信息系统等级保护制度实施.ppt

引言 近年来，党中央、国务院高度重视，各有关方面协调配合、共同努力，我国信息安全保障工作取得了很大进展。但是从总体上看，我国的信息安全保障工作尚处于起步阶段，基础薄弱，水平不高，存在以下突出问题： 存在的问题 信息安全滞后于信息化发展； 信息安全阻碍了信息化发展。 存在的问题（续） —大多数单位均采用防火墙作为内外网的防护设备奠定了最基本的网络安全基础。 —重视外部攻击与入侵，忽视内部的非法行为 —偏重产品，忽视体系和管理。 —关键技术、产品受制于人。 产生问题的原因 信息安全防范意识和能力薄弱; 信息安全法律法规不完善，标准体系尚待完善; 信息系统安全建设和管理缺乏体系化思想； 监督管理缺乏依据和标准，监管体系尚待完善。 我们的对策 美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁，制定了一系列强化信息网络安全建设的政策和标准，其中一个很重要思想就是将不同重要程度的信息系统划分不同的安全等级，以指导不同领域的信息安全工作。 面对严峻的形势和严重的问题，如何解决我国信息安全问题，是摆在我国政府、企业、公民面前的重大关键问题。 我们的对策（续） 经过我国信息安全领域有关部门和专家学者的多年研究，在借鉴国外先进经验和结合我国国情的基础上，提出了分等级保护的策略来解决我国信息安全问题： 信息安全等级保护制度 信息安全等级保护制度 《中华人民共和国计算机信息系统安全保护条例》（ 1994年国务院147号令）规定“计算机信息系统实行安全等级保护。等级划分标准和等级管理办法由公安部会同有关部门制定”。 信息安全等级保护制度（续） 2003年，中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出：要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度。制定信息安全等级保护的管理办法和技术指南。 信息安全等级保护制度(续） 2004年9月，公安部、国家必威体育官网网址局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），文件中明确指出：信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。 等级保护制度的主要内容 根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；信息系统必须达到的基本的安全保护水平等因素，对信息和信息系统划分以下五个安全保护和监管等级： 第一级为自主保护级 适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。 信息系统运营、使用单位或个人依照国家管理规范和技术标准进行自主保护。 第二级为指导保护级 适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全； 信息系统运营、使用单位应当依据国家管理规范和技术标准自主进行保护。必要时，国家信息安全监管职能部门进行指导。 第三级为监督保护级 适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害； 依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。 第四级为强制保护级 适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，对国家安全、社会秩序和公共利益造成严重损害 ； 依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。 第五级为专控保护级 适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，所承载的业务受到破坏后，会直接对国家安全造成特别严重损害； 依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督。 信息安全产品使用 信息安全产品的安全功能和可控性直接关系到其所构建的信息系统的安全； 国家对信息安全产品的管理除按法律要求实行销售许可外，还对信息安全产品的使用按照其安全性，特别是其可控性和可信性进行分等级管理。 信息安全事件分等级响应处置 依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围，确定事件等级。根据不同安全保护