《信息系统安全等级保护评估中心.ppt》由会员分享,可在线阅读,更多相关《信息系统安全等级保护评估中心.ppt(19页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、公安部信息系统安全等级保护评估中心贯彻27号文件积极推进信息系统等级建设公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心二二四年六月四年六月朱建平公安部信息系统安全等级保护评估中心目录 1 1等级保护是国家基本政策等级保护是国家基本政策2 2建立国家信息安全等级保护机制建立国家信息安全等级保护机制 3 3信息系统安全等级保护制度实施方法信息系统安全等级保护制度实施方法 4 4等级化系统的建设等级化系统的建设11/22/20223公安部信息安全等级保护评估中心1、等级保护是国家基本政策27号文件进一步明确了我国的基号文件进一步明确了我国的基础信息网络和关系国家安全、经础信息网络和关系
2、国家安全、经济命脉、社会稳定等方面的重要济命脉、社会稳定等方面的重要信息系统实行等级保护制度;信息系统实行等级保护制度;同时要求等级保护工作需要各部同时要求等级保护工作需要各部门根据职能分工、协同配合。门根据职能分工、协同配合。11/22/20224公安部信息安全等级保护评估中心1、等级保护是国家基本政策信息安全等级保护是中华人民共和国计算机信息系信息安全等级保护是中华人民共和国计算机信息系统安全保护条例规定的法定保护制度,具有强制性;统安全保护条例规定的法定保护制度,具有强制性;第二是以国家制度推进信息和信息系统安全保护责任第二是以国家制度推进信息和信息系统安全保护责任的落实;的落实;第三是
3、符合客观实际,具有科学性;第三是符合客观实际,具有科学性;第四是具有自我保护与国家保护相结合的长效保护机第四是具有自我保护与国家保护相结合的长效保护机制;制;第五是突出保护重点,国家优先重点保护涉及国计民第五是突出保护重点,国家优先重点保护涉及国计民生的信息系统,国家基础信息网络和重要信息系统内生的信息系统,国家基础信息网络和重要信息系统内分级重点保护三级以上的局域网和子系统安全;分级重点保护三级以上的局域网和子系统安全;第六是具有整体保护性,在突出重点,兼顾一般的原第六是具有整体保护性,在突出重点,兼顾一般的原则下,着重加强重点、要害部位则下,着重加强重点、要害部位,由点到面进行保护,由点到
4、面进行保护,逐步实现信息安全整体保障。逐步实现信息安全整体保障。11/22/20225公安部信息安全等级保护评估中心2、建立国家信息安全等级保护机制国家实行信息安全等级保护,必须紧紧国家实行信息安全等级保护,必须紧紧抓住抓好五个关键环节,形成长效信息安全抓住抓好五个关键环节,形成长效信息安全等级保护运行机制。国家信息安全等级保护等级保护运行机制。国家信息安全等级保护制度运行机制有以下关键环节构成:制度运行机制有以下关键环节构成:1法律规范法律规范2管理与技术规范管理与技术规范3实施过程控制实施过程控制4结果控制结果控制5监督管理。监督管理。11/22/20226公安部信息安全等级保护评估中心2
5、、建立国家信息安全等级保护机制1法律规范:国家制定和完善信息安全等级保法律规范:国家制定和完善信息安全等级保护政策、法律规范以及组织实施规则和方法护政策、法律规范以及组织实施规则和方法,完善完善信息安全保护法律体系;信息安全保护法律体系;2管理与技术规范:制定符合国情的标准管理与技术规范:制定符合国情的标准,建立建立等级保护体系;等级保护体系;3实施过程控制:明确落实系统拥有者的安全实施过程控制:明确落实系统拥有者的安全责任制,系统拥有者按法律规定和安全等级标准的责任制,系统拥有者按法律规定和安全等级标准的要求进行信息系统的建设和管理,并承担应急管理要求进行信息系统的建设和管理,并承担应急管理
