信息安全-等级保护服务工程指南

一.等级保护工作概述1.1等级保护发展概况早在1994年国务院147号令中就明确提出国家计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定；随后发布了以《计算机信息系统安全保护等级划分准则》（GB17859-1999）为核心的一系列标准，并围绕这些标准进行了一系列研究活动。随着信息以及信息安全技术的发展，2003年7月提出了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）文件，明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”；2004年9月发布的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号，这个文件对信息等级保护工作做了更加具体的明确。这里明确指出，等级保护制度是国家信息安全的基本制度，首先要根据信息系统的重要性以及遭到破坏以后对国计民生造成的危害性，以及信息系统必须达到的安全保护水平的程度来确定信息安全的保护等级。明确规定分成五个等级，同时进一步强调了开展信息安全等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。27号文件和66号文件不但为各行业开展信息安全等级保护工作指明了方向，同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。作为过渡文件，2006年1月份还发布了《信息安全等级保护管理办法（试行）》（公通字[2006]7号）文件。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发了《信息安全等级保护管理办法》（公通字[2007]43号）。将去年年初发布的《信息安全等级保护管理办法（试行）》（公通字[2006]7号）由试行文件转为正式文件，与2006年7号文相比，43号文无论从内容上还是结构上都作了比较大的调整。43号文是今年等级保护工作发布的一项重要文件，它很可能是最近几年等级保护工作主要依据文件，从文件内容看，虽然作为一个管理办法，它还没有真正解决等级保护工作中所一个管理办法应该解决的问题，也没有从根本上解决等级保护所面临的主要矛盾。但它从等级划分、等级保护的实施与管理、涉及国家秘密信息系统的分级保护管理、信息安全等级保护的密码管理、法律责任等方面对等级保护工作中所涉及的各项工作如等级定义、定级、等级建设所依据的文件、等级测评、四个部门的职责做了描述和规定，内容涵盖了等级保护工作的方方面面。为贯彻落实43号文件精神，四部门又联合下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号），要求在2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作。1.2安全保护等级的划分及监管43号文中对信息系统的安全保护等级以及建设监管作了明确规定，下表是原有等级与43号文中等级定义的对比以及各等级建设、监管强度表：级别划分43号文件等级定义原来等级定义建设、监督管理第一级信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益自主保护级，适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。信息系统运营、使用单位或者个人可以依据国家管理规范和技术标准进行保护。第二级信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全指导保护级，适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护。必要时，国家有关信息安全职能部门可以对其信息安全等级保护工作进行指导。第三级信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害监督保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部级别划分43号文件等级定义原来等级定义建设、监督管理门对其信息安全等级保护工作进行监督、检查。第四级信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害强制保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行强制监督、检查。第五级信息系统受到破坏后，会对国家安全造成特别严重损害专控保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。信息系统运营、使用单位应当依据国家管理规范和技术标准进行保护，国家指定的专门部门或者专门机构对其信息安全等级保护工作进行专门监督、检查。二.等级保护服务参照的文件与标准目前在等级保护咨询服务工作过程中需要参照的文件和标准如下：2.1参照文件1994年2月《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）2003年7月《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文件)2004年9月发布《关于信息安全等级保护工作的实施意见》（公通字［2004］66号）2005年9月电子政务信息安全等级保护实施指南（试行）国信办25号文2006年1月公安部、保密局、国密局、国信办联合印发《信息安全等级保护管理办法（试行）》7号文2007年6月公安部、保密局、国密局、国信办联合印发《信息安全等级保护管理办法》（公通字［2007］43号）2007年7月《关于开展信息系统安全等级保护基础调查工作的通知》（公信安〔2005〕1431号）2.2参照标准《