还剩29页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
信息安全等级保护安全建设整改工作培训材料公安部网络安全保卫局二〇〇九年十二月前言为进一步贯彻落实《国家信息化__小组关于加强信息安全保障工作___》和《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》精神,有效解决信息系统安全保护中存在的管理制度不健全、技术措施不符合标准要求、安全责任不落实等突出问题,提高我国重要信息系统的安全保护能力,在全国信息系统安全等级保护定级工作基础上,公安部印发了《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安
[2009]1429号),部署开展信息系统等级保护安全建设整改工作为便于信息系统等级保护安全建设整改工作相关单位全面了解和掌握信息安全等级保护安全建设整改工作所依据的政策和技术标准,明确开展等级保护安全建设整改工作的目标、内容和要求,更好地指导各单位、各部门开展信息安全等级保护安全建设整改工作,加强宣传和培训工作,我们编写了本培训材料,供参考使用有关材料下载网址公安部_____.mps.gov.cn等级保护_____.djbh.net目录
一、当前开展信息安全等级工作面临的形势
二、信息安全等级保护安全建设整改工作依据的政策
(一)总体政策
(二)具体政策
1、定级政策
2、备案政策
3、安全建设整改政策
4、等级测评政策
5、检查监督政策
三、信息安全等级保护安全建设整改工作依据的标准
(一)基础类标准
(二)安全要求类标准
(三)定级类标准
(四)方法指导类标准
(五)现状分析类标准
四、信息安全等级保护安全建设整改的工作目标
五、信息安全等级保护安全建设整改的工作对象
六、信息安全等级保护安全建设整改的工作内容及要求
(一)信息安全等级保护安全管理制度建设
(二)信息安全等级保护安全技术措施建设
七、信息安全等级保护安全建设整改的工作流程
八、信息安全等级保护安全建设整改的工作方法
九、信息安全等级保护安全建设整改中的几项相关工作
(一)信息安全等级测评
(二)信息安全产品的选择使用
(三)信息系统安全建设整改方案的制定
十、信息安全等级保护安全建设整改工作的检查监督
十一、总体工作要求附件国家信息安全等级保护安全建设指导专家委员会职责国家信息安全等级保护安全建设指导专家委员会专家__信息安全等级保护安全建设整改工作培训材料
一、当前开展信息安全等级工作面临的形势近年来,在党__、___的高度重视下,通过各地区、各部门的共同努力,信息安全工作取得明显成效信息安全责任进一步明确,等级保护、风险评估、网络信任体系、应急与灾备等基础性工作和基础设施建设取得明显进展,信息安全防护水平明显提高与此同时我们应该看到,当前我国信息安全面临的形势仍然十分严峻,维护国家信息安全的任务十分艰巨、繁重一是西强我弱的局面__存在,信息安全战略威胁更加突出近年来,我国重要信息系统的安全保护能力虽然有了很大提高,但同西方发达国家相比,还是处于西强我弱,总体比较被动的局面奥巴马执政以来,美国高度重视网络安全问题,将网络空间视为继陆、海、空、太空后的“第五战略空间”,制订__了包括强化联邦__对网络安全的统一__,整合各方资源力量,成立作战__,加强技术研发和网络战资源储备,全面提升国家关键信息基础设施的安全防范能力等一系列重要举措而美国推行国家网络安全新战略,正是将中国作为其头号假想敌如果未来发生“网络战”,美国和西方国家首要攻击目标就是我国涉及国计民生的重要信息系统同时,信息安全领域的一些关键技术和关键产品大部分掌握在西方信息化发达国家手中,从而使大量采用国外产品和服务的我国重要信息系统受敌对势力、敌对分子渗透、攻击、控制的安全隐患进一步加大,构成了对我关键基础设施的战略威胁二是各类网络安全威胁不断增多,网络安全防范难度加大今年以来,截获计算机病毒数量、新增病毒种类以及感染计算机台数较去年同期均有所增加,计算机病毒通过网页挂马、网络共享、____和U盘等__存储介质广泛传播与第三方应用软件、浏览器服务有关安全漏洞也大幅上升,其中大量是高危漏洞大量木马、后门病毒利用安全漏洞通过“__挂马”、“U盘摆渡”、伪造和欺骗等手段侵入重要信息系统,消耗系统资源,窃取个人用户信息甚至国家秘密和商业秘密,给重要信息系统的安全运行造成很大危害此外,境内外敌对势力、敌对分子和不法分子也利用重要信息系统的安全漏洞和管理缺陷,对我重要信息系统实施网络探测攻击,破坏国家网络基础设施的行为也逐年增多三是信息安全建设缺乏规范,安全防护能力亟待提高一些单位