国家等级保护政策介绍

等级保护课程内容国家等级保护政策介绍人民银行等级保护系列标准制定情况介绍人民银行等级保护实施指引和测评指南介绍Copyright2011PBC1国家等级保护政策介绍南京分行科技处介绍内容背景概述什么是等级保护等级保护主要标准Copyright2011PBC34国家等级保护要求信息系统信息安全等级保护制度（简称等级保护）是我国信息安全领域的一项基本国策。法律：《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）中央、国务院文件：《国家信息化领导小组关于加强信息安全保障工作的意见》Copyright2011PBC5《信息安全等级保护管理办法》2007年6月22日，四部委联合发布规定了“定级、备案、安全建设整改、等级测评、检查”等五个规定动作。Copyright2011PBC部委文件：6等级保护工作安排2010年底，完成30％三级系统测评工作2011年底，完成三级系统测评工作2012年底，完成三级系统安全建设整改工作Copyright2011PBC公安部文件：《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）行业主管部门：1、督促、检查、指导本行业、本部门开展等级保护工作。2、制定行业标准规范，指导本行业信息系统安全建设整改工作。Copyright2011PBC7介绍内容背景概述什么是等级保护等级保护主要标准Copyright2011PBC8Copyright2011PBC9什么是等级保护将全国的信息系统（包括网络）按照重要性和受破坏后的危害性分成五个安全保护等级，定级后第二级以上系统到公安机关备案，公安机关审核合格后颁发备案证明；各单位各部门根据系统等级按照国家标准进行安全建设整改；聘请测评机构进行等级测评；公安机关定期开展监督、检查、指导。“定级、备案、安全建设整改、等级测评、检查”五个规定动作。Copyright2011PBC10信息系统的安全保护等级共分五级《计算机信息系统安全保护等级划分准则》GB17859-1999本标准将计算机信息系统的安全保护能力划分为五个等级：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。Copyright2011PBC11信息系统的安全保护等级共分五级第一级：自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。第二级：指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。Copyright2011PBC12信息系统的安全保护等级共分五级第三级：监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。第四级：强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。Copyright2011PBC13信息系统的安全保护等级共分五级第五级：专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。Copyright2011PBC14第一级：用户自主保护级提供：自主访问控制身份鉴别数据完整性保护Copyright2011PBC15第二级：系统审计保护级提供：自主访问控制身份鉴别边界的完整性审计数据完整性保护Copyright2011PBC16第三级：安全标记保护级提供：自主访问控制强制访问控制标记身份鉴别边界的完整性审计数据完整性保护Copyright2011PBC17第四级：结构化保护级提供：自主访问控制边界的完整性强制访问控制审计标记数据完整性保护身份鉴别可信路径Copyright2011PBC18第五级：访问验证保护级提供：自主访问控制边界的完整性强制访问控制审计标记数据完整性保护身份鉴别可信路径可信恢复Copyright2011PBC19信息系统等级划分原则受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级Copyright2011PBC20信息系统等级划分原则第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。第二级信息系统：一般适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。Copyright2011PBC21信息系统等级划分原则第三级信息系统：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省、跨市或全国（省）联网运行的用于生产、调度、管理、作业、指挥等方面的信息系统；跨省或全国联网的重要信息系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络等。Copyright2011PBC22信息系统等级划分原则第四级信息系统：一般适用于国家重要领域、重要部门中的特别重要系统。