1、公安部信息系统安全等级保护评估中心公安部信息系统安全等级保护评估中心 2022-12-153公安部信息安全等级保护评估中心27号文件进一步明确了我国的基号文件进一步明确了我国的基础信息网络和关系国家安全、经础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要济命脉、社会稳定等方面的重要信息系统实行等级保护制度;信息系统实行等级保护制度;同时要求等级保护工作需要各部同时要求等级保护工作需要各部门根据职能分工、协同配合。门根据职能分工、协同配合。2022-12-154公安部信息安全等级保护评估中心信息安全等级保护是信息安全等级保护是中华人民共和国计算机信息系中华人民共和国计算机信息系统安全保护
2、条例统安全保护条例规定的法定保护制度,具有强制性;规定的法定保护制度,具有强制性;第二是以国家制度推进信息和信息系统安全保护责任第二是以国家制度推进信息和信息系统安全保护责任的落实;的落实;第三是符合客观实际,具有科学性;第三是符合客观实际,具有科学性;第四是具有自我保护与国家保护相结合的长效保护机第四是具有自我保护与国家保护相结合的长效保护机制;制;第五是突出保护重点,国家优先重点保护涉及国计民第五是突出保护重点,国家优先重点保护涉及国计民生的信息系统,国家基础信息网络和重要信息系统内生的信息系统,国家基础信息网络和重要信息系统内分级重点保护三级以上的局域网和子系统安全;分级重点保护三级以上
3、的局域网和子系统安全;第六是具有整体保护性,在突出重点,兼顾一般的原第六是具有整体保护性,在突出重点,兼顾一般的原则下,着重加强重点、要害部位则下,着重加强重点、要害部位,由点到面进行保护,由点到面进行保护,逐步实现信息安全整体保障。逐步实现信息安全整体保障。2022-12-155公安部信息安全等级保护评估中心国家实行信息安全等级保护,必须紧紧国家实行信息安全等级保护,必须紧紧抓住抓好五个关键环节,形成长效信息安全抓住抓好五个关键环节,形成长效信息安全等级保护运行机制。国家信息安全等级保护等级保护运行机制。国家信息安全等级保护制度运行机制有以下关键环节构成:制度运行机制有以下关键环节构成:1法
4、律规范法律规范2管理与技术规范管理与技术规范3实施过程控制实施过程控制4结果控制结果控制5监督管理。监督管理。2022-12-156公安部信息安全等级保护评估中心1法律规范:国家制定和完善信息安全等级保法律规范:国家制定和完善信息安全等级保护政策、法律规范以及组织实施规则和方法护政策、法律规范以及组织实施规则和方法,完善完善信息安全保护法律体系;信息安全保护法律体系;2管理与技术规范:制定符合国情的标准管理与技术规范:制定符合国情的标准,建立建立等级保护体系;等级保护体系;3实施过程控制:明确落实系统拥有者的安全实施过程控制:明确落实系统拥有者的安全责任制,系统拥有者按法律规定和安全等级标准的
5、责任制,系统拥有者按法律规定和安全等级标准的要求进行信息系统的建设和管理,并承担应急管理要求进行信息系统的建设和管理,并承担应急管理责任,在信息系统生命周期内进行自管、自查、自责任,在信息系统生命周期内进行自管、自查、自评,建立安全管理体系。安全产品的研发者提供符评,建立安全管理体系。安全产品的研发者提供符合安全等级标准要求的技术产品。合安全等级标准要求的技术产品。2022-12-157公安部信息安全等级保护评估中心4结果控制:建立非盈利并能够覆盖全国的结果控制:建立非盈利并能够覆盖全国的系统安全等级保护的执法检查与评估体系,使用系统安全等级保护的执法检查与评估体系,使用统一标准和工具开展系统
6、安全等级保护检查评估统一标准和工具开展系统安全等级保护检查评估工作。工作。5监督管理:公安机关依法行政,督促安全监督管理:公安机关依法行政,督促安全等级保护责任制的落实,以等级保护标准监督、等级保护责任制的落实,以等级保护标准监督、检查、指导基础信息网络和重要信息系统安全等检查、指导基础信息网络和重要信息系统安全等级保护建设、管理。对安全等级技术产品实行监级保护建设、管理。对安全等级技术产品实行监管,对监测评估机构实施监管。政府其他职能部管,对监测评估机构实施监管。政府其他职能部门应当认真履行职责,依法行政,按职责开展信门应当认真履行职责,依法行政,按职责开展信息安全等级保护专项制度建设工作,
7、完善信息安息安全等级保护专项制度建设工作,完善信息安全监督体系。全监督体系。2022-12-158公安部信息安全等级保护评估中心首先,公安、国家保密、国家密码首先,公安、国家保密、国家密码管理、技术监督、信息产业等国家有关管理、技术监督、信息产业等国家有关信息网络安全的行政主管部门要在国家信息网络安全的行政主管部门要在国家信息化领导小组的统一领导下,制定我信息化领导小组的统一领导下,制定我国开展信息网络安全等级保护工作的发国开展信息网络安全等级保护工作的发展政策,统一制定针对不同安全保护等展政策,统一制定针对不同安全保护等级的管理规定和技术标准,对不同信息级的管理规定和技术标准,对不同信息网络
