国家信息安全等级制度[精选].ppt

国家信息安全等级制度与等级保护工作的实施 公安部公共信息网络安全监察局 郭启全 目录 一、什么是信息安全等级保护 信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。 1994年，《中华人民共和国计算机信息系统安全保护条例 》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定” 。 1995年2月18日人大12次会议通过并实施的《中华人民共和国警察法》第二章第六条第十二款规定，公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。——法律依据。 1999年，强制性国家标准－《计算机信息系统安全保护等级划分准则》GB 17859）。 2003年，中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南” 。 2004年，公安部、国家必威体育官网网址局、国家密码管理局、国信办联合印发了《关于信息安全等级保护工作的实施意见》（66号文件） 2006年1月，公安部、国家必威体育官网网址局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法》（公通字[2006]7号） 等级保护制度的基本思想 1、 政府层面：国家制定统一信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对信息安全产品的使用分等级实行管理，对等级保护工作的实施进行监督、指导。 2、用户层面 ：公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作，服从国家对信息安全等级保护工作的监督、指导，保障信息系统安全。 3、社会层面 ：信息安全产品的研制、生产单位，信息系统的集成、等级测评、风险评估等安全服务机构，依据国家有关管理规定和技术标准，开展相应工作，并接受国家信息安全职能部门的监督管理。 二、信息安全等级保护的工作进展 一是2006年1月制定出台了《信息安全等级保护管理办法（试行）》。 二是2006年5月18日组织召开了国家信息安全等级保护工作协调小组第一次会议。 三是制定了等级保护系列技术标准。 四是开展了等级保护基础调查工作。 五是部署开展信息安全等级保护试点工作。 六是出台新的《信息安全等级保护管理办法》。 七是筹备召开全国信息系统定级工作。 三、安全保护等级的划分 四、等级保护工作的职责分工 公安机关负责信息安全等级保护工作的监督、检查、指导；国家必威体育官网网址工作部门负责等级保护工作中有关必威体育官网网址工作的监督、检查、指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 五、等级保护工作的主要流程 一是定级。包括评审与审批。 二是备案（二级以上信息系统）。 三是系统建设、整改（按条件选择产品）。 四是开展等级测评（按条件选择测评机构）。 五是信息安全监管部门定期开展监督检查。 六、等级保护的政策体系和标准体系 国务院147号令、中央27号文件、《关于信息安全等级保护工作的实施意见》 （公通字[2004]66号）》、《信息安全等级保护管理办法（公通字[2007]43号）》。 标准包括《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》等30多个标准。 七、信息安全产品和测评机构管理思路 七、信息安全产品和测评机构管理思路 谢谢！ * 一、什么是信息安全等级保护 二、信息安全等级保护的工作进展 三、安全保护等级的划分 四、等级保护工作的职责分工 五、等级保护工作的主要流程 六、等级保护标准体系 七、信息安全产品和测评机构管理思路 重要信息系统 信息安全产品 由第三方依据认证认可条例证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定。 第二关，可信性、可靠性、可控性审核。 第一关，质量认证。 由国家信息安全监管