等级保护制度的主要内容和要求

国家信息安全等级保护制度的主要内容和要求河南省公安厅网安总队王志奇二○一六年六月摘要一、信息安全等级保护制度的主要内容二、信息安全等级保护政策体系和标准体系三、信息安全等级保护工作的具体内容和要求四、公安机关对政府网站进行安全监管的主要内容一、等级保护制度的主要内容（一）国家为什么要实施信息安全等级保护制度习近平总书记任中央网络安全和信息化领导小组组长，两次召开会议，两次发表重要讲话。“没有网络安全就没有国家安全”；目前,网上斗争总体形势是敌强我弱，表现为“四个没有根本转变”：美国垄断网络霸权的格局、网络空间敌强我弱的总体态势、敌对势力妄图利用网络扳倒中国的政治图谋、我技术上受制于人的被动局面没有根本改变。一、等级保护制度的主要内容1.严峻的信息安全形势需要•敌对势力的入侵、攻击、破坏•针对基础信息网络和重要信息系统的违法犯罪持续上升•基础信息网络和重要信息系统安全隐患严重2.是维护国家安全的需要•基础信息网络与重要信息系统已成为国家关键基础设施，必须要保护好。•信息安全是国家安全的重要组成部分。信息安全的本质是信息对抗、技术对抗，是网络空间的政治斗争。一、等级保护制度的主要内容美国《网络空间战略》：过去把反恐作为国家第一安全威胁，现在网络是国家第一安全威胁。据中国反钓鱼网站联盟发布的数据显示，全球范围内，中国被恶意软件感染电脑的平均率为54.1%,成为唯一一个感染率超过50%的国家。自2012年起，“反共黑客联盟”每3天攻击我一个政府网站。•网安总队依托技术支撑力量对全省范围内涉及电子政务的11863个域名和相关IP进行提取分析，有效域名7856个，其中，可正常访问域名6073个。其全省分布情况如图：当前已完成监测的网站安全状况比率如下图：•2015年，公安部共通报处置党政机关、企事业单位网站安全隐患（事件）5366起，其中4723条线索属中高危以上的漏洞和隐患，包括省级网站2356个，约占总数的50%。•在去年5月至9月公安机关组织的网络安全执法检查中，公安部组织全国150余家技术支持单位对全国16.2万个政府网站（含二级域名）进行技术检测，有12.9%的网站存在直接被入侵的漏洞、或已被恶意入侵，21.2%的网站存在高危安全漏洞，42%的政府网站存在信息泄露、可被间接利用的漏洞等安全隐患。一、等级保护制度的主要内容（二）组织开展等级保护工作的依据：•1、《中华人民共和国人民警察法》；•2、国务院147号令颁布的《中华人民共和国计算机信息系统安全保护条例》；•3、中办发[2003]27号《国家信息化领导小组关于加强信息安全保障工作的意见》；•4、公通字[2004]66号《关于信息安全等级保护工作的实施意见》；•5、2008年国务院“三定”方案，增加了公安部职能：监督、检查、指导信息安全等级保护工作；•6、中办发[2010]24号《关于加强和改进互联网管理工作的意见》一、等级保护制度的主要内容•确立了信息安全等级保护制度的法律地位；•明确了实行等级保护是我国信息安全保障工作中一项重要制度和措施；•赋予了公安机关牵头负责信息安全等级保护工作监督管理的职责。一、等级保护制度的主要内容（三）等级保护的概念和核心内容信息安全等级保护：就是对信息系统实行分等级保护、分等级监管，是将全国的信息系统（包括网络）按照重要性和遭受损坏后的危害程度分成五个安全保护等级，从第一级到第五级，逐级增高；公安机关对第二级信息系统进行指导，对第三、四级信息系统定期开展监督、检查。一、等级保护制度的主要内容核心内容：国家制定统一的政策，各单位、各部门依法开展等级保护工作，有关职能部门对信息安全等级保护工作实施监督管理。实行信息安全等级保护，是在信息安全保障工作中国家意志的体现，具有明显的强制性。同时，坚持“自主定级”、“自行建设”、“自主保护”，体现了“谁主管、谁负责，谁使用、谁负责，谁运营、谁负责”的信息安全责任制。一、等级保护制度的主要内容（四）等级保护制度的特点•紧迫性：信息安全滞后于信息化发展。•全面性：内容涉及广泛，各单位各部门落实。•基础性：基本制度、基本国策。•强制性：公安机关监督、检查、指导。•规范性：政策和标准保障。一、等级保护制度的主要内容（五）组织开展等级保护工作的目的实现五方面目标：一是信息系统安全管理水平明显提高；二是信息系统安全防范能力明显增强；三是信息系统安全隐患和安全事故明显减少；四是有效保障信息化健康发展；五是有效维护国家安全、社会秩序和公共利益。一、等级保护制度的主要内容（六）等级保护工作中的职责分工1、等级保护工作协调（领导）小组负责信息安全等级保护工作组织领导，制定本地区、本行业开展信息安全等级保护的工作部署和实施方案，并督促有关单位落实，研究、协调、解决等级保护工作中的重要工作事项，及时通报或报告等级保护实施工作的相关情况。2、信息安全职能部门公安机关负责信息安全等级保护工作的监督、检查、指导，是等级保护工作的牵头部门。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。网信部门负责等级保护工作的部门间协调。一、等级保护制度的主要内容•3、信息系统运营使用单位及其主管部门信息系统运营使用单位按照等级保护的管理规范和技术标准，开展信息系统定级、备案、安全建设整改、等级测评、自查等工作，并接受公安机关等部门的监督、指导。有主管部门的，主管部门要督促、检查、指导本行业、本部门信息系统运营使用单位开展信息安全等级保护工作。•4、安全服务机构信息安全企业，信息系统安全集成商、等级测评机构等安全服务机构，依据国家有关管理规定和技术标准，开展技术支持、安全服务等工作，并接受监管部门的监督管理。•5、专家组宣传等级保护相关政策、标准；指导备案单位研究拟定贯彻实施意见和建设规划、技术标准的行业应用；参与定级和安全建设整改方案论证、评审；协助发现树立典型、总结经验并推广；跟踪国内外信息安全技术最新发展，开展等级保护关键技术研究；研究提出完善等级保护政策体系和技术体系的意见和建议。