信息安全__体制和工作机制等责任制未落实,人员安全管理、系统运维管理和系统建设管理制度不健全、不规范缺乏常态化的系统安全保护状况的测评分析,在安全技术策略的选择、建设整改方案设计及实施等技术建设方面,既存在一定的盲目性,也缺乏完整性和系统性,导致信息安全整体防护能力和水平不高,给信息系统正常运行留下安全隐患为切实履行__赋予公安部的职责,2007年,公安部会同有关部门开展了信息安全等级保护定级工作经过各部门、各行业、各单位的共同努力,定级工作已基本完成为加快推进信息安全等级保护制度建设,将等级保护工作向纵深推进,定级备案工作完成后,公安部积极__有关单位和专家,制定并完善了等级保护相关政策和技术标准,为各单位、各部门深入开展等级保护安全建设整改工作奠定了必要的基础一是制定了信息安全等级保护安全建设整改工作的相关政策经过多年探索和实践,特别是经过北京__网络安全保卫工作的检验,进一步明确了开展等级保护安全建设整改工作的目标、内容、要求和方法,制定并印发了《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安
[2009]1429号)及《信息安全等级保护安全建设整改工作指南》等附件,至此,针对等级保护定级、备案、安全建设整改、等级测评、监督检查等主要环节的政策体系已基本形成二是制定了信息安全等级保护安全建设整改工作的相关标准为配合信息安全等级保护安全建设整改工作顺利开展,公安部__国内有关单位和专家经过多年研究,形成了以《计算机信息系统安全保护等级划分准则》(GB17859-1999)为基础的技术、管理和产品三大类标准体系,并在此基础上,形成了体现安全建设整改具体内容和要求的《信息系统安全等级保护基本要求》(GB/T22239-2008)该标准与测评要求等状况分析方面的标准和实施指南、安全设计技术要求等方法指导方面标准,共同为安全建设整改工作提供技术标准支撑至此,信息安全等级保护标准体系也已基本形成三是等级保护测评体系建设已经开展等级测评工作是信息安全等级保护整体工作的一个重要组成部分为推动信息安全等级保护测评机构建设,规范测评机构和人员及其测评活动的管理,保障等级保护工作的顺利开展,公安部已于今年年初__开展等级测评体系建设先后__编写了《信息安全等级保护测评要求》、《信息安全等级保护测评过程指南》以及《信息系统等级保护测评报告模版》等标准和规范为检验标准和规范的可行性和必要性,公安部于今年7—10月份__开展了等级测评体系建设试点工作,六个省市公安机关和十多家测评机构参加,积累了对测评机构及人员规范管理的经验和方法下一步公安部将在全国__试点工作经验,加强对测评机构的能力审验和安全审查,加强对测评人员的安全审查和培训,并将通过评估的测评机构向社会公布,供相关单位选择此外,电力等一些行业及一些信息安全企业已经按照等级保护相关政策和标准,开始进行信息安全等级保护安全建设整改工作,摸索了一些经验总之,综合开展信息安全等级保护安全建设整改工作面临的形势和前期工作基础,既是形势所迫,也具备了一定的条件,既有必要性,也有可行性因此,各单位要全面准确把握当前我国信息安全工作面临的形势,进一步统一思想,提高认识,增强做好信息安全等级保护安全建设整改工作的责任感和紧迫感,将等级保护工作落实好
二、信息安全等级保护安全建设整改工作依据的政策近几年,为__开展信息安全等级保护工作,公安部根据《中华人民___计算机信息系统安全保护条例》(___147号令)的授权,会同国家保密局、国家__管理局和原___信息办__了一些文件,国家___会同公安部、国家保密局__了相关文件,公安部对有些具体工作__了一些指导意见和规范,这些文件初步构成了信息安全等级保护政策体系(如图1所示),为指导各地区、各部门开展等级保护工作提供了政策保障图1信息安全等级保__律政策体系为了方便使用,我们已将信息安全等级保护政策文件汇编成《信息安全等级保护政策汇编》发给有关单位、部门
(一)总体政策总体方面的文件有两个,这两个文件确定了等级保护制度的总体内容和要求,对等级保护工作的开展起到宏观指导作用
1、《关于信息安全等级保护工作的实施意见》(公通字
[2004]66号)该文件是为贯彻落实___第147号令和中办27号文件、由四部委共同会签印发、指导相关部门实施信息安全等级保护工作的纲领性文件,主要内容包括贯彻落实信息安全等级保护制度的基本原则,等级保护工作的基本内容、工作要求和实施计划,以及各部门工作职责分工等
2、《信息安全等级保护管理办法》(公通字
