等级保护知识介绍

等级保护/分级保护政策学习内容概要政策背景等保/分保制度与标准等保/分保职能分工等保/分保各相关方职责实施要求管理过程资质管理政策背景(一)等级保护是国家信息安全的基本制度等级保护思想始于1994年发布的《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令），其中明确提出了“计算机信息系统实行安全等级保护”。之后于1999年发布了《计算机信息系统安全保护等级划分准则》（GB17859-1999）。等级保护工作推动取得突破性进展的标志是2003年发布《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）和2005年发布的《关于信息安全等级保护的实施意见》（公通字[2005]66号），确立了等级保护作为国家信息安全保障的基本制度。等级保护制度是从国家的视角，依据信息系统被破坏后，对国家安全、社会秩序和公共利益造成的影响程度来划分系统的安全等级。等级保护制度充分体现了信息安全的国家意志。政策背景(二)等级保护与分级保护的分开管理在66号文发布之后，等级保护按照信息系统的涉密情况分成两条线管理。非涉密信息系统的等级保护由公安部负责监督、检查、指导，称为“信息系统安全等级保护”；涉及国家秘密信息系统的等级保护由国家保密工作机构负责监督、检查、指导，称为“涉及国家秘密的信息系统分级保护”。在等级保护方面，国家发布了《信息安全等级保护管理办法》（公通字[2007]43号）、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）等文件，并起草了“信息系统安全等级保护定级指南”、“信息系统安全等级保护基本要求”、“信息系统安全等级保护实施指南”等系列国家标准（报批稿）。在分级保护方面，国家保密局发布了《涉及国家秘密的信息系统分级保护管理办法》（国保发[2005]16号），之后陆续发布了《涉及国家秘密的信息系统分级保护技术要求》、《涉及国家秘密的信息系统分级保护管理规范》、《涉及国家秘密的信息系统分级保护方案设计指南》、《涉及国家秘密的信息系统分级保护测评指南》等一系列分级保护的国家保密标准。等保/分保制度与标准《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《关于加强信息安全保障工作中保密管理的若干意见》（中保委发[2004]7号）《信息安全等级保护管理办法》（公通字[2007]43号）《涉及国家秘密的信息系统分级保护管理办法》（国保发[2005]16号）《等级划分准则》《等级保护基本要求》《通用安全技术要求》《网络基础安全技术要求》《操作系统安全技术要求》《数据库安全技术要求》《服务器安全技术要求》《终端安全等级技术要求》BMB17-2006《分级保护技术要求》BMB20-2007《分级保护管理规范》BMB22-2007《分级保护测评指南》《分级保护方案设计指南》等保/分保制度与标准某级系统物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理标准（一）等级保护主要标准:《信息安全技术信息系统安全等级保护基本要求》(GB/T22239)；《信息安全技术信息系统安全等级保护定级指南》(GB/T22240)；《信息安全技术信息系统安全等级保护实施指南》(国标报批稿)；《信息安全技术信息系统安全等级保护测评规范》(国标报批稿)。标准（二）等级保护配套标准:《计算机信息系统安全保护等级划分准则》（GB17859-1999）；《信息系统通用安全技术要求》（GB/T20271）；《网络基础安全技术要求》（GB/T20270）；《操作系统安全技术要求》（GB/T20272）；《数据库管理系统安全技术要求》（GB/T20273）；《终端计算机系统安全等级技术要求》（GA/T671）；《信息系统安全管理要求》（GB/T20269）；《信息系统安全工程管理要求》（GB/T20282）。标准（三）分级保护标准:《涉及国家秘密的信息系统分级保护技术要求》（BMB17-2006）；《涉及国家秘密的信息系统工程监理规范》（BMB18-2006）；《涉及国家秘密的信息系统分级保护管理规范》（BMB20-2007）；《涉及国家秘密的信息系统分级保护测评指南》（BMB22-2007）；《涉及国家秘密的信息系统分级保护方案设计指南》（BMB23-2008）。等级保护与分级保护职能分工等级保护各相关方职责(一)等级保护实施工程所涉及的主管部门与协作单位分级保护各相关方职责(二)分级保护实施工程所涉及的主管部门与协作单位实施要求(一)等级保护实施要求:实施要求(二)分级保护实施要求:管理过程(一)等级保护管理过程:等级保护实施流程规划设计建设实施等级测评公安局/专家组公安局/授权测评单位公安局是是是否运维管理系统废止标准公安局/专家组备案系统定级涉及单位阶段工作等级改变定级指南、实施指南基本要求、定级指南实施指南、评估指南基本要求、定级指南安全产品标准基本要求、测评准则监督管理要求监督管理要求实施指南系统调查和描述子系统划分子系统定级定级结果文档化定级备案等级化风险评估分级保护模型化处理安全策略规划安全建设规划安全详细方案设计安全产品采购安全控制开发安全控制集成验收等级测评操作管理和控制配置管理和控制变更管理和控制安全状态监控安全事件处理和应急预案自主检查和监督检查持续改进信息系统等级保护实施生命周期内的主要活动规划设计阶段安全实施/实现阶段安全运行管理阶段等级化风险评估安全总体设计安全建设规划安全方案设计安全产品采购安全控制集成测试与验收管理机构的设置管理制度的建设人员配置和岗位培训安全建设过程的管理操作管理和控制变更管理和控制安全状态监控安全事件处置和应急预案安全评估和持续改进监督检查定级阶段系统调查和描述子系统划分/分解子系统边界确定安全等级确定定级结果文档化等级保护的生命周期管理过程(二)等级保护主管部门的管理手段:管理过程(三)分级保护管理过程:分级保护实施流程方案设计工程实施系统测评保密局/评审专家组授权测评单位是是是否日常管理系统废止标准保密局备案系统定级涉及单位阶段工作管理办法、技术要求保密法设计指南、技术要求管理规范、安全产品标准工程监理规范测评指南技术要求、管理规范保密管理指南详细系统识别确定最高密级确定保护等级上报审批风险评估确定保护要求规划设计方案上报审查论证制定实施保密制度确定工程监理方确定产品集成方提交测评申请提交测评资料提交审批申请提交审批资料系统审批测试与检查工程监理方保密局/结论专家组动态调整否否否否是测评指南制定保密管理制度组建安全保密机构设置安全保密专员定期风险自查动态调整防护措施定期进行保密测评提交废止批申请销毁涉密设备资料管理过程(四)分级保护主管部门的管理手段:等级保护对厂商和产品的资质管理:资质管理(一)分级保护对厂商和产品的资质管理:资质管理(二)谢谢！