等级保护工作介绍

安徽省公安厅1目录信息安全等级保护工作概述等级保护工作有关方面的职责、义务信息系统安全保护等级的划分与保护信息安全等级保护工作主要流程信息系统安全保护等级的确定信息系统安全保护等级备案与备案审核信息系统安全建设整改信息系统安全保护等级测评监督检查安徽省公安厅2信息安全等级保护工作概述发展历程:1994年，国务院颁布《计算机信息系统安全保护条例》:第九条计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。1999年，颁布《计算机信息系统安全保护等级划分准则》，2000年实施2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）：明确提出“实行信息安全等级保护”。2004年，全国信息安全保障工作会议：专门将信息安全等级保护工作作为信息安全保障工作的一项重要任务来部署2004年9月，四部门出台了《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）：明确了信息安全等级保护制度的原则和基本内容，以及信息安全等级保护工作的职责分工、工作实施的要求等。安徽省公安厅3信息安全等级保护工作概述发展历程:1999-2006年，制定了50多个国标和行标，初步形成了信息安全等级保护标准体系：《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》等。2006年，下发等级保护管理办法（试行）2007年6月，四部门联合发布《信息安全等级保护管理办法》（公通字[2007]43号）：明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了有关方面的职责、任务，为开展信息安全等级保护工作提供了规范保障。安徽省公安厅4信息安全等级保护工作概述工作进展：《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）《信息安全等级保护备案实施细则》（公信安[2007]1360号）《关于开展信息安全等级保护安全建设整改工作的指导意见》公信安[2009]1429号《关于开展信息安全等级保护专项监督检查工作的通知》（公信安[2010]1175号）安徽省公安厅5信息安全等级保护工作概述网络安全形势：一是西方敌对势力对我网上渗透和颠覆活动不断升级，我们将长期面临敌对势力的信息优势、技术优势所带来的信息安全威胁。二是境内外反动势力在西方敌对势力的支持下，对我重要网络和信息系统频繁进行攻击破坏：2006年发生几十起攻击我卫星广播电视和插播事件等三是计算机病毒传播和网络非法入侵十分严重：“熊猫烧香”病毒变种700余个，感染了445万台计算机四是网络违法犯罪持续大幅上升：黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术，进行网络盗窃、网络诈骗、网络赌博等违法犯罪五是网上失、窃密情况严重。六是网络安全管理不善，安全措施不到位，信息系统运行事故时有发生：金融、民航等重要信息系统连续发生运行事故.安徽省公安厅6等级保护工作意义:信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法，开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障。实施信息安全等级保护制度，信息系统运营使用单位和主管部门能按照标准进行安全建设、整改，信息系统安全与否也有了一个衡量尺度。信息安全等级保护是发达国家的通行做法、也是我国多年工作经验总结。五个“有利于”：信息安全等级保护工作概述安徽省公安厅7信息安全等级保护工作概述等级保护工作意义:1.有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；2.有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本；3.有利于优化信息安全资源的配置，重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全；4.有利于明确国家、法人和其他组织、公民的信息安全责任，加强信息安全管理；5.有利于推动信息安全产业的发展，逐步探索出一条适应社会主义市场经济发展的信息安全模式。安徽省公安厅8信息安全等级保护工作概述开展等级保护工作的总体要求：各基础信息网络和重要信息系统，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。公安机关和保密、密码工作部门要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。安徽省公安厅9等级保护工作有关方面的职责义务等级保护工作涉及：国家信息安全监管部门；信息系统主管部门；信息系统运营使用单位；公民、法人和其他组织。其职责和义务分别是：国家监管部门：：公安机关牵头，负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。省及市级信息化领导小组办事机构负责等级保护工作的部门间协调。在信息安全等级保护工作中，坚持“分工负责、密切配合”的原则。安徽省公安厅10等级保护工作有关方面的职责义务信息系统主管部门：依照规范和标准，督促、检查和指导本行业、本部门或本地区信息系统运营使用单位落实等级保护工作。审批本行业系统定级工作。全省统一联网运行的信息系统主管部门可以统一确定安全保护等级。对本行业定级工作提出指导。为什么要指导：行业主管部门比运营使用单位具有更高的站位、更宏观的视野。