信息系统等级保护公安部信息安全等级保护评估中心
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
公安部 信息安全 等级保护 评估中心
27号文件进一步明确了我国的基 础信息网络和关系国家安全、经 济命脉、社会稳定等方面的重要 信息系统实行等级保护制度;
同时要求等级保护工作需要各部 门根据职能分工、协同配合。
2020/5/10
3
1、 等级保护是国家基本政策
公安部 信息安全 等级保护 评估中心
信息安全等级保护是《中华人民共和国计算机信息系 统安全保护条例》规定的法定保护制度,具有强制性;
第二是以国家制度推进信息和信息系统安全保护责任 的落实;
第三是符合客观实际,具有科学性; 第四是具有自我保护与国家保护相结合的长效保护机
制; 第五是突出保护重点,国家优先重点保护涉及国计民
生的信息系统,国家基础信息网络和重要信息系统内 分级重点保护三级以上的局域网和子系统安全; 第六是具有整体保护性,在突出重点,兼顾一般的原 则下,着重加强重点、要害部位,由点到面进行保护, 逐步实现信息安全整体保障。
在技术方面,第二级要求采用系统化的设计方法, 实现比较完整的安全保护,并通过安全审计机制,使其 它安全机制间接地相连接,使信息免遭非授权的泄露和 破坏,保证一定安全的系统服务。
在安全管理方面,第二级要求建立必要的信息系 统安全管理制度,对安全管理和执行过程进行计划、管 理和跟踪。根据实际安全需求,明确机构和人员的相应 责任。
2020/5/10
5
2、建立国家信息安全等级保护机制
公安部 信息安全 等级保护 评估中心
1.法律规范:国家制定和完善信息安全等级保 护政策、法律规范以及组织实施规则和方法,完善信 息安全保护法律体系;
2.管理与技术规范:制定符合国情的标准,建立 等级保护体系;
3.实施过程控制:明确落实系统拥有者的安全 责任制,系统拥有者按法律规定和安全等级标准的 要求进行信息系统的建设和管理,并承担应急管理 责任,在信息系统生命周期内进行自管、自查、自 评,建立安全管理体系。安全产品的研发者提供符 合安全等级标准要求的技术产品。
2020/5/10
7
3、 信息系统安全等级保护制度实施方法
公安部 信息安全 等级保护 评估中心
首先,公安、国家保密、国家密码 管理、技术监督、信息产业等国家有关 信息网络安全的行政主管部门要在国家 信息化领导小组的统一领导下,制定我 国开展信息网络安全等级保护工作的发 展政策,统一制定针对不同安全保护等 级的管理规定和技术标准,对不同信息 网络确定不同安全保护等级和实施不同 的监督管理措施,既包括依法进行行政 监督、检查和指导,也包括依据国家技 术标准进行的技术检查和评估。
2020/5/10
4
2、建立国家信息安全等级保护机制
公安部 信息安全 等级保护 评估中心
国家实行信息安全等级保护,必须紧紧 抓住抓好五个关键环节,形成长效信息安全 等级保护运行机制。国家信息安全等级保护 制度运行机制有以下关键环节构成:
1.法律规范
2.管理与技术规范
3.实施过程控制
4.结果控制
5.监督管理。
贯彻27号文件 积极推进信息系统等级建设
公安部 信息系统 安全等级 保护评估
中心
朱建平
公安部信息安全等级保护评估中心
公安部 信息系统 安全等级 保护评估
中心
目录
1 等级保护是国家基本政策 2 建立国家信息安全等级保护机制 3 信息系统安全等级保护制度实施方法 4 等级化系统的建设
1、 等级保护是国家基本政策
2020/5/10
11
3、 信息系统安全等级保护制度实施方法
公安部 信息安全 等级保护 评估中心
计划在五年左右的时间在全 国范围内分三个阶段实施信息安 全等级保护制度:
1、准备阶段
2、试行阶段
3、全面实行阶段
2020/5/10
12
4、 等级化系统的建设
公安部 信息安全 等级保护 评估中心
信息系统等级的划分方法(自主评 级)
2020/5/10
8
3、 信息系统安全等级保护制度实施方法
公安部 信息安全 等级保护 评估中心
其次,等级保护坚持“谁主 管、谁负责;谁经营、谁负责; 谁建设、谁负责;谁使用、谁负 责。”的原则。
2020/5/10
Biblioteka Baidu
9
3、 信息系统安全等级保护制度实施方法
公安部 信息安全 等级保护 评估中心
第三,等级保护实行“国家 主导;重点单位强制,一般单位 自愿;高保护级别强制,低保护 级别自愿”的监管原则。
在技术方面,第一级要求设置基本的安全功能, 使信息免遭非授权的泄露和破坏,能保证基本安全的系 统服务。
在安全管理方面,第一级要求根据机构自身安全 需求,为信息系统正常运行提供基本的安全管理保障。
2020/5/10
14
5 等级化系统的建设
公安部 信息安全 等级保护 评估中心
等级保护第二级
第二级安全的信息系统具备对信息和系统进行比 较完整的系统化的安全保护能力。
2020/5/10
6
2、建立国家信息安全等级保护机制
公安部 信息安全 等级保护 评估中心
4.结果控制:建立非盈利并能够覆盖全国的系 统安全等级保护的执法检查与评估体系,使用统 一标准和工具开展系统安全等级保护检查评估工 作。
5.监督管理:公安机关依法行政,督促安全等 级保护责任制的落实,以等级保护标准监督、检 查、指导基础信息网络和重要信息系统安全等级 保护建设、管理。对安全等级技术产品实行监管, 对监测评估机构实施监管。政府其他职能部门应 当认真履行职责,依法行政,按职责开展信息安 全等级保护专项制度建设工作,完善信息安全监 督体系。
2020/5/10
10
3、 信息系统安全等级保护制度实施方法
公安部 信息安全 等级保护 评估中心
第四,信息网络安全状况等级的 技术检测是等级保护的重点。
由国家授权的技术检测机构通过 技术检测来进行评定。技术检测机构 需取得国家主管部门的技术资质和授 权后,方可从事信息网络安全等级保 护的技术检测。
实施步骤:
业务影响分析、划分子系统 确定子系统边界 确定安全保护等级 子系统间访问关系的模型化 安全风险分析与控制措施调整 确定系统保护安全计划 系统等级和安全计划的批准
2020/5/10
13
5 等级化系统的建设
公安部 信息安全 等级保护 评估中心
等级保护第一级
第一级安全的信息系统具备对信息和系统进行基 本保护的能力。