一、等级保护制度的主要内容（七）开展等级保护工作的基本要求•各单位、各部门，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求开展等级保护的定级、备案、整改、测评等工作。•公安机关要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。•对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。二、等级保护政策体系和标准体系（一）信息安全等级保护政策体系根据法律授权和国务院147号令，公安部牵头成立了国家信息安全等级保护工作协调小组，并会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了《关于加强信息安全保障工作的意见》等一些政策性文件；对等保的一些具体工作，公安部又制发了《信息安全等级保护管理办法》等一系列指导意见和规范，构成了信息安全等级保护的政策体系，为指导各单位、各部门开展信息安全等级保护工作提供了政策保障。二、等级保护政策体系和标准体系1、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）2、《信息安全等级保护管理办法》公通字[2007]43号）3、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）4、《信息安全等级保护备案实施细则》（公信安[2007]1360号）5、《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1429号）6、《信息安全等级保护测评机构管理办法》（公信安[2013]755号）7、《公安机关信息安全等级保护检查工作规范》（公信安[2008]736号）、《关于开展国家级重要信息系统和重点网站安全执法检查工作的通知》（公传发[2015]253号）8、《关于加快推进国家电子政务外网安全等级保护工作的通知》（政务外网[2011]15号）二、等级保护政策体系和标准体系9、《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发[2012]23号）10、《关于进一步加强国家电子政务网络建设和应用工作的通知》（发改高技[2012]1986号）11、《国务院关于推进物联网有序健康发展的指导意见》（国发[2013]7号）12、《关于加强政府网站安全监管工作的指导意见》（公信安[2014]353号）、《公安机关政府网站安全监管工作规范》（公信安[2014]795号）13、《关于加快推进网络与信息安全信息通报机制建设的通知》（公信安[2015]21号）14、中办、国办《关于加强社会治安防控体系建设的意见》（中办发[2014]69号）15、中央综治办（中综办[2014]16号）;《关于组织开展2015年网络安全保障工作全国综治考核评价的通知》（公信安[2015]884号）全国综治考评中办、国办《关于加强社会治安防控体系建设的意见》（中办发[2014]69号）明确提出要“健全信息安全等级保护制度，完善网络安全风险监测预警、通报处置机制。”中央综治办（中综办[2014]16号）首次将信息安全保障工作纳入全国综治工作考核，具体考核任务由公安部网安局组织部署。全国综治考评公安部网安局《关于组织开展信息安全保障工作全国综治考核评价的通知》（公信安【2014】4700号）首次将信息安全保障工作纳入全国综治考评体系考评主体公安部网安局考评对象各省、区、市人民政府3中央综治办《关于印发2014年综治工作（平安建设）考核评价实施细则的通知》（中综办【2014】16号）公安部网安局负责两项考评内容：1、“平安建设公共安全管理工作”部分，负责“信息安全保障工作”考核评价，为减分项，最高可减2分；2、“平安建设宣传工作”部分，配合中央综治办开展“信息网络服务管理工作”考核评价，为得分项，满分为0.3分。《关于组织开展2015年网络安全保障工作全国综治考核评价的通知》（公信安【2015】884号）公安部网安局网络安全保障工作信息网络服务管理工作一、网络社会治安防控体系建设二、网络与信息安全通报预警工作三、信息安全等级保护工作四、重要信息系统和网站发生的案（事）件情况五、综合防控和打击网络违法犯罪情况六、信息网络服务管理工作网络安全保障工作共分为五大部分，17个考评分项，所有考核项目均为减分项，合计最多可减2分信息网络服务管理工作共有一个部分，3个考评分项，所有考核项目均为加分项，合计最多可加0.3分72015年综治考评重点分类二、等级保护政策体系和标准体系（二）信息安全等级保护标准体系公安部在有关部门、专家、企业的协助下，先后组织制定了信息系统定级、测评、建设等10多个国家标准，从基础类、应用类、产品类和其他类四个方面形成了信息安全等级保护的标准体系，为开展信息安全等级保护工作提供了标准保障。在公安部指导下，电力、电信、银行、证券、海关等40余个重点行业出台了110余份行业等级保护政策文件，50余份行业信息系统安全保护技术标准，确保了等级保护制度在重点行业的贯彻落实。二、等级保护政策体系和标准体系基础标准：《计算机信息系统安全保护等级划分准则》（GB17859－1999）。在此基础上制定出技术类、管理类、产品类标准。安全要求：《信息系统安全等级保护基本要求》（GB/T22239-2008）信息系统安全等级保护的行业规范二、等级保护政策体系和标准体系系统等级：《信息系统安全等级保护定级指南》（GB/T22240-2008）信息系统安全等级保护行业定级细则方法指导：《信息系统安全等级保护实施指南》（GB/T25058-2010）《信息系统等级保护安全设计技术要求》（GB/T25070-2010）现状分析：《信息系统安全等级保护测评要求》（GB/T28448-2012）《信息系统安全等级保护测评过程指南》（GB/T28449-2012）三、等级保护工作的具体内容和要求对信息系统分等级进行安全保护和监管有五个规定动作，即定级、备案、建设整改、等级测评和监督检查五个环节。（一）信息安全等级保护定级工