《信息安全等级保护法律法规.ppt.ppt》由会员分享,可在线阅读,更多相关《信息安全等级保护法律法规.ppt.ppt(127页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全等级保护制度信息安全等级保护制度信息安全等级保护信息安全等级保护法律法规法律法规20112011年年3 3月月提提纲纲 前言前言一、一、信息安全等级保护的制度体系信息安全等级保护的制度体系二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求三、信息安全等级保护的支撑条件三、信息安全等级保护的支撑条件四、信息安全等级保护接着做什么四、信息安全等级保护接着做什么前言前言什么是等保什么是等保 信息安全等级保护管理办法指出信息安全等级保护是以信息为核心的、根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法
2、权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素,对最核心的信息和信息系统划分为五个安全保护和监管等级,实行分级保护。实施信息安全等级保护,可以有效地提高我国信息安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督;有利于明确国家、法人和其他组织、公民的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施;有利于提高安全保护的科学性、整体性、针对性,推动信息安全产业水平,逐步探索一条适应社会主义市场经济发展的
3、信息安全发展模式。前言前言为什么实行等保为什么实行等保前言前言为什么实行等保为什么实行等保 每月新增计算机病毒几千种。每月新增计算机病毒几千种。每月新增计算机病毒几千种。每月新增计算机病毒几千种。我省是国内僵尸网络控制端服务器和被控服务器最我省是国内僵尸网络控制端服务器和被控服务器最我省是国内僵尸网络控制端服务器和被控服务器最我省是国内僵尸网络控制端服务器和被控服务器最多的省份(连续多月排名全国第一),多的省份(连续多月排名全国第一),多的省份(连续多月排名全国第一),多的省份(连续多月排名全国第一),2010201020102010年年年年2 2 2 2月月月月共有共有共有共有6060606
4、0多个多个多个多个IPIPIPIP地址被作为控制端服务器,占全国地址被作为控制端服务器,占全国地址被作为控制端服务器,占全国地址被作为控制端服务器,占全国21%21%21%21%,6000600060006000多个多个多个多个IPIPIPIP对应的主机被作为客户端,占全对应的主机被作为客户端,占全对应的主机被作为客户端,占全对应的主机被作为客户端,占全国国国国11%11%11%11%。前言前言为什么实行等保为什么实行等保英国国家医疗服务系统和英国国家医疗服务系统和英国国家医疗服务系统和英国国家医疗服务系统和1010多家政府网站被入多家政府网站被入多家政府网站被入多家政府网站被入侵并植入病毒,
5、登录这些网站的用户都可能感染病侵并植入病毒,登录这些网站的用户都可能感染病侵并植入病毒,登录这些网站的用户都可能感染病侵并植入病毒,登录这些网站的用户都可能感染病毒并导致个人信息泄露。毒并导致个人信息泄露。毒并导致个人信息泄露。毒并导致个人信息泄露。前言前言为什么实行等保为什么实行等保2009200920092009年,广州市破获省人事厅网站被入侵案,带年,广州市破获省人事厅网站被入侵案,带年,广州市破获省人事厅网站被入侵案,带年,广州市破获省人事厅网站被入侵案,带破福建省建设信息网等破福建省建设信息网等破福建省建设信息网等破福建省建设信息网等10101010多起黑客入侵案件。该案中,多起黑客
6、入侵案件。该案中,多起黑客入侵案件。该案中,多起黑客入侵案件。该案中,朱某入侵修改政府网站,添加虚假证书查询连接或将虚朱某入侵修改政府网站,添加虚假证书查询连接或将虚朱某入侵修改政府网站,添加虚假证书查询连接或将虚朱某入侵修改政府网站,添加虚假证书查询连接或将虚拟证书信息添加入网站数据库。拟证书信息添加入网站数据库。拟证书信息添加入网站数据库。拟证书信息添加入网站数据库。前言前言为什么实行等保为什么实行等保2009200920092009年年年年5 5 5 5月月月月19191919号晚上,号晚上,号晚上,号晚上,4 4 4 4名黑客利用多台中了木马的电脑向名黑客利用多台中了木马的电脑向名黑客