[2007]43号)该文件是在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上,由四部委共同会签印发的重要管理规范,主要内容包括信息安全等级保护制度的基本内容、流程及工作要求,信息系统定级、备案、安全建设整改、等级测评的实施与管理,信息安全产品和测评机构选择等,为开展信息安全等级保护工作提供了规范保障
(二)具体政策对应等级保护工作的具体环节(信息系统定级、备案、安全建设整改、等级测评、安全检查),__了相应的政策规范1.定级政策《关于开展全国重要信息系统安全等级保护定级工作___》(公通字
[2007]861号)2007年7月20日四部委在北京联合召开了“全国重要信息系统安全等级保护定级工作电视__会议”,会议根据该通知精神部署在全国范围内开展重要信息系统安全等级保护定级工作,标志着全国信息安全等级保护工作全面开展该文件由四部委共同会签印发2.备案政策《信息安全等级保护备案实施细则》(公信安
[2007]1360号)该文件规定了公安机关受理信息系统运营使用单位信息系统备案工作的内容、流程、审核等内容,并附带有关法律文书,指导各级公安机关受理信息系统备案工作该文件由公安部网络安全保卫局印发3.安全建设整改政策
(1)《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安
[2009]1429号)该文件明确了非涉及国家秘密信息系统开展安全建设整改工作的目标、内容、流程和要求等,文件附件包括《信息安全等级保护安全建设整改工作指南》和《信息安全等级保护主要标准简要说明》该文件由公安部印发
(2)《关于加强国家电子政务工程建设项目信息安全风险评估工作___》(发改高技
[2008]2071号)该文件要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照《信息安全等级保护管理办法》进行,明确了项目验收条件公安机关颁发的信息系统安全等级保护备案证明、等级测评报告和风险评估报告该文件由___、公安部、国家保密局共同会签印发4.等级测评政策____《信息系统安全等级测评报告模版(试行)》___(公信安
[2009]1487号)该文件明确了等级测评的内容、方法和测评报告格式等内容,用以规范等级测评活动该文件由公安部网络安全保卫局印发5.检查监督政策《公安机关信息安全等级保护检查工作规范(试行)》(公信安
[2008]736号)该文件规定了公安机关开展信息安全等级保护检查工作的内容、程序、方式以及相关法律文书等,使检查工作规范化、制度化该文件由公安部网络安全保卫局印发
三、信息安全等级保护安全建设整改工作依据的标准为推动我国信息安全等级保护工作的开展,十多年来,在公安部__和支持下,在国内有关专家、企业的共同努力下,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会__制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系,为开展信息安全等级保护工作提供了标准保障信息安全等级保护相关标准具体见《信息安全等级保护主要标准简要说明》各单位、各部门安全建设整改工作应依据《基本要求》或行业标准规范,并在不同阶段、针对不同技术活动参照相应的标准规范进行,相关标准与等级保护各工作环节的关系如图2所示图2等级保护相关标准与等级保护各工作环节的关系为了方便使用,我们已将主要标准汇编成《信息安全等级保护标准汇编》发给有关单位、部门标准体系的构成与作用如下
(一)基础类标准《计算机信息系统安全保护等级划分准则》是强制性国家标准,是等级保护重要的基础性标准依据在此标准制定出的《信息系统通用安全技术要求》等技术类标准和《信息系统安全管理要求》、《信息系统安全工程管理要求》等管理类标准、《操作系统安全技术要求》等产品类标准,共同构成了等级保护基础性标准,为相关标准的制定起到了基础性作用
(二)安全要求类标准《基本要求》以及行业标准规范或细则构成了信息系统安全建设整改的安全需求1.《信息系统安全等级保护基本要求》(以下简称《基本要求》)该标准是在《计算机信息系统安全保护等级划分准则》、技术类标准和管理类标准基础上,总结几年的实践,结合当前信息技术发展的实际情况研究制定的,该标准提出了各级信息系统应当具备的安全保护能力,并从技术和管理两方面提出了相应的措施2.信息系统安全等级保护基本要求的行业细则重点行业可以按照《基本要求》等国家标准,结合行业特点,在公安部等有关部门指导下,确定《基本要求》的具体指标,在不低于《基本要求》的情况下,结合系统安全保护的特殊需求,制定信息系统安全建设整改的行业标准规范或细则,并据此开展安全建设整改工作
