《信息安全等级保护管理办法_》培训教材
信息安全等级保护管理办法
(公通字[2022 ] 43 号)第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,催促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成伤害,但不伤害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重伤害,或者对社会秩序和公共利益造成伤害,但不伤害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重伤害,或者对国家安全造成伤害.第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特殊严重伤害,或者对国家安全造成严重伤害。
《信息安全等级保护管理办法》
信息安全等级保护管理办法第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法.第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作.第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任.第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
《信息安全等级保护管理办法》培训教材(第二版)
信息安全等级保护培训教材(第二版)公安部二〇〇七年八月前言当前,我国信息安全面临的形势仍然十分严峻,维护国家信息安全的任务非常艰巨、繁重。
随着我国经济的持续发展和国际地位的不断提高,我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患比较严重,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,犯罪分子利用一些安全漏洞,使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪,给用户造成严重损失。
特别是“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点,网络与信息安全已经成为事关北京奥运安全的重大问题之一。
党中央、国务院高度重视信息安全工作,中共中央办公厅转发的《国家网络与信息安全协调小组关于确保党的十七大信息安全的意见》,要求公安部会同有关部门,抓紧开展并完成重要信息系统安全等级保护定级工作,确保国家重要信息系统的信息网络安全,为党的十七大的胜利召开创造良好的信息网络环境。
信息安全等级保护制度是国家信息安全保障工作的基本制度。
开展信息安全等级保护工作不仅是加强国家信息安全保障工作的重要内容,也是一项事关国家安全、社会稳定、党的十七大胜利召开和北京奥运会成功举办的政治任务。
为了加快推进信息安全等级保护工作,2007年6月22日,公安部与国家保密局、密码管理局、国务院信息办联合会签并印发了《信息安全等级保护管理办法》(公通字[2007]43号),7月16日四部委联合会签并下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),7月20日四部委联合组织召开了“全国重要信息系统安全等级保护定级工作电视电话会议”。
为保证信息系统运营使用单位、主管部门能够及时、扎实地开展重要信息系统安全等级保护定级工作(以下简称“定级工作”),配合公安、保密、密码部门履行职责,监督、检查、指导定级工作,结合近年来公安机关牵头组织开展信息安全等级保护工作的基础调查、试点等工作经验,我们编写了这本培训教材,供有关部门在开展信息安全等级保护工作中参考、借鉴。
信息安全等级保护培训教材
信息安全等级保护培训教材信息安全是当今社会中至关重要的一个方面。
随着科技的不断发展和信息技术的普及应用,我们面临着越来越多的信息安全威胁和挑战。
为了保护个人和组织的信息安全,信息安全等级保护培训成为了必要的一项工作。
本次培训教材旨在为学员提供全面的信息安全等级保护知识,帮助他们更好地理解和应对信息安全威胁。
接下来,我们将深入探讨信息安全等级保护的相关主题。
一、信息安全等级保护概述信息安全等级保护是指根据信息系统的重要性和风险等级,采取相应的安全防护措施,确保信息系统在一定等级要求下的安全性。
信息安全等级保护分为五个等级,从一级(最低等级)到五级(最高等级)。
每个等级对应着一系列安全要求和技术标准,包括网络安全、数据安全、系统安全等方面。
学员需要了解每个等级的安全要求和对应的技术措施,为信息安全等级的评估和保护提供基础。
二、信息安全等级保护知识1. 安全风险评估安全风险评估是信息安全等级保护的基础工作。
学员需要了解不同等级的风险评估方法和步骤,包括威胁辨识、漏洞评估、风险评估等内容。
通过安全风险评估,可以全面了解信息系统的安全风险状况,有针对性地采取相应的安全防护措施。
2. 安全防护技术安全防护技术是信息安全等级保护的核心内容。
学员需要学习各种安全防护技术,如网络安全、入侵检测、安全监控等。
通过熟悉和掌握这些技术,可以提高信息系统的整体安全性,有效防止各种安全威胁。
3. 信息安全管理信息安全管理是信息安全等级保护的基本要求。
学员需要了解信息安全管理的基本原则和方法,包括组织架构、职责分工、安全策略等内容。
