版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、貫徹27號(hào)文件積極推進(jìn)信息系統(tǒng)等級(jí)建設(shè),公安部信息安全等級(jí)保護(hù)評(píng)估中心二○○四年六月,朱建平,目錄,,1等級(jí)保護(hù)是國(guó)家基本政策2建立國(guó)家信息安全等級(jí)保護(hù)機(jī)制 3信息系統(tǒng)安全等級(jí)保護(hù)制度實(shí)施方法 4等級(jí)化系統(tǒng)的建設(shè),1、等級(jí)保護(hù)是國(guó)家基本政策,27號(hào)文件進(jìn)一步明確了我國(guó)的基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)實(shí)行等級(jí)保護(hù)制度;同時(shí)要求等級(jí)保護(hù)工作需要各部門根據(jù)職能分工、協(xié)同配合。,1、
2、等級(jí)保護(hù)是國(guó)家基本政策,信息安全等級(jí)保護(hù)是《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定的法定保護(hù)制度,具有強(qiáng)制性;第二是以國(guó)家制度推進(jìn)信息和信息系統(tǒng)安全保護(hù)責(zé)任的落實(shí);第三是符合客觀實(shí)際,具有科學(xué)性;第四是具有自我保護(hù)與國(guó)家保護(hù)相結(jié)合的長(zhǎng)效保護(hù)機(jī)制;第五是突出保護(hù)重點(diǎn),國(guó)家優(yōu)先重點(diǎn)保護(hù)涉及國(guó)計(jì)民生的信息系統(tǒng),國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)內(nèi)分級(jí)重點(diǎn)保護(hù)三級(jí)以上的局域網(wǎng)和子系統(tǒng)安全;第六是具有整體保護(hù)性,在突出重點(diǎn),兼顧一般
3、的原則下,著重加強(qiáng)重點(diǎn)、要害部位,由點(diǎn)到面進(jìn)行保護(hù),逐步實(shí)現(xiàn)信息安全整體保障。,2、建立國(guó)家信息安全等級(jí)保護(hù)機(jī)制,國(guó)家實(shí)行信息安全等級(jí)保護(hù),必須緊緊抓住抓好五個(gè)關(guān)鍵環(huán)節(jié),形成長(zhǎng)效信息安全等級(jí)保護(hù)運(yùn)行機(jī)制。國(guó)家信息安全等級(jí)保護(hù)制度運(yùn)行機(jī)制有以下關(guān)鍵環(huán)節(jié)構(gòu)成:1.法律規(guī)范2.管理與技術(shù)規(guī)范3.實(shí)施過程控制4.結(jié)果控制5.監(jiān)督管理。,2、建立國(guó)家信息安全等級(jí)保護(hù)機(jī)制,1.法律規(guī)范:國(guó)家制定和完善信息安全等級(jí)保護(hù)政策、法律規(guī)范以及組織
4、實(shí)施規(guī)則和方法,完善信息安全保護(hù)法律體系;2.管理與技術(shù)規(guī)范:制定符合國(guó)情的標(biāo)準(zhǔn),建立等級(jí)保護(hù)體系;3.實(shí)施過程控制:明確落實(shí)系統(tǒng)擁有者的安全責(zé)任制,系統(tǒng)擁有者按法律規(guī)定和安全等級(jí)標(biāo)準(zhǔn)的要求進(jìn)行信息系統(tǒng)的建設(shè)和管理,并承擔(dān)應(yīng)急管理責(zé)任,在信息系統(tǒng)生命周期內(nèi)進(jìn)行自管、自查、自評(píng),建立安全管理體系。安全產(chǎn)品的研發(fā)者提供符合安全等級(jí)標(biāo)準(zhǔn)要求的技術(shù)產(chǎn)品。,2、建立國(guó)家信息安全等級(jí)保護(hù)機(jī)制,4.結(jié)果控制:建立非盈利并能夠覆蓋全國(guó)的系統(tǒng)安全等級(jí)
5、保護(hù)的執(zhí)法檢查與評(píng)估體系,使用統(tǒng)一標(biāo)準(zhǔn)和工具開展系統(tǒng)安全等級(jí)保護(hù)檢查評(píng)估工作。5.監(jiān)督管理:公安機(jī)關(guān)依法行政,督促安全等級(jí)保護(hù)責(zé)任制的落實(shí),以等級(jí)保護(hù)標(biāo)準(zhǔn)監(jiān)督、檢查、指導(dǎo)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)、管理。對(duì)安全等級(jí)技術(shù)產(chǎn)品實(shí)行監(jiān)管,對(duì)監(jiān)測(cè)評(píng)估機(jī)構(gòu)實(shí)施監(jiān)管。政府其他職能部門應(yīng)當(dāng)認(rèn)真履行職責(zé),依法行政,按職責(zé)開展信息安全等級(jí)保護(hù)專項(xiàng)制度建設(shè)工作,完善信息安全監(jiān)督體系。,3、信息系統(tǒng)安全等級(jí)保護(hù)制度實(shí)施方法,首先,公安、
