信息系統(tǒng)等級保護實施指南介紹-江西神舟信息安全評估中心

1、貫徹27號文件積極推進信息系統(tǒng)等級建設(shè),公安部信息安全等級保護評估中心二○○四年六月,朱建平,目錄,,1等級保護是國家基本政策2建立國家信息安全等級保護機制 3信息系統(tǒng)安全等級保護制度實施方法 4等級化系統(tǒng)的建設(shè),1、等級保護是國家基本政策,27號文件進一步明確了我國的基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)實行等級保護制度；同時要求等級保護工作需要各部門根據(jù)職能分工、協(xié)同配合。,1、

2、等級保護是國家基本政策,信息安全等級保護是《中華人民共和國計算機信息系統(tǒng)安全保護條例》規(guī)定的法定保護制度，具有強制性；第二是以國家制度推進信息和信息系統(tǒng)安全保護責(zé)任的落實；第三是符合客觀實際，具有科學(xué)性；第四是具有自我保護與國家保護相結(jié)合的長效保護機制；第五是突出保護重點，國家優(yōu)先重點保護涉及國計民生的信息系統(tǒng)，國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)內(nèi)分級重點保護三級以上的局域網(wǎng)和子系統(tǒng)安全；第六是具有整體保護性，在突出重點，兼顧一般

3、的原則下，著重加強重點、要害部位,由點到面進行保護，逐步實現(xiàn)信息安全整體保障。,2、建立國家信息安全等級保護機制,國家實行信息安全等級保護，必須緊緊抓住抓好五個關(guān)鍵環(huán)節(jié)，形成長效信息安全等級保護運行機制。國家信息安全等級保護制度運行機制有以下關(guān)鍵環(huán)節(jié)構(gòu)成：1．法律規(guī)范2．管理與技術(shù)規(guī)范3．實施過程控制4．結(jié)果控制5．監(jiān)督管理。,2、建立國家信息安全等級保護機制,1．法律規(guī)范：國家制定和完善信息安全等級保護政策、法律規(guī)范以及組織

4、實施規(guī)則和方法,完善信息安全保護法律體系；2．管理與技術(shù)規(guī)范：制定符合國情的標(biāo)準(zhǔn),建立等級保護體系；3．實施過程控制：明確落實系統(tǒng)擁有者的安全責(zé)任制，系統(tǒng)擁有者按法律規(guī)定和安全等級標(biāo)準(zhǔn)的要求進行信息系統(tǒng)的建設(shè)和管理，并承擔(dān)應(yīng)急管理責(zé)任，在信息系統(tǒng)生命周期內(nèi)進行自管、自查、自評，建立安全管理體系。安全產(chǎn)品的研發(fā)者提供符合安全等級標(biāo)準(zhǔn)要求的技術(shù)產(chǎn)品。,2、建立國家信息安全等級保護機制,4．結(jié)果控制：建立非盈利并能夠覆蓋全國的系統(tǒng)安全等級

5、保護的執(zhí)法檢查與評估體系，使用統(tǒng)一標(biāo)準(zhǔn)和工具開展系統(tǒng)安全等級保護檢查評估工作。5．監(jiān)督管理：公安機關(guān)依法行政，督促安全等級保護責(zé)任制的落實，以等級保護標(biāo)準(zhǔn)監(jiān)督、檢查、指導(dǎo)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全等級保護建設(shè)、管理。對安全等級技術(shù)產(chǎn)品實行監(jiān)管，對監(jiān)測評估機構(gòu)實施監(jiān)管。政府其他職能部門應(yīng)當(dāng)認真履行職責(zé)，依法行政，按職責(zé)開展信息安全等級保護專項制度建設(shè)工作，完善信息安全監(jiān)督體系。,3、信息系統(tǒng)安全等級保護制度實施方法,首先，公安、

6、國家保密、國家密碼管理、技術(shù)監(jiān)督、信息產(chǎn)業(yè)等國家有關(guān)信息網(wǎng)絡(luò)安全的行政主管部門要在國家信息化領(lǐng)導(dǎo)小組的統(tǒng)一領(lǐng)導(dǎo)下，制定我國開展信息網(wǎng)絡(luò)安全等級保護工作的發(fā)展政策，統(tǒng)一制定針對不同安全保護等級的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，對不同信息網(wǎng)絡(luò)確定不同安全保護等級和實施不同的監(jiān)督管理措施，既包括依法進行行政監(jiān)督、檢查和指導(dǎo)，也包括依據(jù)國家技術(shù)標(biāo)準(zhǔn)進行的技術(shù)檢查和評估。,3、信息系統(tǒng)安全等級保護制度實施方法,其次，等級保護堅持“誰主管、誰負責(zé)；誰經(jīng)營、誰

