资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,公安部信息安全等级保护评估中心,*,*,信息平安等级保护,制度实施,毕马宁,引言,近年来,党中央、国务院高度重视,各有关方面协调配合、共同努力,我国信息平安保障工作取得了很大进展。但是从总体上看,我国的信息平安保障工作尚处于起步阶段,根底薄弱,水平不高,存在以下突出问题:,存在的问题,信息平安滞后于信息化开展;,信息平安阻碍了信息化开展。,存在的问题续,大多数单位均采用防火墙作为内外网的防护设备奠定了最根本的网络平安根底。,重视外部攻击与入侵,无视内部的非法行为,偏重产品,无视体系和管理。,关键技术、产品受制于人。,产生问题的原因,信息平安防范意识和能力薄弱;,信息平安法律法规不完善,标准体系尚待完善;,信息系统平安建设和管理缺乏体系化思想;,监督管理缺乏依据和标准,监管体系尚待完善。,我们的对策,美国及西方兴旺国家为了抵御信息网络的脆弱性和平安威胁,制定了一系列强化信息网络平安建设的政策和标准,其中一个很重要思想就是将不同重要程度的信息系统划分不同的平安等级,以指导不同领域的信息平安工作。,面对严峻的形势和严重的问题,如何解决我国信息平安问题,是摆在我国政府、企业、公民面前的重大关键问题。,我们的对策续,经过我国信息平安领域有关部门和专家学者的多年研究,在借鉴国外先进经验和结合我国国情的根底上,提出了分等级保护的策略来解决我国信息平安问题:,信息平安等级保护制度,信息平安等级保护制度,?中华人民共和国计算机信息系统平安保护条例?1994年国务院147号令规定“计算机信息系统实行平安等级保护。等级划分标准和等级管理方法由公安部会同有关部门制定。,信息平安等级保护制度续,2003年,中央办公厅、国务院办公厅转发的?国家信息化领导小组关于加强信息平安保障工作的意见?中办发200327号明确指出:要重点保护根底信息网络和关系国家平安、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息平安等级保护制度。制定信息平安等级保护的管理方法和技术指南。,信息平安等级保护制度(续,2004年9月,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了?关于信息平安等级保护工作的实施意见?公通字200466号,文件中明确指出:信息平安等级保护制度是国家在国民经济和社会信息化的开展过程中,提高信息平安保障能力和水平,维护国家平安、社会稳定和公共利益,保障和促进信息化建设健康开展的一项根本制度。,等级保护制度的主要内容,根据信息和信息系统在国家平安、经济建设、社会生活中的重要程度;遭到破坏后对国家平安、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;信息系统必须到达的根本的平安保护水平等因素,对信息和信息系统划分以下五个平安保护和监管等级:,第一级,为,自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家平安、社会秩序和公共利益。,信息系统运营、使用单位或个人依照国家管理标准和技术标准进行自主保护。,第二级为指导保护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家平安;,信息系统运营、使用单位应当依据国家管理标准和技术标准自主进行保护。必要时,国家信息平安监管职能部门进行指导。,第三级为监督保护级,适用于涉及国家平安、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家平安、社会秩序和公共利益造成损害;,依照国家管理标准和技术标准进行自主保护,信息平安监管职能部门对其进行监督、检查。,第四级为强制保护级,适用于涉及国家平安、社会秩序和公共利益的重要信息系统,其受到破坏后,对国家平安、社会秩序和公共利益造成严重损害;,依照国家管理标准和技术标准进行自主保护,信息平安监管职能部门对其进行强制监督、检查。,第五级,为专控保护级,适用于涉及国家平安、社会秩序和公共利益的重要信息系统的核心子系统,所承载的业务受到破坏后,会直接对国家平安造成特别严重损害;,依照国家管理标准和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督。,信息平安产品使用,信息平安产品的平安功能和可控性直接关系到其所构建的信息系统的平安;,国家对信息平安产品的管理除按法律要求实行销售许可外,还对信息平安产品的使用按照其平安性,特别是其可控性和可信性进行分等级管理。,信息平安事件分等级响应处置,依据信息平安事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围,确定事件等级。根据不同平安保护等级的信息系统中发生的不同等级事件制定相应的预案,确定事件响应和处置的范围、程度以及适用的管理制度等。信息平安事件发生后,分等级按照预案进行响应和处置。,信息平安等级保护制度的意义,实行等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,到达有效保护的目的,增强平安保护的整体性、针对性和实效性,使信息系统平安建设更加突出重点、统一标准、科学合理,对促进我国信息平安的开展将起到重要推动作用。,信息平安等级保护制度的意义续,实施信息平安等级保护,可以有效地提高我国信息平安建设的整体水平,,有利于在信息化建设过程中同步建设信息平安设施,保障信息平安与信息化建设相协调;,有利于加强对涉及国家平安、经济秩序、社会稳定和公共利益的信息系统的平安保护和管理监督;,信息平安等级保护制度的意义续,有利于明确国家、法人和其他组织、公民的平安责任,强化政府监管职能,共同落实各项平安建设和平安管理措施;,有利于提高平安保护的科学性、整体性、针对性,推动信息平安产业水平,逐步探索一条适应社会主义市场经济开展的信息平安开展模式。,信息平安等级保护制度的根本原那么,信息平安等级保护的核心是对信息平安分等级、按标准进行建设、管理和监督。