例如全国银行、铁路、电力、电信等重要行业、部门中涉及国计民生的核心系统。第五级信息系统：一般适用于国家重要领域、重要部门中的极端重要系统。Copyright2011PBC23金融业信息系统等级划分原则人民银行于2007年10月分别组织了人民银行分支行、人民银行总行和银行业的定级评审会。评审会后，人民银行科技司对专家评审意见进行了及时的反馈，并下发了定级指导性意见。Copyright2011PBC24金融业信息系统等级划分原则全国商业性银行的核心业务信息系统或综合业务信息系统应当定为四级；网上银行系统、跨省骨干网络、重要支撑设施、在线服务的重要信息系统、重要管理信息系统等应定为三级；政策性银行中的和核心业务信息系统或综合业务信息系统、跨省骨干网络、重要管理信息系统等应定为三级；中国银联的银行卡信息交换系统应定为四级，跨省骨干网络应定为三级；其他信息系统可以定为二级。Copyright2011PBC25开展等级保护工作意义人民银行的网络和信息系统担负着维护国家金融稳定、金融运转的重要职责，因此需要具备更高的信息安全保障水平。目前人民银行的信息系统已经具有一定的防护能力，但随着数据大集中、多应用整合，业务和技术结合日趋紧密、系统日趋复杂庞大，更需要体系化加强信息安全保障能力。综上所述，依据国家等级保护相关标准，结合人行需求，从体系化和可操作性强两个方面编制的人民银行等保系列标准，对促进和提高人行信息安全保障水平、推动等级保护工作，具有深远的意义。Copyright2011PBC26建设整改是关键定级/备案是信息安全等级保护的首要环节等级测评是评价安全保护现状的重要方法建设整改是等级保护工作落实的关键监督检查是使信息系统保护能力不断提高的保障开展等级保护工作流程Copyright2011PBC27Copyright2011PBC28信息系统安全建设整改基本流程一是制定安全建设整改工作规划，对工作进行总体部署；二是开展信息系统安全需求分析或差距分析，确定安全建设整改需求；三是规划系统安全建设整改的管理体系，制定系统安全建设整改技术方案；Copyright2011PBC29信息系统安全建设整改基本流程四是按照安全建设整改管理体系规划，开展信息系统安全管理建设整改工作；五是按照系统安全建设整改技术方案，开展信息系统安全技术建设整改；六是开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作。Copyright2011PBC30介绍内容背景概述什么是等级保护等级保护主要标准Copyright2011PBC31Copyright2011PBC32国家发布的等级保护主要标准1.《计算机信息系统安全保护等级划分准则》2.《信息系统安全等级保护实施指南》3.《信息系统安全等级保护定级指南》4.《信息系统安全等级保护基本要求》5.《信息系统等级保护安全设计技术要求》6.《信息系统安全管理要求》7.《信息系统安全工程管理要求》8.《信息系统安全等级保护测评要求》9.《信息系统安全等级保护测评过程指南》33建设指导类测评指导类要求类•技术要求类•管理要求类•产品要求类人民银行信息安全等级保护体系文件的建立将包含多个国标，并对人民银行的信息安全防护措施建设提出更高更全面要求。国家发布的等级保护主要标准Copyright2011PBC34建设指导类测评指导类要求类•技术要求类•管理要求类•产品要求类人民银行信息安全等级保护体系文件的建立将包含多个国标，并对人民银行的信息安全防护措施建设提出更高更全面要求。国家发布的等级保护主要标准Copyright2011PBC35建设指导类测评指导类要求类•技术要求类•管理要求类•产品要求类人民银行信息安全等级保护体系文件的建立将包含多个国标，并对人民银行的信息安全防护措施建设提出更高更全面要求。国家发布的等级保护主要标准Copyright2011PBC36建设指导类测评指导类要求类•技术要求类•管理要求类•产品要求类人民银行信息安全等级保护体系文件的建立将包含多个国标，并对人民银行的信息安全防护措施建设提出更高更全面要求。国家发布的等级保护主要标准Copyright2011PBC37建设指导类测评指导类要求类•技术要求类•管理要求类•产品要求类人民银行信息安全等级保护体系文件的建立将包含多个国标，并对人民银行的信息安全防护措施建设提出更高更全面要求。国家发布的等级保护主要标准Copyright2011PBC38建设指导类测评指导类要求类•技术要求类•管理要求类•产品要求类人民银行信息安全等级保护体系文件的建立将包含多个国标，并对人民银行的信息安全防护措施建设提出更高更全面要求。国家发布的等级保护主要标准Copyright2011PBCCopyright2011PBC39国家发布的等级保护主要标准Copyright2011PBC40安全建设整改-《基本要求》是核心《基本要求》是信息系统安全保护基本“标尺”或达标线，信息系统安全建设整改应以落实《基本要求》为主要目标，满足《基本要求》意味着信息系统具有相应等级的基本安全保护能力，达到了一种基本的安全状态。22:45Copyright2009CFCC41Q&A谢谢！