(三)定级类标准《信息系统安全等级保护定级指南》和信息系统安全等级保护行业定级细则为确定信息系统安全保护等级提供支持1.《信息系统安全等级保护定级指南》(GB/T22240-2008)该标准规定了定级的依据、对象、流程和方法以及等级变更等内容,用于指导开展信息系统定级工作2.信息系统安全等级保护行业定级细则重点行业可以根据《信息系统安全等级保护定级指南》,结合行业特点,在公安部指导下,制定__行业信息系统定级标准规范或细则,并据此开展信息系统定级工作
(四)方法指导类标准《信息系统安全等级保护实施指南》和《信息系统等级保护安全设计技术要求》构成了指导信息系统安全建设整改的方法指导类标准1.《信息系统安全等级保护实施指南》(信安字
[2007]10号)该标准阐述了等级保护实施的基本原则、参与角色和信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等几个主要工作阶段中如何按照信息安全等级保护政策、标准要求实施等级保护工作2.《信息系统等级保护安全设计技术要求》(信安秘字
[2009]059号)该标准提出了信息系统等级保护安全设计的技术要求,包括第一级至第五级信息系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求,以及定级系统互联的设计技术要求,明确了体现定级系统安全保护能力的整体控制机制,用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构等开展信息系统等级保护安全技术设计
(五)现状分析类标准《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》构成了指导开展等级测评的标准规范1.《信息系统安全等级保护测评要求》该标准阐述了等级测评的原则、测评内容、测评强度、单元测评要求、整体测评要求、等级测评结论的产生方法等内容,用于规范和指导测评人员如何开展等级测评工作2.《信息系统安全等级保护测评过程指南》该标准阐述了信息系统等级测评的测评过程,明确了等级测评的工作任务、分析方法以及工作结果等,包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动,用于规范测评机构的等级测评过程上述标准在应用中需注意以下问题一是《基本要求》是信息系统安全建设整改的基本目标,《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一《基本要求》中不包含安全设计和工程实施等内容,因此,在系统安全建设整改中,可以参照《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》和《信息系统安全工程管理要求》进行二是由于信息系统定级时是根据业务信息安全等级和系统服务安全等级确定的系统安全等级,因此,在进行信息系统安全建设整改时,应根据业务信息安全等级和系统服务安全等级确定《基本要求》中相应的安全保护要求各单位、各部门在进行信息系统安全建设整改方案设计时,要按照整体安全的原则,综合考虑安全保护措施,建立系统综合防护体系,提高系统的整体保护能力三是《信息系统等级保护安全设计技术要求》依据《计算机信息系统安全保护等级划分准则》从“计算环境安全、区域边界安全、通信网络安全和安全管理中心”(一个中心三维防护)四方面给出了五个级别信息系统安全保护设计的技术要求,用于指导信息系统等级保护安全技术设计该标准不包括信息系统物理安全、安全管理、安全运维等方面的安全要求,所以应与《基本要求》等标准配合使用
四、信息安全等级保护安全建设整改的工作目标信息安全等级保护安全建设整改的工作目标在《关于开展信息安全等级保护安全建设整改工作的指导意见》已经明确可概况为利用三年时间,开展三项重点工作,实现五方面目标1.三年时间由于一些重要行业信息系统较多,受资金、人员等条件限制,考虑实际情况,全国已定级信息系统安全建设整改工作总体上用三年时间完成各行业主管(监管)部门应按照时间要求,根据本行业信息系统数量和实际情况,合理部署总体工作进度2.三项重点工作通过__开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评等三项重点工作,落实等级保护制度的各项要求3.五方面目标通过开展安全建设整改工作,达到以下五方面目标一是信息系统安全管理水平明显提高,二是信息系统安全防范能力明显增强,三是信息系统安全隐患和安全事故明显减少,四是有效保障信息化健康发展,五是有效维护____、社会秩序和公共利益
