等级保护与信息安全风险管理

等级保护与信息安全风险管理公安部十一局郭启全目录一、什么是信息安全等级保护二、等级保护工作面临的形势三、如何开展信息安全等级保护工作四、几个需要说明的问题五、下一步工作一、什么是信息安全等级保护信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障。1994年，《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1995年2月18日人大12次会议通过并实施的《中华人民共和国警察法》第二章第六条第十二款规定，公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。——法律依据。1999年，强制性国家标准－《计算机信息系统安全保护等级划分准则》GB17859）。2003年，中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2004年，公安部、国家保密局、国家密码管理局、国信办联合印发了《关于信息安全等级保护工作的实施意见》（66号文件）2006年1月，公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法》（公通字[2006]7号）二、等级保护工作面临的形势1、基础调查。2006上半年公安部和国信办在全国范围内组织开展了基础调查，共调查了65117家单位中的115319个信息系统。一是全国信息系统数量巨大、分布广，等级保护工作的任务十分繁重。二是三级以上重要信息系统、全国范围服务的特大型系统数量大。三是重要信息系统分布不均匀。四是省级及省级以下信息系统数量最大。二、等级保护工作面临的形势2、试点工作。2006年6月，公安部、国家保密局、国家密码管理局、国信办联合印发了《关于开展信息安全等级保护试点工作的通知》，在13个省16个单位开展了试点工作。试点是信息安全等级保护工作第一次全面实践，通过试点，检验和完善了开展等级保护工作的方法、思路、规范标准，探索了开展等级保护工作领导、组织、协调的模式和办法，充分证明了等级保护制度作为国家信息安全保障基本制度的科学性和可操作性，为全面开展信息安全等级保护工作，提高我国信息安全保障能力奠定了坚实的基础。三、如何开展信息安全等级保护工作1、开展信息安全等级保护工作的基本思路2、运营使用单位和主管部门如何开展等级保护工作四、几个需要说明的问题1．等级保护与认证认可认证认可制度与产品使用等级许可制度认证认可与测评资质管理2．等级保护与风险评估资质审批包括：技术能力和安全背景。3．行业管理和属地管理五、下一步工作按照中央领导批示精神，下一步拟全面部署开展信息安全等级保护工作，完成全国重要信息系统定级工作，加快出台等级保护工作规章制度和标准规范，对重要领域、重要行业信息安全等级保护工作开展检查，广泛开展宣传活动和多种形式、多种层次的培训工作。谢谢！