7、利用多台中了木马的电脑向名黑客利用多台中了木马的电脑向DNSPodDNSPodDNSPodDNSPod进行狂轰滥炸,导致江苏、安徽、广西、海南、甘进行狂轰滥炸,导致江苏、安徽、广西、海南、甘进行狂轰滥炸,导致江苏、安徽、广西、海南、甘进行狂轰滥炸,导致江苏、安徽、广西、海南、甘肃、浙江六省网民从当天晚上肃、浙江六省网民从当天晚上肃、浙江六省网民从当天晚上肃、浙江六省网民从当天晚上9 9 9 9点点点点50505050分开始几乎在同一时间感分开始几乎在同一时间感分开始几乎在同一时间感分开始几乎在同一时间感到网络反应变慢,并在随后长达三个多小时的时间内无法访问到网络反应变慢,并在随后长达三个多小时
8、的时间内无法访问到网络反应变慢,并在随后长达三个多小时的时间内无法访问到网络反应变慢,并在随后长达三个多小时的时间内无法访问网络,直到次日凌晨网络,直到次日凌晨网络,直到次日凌晨网络,直到次日凌晨1 1 1 1点点点点20202020分,受影响地区的互联网服务才基分,受影响地区的互联网服务才基分,受影响地区的互联网服务才基分,受影响地区的互联网服务才基本恢复正常。本恢复正常。本恢复正常。本恢复正常。519519519519事件也因此成为近年来我国规模较大的一次事件也因此成为近年来我国规模较大的一次事件也因此成为近年来我国规模较大的一次事件也因此成为近年来我国规模较大的一次互联网断网事故。互联网
9、断网事故。互联网断网事故。互联网断网事故。前言前言为什么实行等保为什么实行等保黑客入侵了美国某银行在某商店的自动提款机黑客入侵了美国某银行在某商店的自动提款机黑客入侵了美国某银行在某商店的自动提款机黑客入侵了美国某银行在某商店的自动提款机网络,盗取客户识别码,继而使用空白卡从自动提网络,盗取客户识别码,继而使用空白卡从自动提网络,盗取客户识别码,继而使用空白卡从自动提网络,盗取客户识别码,继而使用空白卡从自动提款机提取现金款机提取现金款机提取现金款机提取现金。前言前言为什么实行等保为什么实行等保20102010年年年年3 3月月月月2 2日,西班牙警方破获全球最大黑客犯罪日,西班牙警方破获全球
10、最大黑客犯罪日,西班牙警方破获全球最大黑客犯罪日,西班牙警方破获全球最大黑客犯罪团伙。该团伙利用木马程序,控制全球团伙。该团伙利用木马程序,控制全球团伙。该团伙利用木马程序,控制全球团伙。该团伙利用木马程序,控制全球190190国的国的国的国的13001300万台电脑,窃取信用卡密码、个人资料等数据,万台电脑,窃取信用卡密码、个人资料等数据,万台电脑,窃取信用卡密码、个人资料等数据,万台电脑,窃取信用卡密码、个人资料等数据,受入侵电脑包括家庭、政府、学校和受入侵电脑包括家庭、政府、学校和受入侵电脑包括家庭、政府、学校和受入侵电脑包括家庭、政府、学校和10001000家大型企家大型企家大型企家大
11、型企亚,亚,亚,亚,4040多家重要银行机构受影响。多家重要银行机构受影响。多家重要银行机构受影响。多家重要银行机构受影响。案例案例近期一种名为近期一种名为近期一种名为近期一种名为“震网震网震网震网”(StuxnetStuxnet)的蠕虫病毒感染)的蠕虫病毒感染)的蠕虫病毒感染)的蠕虫病毒感染全球有超过全球有超过全球有超过全球有超过4.54.5万个网络受到,伊朗、印尼、印度、万个网络受到,伊朗、印尼、印度、万个网络受到,伊朗、印尼、印度、万个网络受到,伊朗、印尼、印度、美国等均有发生,其中伊朗布什尔核电站因此而推美国等均有发生,其中伊朗布什尔核电站因此而推美国等均有发生,其中伊朗布什尔核电站因
12、此而推美国等均有发生,其中伊朗布什尔核电站因此而推迟发电。据称,该病毒系当前首例专门针对工业控迟发电。据称,该病毒系当前首例专门针对工业控迟发电。据称,该病毒系当前首例专门针对工业控迟发电。据称,该病毒系当前首例专门针对工业控制系统编写的破坏性程序,也被称为制系统编写的破坏性程序,也被称为制系统编写的破坏性程序,也被称为制系统编写的破坏性程序,也被称为“超级工厂病超级工厂病超级工厂病超级工厂病毒毒毒毒”,目前监测发现该病毒已开始在我国互联网上,目前监测发现该病毒已开始在我国互联网上,目前监测发现该病毒已开始在我国互联网上,目前监测发现该病毒已开始在我国互联网上传播。传播。传播。传播。案例案例即
13、使是相对封闭的工业控制系统也无法以善其身即使是相对封闭的工业控制系统也无法以善其身 为掌握我国信息网络安全和计算机病毒疫情现状,宣传信息网络安为掌握我国信息网络安全和计算机病毒疫情现状,宣传信息网络安为掌握我国信息网络安全和计算机病毒疫情现状,宣传信息网络安为掌握我国信息网络安全和计算机病毒疫情现状,宣传信息网络安全知识,提高广大用户网络安全防范意识,公安部网络安全保卫局全知识,提高广大用户网络安全防范意识,公安部网络安全保卫局全知识,提高广大用户网络安全防范意识,公安部网络安全保卫局全知识,提高广大用户网络安全防范意识,公安部网络安全保卫局定于定于定于定于1111月月月月2020日至日至日至