指导什么：侵害客体确定；对不同类型的等级保护客体，本行业主要关注哪些危害后果；对于每一类等级保护客体，确定其危害程度。安徽省公安厅11等级保护工作有关方面的职责义务运营、使用单位：依照规范标准，具体落实本单位等级保护工作中的定级、备案、安全规划、安全建设、测评等,运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任。公民、法人和其他组织：依照标准规范，开展等级保护工作，服从国家对信息安全等级保护工作的监督、指导，保障信息系统安全。测评机构、产品提供商应当遵守国家有关管理规定和技术标准，接受国家信息安全职能部门的监督管理等。安徽省公安厅12信息安全保护等级的划分与保护五个等级：根据信息系统的重要程度和遭到破坏后的危害程度等因素分为以下五级：第一级：公民、法人和其他组织合法权益造成损害第二级：公民、法人和其他组织合法权益产生严重损害，或社会秩序和公共利益造成损害第三级：社会秩序和公共利益造成严重损害，或者对国家安全造成损害第四级：对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害第五级：对国家安全造成特别严重损害安徽省公安厅13信息安全保护等级的划分与保护各等级信息系统的保护和监管责任（1）–第一级：系统运营使用单位应当依据规范和技术标准进行保护。–第二级：系统运营使用单位应当依据规范和技术标准进行保护。国家监管部门对该级信息系统信息安全等级保护工作进行指导。–第三级：信息系统运营使用单位应当依据管理规范和技术标准进行保护。国家监管部门对该级信息系统信息安全等级保护工作进行监督、检查。安徽省公安厅14信息安全保护等级的划分与保护各等级信息系统的保护和监管责任（2）–第四级：信息系统运营使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。–第五级：信息系统运营使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。安徽省公安厅15等级保护工作主要流程一是：定级。二是：备案。三是：建设、整改。四是：等级测评。五是：定期监督检查安徽省公安厅16等级保护工作主要流程各个工作环节间的关系:定级是等级保护的首要环节按等级保护是等级保护的核心建设整改是等级保护工作落实的关键等级测评是评价安全保护状况的方法监督检查是保护能力不断提高的保障安徽省公安厅17信息系统安全保护等级的确定定级工作原则（1）–坚持“自主定级、自主保护”的原则：各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，自主确定信息系统的安全保护等级，并按照所定等级，自主对信息系统进行保护。–满足管理要求原则：安全等级不是保障程度等级，也不是技术能力等级，而是从国家管理的需要出发，从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息或信息系统被破坏后造成危害的严重性角度对信息系统确定的等级；–全局性原则：等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度，系统定级也必须从国家层面考虑，体现全局性；安徽省公安厅18信息系统安全保护等级的确定定级工作原则（2）–以业务为核心原则：系统是为业务服务，安全等级应反映系统承载业务的重要性，应以业务为出发点和核心，将信息系统重要性纳入业务重要性统筹考虑；–合理性原则：反映信息系统的主要安全特征，优化结构、降低投资、突出重点，有效保护。安徽省公安厅19信息系统安全保护等级的确定定级范围：1.电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。2.国家重要行业、领域的重要信息系统。3.市（地）级以上党政机关的重要网站和办公信息系统。4.涉及国家秘密的信息系统。特别说明：信息系统的安全保护等级是信息系统的客观属性，不以系统已采取或将采取什么安全保护措施为依据，也不以风险评估结果为依据，而是以信息系统的重要性和信息系统遭破坏后对客体的危害程度为依据，来确定信息系统的等级，即从国家、人民群众的根本利益出发，考虑信息系统受到损害后的最大风险。安徽省公安厅20信息系统安全保护等级的确定定级对象（1）：定级对象的确定应当遵循以下三个基本原则：1.承载相对独立或单一业务应用的信息系统；定级对象中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以是完整的业务流程的一部分。安徽省公安厅21信息系统安全保护等级的确定定级对象（2）：2.信息系统的信息安全由本单位主管；作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。3.具有信息系统的基本要素；作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。安徽省公安厅22信息系统安全保护等级的确定定级要素：受侵害的客体和对客体的侵害程度受侵害的客体：1.国家安全：国家政权稳固和国防实力的信息系统；重要新闻媒体的发布或播出系统；国家对外活动信息的信息系统；安全保卫信息系统；尖端科技领域的研发…..2.社会秩序和公共利益:政府机构的社会管理和公共服务系统；教育、科研机构的工作系统；为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行管理控制都应当是要考虑的方面3.公民、法人和其他组织的合法权益:拥有信息系统的个体或某个单位安徽省公安厅23信息系统安全保护等级的确定对客体的侵害程度：1.一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执