7、負責(zé)；誰建設(shè)、誰負責(zé)；誰使用、誰負責(zé)。”的原則。,3、信息系統(tǒng)安全等級保護制度實施方法,第三，等級保護實行“國家主導(dǎo)；重點單位強制，一般單位自愿；高保護級別強制，低保護級別自愿”的監(jiān)管原則。,3、信息系統(tǒng)安全等級保護制度實施方法,第四，信息網(wǎng)絡(luò)安全狀況等級的技術(shù)檢測是等級保護的重點。由國家授權(quán)的技術(shù)檢測機構(gòu)通過技術(shù)檢測來進行評定。技術(shù)檢測機構(gòu)需取得國家主管部門的技術(shù)資質(zhì)和授權(quán)后，方可從事信息網(wǎng)絡(luò)安全等級保護的技術(shù)檢測。,3、信息

8、系統(tǒng)安全等級保護制度實施方法,計劃在五年左右的時間在全國范圍內(nèi)分三個階段實施信息安全等級保護制度：1、準(zhǔn)備階段2、試行階段3、全面實行階段,4、等級化系統(tǒng)的建設(shè),信息系統(tǒng)等級的劃分方法（自主評級）實施步驟：業(yè)務(wù)影響分析、劃分子系統(tǒng)確定子系統(tǒng)邊界確定安全保護等級子系統(tǒng)間訪問關(guān)系的模型化安全風(fēng)險分析與控制措施調(diào)整確定系統(tǒng)保護安全計劃系統(tǒng)等級和安全計劃的批準(zhǔn),等級保護第一級第一級安全的信息系統(tǒng)具備對信息和系統(tǒng)進行基

9、本保護的能力。在技術(shù)方面，第一級要求設(shè)置基本的安全功能，使信息免遭非授權(quán)的泄露和破壞，能保證基本安全的系統(tǒng)服務(wù)。在安全管理方面，第一級要求根據(jù)機構(gòu)自身安全需求，為信息系統(tǒng)正常運行提供基本的安全管理保障。,5等級化系統(tǒng)的建設(shè),等級保護第二級第二級安全的信息系統(tǒng)具備對信息和系統(tǒng)進行比較完整的系統(tǒng)化的安全保護能力。在技術(shù)方面，第二級要求采用系統(tǒng)化的設(shè)計方法，實現(xiàn)比較完整的安全保護，并通過安全審計機制，使其它安全機制間接地相連

10、接，使信息免遭非授權(quán)的泄露和破壞，保證一定安全的系統(tǒng)服務(wù)。 在安全管理方面，第二級要求建立必要的信息系統(tǒng)安全管理制度，對安全管理和執(zhí)行過程進行計劃、管理和跟蹤。根據(jù)實際安全需求，明確機構(gòu)和人員的相應(yīng)責(zé)任。,5等級化系統(tǒng)的建設(shè),等級保護第三級第三級安全的信息系統(tǒng)具備對信息和系統(tǒng)進行基于安全策略強制的安全保護能力。在技術(shù)方面，第三級要求按照完整的安全策略模型 ，實施強制性的安全保護，使數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞，保證較高安

11、全的系統(tǒng)服務(wù)。在安全管理方面，第三級要求建立完整的信息系統(tǒng)安全管理體系，對安全管理過程進行規(guī)范化的定義，并對過程執(zhí)行實施監(jiān)督和檢查。根據(jù)實際安全需求，建立安全管理機構(gòu)，配備專職安全管理人員，落實各級領(lǐng)導(dǎo)及相關(guān)人員的責(zé)任 。,5等級化系統(tǒng)的建設(shè),等級保護第四級第四級安全的信息系統(tǒng)具備對信息和系統(tǒng)進行基于安全策略強制的整體的安全保護能力。在技術(shù)方面，物理隔離，第四級要求采用結(jié)構(gòu)化設(shè)計方法，按照完整的安全策略模型，實現(xiàn)各層面相結(jié)

12、合的強制性的安全保護，使數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞，保證高安全的系統(tǒng)服務(wù)。 在安全管理方面，第四級要求建立持續(xù)改進的信息系統(tǒng)安全管理體系，在對安全管理過程進行規(guī)范化定義，并對過程執(zhí)行實施監(jiān)督和檢查的基礎(chǔ)上，具有對缺陷自我發(fā)現(xiàn)、糾正和改進的能力。根據(jù)實際安全需求，采取安全隔離措施，限定信息系統(tǒng)規(guī)模和應(yīng)用范圍。建立安全管理機構(gòu)，配備專職安全管理人員，落實各級領(lǐng)導(dǎo)及相關(guān)人員的責(zé)任。,5等級化系統(tǒng)的建設(shè),等級保護第五級第五級安全

13、的信息系統(tǒng)提供對信息和系統(tǒng)進行基于可驗證安全策略的強制的安全保護能力。在技術(shù)方面，第五級要求按照確定的安全策略，在整體的實施強制性的安全保護的基礎(chǔ)上，通過可驗證設(shè)計增強系統(tǒng)的安全性，使其具有抗?jié)B透能力，使數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞，保證最高安全的系統(tǒng)服務(wù)。 在安全管理方面，第五級要求由信息系統(tǒng)的主管部門和使用單位根據(jù)安全需求，建立核心部門的專用信息系統(tǒng)安全管理體系，對安全管理過程進行規(guī)范化的定義，并對過程執(zhí)行實施監(jiān)督和檢查，