2019年信息网络安全知识普及教育培训教程--信息安全等级保护与风险评估 .doc

信息安全等级保护

福建省公安厅公共信息网络安全监察总队

康仲生

一、信息安全等级保护工作概述

2.1.1 信息安全等级保护涵义

对国家秘密信息、法人和其他组织及公民的专有信息以及公开息和存储、传输、处理这些信息的信息系统分等级实行安全保护。

对信息系统中使用的信息安全产品实行按等级管理。

对信息系统中发生的信息安全事件分等级响应、处置。2.1.2 开展工作的政策和法律依据

1994年，《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。

1995年2月18日人大12次会议通过并实施的《中华人民

共和国警察法》第二章第六条第十二款规定，公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”--法律依据。

2.1.2 开展工作的政策和法律依据

2003年，中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。标志着等级保护从计算机信息系统安全保护的一项制度提升到国

家信息安全保障的一项基本制度。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位，以及“谁主管谁负责，谁运营谁负责”的信息安全保障责任制。

2.1.2 开展工作的政策和法律依据

公安部、国家保密局、国家密码管理局、国信办联合印发：2004年《关于信息安全等级保护工作的实施意见》(66号文件)

2007年6月，《信息安全等级保护管理办法》(公通字[2007]43号),明确了信息安全等级保护制度的基本内容、流程

及工作要求，明确了信息系统运营使用单位和主管部门、监管

部门在信息安全保护工作中的职责、任务，为开展信息安全等

级保护工作提供了规范保障。

制定了包括《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护定级指南》、《信息系统安全等级保

护基本要求》、《信息系统安全等级保护实施指南》、《信息

系统安全等级保护测评要求》等在内的50多个国标和行标，初

步形成了信息安全等级保护标准体系。

2.1.3 信息安全等级保护的重要意义

存在突出问题:

1、信息安全意识和安全防范能力薄弱，信息安全滞后于信息

化发展；

2、信息系统安全建设和管理的目标不明确；

3、信息安全保障工作的重点不突出；

4、信息安全监督管理缺乏依据和标准，监管措施有待到位，

监管体系尚待完善。

2.1.3 信息安全等级保护的重要意义

信息安全等级保护制度是国家信息安全保障的基本制度、基

本策略、基本方法；是当今发达国家的通行做法，也是我国多年

来信息安全工作经验的总结，充分体现“适度安全、保护重点”

的原则。

开展信息安全等级保护工作：

1、有利于在信息化建设过程中同步建设信息安全设施，保障信息安全和信息化建设相协调；

2、有利于为信息系统安全建设和管理提供系统性、针对性、可行的指导和服务；

3、有利于保障重点；

4、有利于明确责任；

5、有利于产业发展；

2.1.4 开展等级保护工作的总体要求

1、各个基础信息网络和重要信息系统，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护

的定级、备案、整改、测评等工作。

2、公安机关和保密、密码工作部门要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、

测评等工作。

3、对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人

员的责任。

二、明确各方责任义务

2.2.1《管理办法》第二条明确了国家的责任

国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对

等级保护工作的实施进行监督、管理。

信息安全监管部门包括公安机关、保密部门、国家密码工作

部门。信息安全监管部门代表国家制定等级保护管理规范和技术

标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

2.2.2《管理办法》第三条明确了信息安全

监管部门的职责

公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、

检查、指导。国家密码管理部门负责等级保护工作中有关密码

工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，

由有关职能部门依照国家法律法规的规定进行管理。国务院信

息化工作办公室及地方信息化领导小组办事机构负责等级保护

工作的部门间协调。

2.2.3《管理办法》第四条、第五条明确了

信息系统主管部门和运营使用单位的责任义务

信息系统主管部门应当依照《管理办法》及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使

用单位的信息安全等级保护工作。信息系统的运营、使用单位应

当依照《管理办法》及其相关标准规范，履行信息安全等级保护

的义务和责任。

2.2.4 公民、法人和其他组织的责任义务

公民、法人和其他组织应当按照国家有关等级保护的管理规

范和技术标准开展等级保护工作，服从国家对信息安全等级保护工作的监督、指导，保障信息系统安全。信息安全产品的研制、生产单位，信息系统的集成、等级测评、风险评估等安全服务机构，依据国家有关管理规定和技术标准，开展相应工作，并接受国家信息安全职能部门的监督管理。

三、信息系统安全保护等级的划分与保护

2.3.1“自主定级、自主保护”与国家监管

《管理办法》第六条规定，国家信息安全等级保护工作坚持“自主定级、自主保护”的原则。各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，自主确定信息系统的安全保护等级。同时，按照所定等级，依照相应等级的管理规范和技术标准，建设信息安全保护设施，建立安全制度，落实安全责任，自主对信息系统进行保护。

在等级保护工作，信息系统运营使用单位和主管部门要按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任；公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序，也会影响国家安全、社会稳定、公共利益，