14、日至1212月月月月2020日组织开展日组织开展日组织开展日组织开展20102010年全国信息网络安全状况年全国信息网络安全状况年全国信息网络安全状况年全国信息网络安全状况和计算机病毒疫情调查活动。和计算机病毒疫情调查活动。和计算机病毒疫情调查活动。和计算机病毒疫情调查活动。本次调查活动由公安部网络安全保卫局主办,各省区市公安厅、局本次调查活动由公安部网络安全保卫局主办,各省区市公安厅、局本次调查活动由公安部网络安全保卫局主办,各省区市公安厅、局本次调查活动由公安部网络安全保卫局主办,各省区市公安厅、局网络安全保卫部门、国家计算机病毒应急处理中心、国家反计算机网络安全保卫部门、国家计算机病毒应
15、急处理中心、国家反计算机网络安全保卫部门、国家计算机病毒应急处理中心、国家反计算机网络安全保卫部门、国家计算机病毒应急处理中心、国家反计算机入侵和防病毒研究中心以及新浪网站承办,国内主要计算机病毒防入侵和防病毒研究中心以及新浪网站承办,国内主要计算机病毒防入侵和防病毒研究中心以及新浪网站承办,国内主要计算机病毒防入侵和防病毒研究中心以及新浪网站承办,国内主要计算机病毒防治厂商提供技术支持,重点调查我国互联网接入服务单位、互联网治厂商提供技术支持,重点调查我国互联网接入服务单位、互联网治厂商提供技术支持,重点调查我国互联网接入服务单位、互联网治厂商提供技术支持,重点调查我国互联网接入服务单位、互
16、联网数据中心、大型互联网站、重点联网单位、计算机、移动终端用户数据中心、大型互联网站、重点联网单位、计算机、移动终端用户数据中心、大型互联网站、重点联网单位、计算机、移动终端用户数据中心、大型互联网站、重点联网单位、计算机、移动终端用户20102010年以来发生网络安全事件状况以及感染计算机病毒状况。年以来发生网络安全事件状况以及感染计算机病毒状况。年以来发生网络安全事件状况以及感染计算机病毒状况。年以来发生网络安全事件状况以及感染计算机病毒状况。数据交换中如随意使用移动存储设备,没有严格执行安全隔数据交换中如随意使用移动存储设备,没有严格执行安全隔离要求,则可能被感染。离要求,则可能被感染。
17、专用网络难以及时获取安全补丁专用网络难以及时获取安全补丁,安全软件升级滞后。安全软件升级滞后。案例案例20102010年重大安全事件回顾及分析年重大安全事件回顾及分析年重大安全事件回顾及分析年重大安全事件回顾及分析 事件一:维基解密事件一:维基解密事件一:维基解密事件一:维基解密 20102010年年年年7 7月月月月2525日,日,日,日,“维基解密维基解密维基解密维基解密”通过英国通过英国通过英国通过英国卫报卫报卫报卫报、德国、德国、德国、德国明镜明镜明镜明镜和美国和美国和美国和美国纽约时报纽约时报纽约时报纽约时报公布了公布了公布了公布了9200092000份美军有关阿份美军有关阿份美军有
18、关阿份美军有关阿富汗战争的军事机密文件。富汗战争的军事机密文件。富汗战争的军事机密文件。富汗战争的军事机密文件。1010月月月月2323日,日,日,日,“维基解密维基解密维基解密维基解密”公布公布公布公布了了了了391,832391,832份美军关于伊拉克战争的机密文件。份美军关于伊拉克战争的机密文件。份美军关于伊拉克战争的机密文件。份美军关于伊拉克战争的机密文件。1111月月月月2828日,日,日,日,维基解密网站泄露了维基解密网站泄露了维基解密网站泄露了维基解密网站泄露了2525万份美国驻外使馆发给美国国务院万份美国驻外使馆发给美国国务院万份美国驻外使馆发给美国国务院万份美国驻外使馆发给美
19、国国务院的秘密文传电报。的秘密文传电报。的秘密文传电报。的秘密文传电报。“维基解密维基解密维基解密维基解密”是美国乃至世界历史上最是美国乃至世界历史上最是美国乃至世界历史上最是美国乃至世界历史上最大规模的一次泄密事件,其波及范围之广,涉及文件之众,大规模的一次泄密事件,其波及范围之广,涉及文件之众,大规模的一次泄密事件,其波及范围之广,涉及文件之众,大规模的一次泄密事件,其波及范围之广,涉及文件之众,均史无前例。该事件引起了世界各国政府对信息安全工作均史无前例。该事件引起了世界各国政府对信息安全工作均史无前例。该事件引起了世界各国政府对信息安全工作均史无前例。该事件引起了世界各国政府对信息安全