通过合理的信息安全管理,可以提高组织对信息资产的保护能力,降低信息泄漏和其他安全事件的风险。
三、信息安全等级保护实践学员需要通过一些实际案例和实践来了解信息安全等级保护的具体实施步骤和方法。
这些案例可以涵盖不同等级的信息系统和相关行业领域,帮助学员将理论知识应用到实际工作中。
同时,学员还需要学习一些信息安全等级保护的实践工具和软件,如安全评估工具、漏洞扫描器等,以提高信息安全防护的效果。
信息安全等级保护管理办法
信息安全等级保护的风险监控与改进
风险监控
• 实时监测信息系统的安全状况 • 分析风险的发展趋势,采取相应措施
改进
• 根据风险监控结果,调整安全保护措施 • 提高信息系统的安全性能
06 信息安全等级保护的未来发展趋势
信息安全等级保护技术的创新与发展
技术创新
• 研究和应用新技术,提高信息安全保护水平 • 如:人工智能、大数据、区块链等技术在信息安全等级 保护中的应用
DOCS SMART CREATE
信息安全等级保护管理办法
CREATE TOGETHER
DOCS
01 信息安全等级保护概述
信息安全等级保护的定义与意义
信息安全等级保护是一种制度
• 规定信息系统应达到的安全要求 • 为信息系统提供安全保障
信息安全等级保护的意义
• 保护国家信息安全 • 维护社会稳定和经济发展 • 促进信息化建设和网络安全产业发展
确定信息系统安全保护等级
根据信息系统 的重要性、敏 感性和保密性
进行定级
01
参考《信息安 全等级保护基 本要求》进行
定级
02
确定信息系统 的保护等级
03
开展信息安全等级保护定级备案
向公安机关提交定级备案材料 材料包括:信息系统定级报告、定级备案表等 公安机关审核通过后,发放备案证书
落实信息安全等级保护措施
信息安全等级保护的原则与方法
信息安全等级保护的原则
• 分类保护:根据信息系统的重要性、敏感性和保密性进行分类 • 分级保护:根据信息系统的安全等级采取相应级别的保护措施 • 动态调整:根据信息系统安全状况的变化调整保护措施
信息安全等级保护的方法
• 定级备案:确定信息系统安全保护等级并备案 • 安全措施:落实信息安全等级保护措施 • 测评检查:进行信息安全等级保护测评和检查
信息系统安全等级保护基本要求培训教材
信息安全等级保护培训教材《信息系统安全等级保护基本要求》公安部2007年7月目录1概述 (3)1.1 背景介绍 (3)1.2 主要作用及特点 (3)1.3 与其他标准的关系 (4)1.4 框架结构 (4)2描述模型 (5)2.1 总体描述 (5)2.2 保护对象 (6)2.3 安全保护能力 (6)2.4 安全要求 (8)3逐级增强的特点 (9)3.1 增强原则 (9)3.2 总体描述 (10)3.3 控制点增加 (11)3.4 要求项增加 (11)3.5 控制强度增强 (12)4各级安全要求 (13)4.1 技术要求 (13)4.1.1 物理安全 (13)4.1.2 网络安全 (19)4.1.3 主机安全 (24)4.1.4 应用安全 (29)4.1.5 数据安全及备份恢复 (35)4.2 管理要求 (38)4.2.1 安全管理制度 (38)4.2.2 安全管理机构 (40)4.2.3 人员安全管理 (43)4.2.4 系统建设管理 (47)4.2.5 系统运维管理 (52)本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件,围绕信息安全等级工作,介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。
通过培训,使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容,以便正确选择合适的安全要求进行信息系统保护。
1概述1.1背景介绍2004年,66号文件中指出“信息安全等级保护工作是个庞大的系统工程,关系到国家信息化建设的方方面面,这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施,信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。
信息安全等级保护培训教材PPT92页课件
……
TCP/IP IPX/SPX SNMP
……
场地 机房 网络布线 设备 存储设备
……
各级系统的保护要求差异
信息安全管理生命周期
建设管理
运维管理
系统定级 方案设计 产品使用 自行开发 系统交付 测试验收 工程实施 软件外包
设 介资 环密
备 质产 境码
恶 意 理
✓ 系统测评:《信息系统安全等级保护测评要求》是针对《信息安全等 级保护基本要求》的具体控制要求开发的测评要求,旨在强调系统按 照《信息安全等级保护基本要求》进行建设完毕后,检验系统的各项 保护要求是否符合相应等级的基本要求。
✓ 由上可见,《信息安全等级保护基本要求》在整个标准体系中起着承 上启下的作用。相关技术要求可以作为《信息安全等级保护基本要求 》的补充和详细指导标准。
公通字[2006]7号文 ✓ 明确了信息安全等级保护的具体要求。 ✓ 为推广和实施信息安全等级保护提供法律保障。
公信安[2007]861号 ✓ 标志着等级保护工作正式推向实施阶段。
等级保护政策依据
公通字[2007]43号文 2007.6.22
➢ 明确主管单位: 公安机关负责信息安全等级保护工作的监督、检查
、指导。
国家保密部门负责等保中保密工作的监督、检查、 指导。
