政府在信息安全工作开展情况

第1页共7页政府在信息安全工作开展情况江苏省电子信息产品监督检验研究院赵阳摘要：本文是介绍国家在信息安全方面的情况，主要对国家政策、地方政府政策、国内测评机构、国际国内标准等方面的基本介绍。关键词：等级保护风险评估测评机构标准国家政策篇在我国实行国家信息安全等级保护制度。我国政府非常重视信息安全等级保护工作。这个问题从酝酿到正式提出再到贯彻实施，先后大体经历了20年的时间。我国的信息安全评估工作是随着对信息安全问题的认识逐步深化不断发展的。等级保护是指导我国信息安全保障体系建设的一项基础管理制度，风险评估、系统测评都是在等级保护制度下，对信息及信息系统安全性评价方面两种特定的、有所区分但又有所联系的不同研究、分析方法。风险评估是分级保护和突出重点的具体体现。早在七十年代美国政府就意识到信息安全关系到国家安全和国家利益，随即展开了信息安全测评认证标准的研究工作。我国与1997年开始筹建信息安全产品测评认证中心，对信息安全产品进行检测和认证。下面就等级保护和风险评估工作情况，以及国家在测评机构的建设方面作了一个概括。国家等级保护概况国家相关政策：1.《中华人民共和国计算机信息系统安全保护条例》（1994年国务院147号令）规定“计算机信息系统实行安全等级保护2.《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）3.公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）4.公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（公通字[2007]43号）到现阶段取得的成果：1.制定并发布了《管理办法》，为推广和实施信息安全等级保护提供法律保障。2.组织起草完成了开展等级保护工作急需的相关标准。为推广和实施信息安全等级保护提供技术保障。3.在全国范围内开展了信息系统安全等级保护基础调查工作。4.等级保护试点筹备工作基本完成。5.在全国范围内开展全国重要信息系统安全等级保护定级工作。6.制定了《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准和《信息安全技术信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护第2页共7页基本要求》等管理规范，下一步工作的重点：1.开展试点，积极探索等级保护的工作模式。2.突出重点，切实加强对重要信息系统开展等级保护工作的指导。3.加强宣传培训，正确引导等级保护工作的开展。4.积极探索，推动信息安全测评和技术支持体系建设。国家风险评估概况国家相关政策：1.2003年7月，《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文件)2.2006年，为贯彻国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见的通知（国信办[2006]5号）3.国家电子政务工程建设项目管理暂行办法发改委55号令到现阶段取得的成果：1.根据国务院信息办安全组的要求,国家信息中心迅速成立了来自公安部、安全部、信息产业部、国家认监委、国家标准化委、国家密码管理局、国家保密局、国家计算机网络与信息安全中心、中国信息安全产品测评认证中心、北京市信息办和中国人民解放军测评认证中心等单位同志组成的“信息安全风险评估课题组”,开展信息安全风险评估工作。2003年8月至12月,课题组先后对四个地区(北京、广州、深圳和上海)，十几个行业的50多家单位进行了深入细致的调查与研究，最终得到了《信息安全风险评估调查报告》、《信息安全风险评估研究报告》、《关于加强信息安全风险评估工作的建议》三份文稿2.制定了《信息安全技术信息安全风险评估规范》（GB/T20984-2007）下一步工作的重点：1.探索信息安全风险评估管理机制的建设，研究如何落实中办发27号文件“谁主管谁负责谁运营谁负责”的原则，包括信息安全风险评估的领导体制、协调机制、审查与批准、监管、督察和备案等内容；明确信息安全风险评估的角色、责任、方法、过程及结果；2.摸索协同开展风险评估工作和信息安全等级保护工作、保密检查工作的实践经验；3.完善信息安全风险评估管理规范与技术标准；4.了解信息安全检查评估和自评估模式的效果与不足；5.完善国家相关政策文件。测评认可机构中国信息安全认证中心成立国家信息安全认证中心依据国家信息安全管理的法律法规、《认证认可条例》及实施规则，结合产品的信息安全性和应用领域，实行全国统一的认证制度，采取强制性产品认证和自愿性产品认证两种方式对产品进行认证。第3页共7页主要业务是：依据国家信息安全管理的法律法规、《认证认可条例》及实施规则，在指定的业务范围内，对信息安全产品实施认证，并开展信息安全有关的管理体系认证和人员培训、技术研发等工作。中心要重点开展以下五个方面的工作：一是做好组建工作；二是加强协调与沟通，营造良好的外部工作环境；三是认真履行职责，确保认证质量；四是加强开展认证技术的研发，提高认证检测水平；五是积极推进国际合作与交流。具体包括：1.在信息安全领域开展产品、管理体系等认证工作；2.对认证及与认证有关的检测、检查、评价人员进行认证标准、程序及相关要求的培训；3.对提供信息安全服务的机构、人员进行资质培训、注册；4.开展信息安全认证、检测技术研究工作；5.提供信息安全产品测评基准服务；6.依据法律、法规及授权从事其他相关工作。地方篇为了保护计算机信息系统的安全，鼓励计算机的应用，促进计算机的发展，根据《中华人民共和国计算机信息系统安全保护条例》，结合地方实际情况，在信息安全方面制定了管理办法，筹建安全测评机构。