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息系统安全保护等级定级指南》（国标征求意见稿）《信息安全等级保护实施指南》（报批稿）《信息系统安全等级保护基本要求》（报批稿）《信息系统安全等级保护测评准则》（送审稿）《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）《信息安全技术网络基础安全技术要求》（GB/T20270-2006）《信息安全技术操作系统安全技术要求》（GB/T20272-2006）《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）《信息安全技术服务器技术要求》《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）《信息安全技术信息系统安全管理要求》（GB/T20269-2006）《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）三.绿盟科技等级保护服务实施原则业务主导信息系统等级保护是围绕系统所承载业务的保护。对信息系统进行等级保护的根本目的不是保护系统的主机和终端，而是信息系统所承载的业务、数据以及提供的服务，这种以业务为核心的思想将贯穿整个等级保护的各个阶段。因此明确系统业务、分析业务环境、划分业务边界、导出业务安全需求是信息系统等级保护的首要任务，也是决定等级保护定级正确与否以及等级建设工作质量的最关键阶段。业务影响最小化对于在线系统的等级保护服务，绿盟科技承诺将通过一切措施将对业务的影响降至最低，并为现场安全测试、检查、建设实施提供应急服务。标准与实际相结合绿盟科技的等级保护服务将在深入研究国家所颁布的文件和技术标准基础上进行，但绝不僵化硬搬标准的条例，将结合信息系统承载业务安全需求的具体实际情况，制定符合系统业务安全要求和单位特点的等级保护实施方案。充分沟通绿盟科技实施的等级保护服务并不是一个简单的只重点考虑技术问题的保护，而是既要解决信息系统的技术问题，同时更重要的是要解决业务中所面临的信息安全问题。因此它不但需要信息系统所属信息部门的支持，还需要业务部门的支持。信息系统等级保护人员包括信息安全专家、业务专家、主管领导，需要了解现有系统的设计和与技术相关的弱点造成的影响，而工作在单位的业务流程线上的全体人员最了解业务系统和操作的破坏或滥用对业务造成的影响，也最了解潜在的威胁对业务的影响，因此等级保护定级、建设实施过程中需要与这些人员进行广泛的沟通。注重质量为确保等级保护项目的实施质量，绿盟科技在整个等级保护工作实施过程中的不同阶段，采用如流程现场记录确认、协调会、评审会议等不同方式对项目的进度、质量进行控制，在项目完成后，由公司相关主管和部门对该项目进行评估、归档。保守秘密由于等级保护中的服务对象中很大一部分是对国家、对行业、对企业比较敏感的信息系统，因此绿盟科技对保密工作高度重视，建立了严格的保密制度。在项目开始之前要与用户签署保密协议，并在商务阶段以合同的形式从法律角度上对用户信息系统的信息保密作出庄严承诺。保护重点绿盟科技所做的风险评估不是事无巨细，对整个单位的所有区域进行面面俱到的保护，而是重点考虑关键业务、关键业务流程、关键信息资产、关键区域，保证等级保护工作重点突出、有的放矢、目标明确。灵活实施由于信息系统等级保护是与具体环境极其相关的，不可能设计一种通用的等级保护实现方法，也不存在对所有单位都适用的单一解决方案。我们的等级保护过程和方法易于修改，实施灵活，可以满足各类单位的需要。它的每个单独过程都可以进行剪裁，以满足单位独特的业务环境。四.等级保护咨询服务实施流程绿盟科技作为专业的安全服务提供商，基于对信息安全的深刻理解，以为客户信息系统构建“等级化的安全体系”为等级保护工作的服务理念，旨在根据不同用户在等级保护不同等级、不同阶段的业务特性、安全需求及安全应用重点，为用户在等级保护的框架下构建一个安全、可靠、灵活、可持续改进的信息安全体系。等级保护的各个阶段有着不同的工作重点，绿盟科技将凭借着深厚的技术实力和丰富的安全服务项目经验，针对等级保护各个阶段的工作重点为客户提供全方位的支持和服务。以下是等级保护咨询服务实施的简单流程，详细内容请咨询绿盟科技相关部门。图5.1等级保护咨询服务流程五.等级保护咨询服务的规划与实施绿盟科技作为专业的安全服务提供商，基于对信息安全的深刻理解，以为客户信息系统构建“等级化的安全体系”为等级保护工作的服务理念，旨在根据不同用户在等级保护不同等级、不同阶段的业务特性、安全需求及安全应用重点，为用户在等级保护的框架下构建一个安全、可靠、灵活、可持续改进的信息安全体系。等级保护的各个阶段有着不同的工作重点，绿盟科技将凭借着深厚的技术实力和丰富的安全服务项目经验，针对等级保护各个阶段的工作重点为客户提供全方位的支持和服务。5.1系统定级阶段信息系统安全定级是实施信息系统安全等级保护的基础和前提。等级确定的正确与否，直接关系到信息系统的定位、后续的安全规划、安全建设、安全实施和等级保护工作相关各方的资源投入，因此在定级阶段如何通过对信息系统的调查和分析，科学、合理地划分信息系统的子系统，并依据各种因素确定信息系统的安全保护等级,对整个等级保护工作能否顺利进行至关重要。绿盟科技在定级阶段将协助用户完成以下工作：5.1.1等级保护导入培训绿盟科技作为主要编写单位，参加了多项国家和北京地区的等级保护、风险评估标准制定工作，对标准有着深入的理解。为使客户更深入的了解等级保护标准思想内涵、定级方法和工作思路，绿盟科技将为客户进行等级保护导入培训，普及等级保护的基础知识。5.1.2系统业务安全域划分通过对信息系统所承载业务及业务流程的分析，对信息系统按业务子系统或进行合理划分，区分需要定级的业务系统，明确系统边界和保护范围,分析信息系统内信息资产和信息系统所提供服务的重要性，协助用户判断信息系统中业务信息和所提供的服务机密性、完整性或可用性等安全属性遭到破坏后