国家密码管理部门负责等保中有关密码工作的监督 、检查、指导。
➢ 确定5个等级,但去掉了[2006 7号文]“自主保护 ”、“指导保护”、“监督保护”等称为。
等级保护政策依据
公通字[2007]43号文
五个等级的基本情况
➢ 第一级:运营、使用单位根据国家管理规范、技术标准自 主防护。
/ /
一级 9 9 6 7 2
3 4 7 20 18 85 /
信息安全等级保护管理办法
《信息安全等级保护管理办法》(公安部、国家安全部、国家XX局、信息产业部、国家密码管理局联合发布)第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家XX工作部门负责等级保护工作中有关XX工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉与其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室与地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法与相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法与其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以与公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
《信息安全等级保护管理办法》
信息安全等级保护管理办法第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。
国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。
第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全保护等级分为以下五级:页脚内容1第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
广西信息安全等级保护培训教材(第1册)
广西壮族自治区信息安全等级保护培训教材(第一册)广西壮族自治区公安厅网络安全保卫总队二〇一〇年八月目录一、信息安全等级保护政策体系(一)总体方面的政策文件(二)具体环节的政策文件1、定级环节2、备案环节3、安全建设整改环节4、等级测评环节5、安全检查环节二、信息安全等级保护标准体系(一)各类标准与等级保护工作的关系1、基础标准2、安全要求类标准3、定级类标准4、方法指导类标准5、现状分析类标准(二)在应用有关标准中需注意的几个问题三、信息安全等级保护安全管理制度建设和技术措施建设(一)信息安全等级保护安全管理制度建设1、开展安全管理制度建设的依据2、开展安全管理制度建设的内容3、开展安全管理制度建设的要求(二)开展信息安全等级保护安全技术措施建设1、开展安全技术措施建设的依据2、开展安全技术措施建设的内容3、开展安全技术措施建设的要求四、安全建设整改工作的原则和主要思路(一)工作目标(二)工作范围(三)工作方法五、安全建设整改工作基本流程六、信息安全产品的选择使用七、信息系统安全等级测评工作(一)测评机构的选择(二)等级测评工作的开展八、安全自查和监督检查(一)备案单位的定期自查(二)行业主管部门的督导检查(三)公安机关的监督检查九、工作要求(一)同步部署,同步实施(二)加强宣传,树立典型(三)认真总结,及时报送广西壮族自治区信息安全等级保护培训教材公安部、国家保密局、国家密码管理局和原国务院信息办2007年7月在全国范围内组织开展的信息系统定级备案工作已基本完成。
通过定级,基本摸清了国家基础网络和信息系统底数,掌握了关系国家安全、国计民生的重要信息系统基本情况,为深入开展信息安全等级保护工作打下了坚实基础。
近年来,公安部会同有关部门开展了信息系统等级保护安全建设整改工作的试点、示范,以及为期3个月的信息安全等级保护测评体系建设试点工作,组织制定了《信息系统等级保护安全设计技术要求》、《信息安全等级保护测评机构及测评人员管理细则》和《信息系统等级保护测评报告模版》相关标准规范,在此基础上出台了《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号,以下简称《指导意见》),为指导各单位、各部门开展信息安全等级保护安全建设整改工作(以下简称“安全建设整改工作”)奠定了基础。
信息安全等级保护培训课程(PDF 99页)
方 法 指 导
基线要求
信息系统安全等级保护基本要求的行业细则
信
信
息
息
系
系
统
统
等
安
级
全
保
等
护
级
安
保
全
护
设
实
计
施
技
指
术
南
要
求
信息系统安全等级保护基本要求
技术类
信息系统通用安全
管理类
信息系统安全
产品类
操作系统安全技术
目录
有关的概念、政策和标准回顾 安全建设整改的具体要求和工作流程 安全建设整改的内容和方法
第四级 S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,
S4A2G4,S4A1G4
第五级 S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A5G5,
S5A4G5,S5A3G5,S5A2G5,S5A1G5
安全保护能力
系统能够抵御威胁、发现安全事件以及在系 统遭到损害后能够恢复先前状态等的程度