五、信息安全等级保护安全建设整改的工作对象目前,少数单位和部门尚未开展信息系统定级备案工作,存在漏定级、漏备案和定级不准等情况,所以,各行业主管(监管)部门应在公安部指导下__行业信息系统定级指导意见和要求,先解决信息系统定级备案工作存在的突出问题,在此基础上开展安全建设整改工作开展安全建设整改工作的信息系统范围如下1.各单位、各部门要将已备案的第二级(含)以上信息系统纳入安全建设整改的范围2.尚未开展定级备案的信息系统,要先定级备案,再开展安全建设整改3.新建系统要同步开展安全建设工作
六、信息安全等级保护安全建设整改的工作内容及要求各单位、各部门在开展安全建设整改工作中,应坚持管理和技术并重的原则,依据《基本要求》,落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施
(一)信息安全等级保护安全管理制度建设1.建设依据按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,建立健全并落实符合相应等级要求的安全管理制度2.建设内容
(1)落实信息安全责任制成立信息安全工作__机构,明确信息安全工作的主管__成立专门的信息安全管理部门或落实信息安全责任部门,确定安全岗位,落实专职人员或__人员明确落实__机构、责任部门和有关人员的信息安全责任
(2)落实人员安全管理制度制定人员录用、离岗、考核、教育培训等管理制度,落实管理的具体措施对安全岗位人员要进行安全审查,定期进行培训、考核和安全保密教育,提高安全岗位人员的专业水平,逐步实现安全岗位人员持证上岗
(3)落实系统建设管理制度建立信息系统定级备案、方案设计、产品采购使用、__使用、软件__、工程实施、验收交付、等级测评、安全服务等管理制度,明确工作内容、工作方法、工作流程和工作要求
(4)落实系统运维管理制度建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、__保护、备份与恢复、__处置等管理制度,制定应急预案并定期开展演练,采取相应的管理技术措施和手段,确保系统运维管理制度的有效落实
3、建设要求
(1)在具体实施过程中,可逐项建立管理制度,也可以进行整合,形成完善的安全管理体系要根据具体情况,结合系统管理实际,不断健全完善管理制度同时,将管理制度与管理技术措施有机结合,确保安全管理制度得到有效落实
(2)建立并落实监督检查机制备案单位定期对各项制度的落实情况进行自查,行业主管部门__开展督导检查,公安机关会同主管部门开展监督检查
(二)信息安全等级保护安全技术措施建设
1、建设依据按照《管理办法》、《信息系统安全等级保护基本要求》,参照《信息系统安全等级保护实施指南》、《信息系统通用安全技术要求》、《信息系统安全工程管理要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,建设信息系统安全保护技术措施
2、建设内容结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设整改方案,开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施在信息系统安全技术建设整改中,可以采取“一个中心、三维防护”(即一个安全管理中心和计算环境安全、区域边界安全和通信网络安全)的防护策略,实现相应级别信息系统的安全保护技术要求,建立并完善信息系统综合防护体系,提高信息系统的安全防护能力和水平
3、建设要求备案单位要开展信息系统安全保护现状分析,确定信息系统安全技术建设整改需求,制定信息系统安全技术建设整改方案,__实施信息系统安全建设整改工程,开展安全自查和等级测评,及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设整改工作
七、信息安全等级保护安全建设整改的工作流程安全建设整改工作可以分五步进行第一步落实负责安全建设整改工作的责任部门,由责任部门牵头制定本单位和本行业信息系统安全建设整改工作规划,对安全建设整改工作进行总体部署第二步开展信息系统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求可以依据《基本要求》等标准,采取对照检查、风险评估、等级测评等方法,分析判断目前所采取的安全保护措施与等级保护标准要求之间的差距,分析系统已发生的__或事故,分析安全保护方面存在的问题,形成安全建设整改的需求并论证第三步确定安全保护策略,制定信息系统安全建设整改方案在安全需求分析的基础上,进行信息系统安全建设整改方案设计,包括总体设计和详细设计,制定工程预