国家信息安全等级保护制度的主要内容和要求

公安部国家信息安全等级保护制度的主要内容和要求公安部网络安全保卫局郭启全公安部全国公安机关网络安全保卫部门机构和职责机构：公安部：网络安全保卫局各省：网络警察总队地市：网络警察支队区县：网络警察大队职责：制定信息安全政策互联网安全管理，网上监控打击网络犯罪重要系统安全监察网络与信息安全通报公安部公安机关开展等级保护的依据1.《中华人民共和国人民警察法》规定：人民警察履行“监督管理计算机信息系统的安全保护工作”的职责。2.国务院令第147号规定：“公安部主管全国计算机信息系统安全保护工作”，“等级保护的具体办法，由公安部会同有关部门制定”。3.2008年国务院三定方案。“监督、检查、指导信息安全等级保护工作”。公安部目录一、信息安全等级保护制度的主要内容二、信息安全等级保护政策体系和标准体系三、信息安全等级保护工作的具体内容和要求公安部国家信息安全保障工作主要内容信息安全等级保护制度；信息保护和网络信任体系建设；信息安全监控体系；信息安全应急处理；信息安全技术研究，信息安全产业发展；信息安全法制建设和标准化建设；信息安全人才培养；保证信息安全资金；信息安全工作的领导，信息安全责任制。公安部网络与信息安全主要对策加强组织领导，提高信息安全保障工作的组织协调能力。深化开展等级保护工作，提高网络主动防御能力。加强实时监测和分析研判，提高网络安全的发现预警能力。加强应急演练，提高网络应急处置能力。加强信息通报机制建设，提高信息通报和共享能力。建立多方参与机制，有效发挥各方力量。公安部近年来等级保护工作成效（一）重要行业、部门对网络安全重要性的认识明显提高，对网络安全的重视程度明显提高。（二）重要行业、部门以等级保护工作为抓手，全面系统地开展网络安全工作，有力提升了国家信息安全保障水平和能力。（三）通过对信息系统开展等级测评，及时发现了信息系统的安全隐患、漏洞和薄弱环节，初步掌握了重要信息系统安全保护状况。公安部近年来等级保护工作成效（四）通过开展信息安全等级保护安全建设整改，重要信息系统安全防护能力显著增强，信息安全事件（事故）数量明显下降。（五）重要行业、部门以等级保护工作为核心，创造出具有行业特点的网络与信息安全保障工作模式。公安部等级保护工作经验领导重视是根本充分发挥行业主管部门作用是关键突出工作重点是有效对策充分调动多方力量是重要保障加强服务指导是科学方法公安机关开展监督检查是重要手段公安部一、等级保护制度的主要内容（一）国家为什么要实施信息安全等级保护制度1.信息安全形势严峻敌对势力的入侵、攻击、破坏针对基础信息网络和重要信息系统的违法犯罪持续上升基础信息网络和重要信息系统安全隐患严重公安部一、等级保护制度的主要内容2.是维护国家安全的需要基础信息网络与重要信息系统已成为国家关键基础设施，必须要保护好。信息安全是国家安全的重要组成部分。信息安全的本质是信息对抗、技术对抗，是网络空间的政治斗争。公安部一、等级保护制度的主要内容（二）国家对等级保护制度的要求《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）2008年国务院“三定”方案中，增加了公安部职能：监督、检查、指导信息安全等级保护工作。公安部一、等级保护制度的主要内容确立了信息安全等级保护制度的法律地位；明确了实行等级保护是我国信息安全保障工作中一项重要制度和措施；赋予了公安机关牵头负责信息安全等级保护工作监督管理的职责。公安部一、等级保护制度的主要内容（三）信息安全等级保护的内涵是世界各国普遍推行的基本做法是在吸收发达国家经验基础上的创新是我国最全面的信息安全保障政策体系体现了我国加强信息安全保障工作的原则解决了不同安全需要下的安全保护问题体现了安全建设和管理模式的重大变革是在发展中逐步完善的政策体系公安部一、等级保护制度的主要内容（四）等级保护制度的特点紧迫性。信息安全滞后于信息化发展。全面性。内容涉及广泛，各单位各部门落实。基础性。基本制度、基本国策。强制性。公安机关监督、检查、指导。规范性。政策和标准保障。公安部一、等级保护制度的主要内容（五）等级保护工作中的职责分工等级保护工作协调（领导）小组负责信息安全等级保护工作组织领导，制定本地区、本行业开展信息安全等级保护的工作部署和实施方案，并督促有关单位落实，研究、协调、解决等级保护工作中的重要工作事项，及时通报或报告等级保护实施工作的相关情况。公安部一、等级保护制度的主要内容信息安全职能部门公安机关负责信息安全等级保护工作的监督、检查、指导，是等级保护工作的牵头部门。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。工业和信息化及地方信息化领导小组办事机构负责等级保护工作的部门间协调。公安部一、等级保护制度的主要内容信息系统运营使用单位及其主管部门信息系统运营使用单位按照等级保护的管理规范和技术标准，开展信息系统定级、备案、安全建设整改、等级测评、自查等工作，并接受公安机关等部门的监督、指导。有主管部门的，主管部门要督促、检查、指导本行业、本部门信息系统运营使用单位开展信息安全等级保护工作。公安部一、等级保护制度的主要内容安全服务机构信息安全企业，信息系统安全集成商、等级测评机构等安全服务机构，依据国家有关管理规定和技术标准，开展技术支持、服务等工作，并接受监管部门的监督管理。公安部一、等级保护制度的主要内容专家组宣传等级保护相关政策、标准；指导备案单位研究拟定贯彻实施意见和建设规划、技术标准的行业应用；参与定级和安全建设整改方案论证、评审；协助发现树立典型、总结经验并推广；跟踪国内外信息安全技术最新发展，开展等级保护关键技术研究；研究提出完善等级保护政策体系和技术体系的意见和建议。