2008
信息安全技术
信息系安全统技安术全等级信保息护系基统本通要用求安全技术要求
3 GB/T 21052-2006 信息安全技术 信息系统物理安全技术要求
6
GB/T 244856-GB/T 2009
2信02息7安0-全20技0术6
信息系安全统技等术级保护网安络全基设础计安技全术技要术求要求
5 GB/T 20272-2006 信息安全技术 操作系统安全技术要求
指对国家秘密信息、法人和其他组织及公民的专有 信息以及公开信息和存储、传输、处理这些信息的 信息系统分等级实行安全保护;
信息安全等级保护培训教材
信息安全等级保护培训教材作者:公安部来源:重要信息系统安全等级保护工作培训目录一、我国在信息安全保障工作中为什么要实行等级保护制度二、实行信息安全等级保护制度的目的三、等级保护工作的主要流程有哪些?开展等级保护基本要求是什么四、重要信息系统安全等级保护定级工作的主要步骤是什么五、当前定级工作存在的主要问题及分析六、定级工作完成后需要开展哪些工作七、开展安全等级保护工作依据的主要标准有哪些八、公安机关组织开展等级保护中的职责任务是什么九、《信息安全等级保护管理办法》释义一、我国在信息安全保障工作中为什么要实行等级保护制度当前,我国基础信息网络和重要信息系统安全面临的形势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节。
一是针对基础信息网络和重要信息系统的违法犯罪持续上升。
二是基础信息网络和重要信息系统安全隐患严重。
三是我国的信息安全保障工作基础还很薄弱。
一、我国在信息安全保障工作中为什么要实行等级保护制度一是针对基础信息网络和重要信息系统的违法犯罪持续上升。
不法分子利用一些安全漏洞,使用病毒、木马、网络钓鱼等技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪,对我国的经济秩序、社会管理秩序和公民的合法权益造成严重侵害。
一、我国在信息安全保障工作中为什么要实行等级保护制度二是基础信息网络和重要信息系统安全隐患严重。
由于各基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口,在操作系统、专用芯片和大型应用软件等方面不能自主可控,给我国的信息安全带来了深层的技术隐患。
一、我国在信息安全保障工作中为什么要实行等级保护制度三是我国的信息安全保障工作基础还很薄弱。
信息安全意识和安全防范能力薄弱,信息系统安全建设、监管缺乏依据和标准,安全保护措施和安全制度不落实,监管措施不到位。
二、实行信息安全等级保护制度的目的信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。
开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。
《信息安全等级保护管理办法》
《信息安全等级保护管理办法》第一章总则第一条为规范信息安全等级爱护治理,提升信息安全保证能力和水平,爱护国家安全、社会稳固和公共利益,保证和促进信息化建设,按照《中华人民共和国运算机信息系统安全爱护条例》等有关法律法规,制定本方法。
第二条国家通过制定统一的信息安全等级爱护治理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全爱护,对等级爱护工作的实施进行监督、治理。
第三条公安机关负责信息安全等级爱护工作的监督、检查、指导。
国家保密工作部门负责等级爱护工作中有关保密工作的监督、检查、指导。
国家密码治理部门负责等级爱护工作中有关密码工作的监督、检查、指导。
涉及其他职能部门管辖范畴的事项,由有关职能部门按照国家法律法规的规定进行治理。
国务院信息化工作办公室及地点信息化领导小组办事机构负责等级爱护工作的部门间和谐。
第四条信息系统主管部门应当按照本方法及有关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级爱护工作。
第五条信息系统的运营、使用单位应当按照本方法及其有关标准规范,履行信息安全等级爱护的义务和责任。
第二章等级划分与爱护第六条国家信息安全等级爱护坚持自主定级、自主爱护的原则。
信息系统的安全爱护等级应当按照信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
第七条信息系统的安全爱护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严峻损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严峻损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成专门严峻损害,或者对国家安全造成严峻损害。
信息安全等级保护培训教材(第1册)
信息安全等级保护培训教材
(第一册)
目录
一、信息安全等级保护政策体系
(一)总体方面的政策文件
(二)具体环节的政策文件
1、定级环节
2、备案环节
3、安全建设整改环节
4、等级测评环节
5、安全检查环节
二、信息安全等级保护标准体系
(一)各类标准与等级保护工作的关系
1、基础标准
2、安全要求类标准
3、定级类标准
4、方法指导类标准
5、现状分析类标准
(二)在应用有关标准中需注意的几个问题