地方性政策:o浙江省信息安全等级保护管理办法/浙江省人民政府(2006-9-30)o四川省计算机信息系统安全保护管理办法/四川省省人民政府(2006-9-30)o关于印发《证券期货业信息安全保障管理暂行办法》的通知/中国证券监督管理委员会(2005-4-8)o云南省人民政府办公厅转发国家八部委关于建立国家信息安全产品认证认可体系文件的通知/云南省人民政府办公厅(2005-1-4)o关于加强人防信息安全保密管理有关问题的通知/国务院机关事务管理局(2004-12-1)o转发省人民政府印发广东省电子政务信息安全管理暂行办法的通知/广东省广州市人民政府(2003-8-17)o广东省电子政务信息安全管理暂行办法/广东省人民政府(2003-6-24)o杭州市人民政府办公厅转发市信息办关于加强杭州市信息安全工作若干意见的通知/浙江省杭州市人民政府办公厅(2002-11-25)o北京市信息安全服务单位资质等级评定条件（试行）/北京市信息化工作办公室(2002-9-18)o陕西省人民政府办公厅转发关于省直机关信息网络建设中信息安全等有关问题的意见的通知/陕西省人民政府办公厅(2000-5-15)第4页共7页o浙江省信息安全等级保护管理办法/浙江省人民政府(2006-9-30)o上海市信息委关于做好《上海市公共信息系统安全测评管理办法》落实工作的通知/上海市信息化委员会(2006-7-12)o上海市公共信息系统安全测评管理办法/上海市人民政府(2006-5-7)o银行业金融机构信息系统风险管理指引/中国银行业监督管理委员会(2006-11-1)o上海市信息委关于2006年信息安全风险自评估工作下阶段安排的通知/上海市信息化委员会(2006-10-o山东省计算机信息系统安全管理办法/山东省人民政府(1998-4-20)江苏:o转发市公安局和市信息化工作领导小组办公室《关于开展信息系统安全等级保护基础调查工作的通知》的通知/江苏省镇江市人民政府办公室(2006-3-1)o关于转发市公安局泰州市计算机信息网络安全保护实施意见的通知/江苏省泰州市人民政府办公室(2005-11-15)o关于加强全市信息安全工作的实施意见/江苏省镇江市人民政府办公室(2004-10-29)o江苏省计算机信息系统安全保护管理办法/江苏省人民政府(2002-6-14)测评机构测评机构：中国信息安全产品测评认证中心（通过实验室认可；检查机构认可）相关标准：（系统方面）信息技术信息安全管理实施规则ISO/IEC17799-2000信息技术IT安全管理指南ISO/IECTR13335信息技术安全技术信息技术安全性评估准则ISO/IEC17799-2000信息系统安全工程能力成熟度模型ISO21827-2002信息技术安全技术信息技术安全性评估准则GB/T18336-2001工作情况开展业务:信息安全产品认证：信息系统认证：信息安全服务资质认证：信息安全专业人员资质认证。在成立了很多授权实验室:（产品领域）上海测评中心重庆测评中心计算机测评中心互操作性测评中心华中测评中心身份认证产品与技术测评中心东北测评中心山东测评中心深圳测评中心通讯安全测评中心西南测评中心西北测评中心第5页共7页云南测评中心河南测评中心测评技术实验室测评机构：公安部第三研究所安全防范与信息安全产品及系统检验实验室（通过实验室认可）相关标准：（系统方面）计算机信息系统安全保护等级划分准则GB17859-1999电子计算机场地通用规范GB/T2887-2000计算机信息系统安全等级保护通用技术要求GA/T390-2002计算机信息系统安全等级保护管理要求GA/T391-2002信息系统安全等级保护基本要求（公信安［2006］161号）工作情况业务情况：安全测评；开放实验室；标准编制；安全咨询。测评机构：北京市等级保护服务中心（通过实验室认可；检查机构认可）相关标准：（系统方面）党政机关信息系统安全测评规范DB11/T171-2002政务公开网站通用安全技术要求DB11/T145-2002信息技术安全技术信息技术安全性评估准则GB/T18336-2001计算机信息系统安全等级保护通用技术要求GA/T390-2002计算机信息系统安全等级保护操作系统技术要求GA/T388-2002计算机信息系统安全等级保护数据库管理系统技术要求GA/T389-2002计算站场地安全要求GB9361-1988信息安全管理Part1：信息安全管理实践准则ISO/IEC17799-2000工作情况：中心在北京市发展和改革委员会、北京市信息化办公室的支持下，建立了北京信息安全测试实验室。中心成立以来，先后组织实施了对北京委组织部、首都之窗网站群以及北京市医疗保险等60多个重要信息系统的安全测评项目，为信息系统的安全测评积累了丰富的实践经验。近年来，中心先后承担了“北京信息安全测评实验室建设”、“北京市奥运信息安全产品测试环境建设”、“北京市电子政务信息安全应急响应体系建设”、“北京市信息安全灾难恢复中心”以及“等级保护支撑平台研制与应用”等多个重大项目的组织实施工作。测评机构：上海市信息安全测评中心（通过实验室认可；检查机构认可）相关标准：（系统方面）信息技术安全技术信息技术安全性评估准则GB/T18336-2001计算站场地安全要求GB9361-1988计算机信息系统测评通用技术规范DB/T31-272-2002信息技术信息安全管理实用规则GB/T19716-2005工作情况：业务情况：系统测评；产品认证；风险评估；安全管理体系咨询；信息技术产品功能测试；综合性能测试；设备选型比对测试；项目验收测试；商用密码产品质量检测；网络基础设施指标测试；开放实验室租用服务。截至2005年底，测评中心已累计完成117个信息系统的安全测评，测评范围涉及银行、证券、保险、电力、燃气、医保、房地、海关、电信、广播电视等关系到国计民生的信息系统第6页共7页以及电子政务和电子商务系统。此外，测评中心还受相关主管部门的委托，对卫生、教育领域内的160多单位的系统实施了安全检测或检查。测评机构：华北计算技术研究所计算机测评中心（通过实验室认可；检查机构认可）相关标准：（系统方面）信息技术安全技术信息技术安全性评估准则GB/T18