信息安全等级保护背景介绍及政策标准.ppt

* * * * * 试点工作统计，未定级和定级需调整的系统占了将近一半。 自2007年完成第一次定级后，有大量重要系统上线运行且未完成定级。 部分已定级系统在运行过程中发生变化，其安全保护等级需要进行调整。 为顺利开展等级保护测评和整改工作，各单位应对本单位的信息系统进行定级情况梳理。 定级梳理工作是各单位开展等级保护测评和整改工作的重要前提。 通过开展定级梳理工作，在确定被测评单位信息系统的测评范围及其相应的安全保护等级后，由国家税务总局统一组织开展等级测评工作。 * * * * * * * * * * * * 法律依据 1994年《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）第九条明确规定：“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。 政策依据 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）“二、实行信息安全等级保护”中明确指出：“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。” 《中华人民共和国国民经济和社会发展第十二个五年规划纲要》“加强网络与信息安全保障”一节中明确提出：“健全网络与信息安全法律法规，完善信息安全标准体系和认证认可体系，实施信息安全等级保护、风险评估等制度。” 总体方面的政策文件 总体方面的文件有两个，这两个文件确定了等级保护制度的总体内容和要求，对等级保护工作的开展起到宏观指导作用。 1、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号） 该文件是为贯彻落实国务院第147号令和中办27号文件，由公安部、国家必威体育官网网址局、国家密码管理局、原国务院信息化工作办公室等四部委共同会签印发，指导相关部门实施信息安全等级保护工作的纲领性文件。 2、《信息安全等级保护管理办法》（公通字[2007]43号） 该文件是在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上，由公安部、国家必威体育官网网址局、国家密码管理局、原国务院信息化工作办公室等四部委共同会签印发的重要管理规范。 具体环节的政策文件 1、定级环节 《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号） 2、备案环节 《信息安全等级保护备案实施细则》（公信安[2007]1360号） 3、安全建设整改环节 《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号） 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号） 4、等级测评环节 《关于印发《信息系统安全等级测评报告模版（试行）》的通知》（公信安[2009]1487号） 《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号） 5、安全检查环节 《公安机关信息安全等级保护检查工作规范（试行）》（公信安[2008]736号） * 等级保护有关标准在信息系统安全建设整改工作中的作用如图所示。（公信安【2009】1429号） 《计算机信息系统安全保护等级划分准则》及配套标准是《基本要求》的基础。《计算机信息系统安全保护等级划分准则》（GB17859-1999，以下简称《划分准则》）是等级保护的基础性标准，《信息系统通用安全技术要求》等技术类标准、《信息系统安全管理要求》等管理类标准和《操作系统安全技术要求》等产品类标准是在《划分准则》基础上研究制定的。《基本要求》以上述标准为基础，根据现有技术发展水平，从技术和管理两方面提出并确定了不同安全保护等级信息系统的最低保护要求，即基线要求。 《基本要求》是信息系统安全建设整改的依据。 《定级指南》为定级工作提供指导。 《测评要求》等标准规范等级测评活动。 （五）《实施指南》等标准指导等级保护建设。 * * * * * * * * * * * * * * * * * * * * * * * 等级保护的主要环节：定级、备案、安全建设整改、等级测评和安全检查。 * * * 定级要素：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 受侵害的客体：公民、法人和其他组织的合法权益，社会秩序、公共利益，国家安全。 信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。 * * * * * 安全管理基本要求 安全运维管理 序号 测评指标 测评内容描述 8 主机系统安全管理 通过访谈安全主管、安全员、系统管理员、审计员，检查系统安全管理制度、系统审计日志、系统漏洞扫描报告，测评系统