6、责任,在信息系统生命周期内进行自管、自查、自责任,在信息系统生命周期内进行自管、自查、自评,建立安全管理体系。安全产品的研发者提供符评,建立安全管理体系。安全产品的研发者提供符合安全等级标准要求的技术产品。合安全等级标准要求的技术产品。11/22/20227公安部信息安全等级保护评估中心2、建立国家信息安全等级保护机制4结果控制:建立非盈利并能够覆盖全国的系结果控制:建立非盈利并能够覆盖全国的系统安全等级保护的执法检查与评估体系,使用统统安全等级保护的执法检查与评估体系,使用统一标准和工具开展系统安全等级保护检查评估工一标准和工具开展系统安全等级保护检查评估工作。作。5监督管理:公安机关依法行
7、政,督促安全等监督管理:公安机关依法行政,督促安全等级保护责任制的落实,以等级保护标准监督、检级保护责任制的落实,以等级保护标准监督、检查、指导基础信息网络和重要信息系统安全等级查、指导基础信息网络和重要信息系统安全等级保护建设、管理。对安全等级技术产品实行监管,保护建设、管理。对安全等级技术产品实行监管,对监测评估机构实施监管。政府其他职能部门应对监测评估机构实施监管。政府其他职能部门应当认真履行职责,依法行政,按职责开展信息安当认真履行职责,依法行政,按职责开展信息安全等级保护专项制度建设工作,完善信息安全监全等级保护专项制度建设工作,完善信息安全监督体系。督体系。11/22/20228公
8、安部信息安全等级保护评估中心3、信息系统安全等级保护制度实施方法首先,公安、国家保密、国家密码首先,公安、国家保密、国家密码管理、技术监督、信息产业等国家有关管理、技术监督、信息产业等国家有关信息网络安全的行政主管部门要在国家信息网络安全的行政主管部门要在国家信息化领导小组的统一领导下,制定我信息化领导小组的统一领导下,制定我国开展信息网络安全等级保护工作的发国开展信息网络安全等级保护工作的发展政策,统一制定针对不同安全保护等展政策,统一制定针对不同安全保护等级的管理规定和技术标准,对不同信息级的管理规定和技术标准,对不同信息网络确定不同安全保护等级和实施不同网络确定不同安全保护等级和实施不同
9、的监督管理措施,既包括依法进行行政的监督管理措施,既包括依法进行行政监督、检查和指导,也包括依据国家技监督、检查和指导,也包括依据国家技术标准进行的技术检查和评估。术标准进行的技术检查和评估。11/22/20229公安部信息安全等级保护评估中心3、信息系统安全等级保护制度实施方法其次,等级保护坚持其次,等级保护坚持“谁主谁主管、谁负责;谁经营、谁负责;管、谁负责;谁经营、谁负责;谁建设、谁负责;谁使用、谁负谁建设、谁负责;谁使用、谁负责。责。”的原则。的原则。11/22/202210公安部信息安全等级保护评估中心3、信息系统安全等级保护制度实施方法第第三三,等等级级保保护护实实行行“国国家家主
10、主导导;重重点点单单位位强强制制,一一般般单单位位自自愿愿;高高保保护护级级别别强强制制,低低保保护护级别自愿级别自愿”的监管原则。的监管原则。11/22/202211公安部信息安全等级保护评估中心3、信息系统安全等级保护制度实施方法第第四四,信信息息网网络络安安全全状状况况等等级级的的技术检测是等级保护的重点。技术检测是等级保护的重点。由由国国家家授授权权的的技技术术检检测测机机构构通通过过技技术术检检测测来来进进行行评评定定。技技术术检检测测机机构构需需取取得得国国家家主主管管部部门门的的技技术术资资质质和和授授权权后后,方方可可从从事事信信息息网网络络安安全全等等级级保保护的技术检测。护