6、國(guó)家保密、國(guó)家密碼管理、技術(shù)監(jiān)督、信息產(chǎn)業(yè)等國(guó)家有關(guān)信息網(wǎng)絡(luò)安全的行政主管部門要在國(guó)家信息化領(lǐng)導(dǎo)小組的統(tǒng)一領(lǐng)導(dǎo)下,制定我國(guó)開展信息網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的發(fā)展政策,統(tǒng)一制定針對(duì)不同安全保護(hù)等級(jí)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn),對(duì)不同信息網(wǎng)絡(luò)確定不同安全保護(hù)等級(jí)和實(shí)施不同的監(jiān)督管理措施,既包括依法進(jìn)行行政監(jiān)督、檢查和指導(dǎo),也包括依據(jù)國(guó)家技術(shù)標(biāo)準(zhǔn)進(jìn)行的技術(shù)檢查和評(píng)估。,3、信息系統(tǒng)安全等級(jí)保護(hù)制度實(shí)施方法,其次,等級(jí)保護(hù)堅(jiān)持“誰(shuí)主管、誰(shuí)負(fù)責(zé);誰(shuí)經(jīng)營(yíng)、誰(shuí)
7、負(fù)責(zé);誰(shuí)建設(shè)、誰(shuí)負(fù)責(zé);誰(shuí)使用、誰(shuí)負(fù)責(zé)。”的原則。,3、信息系統(tǒng)安全等級(jí)保護(hù)制度實(shí)施方法,第三,等級(jí)保護(hù)實(shí)行“國(guó)家主導(dǎo);重點(diǎn)單位強(qiáng)制,一般單位自愿;高保護(hù)級(jí)別強(qiáng)制,低保護(hù)級(jí)別自愿”的監(jiān)管原則。,3、信息系統(tǒng)安全等級(jí)保護(hù)制度實(shí)施方法,第四,信息網(wǎng)絡(luò)安全狀況等級(jí)的技術(shù)檢測(cè)是等級(jí)保護(hù)的重點(diǎn)。由國(guó)家授權(quán)的技術(shù)檢測(cè)機(jī)構(gòu)通過技術(shù)檢測(cè)來進(jìn)行評(píng)定。技術(shù)檢測(cè)機(jī)構(gòu)需取得國(guó)家主管部門的技術(shù)資質(zhì)和授權(quán)后,方可從事信息網(wǎng)絡(luò)安全等級(jí)保護(hù)的技術(shù)檢測(cè)。,3、信息
8、系統(tǒng)安全等級(jí)保護(hù)制度實(shí)施方法,計(jì)劃在五年左右的時(shí)間在全國(guó)范圍內(nèi)分三個(gè)階段實(shí)施信息安全等級(jí)保護(hù)制度:1、準(zhǔn)備階段2、試行階段3、全面實(shí)行階段,4、等級(jí)化系統(tǒng)的建設(shè),信息系統(tǒng)等級(jí)的劃分方法(自主評(píng)級(jí))實(shí)施步驟:業(yè)務(wù)影響分析、劃分子系統(tǒng)確定子系統(tǒng)邊界確定安全保護(hù)等級(jí)子系統(tǒng)間訪問關(guān)系的模型化安全風(fēng)險(xiǎn)分析與控制措施調(diào)整確定系統(tǒng)保護(hù)安全計(jì)劃系統(tǒng)等級(jí)和安全計(jì)劃的批準(zhǔn),等級(jí)保護(hù)第一級(jí)第一級(jí)安全的信息系統(tǒng)具備對(duì)信息和系統(tǒng)進(jìn)行基
9、本保護(hù)的能力。在技術(shù)方面,第一級(jí)要求設(shè)置基本的安全功能,使信息免遭非授權(quán)的泄露和破壞,能保證基本安全的系統(tǒng)服務(wù)。在安全管理方面,第一級(jí)要求根據(jù)機(jī)構(gòu)自身安全需求,為信息系統(tǒng)正常運(yùn)行提供基本的安全管理保障。,5等級(jí)化系統(tǒng)的建設(shè),等級(jí)保護(hù)第二級(jí)第二級(jí)安全的信息系統(tǒng)具備對(duì)信息和系統(tǒng)進(jìn)行比較完整的系統(tǒng)化的安全保護(hù)能力。在技術(shù)方面,第二級(jí)要求采用系統(tǒng)化的設(shè)計(jì)方法,實(shí)現(xiàn)比較完整的安全保護(hù),并通過安全審計(jì)機(jī)制,使其它安全機(jī)制間接地相連
10、接,使信息免遭非授權(quán)的泄露和破壞,保證一定安全的系統(tǒng)服務(wù)。 在安全管理方面,第二級(jí)要求建立必要的信息系統(tǒng)安全管理制度,對(duì)安全管理和執(zhí)行過程進(jìn)行計(jì)劃、管理和跟蹤。根據(jù)實(shí)際安全需求,明確機(jī)構(gòu)和人員的相應(yīng)責(zé)任。,5等級(jí)化系統(tǒng)的建設(shè),等級(jí)保護(hù)第三級(jí)第三級(jí)安全的信息系統(tǒng)具備對(duì)信息和系統(tǒng)進(jìn)行基于安全策略強(qiáng)制的安全保護(hù)能力。在技術(shù)方面,第三級(jí)要求按照完整的安全策略模型 ,實(shí)施強(qiáng)制性的安全保護(hù),使數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞,保證較高安