20、工作的重视和反思。据美国有线电视新闻网的重视和反思。据美国有线电视新闻网的重视和反思。据美国有线电视新闻网的重视和反思。据美国有线电视新闻网1212月月月月1313日报道,为日报道,为日报道,为日报道,为防止军事机密泄露,美国军方已下令禁止全军使用防止军事机密泄露,美国军方已下令禁止全军使用防止军事机密泄露,美国军方已下令禁止全军使用防止军事机密泄露,美国军方已下令禁止全军使用USBUSB存存存存储器、储器、储器、储器、CDCD光盘等移动存储介质。光盘等移动存储介质。光盘等移动存储介质。光盘等移动存储介质。案例案例20102010年重大安全事件回顾及分析年重大安全事件回顾及分析年重大安全事件回
21、顾及分析年重大安全事件回顾及分析 事件二:震网病毒事件二:震网病毒震网病毒(震网病毒(Stuxnet),是世界上首个以直接破坏现实世界中工业基),是世界上首个以直接破坏现实世界中工业基础设施为目标的蠕虫病毒,被称为网络础设施为目标的蠕虫病毒,被称为网络“超级武器超级武器”。震网病毒于。震网病毒于2010年年7月开始爆发,截至月开始爆发,截至2010年年9月底,包括中国、印度、俄罗斯月底,包括中国、印度、俄罗斯在内的许多国家都发现了这个病毒。据统计,目前全球已有约在内的许多国家都发现了这个病毒。据统计,目前全球已有约45000个网络被该病毒感染,其中个网络被该病毒感染,其中60%的受害主机位于伊
22、朗境内,并已造成的受害主机位于伊朗境内,并已造成伊朗核电站推迟发电。目前我国也有近伊朗核电站推迟发电。目前我国也有近500万网民、以及多个行业的万网民、以及多个行业的领军企业遭此病毒攻击。领军企业遭此病毒攻击。事件三:事件三:3Q之争之争2010年年9月,奇虎公司针对腾讯公司的月,奇虎公司针对腾讯公司的QQ聊天软件,发布了聊天软件,发布了“360隐隐私保护器私保护器”和和“360扣扣保镖扣扣保镖”两款网络安全软件,并称其可以保护两款网络安全软件,并称其可以保护QQ用户的隐私和网络安全。腾讯公司认为奇虎用户的隐私和网络安全。腾讯公司认为奇虎360的这一做法严重危的这一做法严重危害了腾讯的商业利益
23、,并称害了腾讯的商业利益,并称“360扣扣保镖扣扣保镖”是是“外挂外挂”行为。随后,行为。随后,腾讯公司在腾讯公司在11月月3日宣布将停止对装有日宣布将停止对装有360软件的电脑提供软件的电脑提供QQ服务。服务。由此引发了由此引发了“360QQ大战大战”,同时引起了,同时引起了360软件与其它公司类似产软件与其它公司类似产品的一系列纷争,最终演变成为了互联网行业中的一场混战。最终品的一系列纷争,最终演变成为了互联网行业中的一场混战。最终3Q之争在国家相关部门的强力干预下得以平息,扣扣保镖被召回,之争在国家相关部门的强力干预下得以平息,扣扣保镖被召回,QQ与与360恢复兼容。但此次事件对广大终端
24、用户造成的恶劣影响和侵害,恢复兼容。但此次事件对广大终端用户造成的恶劣影响和侵害,并由此引发的公众对于终端安全和隐私保护的困惑和忧虑却远没有消并由此引发的公众对于终端安全和隐私保护的困惑和忧虑却远没有消除。除。案例案例上述三个安全事件均发自于终端,可见终端安全已经上述三个安全事件均发自于终端,可见终端安全已经成为世界范围内的突出问题,在各国精心构建的信息安全成为世界范围内的突出问题,在各国精心构建的信息安全防御体系中,终端安全仍是一个薄弱环节。美国政府历来防御体系中,终端安全仍是一个薄弱环节。美国政府历来以防御严密、技术先进著称,尚且发生了维基解密事件,以防御严密、技术先进著称,尚且发生了维基
25、解密事件,我国在核心技术依赖于国外的情况下,面临的严峻的信息我国在核心技术依赖于国外的情况下,面临的严峻的信息安全形势可想而知,发达国家要使我们的网络信息系统瘫安全形势可想而知,发达国家要使我们的网络信息系统瘫痪或盗窃我们的渉密信息易如反掌。因此,信息安全建设痪或盗窃我们的渉密信息易如反掌。因此,信息安全建设必须走自主之路,而必须走自主之路,而3Q之争又暴露出国内安全厂商和安全之争又暴露出国内安全厂商和安全产业发展存在的诸多问题,我们的安全意识、技术和管理产业发展存在的诸多问题,我们的安全意识、技术和管理水平都亟待提高。如何真正提高终端安全性,水平都亟待提高。如何真正提高终端安全性,可以得到如
26、下启示:可以得到如下启示:案例案例(1)要建立可控的信息交换机制要建立可控的信息交换机制。不同等级网络之间进行数据交换的需。不同等级网络之间进行数据交换的需求是客观存在的,禁止一切数据交换只会导致求是客观存在的,禁止一切数据交换只会导致“地下地下”数据交换,专用数据交换,专用U盘、刻光盘,物理隔离都存在安全风险和漏洞。强行盘、刻光盘,物理隔离都存在安全风险和漏洞。强行“封堵封堵”不如合理不如合理“疏导疏导”,建立集中的数据交换渠道,并对交换过程进行全程监控和审计,建立集中的数据交换渠道,并对交换过程进行全程监控和审计,切实落实信息使用和管理的相关责任,才能确保数据安全。切实落实信息使用和管理的