11、的技术检测。11/22/202212公安部信息安全等级保护评估中心3、信息系统安全等级保护制度实施方法计计划划在在五五年年左左右右的的时时间间在在全全国国范范围围内内分分三三个个阶阶段段实实施施信信息息安安全等级保护制度:全等级保护制度:1、准备阶段、准备阶段2、试行阶段、试行阶段3、全面实行阶段、全面实行阶段11/22/202213公安部信息安全等级保护评估中心4、等级化系统的建设信息系统等级的划分方法(自主评信息系统等级的划分方法(自主评级)级)实施步骤:实施步骤:业务影响分析、划分子系统业务影响分析、划分子系统确定子系统边界确定子系统边界确定安全保护等级确定安全保护等级子系统间访问关系的
12、模子系统间访问关系的模型化型化安全风险分析与控制措施调整安全风险分析与控制措施调整确定系统保护安全计划确定系统保护安全计划系统等级和安全计划的批准系统等级和安全计划的批准11/22/202214公安部信息安全等级保护评估中心等级保护第一级第一级安全的信息系统具备对信息和系统进行基本保护的能力。在技术方面,第一级要求设置基本的安全功能,使信息免遭非授权的泄露和破坏,能保证基本安全的系统服务。在安全管理方面,第一级要求根据机构自身安全需求,为信息系统正常运行提供基本的安全管理保障。5等级化系统的建设11/22/202215公安部信息安全等级保护评估中心等级保护第二级第二级安全的信息系统具备对信息和
13、系统进行比较完整的系统化的安全保护能力。在技术方面,第二级要求采用系统化的设计方法,实现比较完整的安全保护,并通过安全审计机制,使其它安全机制间接地相连接,使信息免遭非授权的泄露和破坏,保证一定安全的系统服务。在安全管理方面,第二级要求建立必要的信息系统安全管理制度,对安全管理和执行过程进行计划、管理和跟踪。根据实际安全需求,明确机构和人员的相应责任。5等级化系统的建设11/22/202216公安部信息安全等级保护评估中心等级保护第三级第三级安全的信息系统具备对信息和系统进行基于安全策略强制的安全保护能力。在技术方面,第三级要求按照完整的安全策略模型,实施强制性的安全保护,使数据信息免遭非授权
14、的泄露和破坏,保证较高安全的系统服务。在安全管理方面,第三级要求建立完整的信息系统安全管理体系,对安全管理过程进行规范化的定义,并对过程执行实施监督和检查。根据实际安全需求,建立安全管理机构,配备专职安全管理人员,落实各级领导及相关人员的责任。5等级化系统的建设11/22/202217公安部信息安全等级保护评估中心等级保护第四级第四级安全的信息系统具备对信息和系统进行基于安全策略强制的整体的安全保护能力。在技术方面,物理隔离,第四级要求采用结构化设计方法,按照完整的安全策略模型,实现各层面相结合的强制性的安全保护,使数据信息免遭非授权的泄露和破坏,保证高安全的系统服务。在安全管理方面,第四级要
15、求建立持续改进的信息系统安全管理体系,在对安全管理过程进行规范化定义,并对过程执行实施监督和检查的基础上,具有对缺陷自我发现、纠正和改进的能力。根据实际安全需求,采取安全隔离措施,限定信息系统规模和应用范围。建立安全管理机构,配备专职安全管理人员,落实各级领导及相关人员的责任。5等级化系统的建设11/22/202218公安部信息安全等级保护评估中心等级保护第五级第五级安全的信息系统提供对信息和系统进行基于可验证安全策略的强制的安全保护能力。在技术方面,第五级要求按照确定的安全策略,在整体的实施强制性的安全保护的基础上,通过可验证设计增强系统的安全性,使其具有抗渗透能力,使数据信息免遭非授权的泄露和破坏,保证最高安全的系统服务。在安全管理方面,第五级要求由信息系统的主管部门和使用单位根据安全需求,建立核心部门的专用信息系统安全管理体系,对安全管理过程进行规范化的定义,并对过程执行实施监督和检查,具有对缺陷自我发现、纠正和改进的能力。采取安全隔离措施,限定信息系统规模和应用范围。建立安全管理机构,配备专职安全管理人员,落实各级领导及相关人员的责任。5等级化系统的建设公安部信息系统安全等级保护评估中心谢谢大家!