保障工作中一项重要制度和措施；,赋予了公安机关牵头负责信息安全等级保护工作监督管理的职责。,国家对等级保护制度的要求,（五）等级保护制度的特点,紧迫性。信息安全滞后于信息化发展。,全面性。内容涉及广泛，各单位各部门落实。,基础性。基本制度、基本国策。,强制性。公安机关监督、检查、指导。,规范性。政策和标准保障。,信息安全等级保护的内涵,是世界各国普遍推行的基本做法,是在吸收发达国家经验基础上的创新,是我国最全面的信息安全保障政策体系,体现了我国加强信息安全保障工作的原则,解决了不同安全需要下的安全保护问题,体现了安全建设和管理模式的重大变革,是在发展中逐步完善的政策体系,等级保护工作中的职责分工,等级保护工作协调（领导）小组,负责信息安全等级保护工作组织领导，制定本地区、本行业开展信息安全等级保护的工作部署和实施方案，并督促有关单位落实，研究、协调、解决等级保护工作中的重要工作事项，及时通报或报告等级保护实施工作的相关情况。,信息安全职能部门,公安机关负责信息安全等级保护工作的监督、检查、指导，是等级保护工作的牵头部门。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。工业和信息化及地方信息化领导小组办事机构负责等级保护工作的部门间协调。,等级保护工作中的职责分工,安全服务机构,信息安全企业，信息系统安全集成商、等级测评机构等安全服务机构，依据国家有关管理规定和技术标准，开展技术支持、服务等工作，并接受监管部门的监督管理。,等级保护工作中的职责分工,专家组,宣传等级保护相关政策、标准； 指导备案单位研究拟定贯彻实施意见和建设规划、技术标准的行业应用；参与定级和安全建设整改方案论证、评审；协助发现树立典型、总结经验并推广；跟踪国内外信息安全技术最新发展，开展等级保护关键技术研究；研究提出完善等级保护政策体系和技术体系的意见和建议。,等级保护工作中的职责分工,信息系统运营使用单位及其主管部门,信息系统运营使用单位按照等级保护的管理规范和技术标准，开展信息系统定级、备案、安全建设整改、等级测评、自查等工作，并接受公安机关等部门的监督、指导。有主管部门的，主管部门要督促、检查、指导本行业、本部门信息系统运营使用单位开展信息安全等级保护工作。,等级保护工作中的职责分工,开展等级保护工作的基本要求,各单位、各部门，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求开展等级保护的定级、备案、整改、测评等工作。,公安机关要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。,对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。,四、,等级保护政策体系和标准体系,（一）信息安全等级保护政策体系,近几年，公安部根据国务院147号令的授权，会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了一些文件，公安部对有些具体工作出台了一些指导意见和规范，构成了信息安全等级保护政策体系。,汇集成信息安全等级保护政策汇编供有关单位、部门使用。,等级保护工作配套政策体系,1、关于信息安全等级保护工作的实施意见（公通字200466号）,2、信息安全等级保护管理办法（公通字200743号）,3、关于开展全国重要信息系统安全等级保护定级工作的通知（公通字2007861号）,4、信息安全等级保护备案实施细则（公信安20071360号）,5、关于开展信息系统等级保护安全建设整改工作的指导意见（公信安20091429号）,6、关于做好信息安全等级保护测评机构审核推荐工作的通知（公信安2010559号）,7、关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号）,8、关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公信安2010303号）。,9、关于印发信息系统安全等级测评报告模版（试行）的通知（公信安20091487号）,10、公安机关信息安全等级保护检查工作规范（公信安2008736号 ）,11、关于开展信息安全等级保护专项监督检查工作的通知（公信安20101175号）,12、关于进一步推进中央企业信息安全等级保护工作的通知（公通字201070号）,在安全建设整改工作中的作用,等级保护有关标准,基础标准：,计算机信息系统安全保护等级划分准则。,在此基础上制定出技术类、管理类、产品类标准。,安全要求：,信息系统安全等级保护基本要求,信息系统安全等级保护的行业规范,系统等级：,信息系统安全等级保护定级指南,信息系统安全等级保护行业定级细则,方法指导：,信息系统安全等级保护实施指南,信息系统等级保护安全设计技术要求,现状分析：,信息系统安全等级保护测评要求,信息系统安全等级保护测评过程指南,在应用有关标准中需注意的几个问题：,1、基本要求是阶段性目标，信息系统等级保护安全设计技术要求是实现该目标的方法和途径之一。,2、基本要求中不包含安全设计和工程实施等内容，因此应参照信息系统等级保护安全设计技术要求等标准进行。,3、重点行业可以按照基本要求等国家标准，结合行业特点和特殊安全需求，在公安部等有关部门指导下，制定行业标准规范或细则。,五、,等级保护工作的具体内容和要求,（一）信息安全等级保护定级工作,信息系统定级原则：“,自主定级、专家评审、主管部门审批、公安机关审核”。具体可按照关于开展全国重要信息系统安全等级保护定级工作的通知（公通字2007861号）要求执行。,定级工作流程：,确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。,1. 确定定级对象,起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）。,用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统 。,各单位网站。,（一）信息安全等级保护定级工作,（一）信息安全等级保护定级工作,2.确定信息系统安全保护等级,管理办法规定的五个等级：,第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。,第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。,第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。,第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。,第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。,（一）信息安全等级保护定级工作,实际操作中参考确定信息系统等级：,第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。,第二级信息系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。,三、等级保护工作的具体内容和要求,第四级信息系统：,一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全，影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信骨干传输网、铁路客票系统、列车指挥调度系统等。,3. 定级工作需注意的问题,同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。,新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。,（一）信息安全等级保护定级工作,第三级信息系统：,一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络系统等。,（二）,信息系统备案工作,备案工作包括：,信息系统备案、受理、审核和备案信息管理。具体按照关于开展全国重要信息系统安全等级保护定级工作的通知要求开展。,1、备案,第二级以上信息系统，由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续，填写信息系统安全等级保护备案表。,（二）,信息系统备案工作,隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部备案；其他信息系统向北京市公安局备案。,跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。,各部委统一定级信息系统在各地的分支系统，即使是上级主管部门定级的，也要到当地公安网络安全保卫部门备案,。,（二）,信息系统备案工作,2. 受理备案与审核,公安机关受理备案，按照信息安全等级保护备案实施细则要求，对备案材料进行审核，定级准确、材料符合要求的颁发由公安部统一监制的备案证明。,（三）,信息系统安全建设整改工作,1、工作目标,开展三项重点工作：,安全管理制度建设、技术措施建设和等级测评。,实现五方面目标：,一是信息系统安全管理水平明显提高，二是信息系统安全防范能力明显增强，三是信息系统安全隐患和安全事故明显减少，四是有效保障信息化健康发展，五是有效维护国家安全、社会秩序和公共利益。,（三）,信息系统安全建设整改工作,2、工作范围和工作特点,工作范围：,已备案的第二级（含）以上信息系统纳入安全建设整改的范围。,尚未开展定级备案的信息系统，要先定级备案，定级不准的要先纠正，再开展安全建设整改。,新建系统要同步开展安全建设工作。,工作特点：继承发展、引入标准、外部监督、政策牵引,（三）,信息系统安全建设整改工作,3、工作方法,突出重要系统，兼顾二级。,试点示范，行业推广。,管理制度建设和技术措施建设同步,或分步实施。,加固改造，缺什么补什么；也可以,进行总体安全建设整改规划。,利用信息安全等级保护综合