算和工程实施计划等,为后续安全建设整改工程实施提供依据安全建设整改方案须经专家评审论证,第三级(含)以上信息系统安全建设整改方案应报公安机关备案,公安机关监督检查备案单位安全建设整改方案的实施第四步按照信息系统安全建设整改方案,实施安全建设整改工程,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施在实施安全建设整改工程中,需要加强投资风险控制、实施流程管理、进度规划控制、工程质量控制和信息保密管理第五步开展安全自查和等级测评,及时发现信息系统中存在的安全隐患和问题,并通过风险分析,确定应解决的主要问题,进一步开展安全整改工作安全建设整改工作的具体步骤见图3所示图3信息系统安全建设整改工作基本流程
八、信息安全等级保护安全建设整改的工作方法安全建设整改工作与各单位、各部门在信息系统建设中开展的安全建设工作有__又有区别,但信息安全等级保护工作中的安全建设整改工作具有鲜明的特点,主要体现在以下四个方面一是继承发展安全建设整改工作是在各单位、各部门信息系统安全保护工作基础上开展的,是对原有工作的继承和发展二是引入标准各单位、各部门是按照国家有关标准规范开展安全建设整改工作,强调将技术措施和管理措施有机结合,着重建立信息系统综合防护体系,提高信息系统整体安全保护能力三是外部监督传统的信息系统安全保护工作大多是自主、自愿行为,而信息安全等级保护安全建设整改工作是有__职能部门监督的行为全国公安机关对各单位、各部门等级保护工作的开展进行监督、检查四是政策牵引公安机关会同国家保密部门、__工作部门和信息化部门__了一系列政策文件和工作指南,为各单位、各部门开展等级保护工作提供了一定的保障机制具体工作方法是
(一)安全建设整改工作应以《基本要求》为基本目标,可以针对安全现状分析发现的问题进行加固改造,缺什么补什么;也可以进行总体安全建设整改设计,将不同区域、不同层面的安全保护措施形成有机的安全保护体系,落实《基本要求》,最大程度发挥安全措施的保护能力
(二)突出重点建设过程中要突出重点,可以先对第
三、四级信息系统开展安全建设整改,再对第二级系统开展整改;也可以对各等级系统同步规划实施,确保按期完成任务
(三)试点示范重点行业、部门可以根据需要和实际情况,选择有代表性的第
二、
三、四级信息系统先进行安全建设整改和等级测评工作试点、示范,在总结经验的基础上全面推开
(四)安全建设整改工作具体实施可以根据实际情况,将安全管理制度建设和安全技术措施建设内容一并实施,或分步实施
(五)重点行业可以按照《基本要求》等国家标准,结合行业特点,在公安部等有关部门指导下,确定《基本要求》的具体指标,在不低于《基本要求》的情况下,结合系统安全保护的特殊需求,制定行业标准规范或细则,并据此开展安全建设整改工作
(六)将安全建设整改工作与业务工作、信息化建设工作有机结合,利用信息安全等级保护综合工作平台,使等级保护工作常态化
九、信息安全等级保护安全建设整改中的几项相关工作
(一)信息安全等级测评等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动等级测评工作是信息安全等级保护整体工作的一个重要组成部分,信息系统运营使用单位通过开展等级测评,一是可以掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求;二是衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求,是否具备了相应的安全保护能力1.测评机构的选择为了加强信息安全等级保护等级测评机构建设和管理,规范等级测评活动,保障等级测评工作的顺利开展,专门机构要对测评机构和测评人员进行安全审查和能力审验开展等级测评的机构须获得专门机构颁发的有关资格证明文件开展等级测评的人员须获得专门机构颁发的等级测评师证书(等级测评师分为初级、中级和高级三种)审核通过的测评机构由专门机构向社会公布,并由备案单位选择2.等级测评工作各单位、各部门在开展信息系统安全建设整改之前,可以通过等级测评进行信息系统安全现状分析,排查信息系统安全隐患和薄弱环节,明确信息系统安全建设整改的需求,制定安全建设整改方案,有针对性地进行安全建设整改信息系统安全建设整改后,按照《管理办法》的要求进行等级测评,检验安全建设整改成效,查找与等级保护标准要求的差距经测评未达到安全保护要求的,要根据测评报告中的改进建议,制定整改方案并进一步进行整改对第三级(含)以上信息系统要定期开展等级测评工作,对于重要部门的第二级信息系统,可以参照上述要求开展等级测评工作各单位、各部门要对测评机构和测评人员的测评活动进行监督管理,与测评机构签订工作协议和保密协议,查验测评机构和测评人员的相关材料,落实测评过程监管措施,防范对信息系统可能造成新的安全风险各单位、各部门要监督检查测评机构是否依据《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》等国家标准开展等级测评,是否按照公安部统一制订的《信息系统安全等级测评报告模版》(公信安