信息平安等级保护制度遵循以下根本原那么:,一是明确责任,共同保护,二是依照标准,自行保护,三是同步建设,动态调整,四是指导监督,重点保护,信息平安等级保护工作的根本要求,实施信息平安等级保护应当做好以下六个方面工作:,一完善标准,分类指导。,二科学定级,严格备案。,三建设整改,落实措施。,四自查自纠,落实要求。,五建立制度,加强管理。,六监督检查,完善保护。,等级保护工作的职责分工,公安机关负责信息平安等级保护工作的监督、检查、指导。,国家保密工作部门负责等级保护工作中有关保密工作的监 督、检查、指导。,国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。,在信息平安等级保护工作中,涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。,国务院信息化工作办公室负责信息平安等级保护工作中部门间的协调。,等级保护工作的职责分工,信息和信息系统的建设、运行、维护、使用单位和个人,按照“谁主管、谁负责的原那么,在信息平安等级保护工作中承担具体的平安责任。,重要行业的主管部门负责在本行业内贯彻落实信息平安等级保护工作,并对行业内信息系统运营、使用单位的落实情况进行管理。,等级保护工作的组织开展,随着信息化的开展,信息共享,互联互通已经成为主流,10年前147号令提出重要领域信息系统平安保护的工作任务已经向信息平安保障方向开展,谁主管谁负责已经成为信息平安保障工作的根本原那么。,因此,要与时俱进,为信息平安等级保护工作注入新的内涵,等级保护要适应当前信息化开展和信息平安保障工作的总体要求以保持其生命力。,等级保护工作的组织开展,等级保护工作的开展要适应当前政府职能转变的要求,转变过去那种对重要信息系统采取的偏重内保型管理、治安管理型和包办型管理,逐步转变到前瞻型管理、社会型管理和效劳型管理的新型管理模式上。要提高效劳保障意识,努力为社会效劳,为经济建设效劳,为国家的安定和稳定效劳。,?中华人民共和国计算机信息系统平安保护条例?,国家,根底,标准,(GB,17859),及,配套,标准,?信息平安等级保护管理方法?及相关规定,运营单位/主管部门,行政执法部门,咨询,监理,工程,测评,重要信息系统,规划 设计 建设 运行,等级化的,重要信息系统平安等级保护体系,技,术,支,持,行业,管理,标准,和,技术,标准,业务分类与定级,网络系统结构,产品装备与配置,过程控制与管理,授权,指定,部/省级公安机关/网监部门,重要信息系统的主管/建设/运营部门/机构,重要信息系统,指导监督、检查处置,机构/人员/制度/标准/效劳/产品/测评/备案,技,术,支,持,体,系,监督检查执法体系,技术支持体系,社会力量,公安部公共信息网络平安监察局,各地技术支持机构,公安部信息平安等级保护评估中心,地方网监部门,技术效劳与支持,重要信息系统,规划、设计、建设、运行、测评、备案,监督、检查、执法,授权机构,等级平安检测,关于我们,“公安部信息平安等级保护评估中心是由公安部批准成立,国家发改委划拨专项经费支持,为国家推行信息平安等级保护制度提供技术支持的专业机构,我们的使命,为国家推行信息平安等级保护制度所进行的监督执法检查提供技术支持,为重点行业、重要信息系统实行信息平安等级保护提供技术效劳,GB 17859_1999,。,信息系统安全保护等级定级指南,信息系统安全等级保护基本要求,信息系统安全等级保护管理监督检查要求,信息系统安全保护等级测评准则,信息系统等级保护实施指南,信息系统等级保护评估指南,。,技术标准体系,等级保护工作的具体做法,系统定级,等级备案与检测,等级保护运行与管理,根本要求,实施指南、平安产品标准,定级指南、实施指南,监督管理要求、测评准那么、根本要求,根本要求,定级指南、,实施指南,评估指南,平安规划与设计,平安建设与实现,监督管理要求实施指南,系统定级阶段,平安规划设计阶段,平安实施阶段,运行管理和状态监控阶段,等级备案与检测,系统调查和描述,子系统划分,子系统定级,子系统边界设定,定级结果文档化,等级保护工作的具体做法,等级化风险评估,分级保护模型化处理,平安策略规划,平安建设规划,平安建设详细方案设计,平安产品采购,平安控制开发,平安控制集成,验收,等级平安检测,备案,操作管理和控制,配置管理和控制,变更管理和控制,平安状态监控,平安事件处理和应急预案,自主检查,和,监督检查,持续改进,等级确定的原那么,自主定级原那么,信息系统的运营、使用单位应当根据相关管理方法和技术标准,结合其系统的情况,自行确定平安保护等级。,满足国家管理要求原那么,信息系统平安保护等级既不是信息系统平安保障等级,也不是信息系统所能到达的技术能力等级,而是从平安监管需要,从信息系统对国家平安、经济建设、公共利益等方面的重要性,以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应到达的平安等级。,等级确定的原那么,业务为核心原那么,信息系统是为业务应用效劳的,信息系统的平安保护等级应当依据信息系统承载业务的重要性、业务对信息系统的依赖度和系统特殊的平安需求确定。,合理性原那么,不同于信息平安产品,信息系统千差万别,各具特色,只有在划分平安保护等级的过程中,尽可能反映出信息系统的主要平安特征,合理划分等级,才能做到突出重点,适度保护。,等级确定的实施流程,系统调查、标识和描述,子系统划分,子系统定级,子系统边界设定,输入,输出,过程,信息系统描述文件,子系统列表,系统安全保护等级定级结果,边界设定结果,信息系统基本信息、管理框架、业务特性,信息系统描述文件,信息系统/子系统业务特性,安全保护等级定级结果、子系统业务流程,网络拓扑,定级结果文档化,信息系统等级化分析报告,信息系统描述文件,子系统列表、定级及边界设定结果,等级保护实施过程与风险管理的关系,信息平安等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。那么信息系统平安保护等级确实定首先应满足国家管理的要求,然后,根据系统平安级别结合根本保护要求进行系统平安建设。,对信息系统实施等级保护的过程中,等级保护的相关标准对不同级别的信息系统提出了根本保护要求,根
展开阅读全文