三、信息安全等级保护安全管理制度建设和技术措施建设
(一)信息安全等级保护安全管理制度建设
1、开展安全管理制度建设的依据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全等级保护培训教材(第二版)公安部二〇〇七年八月前言当前,我国信息安全面临的形势仍然十分严峻,维护国家信息安全的任务非常艰巨、繁重。
随着我国经济的持续发展和国际地位的不断提高,我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患比较严重,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,犯罪分子利用一些安全漏洞,使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪,给用户造成严重损失。
特别是“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点,网络与信息安全已经成为事关北京奥运安全的重大问题之一。
党中央、国务院高度重视信息安全工作,中共中央办公厅转发的《国家网络与信息安全协调小组关于确保党的十七大信息安全的意见》,要求公安部会同有关部门,抓紧开展并完成重要信息系统安全等级保护定级工作,确保国家重要信息系统的信息网络安全,为党的十七大的胜利召开创造良好的信息网络环境。
信息安全等级保护制度是国家信息安全保障工作的基本制度。
开展信息安全等级保护工作不仅是加强国家信息安全保障工作的重要内容,也是一项事关国家安全、社会稳定、党的十七大胜利召开和北京奥运会成功举办的政治任务。
为了加快推进信息安全等级保护工作,2007年6月22日,公安部与国家保密局、密码管理局、国务院信息办联合会签并印发了《信息安全等级保护管理办法》(公通字[2007]43号),7月16日四部委联合会签并下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),7月20日四部委联合组织召开了“全国重要信息系统安全等级保护定级工作电视电话会议”。
为保证信息系统运营使用单位、主管部门能够及时、扎实地开展重要信息系统安全等级保护定级工作(以下简称“定级工作”),配合公安、保密、密码部门履行职责,监督、检查、指导定级工作,结合近年来公安机关牵头组织开展信息安全等级保护工作的基础调查、试点等工作经验,我们编写了这本培训教材,供有关部门在开展信息安全等级保护工作中参考、借鉴。
目录一、信息安全等级保护工作概述(一)开展信息安全等级保护工作的政策和法律依据(二)近几年来公安部牵头实施信息安全等级保护制度,开展了哪些具体工作(三)我国信息信息网络安全面临的严峻形势(四)实行信息安全等级保护制度能够解决哪些主要问题(五)信息安全等级保护工作的主要流程包括哪些(六)开展等级保护工作的总体要求二、明确各方责任义务三、信息系统安全保护等级的划分与保护(一)坚持“自主定级、自主保护”与国家监管相统一原则(二)信息系统安全保护等级(三)信息系统安全保护等级的定级要素(四)五级保护和监管四、信息系统安全保护等级的确定(一)定级范围(二)定级工作步骤五、备案和备案审核(一)备案(二)备案审核六、信息系统安全建设整改、等级测评(一)信息系统安全建设整改(二)有关技术标准和管理标准的简要说明(三)信息安全产品分等级使用管理(四)等级测评和自查七、监督检查(一)监督检查的主要内容(二)监督检查方式(三)信息系统运营使用单位的配合八、对违反有关等级保护规定的处罚(一)违规行为(二)处罚方式附件:1、国家信息安全等级保护工作协调小组2、国家信息安全保护等级专家评审委员会人员名单3、信息系统安全等级保护备案表4、《信息系统安全等级保护定级报告》模版信息安全等级保护培训教材一、信息安全等级保护工作概述(一)开展信息安全等级保护工作的政策和法律依据1、1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度;二是出台配套的规章和技术标准;三是明确了公安部的牵头地位。
2、1995年2月18日人大12次会议通过并实施的《中华人民共和国警察法》第二章第六条第十二款规定,公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。
3、2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。
同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。
(二)近几年来公安部牵头实施信息安全等级保护制度,开展了哪些具体工作按照《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定和《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)文件精神,公安部会同国家保密局、国家密码管理局和国务院信息办开展了如下工作。
1、出台了等级保护规范标准。
2004年9月联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),2007年6月联合出台了《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》),明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。