[2009]1487号)格式出具测评报告按照行业标准规范开展安全建设整改的信息系统,可以以国家标准为依据开展等级测评,也可以行业标准规范为依据开展等级测评各单位、各部门对信息系统开展等级测评后,每年应将等级测评报告向受理备案的公安机关备案信息系统运营使用单位应当根据信息系统规模和测评机构所投入的成本,合理支付测评服务费用测评费用可以参考国家信息化项目人工计费标准或根据被测设备数量与测评项预算测评费用
(二)信息安全产品的选择使用为落实《关于信息安全等级保护工作的实施意见》中提出的“对信息系统中使用的信息安全产品实行按等级管理”的要求,公安部发布了《关于调整更新计算机信息系统安全专用产品检测执行标准规范的公告》(公信安
[2009]1157号),对已有分级标准的29类信息安全产品开展分级检测工作对于检测并审核通过的产品,产品销售许可证书标注产品分级信息,便于用户根据信息系统安全需求选择相应等级的产品《管理办法》规定第三级以上信息系统应当选择使用我国自主研发的信息安全产品信息安全产品是信息系统安全的重要基础,信息安全产品的使用和管理是国家信息安全等级保护制度的重要组成部分,尤其是进入到基础___络和重要信息系统中的信息安全产品将直接影响信息系统安全,甚至危及____、社会稳定因此,各单位、各部门应在满足使用要求的前提下,优先选择国产品国家信息____部门对进入第三级以上信息系统中使用的信息安全产品进行管理
(三)信息系统安全建设整改方案的制定信息系统安全建设整改方案主要包括以下内容项目背景;政策和技术标准依据;安全需求分析;安全建设整改技术方案设计;安全建设整改管理体系设计;信息系统安全产品选型及技术指标;安全建设整改后信息系统残余风险分析;安全建设整改项目实施计划;项目预算
十、信息安全等级保护安全建设整改工作的检查监督备案单位、行业主管部门、公安机关要分别建立并落实监督检查机制,定期对等级保护制度各项要求的落实情况进行自查和监督检查
(一)备案单位的定期自查备案单位应按照《管理办法》的相关要求,对等级保护工作落实情况进行自查,掌握信息系统安全状况、安全管理制度及技术保护措施的落实情况等,及时发现安全隐患和存在的突出问题,有针对性地采取技术和管理措施备案单位应当配合公安机关的监督检查工作,如实提供有关资料及文件当第三级(含)以上信息系统发生__、案件时,备案单位应当及时向受理备案的公安机关报告
(二)行业主管部门的督导检查行业主管部门要建立督导检查制度,__制定本行业、本部门的信息安全等级保护检查工作规范,定期__对本行业、本部门等级保护工作开展情况进行检查,督促落实信息安全等级保护制度,达到重点督促,以点带面的目的
(三)公安机关的监督检查部、省、市三级公安机关网络安全保卫部门要按照“谁受理备案、谁负责检查”的原则,依据《公安机关信息安全等级保护检查工作规范(试行)》(公信安
[2008]736号),定期对备案单位等级保护工作开展和实施情况进行监督检查对于有主管部门的,公安机关要积极会同主管部门开展,充分发挥主管部门的作用,建立监督检查的配合机制公安机关应按照“严格依法,热情服务”的要求开展检查工作,遵守检查纪律,规范检查程序,主动、热情地为信息系统运营使用单位提供服务和指导对备案单位重要信息系统发生的__、案件及时进行调查和____,并指导其开展应急处置工作,为备案单位重要信息系统安全提供有力支持
十一、总体工作要求
(一)高度重视,加强__等级保护安全建设整改工作任务艰巨,责任重大各单位、各部门一定要高度重视,要按照“谁主管、谁负责”的原则,切实加强对等级保护安全建设整改工作的____,落实责任部门、责任人员和安全建设整改经费,完善工作机制各行业主管(监管)部门是本行业等级保护工作的主管部门,应按照时间要求,结合本行业信息系统数量、等级、规模等实际情况,合理部署总体工作进度,从__到省、地市,一级抓一级,层层抓落实
(二)加强宣传,树立典型行业主管部门和信息系统运营使用单位应建立与公安机关的联络机制和工作机制,利用多种形式,__开展宣传、培训工作,利用电视__会议或集中形式__本行业、本部门学习信息安全等级保护有关政策、标准和技术__开展经验交流,发现、培养并树立工作典型,在行业内宣传__先进经验公安部利用《信息安全等级保护工作简报》和信息通报机制,为各部委、__企业提供认真、有效的服务