公安部一、等级保护制度的主要内容（六）开展等级保护工作的基本要求各单位、各部门，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求开展等级保护的定级、备案、整改、测评等工作。公安机关要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。公安部二、等级保护政策体系和标准体系（一）信息安全等级保护政策体系近几年，公安部根据国务院147号令的授权，会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了一些文件，公安部对有些具体工作出台了一些指导意见和规范，构成了信息安全等级保护政策体系。汇集成《信息安全等级保护政策汇编》供有关单位、部门使用。公安部等级保护工作配套政策体系《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）信息安全等级保护工作《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《信息安全等级保护备案实施细则》（公信安[2007]1360号）《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）关于印发《信息系统安全等级测评报告模版（试行）》的通知（公信安[2009]1487号）《信息安全等级保护管理办法》（公通字[2007]43号）《公安机关信息安全等级保护检查工作规范（试行）》（公信安[2008]736号）定级备案安全建设整改等级测评检查《关于开展信息安全等级保护专项监督检查工作》的通知（公信安[2010]1175号）《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）公安部1、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）2、《信息安全等级保护管理办法》（公通字[2007]43号）3、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）4、《信息安全等级保护备案实施细则》（公信安[2007]1360号）5、《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）6、《关于做好信息安全等级保护测评机构审核推荐工作的通知》（公信安[2010]559号）公安部7、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）8、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）。9、《关于印发〈信息系统安全等级测评报告模版（试行）〉的通知》（公信安[2009]1487号）10、《公安机关信息安全等级保护检查工作规范》（公信安[2008]736号）11、《关于开展信息安全等级保护专项监督检查工作的通知》（公信安[2010]1175号）12、《关于进一步推进中央企业信息安全等级保护工作的通知》（公通字[2010]70号）公安部二、等级保护政策体系和标准体系（二）信息安全等级保护标准体系多年来，在有关部门支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准，形成了比较完整的信息安全等级保护标准体系。汇集成《信息安全等级保护标准汇编》供有关单位、部门使用。公安部在安全建设整改工作中的作用等级保护有关标准公安部基础标准：《计算机信息系统安全保护等级划分准则》。在此基础上制定出技术类、管理类、产品类标准。安全要求：《信息系统安全等级保护基本要求》信息系统安全等级保护的行业规范二、等级保护政策体系和标准体系公安部系统等级：《信息系统安全等级保护定级指南》信息系统安全等级保护行业定级细则方法指导：《信息系统安全等级保护实施指南》《信息系统等级保护安全设计技术要求》现状分析：《信息系统安全等级保护测评要求》《信息系统安全等级保护测评过程指南》二、等级保护政策体系和标准体系公安部在应用有关标准中需注意的几个问题：1、《基本要求》是阶段性目标，《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一。2、《基本要求》中不包含安全设计和工程实施等内容，因此应参照《信息系统等级保护安全设计技术要求》等标准进行。3、重点行业可以按照《基本要求》等国家标准，结合行业特点和特殊安全需求，在公安部等有关部门指导下，制定行业标准规范或细则。二、等级保护政策体系和标准体系公安部三、等级保护工作的具体内容和要求（一）信息安全等级保护定级工作信息系统定级原则：“自主定级、专家评审、主管部门审批、公安机关审核”。具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）要求执行。定级工作流程：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。公安部三、等级保护工作的具体内容和要求1.确定定级对象起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）。用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。各单位网站。公安部三、等级保护工作的具体内容和要求2.确定信息系统安全保护等级《管理办法》规定的五个等级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。公安部三、等级保护工作的具体内容和要求第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或