27、相关责任,才能确保数据安全。(2)攻击和窃密是终端安全的外部原因攻击和窃密是终端安全的外部原因,计算机系统存在缺陷或漏洞、,计算机系统存在缺陷或漏洞、系统配置不当是终端安全的内部原因。外因通过内因起作用,内因是决定系统配置不当是终端安全的内部原因。外因通过内因起作用,内因是决定因素,通过实施终端安全核心配置,对操作系统等系统软件和常用软件进因素,通过实施终端安全核心配置,对操作系统等系统软件和常用软件进行安全配置,提高系统自身安全性,减少系统安全漏洞,降低对第三方工行安全配置,提高系统自身安全性,减少系统安全漏洞,降低对第三方工具技术的依赖,真正提高终端安全防护的自主性。具技术的依赖,真正提高
28、终端安全防护的自主性。(3)国家应尽快建立政府终端安全保障基础设施国家应尽快建立政府终端安全保障基础设施,形成从中央到地方多,形成从中央到地方多级部署,覆盖全国各级政府部门的终端安全管理应用支撑环境,实现对全级部署,覆盖全国各级政府部门的终端安全管理应用支撑环境,实现对全国政务终端的统一安全管理和安全状态监测,掌握终端安全态势,提高运国政务终端的统一安全管理和安全状态监测,掌握终端安全态势,提高运行管理效率,保障国家信息安全。行管理效率,保障国家信息安全。(4)国家应加强对信息安全市场的监督管理,国家应加强对信息安全市场的监督管理,尽快出台有关信息安全、尽快出台有关信息安全、软件行为、信息采集
29、及隐私保护方面的法律法规,规范商业竞争,维护广软件行为、信息采集及隐私保护方面的法律法规,规范商业竞争,维护广大用户的合法权益,促进国内安全厂商和信息安全产业的良性发展。(来大用户的合法权益,促进国内安全厂商和信息安全产业的良性发展。(来源:国家信息中心源:国家信息中心李新友李新友刘蓓刘蓓蔡军霞蔡军霞许涛许涛刘帅)刘帅)前言前言为什么实行等保为什么实行等保制度要求制度要求法律法规法律法规一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系法规法规行政法规行政法规中华人民共和国计算机信息系统安全中华人民共和国计算机信息系统安全保护条例保护条例 1997 1997年国务院行政法规,规定计算
30、机信息系统实行安全年国务院行政法规,规定计算机信息系统实行安全等级保护。等级保护。地方法规地方法规广东省计算机信息系统安全保护条例广东省计算机信息系统安全保护条例 20072007年广东地方法规,系统规定了等级保护,并设置了年广东地方法规,系统规定了等级保护,并设置了法律责任法律责任一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系规范性文件规范性文件国家国家 关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见 2004 2004年公安部、保密局、密码委、信息办联合发文,初步年公安部、保密局、密码委、信息办联合发文,初步规定了信息安全等级保护工作的指导思想、原则、要
31、求规定了信息安全等级保护工作的指导思想、原则、要求 信息安全等级保护管理办法信息安全等级保护管理办法 2007 2007年公安部、保密局、密码委、信息办联合发文,系统年公安部、保密局、密码委、信息办联合发文,系统规定了信息安全等级保护制度规定了信息安全等级保护制度一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系公安机关信息安全等级保护检查工作规范(试行)公安部十一局2008年颁发,规范监督检查工作的具体要求。信息安全等级保护备案工作实施细则 公安部十一局2008年颁发一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系规范性文件规范性文件地方地方 广东省公安厅关于计算机信息
32、系统安全保护的实施办法广东省公安厅关于计算机信息系统安全保护的实施办法 2008 2008年广东省公安厅(经省政府法制办审查通过)发布年广东省公安厅(经省政府法制办审查通过)发布 关于贯彻关于贯彻 和和 的通的通知知 2008 2008年广东省公安厅网警总队印发年广东省公安厅网警总队印发广东省信息安全等级保护备案工作实施细则(试行)广东省信息安全等级保护备案工作实施细则(试行)20082008年广东省公安厅网警总队印发年广东省公安厅网警总队印发标准标准系统定级系统定级信息系统安全保护等级定级指南信息系统安全保护等级定级指南(国家推荐性标准)(国家推荐性标准)安全保护安全保护信息系统安全等级保护