11、全的系統(tǒng)服務(wù)。在安全管理方面,第三級(jí)要求建立完整的信息系統(tǒng)安全管理體系,對(duì)安全管理過程進(jìn)行規(guī)范化的定義,并對(duì)過程執(zhí)行實(shí)施監(jiān)督和檢查。根據(jù)實(shí)際安全需求,建立安全管理機(jī)構(gòu),配備專職安全管理人員,落實(shí)各級(jí)領(lǐng)導(dǎo)及相關(guān)人員的責(zé)任 。,5等級(jí)化系統(tǒng)的建設(shè),等級(jí)保護(hù)第四級(jí)第四級(jí)安全的信息系統(tǒng)具備對(duì)信息和系統(tǒng)進(jìn)行基于安全策略強(qiáng)制的整體的安全保護(hù)能力。在技術(shù)方面,物理隔離,第四級(jí)要求采用結(jié)構(gòu)化設(shè)計(jì)方法,按照完整的安全策略模型,實(shí)現(xiàn)各層面相結(jié)
12、合的強(qiáng)制性的安全保護(hù),使數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞,保證高安全的系統(tǒng)服務(wù)。 在安全管理方面,第四級(jí)要求建立持續(xù)改進(jìn)的信息系統(tǒng)安全管理體系,在對(duì)安全管理過程進(jìn)行規(guī)范化定義,并對(duì)過程執(zhí)行實(shí)施監(jiān)督和檢查的基礎(chǔ)上,具有對(duì)缺陷自我發(fā)現(xiàn)、糾正和改進(jìn)的能力。根據(jù)實(shí)際安全需求,采取安全隔離措施,限定信息系統(tǒng)規(guī)模和應(yīng)用范圍。建立安全管理機(jī)構(gòu),配備專職安全管理人員,落實(shí)各級(jí)領(lǐng)導(dǎo)及相關(guān)人員的責(zé)任。,5等級(jí)化系統(tǒng)的建設(shè),等級(jí)保護(hù)第五級(jí)第五級(jí)安全
13、的信息系統(tǒng)提供對(duì)信息和系統(tǒng)進(jìn)行基于可驗(yàn)證安全策略的強(qiáng)制的安全保護(hù)能力。在技術(shù)方面,第五級(jí)要求按照確定的安全策略,在整體的實(shí)施強(qiáng)制性的安全保護(hù)的基礎(chǔ)上,通過可驗(yàn)證設(shè)計(jì)增強(qiáng)系統(tǒng)的安全性,使其具有抗?jié)B透能力,使數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞,保證最高安全的系統(tǒng)服務(wù)。 在安全管理方面,第五級(jí)要求由信息系統(tǒng)的主管部門和使用單位根據(jù)安全需求,建立核心部門的專用信息系統(tǒng)安全管理體系,對(duì)安全管理過程進(jìn)行規(guī)范化的定義,并對(duì)過程執(zhí)行實(shí)施監(jiān)督和檢查,
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》
- 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的指南
- 信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施的指南
- 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南
- 《教育信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南(試行)》
- 信息安全技術(shù)-信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南送審稿
- 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)
- 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)
- 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)
- 信息系統(tǒng)安全等級(jí)保護(hù)檢查
- 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求
- 信息項(xiàng)目安全技術(shù)信息系統(tǒng)項(xiàng)目安全等級(jí)保護(hù)測(cè)評(píng)過程指南送審稿
- 《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》
- 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告
- 《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》
- 信息系統(tǒng)安全等級(jí)保護(hù)物理安全方案
- 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)
- 《信息系統(tǒng)安全等級(jí)保護(hù)備案表》
- 《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)-報(bào)告》
- 《信息系統(tǒng)安全等級(jí)保護(hù)備案表》
評(píng)論
0/150
提交評(píng)論