制定了包括《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》等50多个国标和行标,初步形成了信息安全等级保护标准体系。
2、开展了等级保护基础调查工作。
2005年底,公安部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号)。
2006年上半年,公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。
调查对象共计65117家单位,涉及115319个信息系统。
通过基础调查,基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况,为制定信息安全等级保护政策奠定了坚实的基础。
3、开展了等级保护试点工作。
2006年6月,公安部、国家保密局、国家密码管理局、国务院信息办联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。
在13个省区市和3个部委联合开展了信息安全等级保护试点工作。
通过试点,完善了开展等级保护工作的模式和思路,检验和完善了开展等级保护工作的方法、思路、规范标准,探索了开展等级保护工作领导、组织、协调的模式和办法,为全面开展等级保护工作奠定了坚实的基础。
4、部署开展定级工作。
2007年7月20日,公安部、国家保密局、国家密码管理局、国务院信息办在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。
国家信息安全等级保护协调小组组长、公安部副部长张新枫同志和国务院信息化工作办公室副主任、国家网络与信息安全协调小组办公室主任杨学山同志作了重要讲话。
国家信息安全职能部门、基础信息网络和重要信息系统主管部门、各省(区、市)公安厅(局)、保密局、国家密码管理局、信息化领导小组办公室和有关行业、部门的负责同志出席了会议。
为加强信息安全等级保护工作的领导,公安部、国家保密局、国家密码管理局联合成立了由公安部张新枫副部长任组长的“国家信息安全等级保护协调小组”(见附件),办公室设在公安部公共信息网络安全监察局。
(三)我国信息信息网络安全面临的严峻形势随着我国国民经济和社会发展信息化进程的全面加快,我国信息化的程度越来越高,关系国计民生的重要领域信息系统已经成为国家的关键基础设施。
这些基础信息网络和重要信息系统安全,已经严重关系国家安全和社会稳定,关系广大人民群众切身利益。
当前,我国基础信息网络和重要信息系统安全面临的形势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节,维护国家信息安全的任务十分艰巨、繁重。
随着我国国民经济和社会发展信息化进程的全面加快,我国信息化的程度越来越高,关系国计民生的重要领域信息系统已经成为国家的关键基础设施。
这些基础信息网络和重要信息系统安全,已经严重关系国家安全和社会稳定,关系广大人民群众切身利益。
当前,我国基础信息网络和重要信息系统安全面临的形势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节,维护国家信息安全的任务十分艰巨、繁重。
一是针对基础信息网络和重要信息系统的违法犯罪持续上升。
不法分子利用一些安全漏洞,使用病毒、木马、网络钓鱼等技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪,对我国的经济秩序、社会管理秩序和公民的合法权益造成严重侵害。
二是基础信息网络和重要信息系统安全隐患严重。
由于各基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口,在操作系统、专用芯片和大型应用软件等方面不能自主可控,给我国的信息安全带来了深层的技术隐患。
三是我国的信息安全保障工作基础还很薄弱。
信息安全意识和安全防范能力薄弱,信息系统安全建设、监管缺乏依据和标准,安全保护措施和安全制度不落实,监管措施不到位。
特别需要指出的是,“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点。
北京奥组委日常工作、赛事活动、宣传报道及票务等工作大多在网上进行,网络与信息安全已经成为事关北京奥运安全的重大问题之一。
同时,为北京奥运会提供保障服务的电信、广电、电力、铁路、民航、银行等基础信息网络与信息系统的安全稳定运行也是确保奥运会顺利召开的重要保障,我国的网络安全将面临又一次严峻考验。
面对当前信息安全面临的复杂、严峻形势,基础信息网络和重要信息系统一旦出现大的信息安全问题,不仅仅影响本单位、本行业,而是直接威胁国家安全、社会稳定、经济发展,影响党的“十七大”和北京奥运会的胜利召开。
胡锦涛总书记等中央领导同志对信息安全工作始终高度重视,先后多次作出重要指示。
胡锦涛总书记明确指出,当前,国际上围绕信息获取、利用、控制的斗争日趋激烈,维护国家在网络空间的安全和利益成为信息时代的重大战略课题。
要求我们必须敏锐地把握当今世界信息化发展的趋势,积极推进国民经济和社会信息化,确保我国在日趋激烈的国际竞争中掌握主动权。
(四)实行信息安全等级保护制度能够解决哪些主要问题信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。