33、基本要求信息系统安全等级保护基本要求(国家推荐性标准)(国家推荐性标准)信息系统安全等级保护实施指南信息系统安全等级保护实施指南信息系统安全等级保护安全设计技术要求信息系统安全等级保护安全设计技术要求检测评估检测评估信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护测评要求信息系统安全等级保护测评要求监督检查监督检查信息系统安全等级保护监督检查要求信息系统安全等级保护监督检查要求一、一、信息安全等级保护的制度体系信息安全等级保护的制度体系标准标准计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则(GB17859GB17859-19991999)信息安
34、全技术信息安全技术 网络基础安全技术要求网络基础安全技术要求信息安全技术信息安全技术 信息系统通用安全技术要求信息系统通用安全技术要求信息安全技术信息安全技术 操作系统安全技术要求操作系统安全技术要求信息安全技术信息安全技术 数据库管理系统安全技术要求数据库管理系统安全技术要求信息安全技术信息安全技术 服务器技术要求服务器技术要求信息安全技术信息安全技术 终端计算机系统安全等级技术要求终端计算机系统安全等级技术要求一、信息安全等级保护的制度体系一、信息安全等级保护的制度体系原则原则来源:来源:关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见信息安全等级保护制度遵循以下基本原
35、则:信息安全等级保护制度遵循以下基本原则:一是明确责任,共同保护一是明确责任,共同保护二是依照标准,自行保护二是依照标准,自行保护三是同步建设,动态调整三是同步建设,动态调整四是指导监督,保护重点四是指导监督,保护重点二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求明确责任,共同保护明确责任,共同保护 通过等级保护,组织和动员职能部门、法人和其他组织、通过等级保护,组织和动员职能部门、法人和其他组织、公民共同参与信息安全保护工作;各方主体按照规范和标公民共同参与信息安全保护工作;各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责任准分别承担相应的、明确具体的信息安全保护
36、责任。二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求依照标准,自行保护依照标准,自行保护 国家运用强制性的规范及标准,要求信息和信息系统按照国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级、自行保护相应的建设和管理要求,自行定级、自行保护。二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求同步建设,动态调整。同步建设,动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设信息系统在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。因信息和信息系施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、
37、范围等条件的变化及其他原因,安全保护统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级。等级保护准的要求,重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订况适时修订。二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求指导监督,重点保护指导监督,重点保护 国家指定信息安全监管职能部门通过备案、指导、检查、国家指定信息安全监管职能部门通过备案、指导、
38、检查、督促整改等方式,对重要信息和信息系统的信息安全保护督促整改等方式,对重要信息和信息系统的信息安全保护工作进行指导监督工作进行指导监督。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求主要内容主要内容来源:来源:信息安全等级保护管理办法信息安全等级保护管理办法国家通过制定统一的信息安全等级保护管理规范和技术标准,国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。护,对等级保护工作的实施进行监督、管理。二、二、信息安全等级保护的工作要求信
