积极推进信息系统等级建设要点.pptVIP

* * 公安部 信息安全等级保护评估中心 公安部 信息系统安全等级保护评估中心 积极推进信息系统等级建设 目录 1 等级保护是国家基本政策 2 建立国家信息安全等级保护机制 3 信息系统安全等级保护制度实施方法 4 等级化系统的建设 1、 等级保护是国家基本政策 27号文件进一步明确了我国的基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统实行等级保护制度； 同时要求等级保护工作需要各部门根据职能分工、协同配合。 1、 等级保护是国家基本政策 信息安全等级保护是《中华人民共和国计算机信息系统安全保护条例》规定的法定保护制度，具有强制性； 第二是以国家制度推进信息和信息系统安全保护责任的落实； 第三是符合客观实际，具有科学性； 第四是具有自我保护与国家保护相结合的长效保护机制； 第五是突出保护重点，国家优先重点保护涉及国计民生的信息系统，国家基础信息网络和重要信息系统内分级重点保护三级以上的局域网和子系统安全； 第六是具有整体保护性，在突出重点，兼顾一般的原则下，着重加强重点、要害部位,由点到面进行保护，逐步实现信息安全整体保障。 2、建立国家信息安全等级保护机制 国家实行信息安全等级保护，必须紧紧抓住抓好五个关键环节，形成长效信息安全等级保护运行机制。国家信息安全等级保护制度运行机制有以下关键环节构成： 1．法律规范 2．管理与技术规范 3．实施过程控制 4．结果控制 5．监督管理。 2、建立国家信息安全等级保护机制 1．法律规范：国家制定和完善信息安全等级保护政策、法律规范以及组织实施规则和方法,完善信息安全保护法律体系； 2．管理与技术规范：制定符合国情的标准,建立等级保护体系； 3．实施过程控制：明确落实系统拥有者的安全责任制，系统拥有者按法律规定和安全等级标准的要求进行信息系统的建设和管理，并承担应急管理责任，在信息系统生命周期内进行自管、自查、自评，建立安全管理体系。安全产品的研发者提供符合安全等级标准要求的技术产品。 2、建立国家信息安全等级保护机制 4．结果控制：建立非盈利并能够覆盖全国的系统安全等级保护的执法检查与评估体系，使用统一标准和工具开展系统安全等级保护检查评估工作。 5．监督管理：公安机关依法行政，督促安全等级保护责任制的落实，以等级保护标准监督、检查、指导基础信息网络和重要信息系统安全等级保护建设、管理。对安全等级技术产品实行监管，对监测评估机构实施监管。政府其他职能部门应当认真履行职责，依法行政，按职责开展信息安全等级保护专项制度建设工作，完善信息安全监督体系。 3、 信息系统安全等级保护制度实施方法 首先，公安、国家必威体育官网网址、国家密码管理、技术监督、信息产业等国家有关信息网络安全的行政主管部门要在国家信息化领导小组的统一领导下，制定我国开展信息网络安全等级保护工作的发展政策，统一制定针对不同安全保护等级的管理规定和技术标准，对不同信息网络确定不同安全保护等级和实施不同的监督管理措施，既包括依法进行行政监督、检查和指导，也包括依据国家技术标准进行的技术检查和评估。 3、 信息系统安全等级保护制度实施方法 其次，等级保护坚持“谁主管、谁负责；谁经营、谁负责；谁建设、谁负责；谁使用、谁负责。”的原则。 3、 信息系统安全等级保护制度实施方法 第三，等级保护实行“国家主导；重点单位强制，一般单位自愿；高保护级别强制，低保护级别自愿”的监管原则。 3、 信息系统安全等级保护制度实施方法 第四，信息网络安全状况等级的技术检测是等级保护的重点。 由国家授权的技术检测机构通过技术检测来进行评定。技术检测机构需取得国家主管部门的技术资质和授权后，方可从事信息网络安全等级保护的技术检测。 3、 信息系统安全等级保护制度实施方法 计划在五年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度： 1、准备阶段 2、试行阶段 3、全面实行阶段 4、 等级化系统的建设 信息系统等级的划分方法（自主评级） 实施步骤： 业务影响分析、划分子系统 确定子系统边界 确定安全保护等级 子系统间访问关系的模型化 安全风险分析与控制措施调整 确定系统保护安全计划 系统等级和安全计划的批准 等级保护第一级 第一级安全的信息系统具备对信息和系统进行基本保护的能力。 在技术方面，第一级要求设置基本的安全功能，使信息免遭非授权的泄露和破坏，能保证基本安全的系统服务。 在安全管理方面，第一级要求根据机构自身安全需求，为信息系统正常运行提供基本的安全管理保障。 5 等级化系统的建设 等级保护第二级 第二级安全的信息系统具备对信息和系统进行比较完整的系统化的安全保护能力。 在技术方面，第二级要求采用系统化的设计方法，实现比较完整的安全保护，并通过安全审计机制，使其它安全机制间接地