(三)认真总结,及时报送自2009年起,各部门要对定级备案、等级测评、安全建设整改和自查等工作开展情况进行年度总结,于每年年底前报同级公安机关网络安全保卫部门,各省(自治区、直辖市)公安机关网络安全保卫部门报公安部网络安全保卫局为了统计各单位、各部门信息安全等级保护安全建设整改工作进展情况,各信息系统备案单位每半年要填写《信息安全等级保护安全建设整改工作情况统计表》(见《指导意见》附件),分别于每年六月份和十二月份报受理备案的公安机关附件国家信息安全等级保护安全建设指导专家委员会职责
一、配合公安部宣传信息安全等级保护安全建设相关政策,根据等级保护安全建设总体部署,指导备案单位研究拟定信息安全等级保护安全建设的贯彻实施意见和建设规划;
二、宣传国家信息安全等级保护安全建设相关技术标准,并结合行业特点,研究、指导备案单位等级保护安全建设相关技术标准的行业应用,指导备案单位研究拟定行业技术标准规范;
三、参与备案单位信息安全等级保护安全建设整改方案的论证、评审,指导备案单位信息安全等级保护安全建设工作;
四、了解掌握并研究探索行业开展信息安全等级保护安全建设工作中安全管理、安全技术和工程建设、工程管理等最佳实践,总结成功经验,树立典型并提出__意见;
五、跟踪国内外信息安全技术最新发展,__和引导信息安全研究机构和企业开展信息安全等级保护共性技术和关键技术专题研究,推动等级保护技术研究工作,促进信息安全产业发展;
六、研究提出完善国家信息安全等级保护政策体系和技术体系___和建议国家信息安全等级保护安全建设指导专家委员会专家__主任沈昌祥中国工程院院士副主任___中国工程院院士委员崔书昆___信息安全测评认证中心研究员王立福北京大学教授袁文恭国家信息安全工程技术研究中心研究员王娜国家___高技术司处长郭全明中国人民银行科技司处长张瑞芝国家广电总局安全播出调度中心副总工刘祖泷___信息办处长李建彬国家税务总局电子税务管理中心副处长李宏图____科技发展司副处长闫宏强工业与信息化部通信保障局副处长周德铭国家___信息办主任刘长虹国有资产监督管理委员会信息办副主任王连印国家质量监督检验检疫总局信息中心副主任马晓东公安部科技与信息化局总工王才有___统计信息中心副主任蔡阳水利部水利信息中心副主任顾炳中国土资源部信息中心总工栗演兵___信息中心总工王继业国家电网公司信息化工作部副主任罗凯中国证券监督管理委员会信息中心总工朱建平公安部信息安全等级保护评估中心副主任李京春国家信息技术安全研究中心总工王军中国信息安全测评中心总工顾健公安部计算机安全产品检验中心副主任陈建民计算机病毒防治产品检验中心副主任刘科全联想网御科技(北京)有限公司总裁赵呈东北京启明星辰信息技术有限公司总监孙铁北京神州绿盟科技有限公司技术顾问《关于开展全国重要信息系统安全等级保护定级工作___》(公通字
[2007]861号)《中华人民___计算机信息系统安全保护条例》(___147号令)《国家信息化__小组关于加强信息安全保障工作___》(___
[2003]27号)信息安全等级保护工作《关于信息安全等级保护工作的实施意见》(公通字
[2004]66号)《信息安全等级保护备案实施细则》(公信安
[2007]1360号)《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安
[2009]1429号)《关于加强国家电子政务工程建设项目信息安全风险评估工作___》(发改高技
[2008]2071号)____《信息系统安全等级测评报告模版(试行)》___(公信安
[2009]1487号)《公安机关信息安全等级保护检查工作规范(试行)》(公信安
[2008]736号)《信息安全等级保护管理办法》(公通字
[2007]43号)定级备案安全建设整改等级测评检查信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则(GB17859)信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息安全等级保护安全建设整改工作网络基础安全技术要求网络和终端设备隔离部件技术要求安全等级安全要求现状分析方法指导信息系统安全等级保护实施指南信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略,制定安全建设整改方案物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理。