39、息安全等级保护的工作要求职责分工职责分工 公安机关公安机关负责信息安全等级保护工作的监督、检查、指负责信息安全等级保护工作的监督、检查、指导。导。国家保密工作部门国家保密工作部门负责等级保护工作中有关保密工作的负责等级保护工作中有关保密工作的监督、检查、指导。监督、检查、指导。国家密码管理部门国家密码管理部门负责等级保护工作中有关密码工作的负责等级保护工作中有关密码工作的监督、检查、指导监督、检查、指导。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求 在信息安全等级保护工作中,涉及其他职能部门管在信息安全等级保护工作中,涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法
40、规的规定辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。进行管理。国务院信息化工作办公室及地方信息化领导小组办事机国务院信息化工作办公室及地方信息化领导小组办事机构构负责信息安全等级保护工作中部门间的协调。负责信息安全等级保护工作中部门间的协调。二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求信息系统的主管部门应当依照相关规范和标准督促、信息系统的主管部门应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。单位的信息安全等级保护工作。信息系统运营、使用单位应当按照等级
41、保护的管理规范信息系统运营、使用单位应当按照等级保护的管理规范和相关标准规范履行信息安全等级保护的义务和责任。和相关标准规范履行信息安全等级保护的义务和责任。二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求 省公安厅、省国家保密局、省国家密码管理局、省信息化省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组领导小组办公室联合成立信息安全等级保护工作协调小组各行业主管部门要成立行业信息安全等级保护工作小组各行业主管部门要成立行业信息安全等级保护工作小组各地级以上市参照成立相应工作机制各地级以上市参照成立相应工作机制重要信息系统运营使用
42、单位成立信息安全等级保护工作组重要信息系统运营使用单位成立信息安全等级保护工作组 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求公安机关职责内容公安机关职责内容指导信息系统运营使用单位及其主管部门确定系指导信息系统运营使用单位及其主管部门确定系统安全保护等级。统安全保护等级。指导信息安全等级保护的建设、整改和管理。指导信息安全等级保护的建设、整改和管理。接受信息系统安全保护等级的备案。接受信息系统安全保护等级的备案。定期对受理备案的信息系统安全保护状况依法进定期对受理备案的信息系统安全保护状况依法进行监督、检查。行监督、检查。对安全保护等级为第三级以上信息系统选择使用对安全保护等
43、级为第三级以上信息系统选择使用信息安全产品的情况进行监督管理。信息安全产品的情况进行监督管理。对信息安全等级保护检测评估服务机构的监督管对信息安全等级保护检测评估服务机构的监督管理。理。二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求各个环节各个环节组织开展调查摸底组织开展调查摸底合理确定保护等级合理确定保护等级依法履行备案手续依法履行备案手续开展安全建设整改开展安全建设整改组织系统安全测评组织系统安全测评加强日常测评自查加强日常测评自查加强安全监督检查加强安全监督检查 组织开展调查摸底组织开展调查摸底 各信息系统主管部门
44、、运营使用单位组织开展对所属各信息系统主管部门、运营使用单位组织开展对所属信息系统的摸底调查,全面掌握信息系统的数量、分布、信息系统的摸底调查,全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构以及系统建设规划业务类型、应用或服务范围、系统结构以及系统建设规划等基本情况,为开展信息安全等级保护工作打下基础等基本情况,为开展信息安全等级保护工作打下基础。二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求合理确定保护等级合理确定保护等级(信息化项目立项前)(信息化项目立项前)来源和依据:来源和依据:信息安全等级保护管理办法信息安全等级保护管理办法、广东省计算机信息系统安全广
45、东省计算机信息系统安全保护条例保护条例,信息安全等级保护实施指南信息安全等级保护实施指南、信息系统安全等级保护定信息系统安全等级保护定级指南级指南 二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求 定级标准定级标准:计算机信息系统安全保护等级根据计算机计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等利益以及公民、法人和其他组织的合法权益的危害程
46、度等因素确定,分为五级:因素确定,分为五级:二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求(一一)计计算算机机信信息息系系统统受受到到破破坏坏后后,可可能能对对公公民民、法法人人和和其其他他组组织织的的合合法法权权益益造造成成损损害害,但但不不损损害害国国家家安安全全、社社会会秩秩序和公共利益的,序和公共利益的,为第一级为第一级;二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求(二二)计计算算机机信信息息系系统统受受到到破破坏坏后后,可可能能对对公公民民、法法人人和和其其他他组组织织的的合合法法权权益益产产生生严严重重损损害害,或或者者可可能能对对社社会会秩秩序序和和
47、公共利益造成损害,但不损害国家安全的公共利益造成损害,但不损害国家安全的,为第二级;为第二级;二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求(三三)计计算算机机信信息息系系统统受受到到破破坏坏后后,可可能能对对社社会会秩秩序序和和公公共共利利益益造造成成严严重重损损害害,或或者者可可能能对对国国家家安安全全造造成成损损害害的的,为第三级为第三级;二、二、信息安全等级保护的工作要求信息安全等级保护的工作要求(四四)计计算算机机信信息息系系统统受受到到破破坏坏后后,可可能能对对社社会会秩秩序序和和公公共共利利益益造造成成特特别别严严重重损损害害,或或者者可可能能对对国国家家安安全全造
48、造成成严严重重损损害的,为害的,为第四级第四级;(五五)计计算算机机信信息息系系统统受受到到破破坏坏后后,可可能能对对国国家家安安全全造造成成特特别严重损害的,为别严重损害的,为第五级。第五级。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求定级程序:定级程序:信信息息系系统统运运营营、使使用用单单位位应应当当依依照照相相关关规规定定和和标标准准和和行行业业指指导导意意见见确确定定信信息息系系统统的的安安全全保保护护等等级级。有有主主管管部部门门的的,应应当经主管部门审核批准。当经主管部门审核批准。跨跨省省或或者者全全国国统统一一联联网网运运行行的的信信息息系系统统可可以以由由主主
49、管管部部门门统统一一确定安全保护等级。确定安全保护等级。对对拟拟确确定定为为第第四四级级以以上上信信息息系系统统的的,运运营营、使使用用单单位位或或者者主主管部门应当请国家信息安全保护等级专家评审委员会评审。管部门应当请国家信息安全保护等级专家评审委员会评审。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求定级注意事项一级信息系统:适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。二级信息系统:适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网,非涉及秘密、敏感信息的办公系统等。二、信息安全等级保护的
50、工作要求二、信息安全等级保护的工作要求三级信息系统:适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。四级信息系统:适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。二、信息安全等级保护的工作要求二、信息安全等级保护的工作要求在申报系统新建、改建、扩建立项时在申报系统新建、改建、扩建立项时须同时向立项审批部门提交定级报告须同时向立项审批部门提交