8、确定不同安全保护等级和实施不同网络确定不同安全保护等级和实施不同的监督管理措施,既包括依法进行行政的监督管理措施,既包括依法进行行政监督、检查和指导,也包括依据国家技监督、检查和指导,也包括依据国家技术标准进行的技术检查和评估。术标准进行的技术检查和评估。2022-12-159公安部信息安全等级保护评估中心其次,等级保护坚持其次,等级保护坚持“谁主谁主管、谁负责;谁经营、谁负责;管、谁负责;谁经营、谁负责;谁建设、谁负责;谁使用、谁负谁建设、谁负责;谁使用、谁负责。责。”的原则。的原则。2022-12-1510公安部信息安全等级保护评估中心第三,等级保护实行第三,等级保护实行“国家国家主导;重
9、点单位强制,一般单位主导;重点单位强制,一般单位自愿;高保护级别强制,低保护自愿;高保护级别强制,低保护级别自愿级别自愿”的监管原则。的监管原则。2022-12-1511公安部信息安全等级保护评估中心第四,信息网络安全状况等级的第四,信息网络安全状况等级的技术检测是等级保护的重点。技术检测是等级保护的重点。由国家授权的技术检测机构通过由国家授权的技术检测机构通过技术检测来进行评定。技术检测机构技术检测来进行评定。技术检测机构需取得国家主管部门的技术资质和授需取得国家主管部门的技术资质和授权后,方可从事信息网络安全等级保权后,方可从事信息网络安全等级保护的技术检测。护的技术检测。2022-12-
10、1512公安部信息安全等级保护评估中心计划在五年左右的时间在全计划在五年左右的时间在全国范围内分三个阶段实施信息安国范围内分三个阶段实施信息安全等级保护制度:全等级保护制度:1、准备阶段、准备阶段2、试行阶段、试行阶段3、全面实行阶段、全面实行阶段2022-12-1513公安部信息安全等级保护评估中心信息系统等级的划分方法(自主评信息系统等级的划分方法(自主评级)级)实施步骤:实施步骤:业务影响分析、划分子系统业务影响分析、划分子系统确定子系统边界确定子系统边界确定安全保护等级确定安全保护等级子系统间访问关系的模型化子系统间访问关系的模型化安全风险分析与控制措施调整安全风险分析与控制措施调整确
11、定系统保护安全计划确定系统保护安全计划系统等级和安全计划的批准系统等级和安全计划的批准2022-12-1514公安部信息安全等级保护评估中心等级保护第一级第一级安全的信息系统具备对信息和系统进行基本保护的能力。在技术方面,第一级要求设置基本的安全功能,使信息免遭非授权的泄露和破坏,能保证基本安全的系统服务。在安全管理方面,第一级要求根据机构自身安全需求,为信息系统正常运行提供基本的安全管理保障。2022-12-1515公安部信息安全等级保护评估中心等级保护第二级第二级安全的信息系统具备对信息和系统进行比较完整的系统化的安全保护能力。在技术方面,第二级要求采用系统化的设计方法,实现比较完整的安全
12、保护,并通过安全审计机制,使其它安全机制间接地相连接,使信息免遭非授权的泄露和破坏,保证一定安全的系统服务。在安全管理方面,第二级要求建立必要的信息系统安全管理制度,对安全管理和执行过程进行计划、管理和跟踪。根据实际安全需求,明确机构和人员的相应责任。2022-12-1516公安部信息安全等级保护评估中心等级保护第三级第三级安全的信息系统具备对信息和系统进行基于安全策略强制的安全保护能力。在技术方面,第三级要求按照完整的安全策略模型,实施强制性的安全保护,使数据信息免遭非授权的泄露和破坏,保证较高安全的系统服务。在安全管理方面,第三级要求建立完整的信息系统安全管理体系,对安全管理过程进行规范化
13、的定义,并对过程执行实施监督和检查。根据实际安全需求,建立安全管理机构,配备专职安全管理人员,落实各级领导及相关人员的责任。2022-12-1517公安部信息安全等级保护评估中心等级保护第四级第四级安全的信息系统具备对信息和系统进行基于安全策略强制的整体的安全保护能力。在技术方面,物理隔离,第四级要求采用结构化设计方法,按照完整的安全策略模型,实现各层面相结合的强制性的安全保护,使数据信息免遭非授权的泄露和破坏,保证高安全的系统服务。在安全管理方面,第四级要求建立持续改进的信息系统安全管理体系,在对安全管理过程进行规范化定义,并对过程执行实施监督和检查的基础上,具有对缺陷自我发现、纠正和改进的
14、能力。根据实际安全需求,采取安全隔离措施,限定信息系统规模和应用范围。建立安全管理机构,配备专职安全管理人员,落实各级领导及相关人员的责任。2022-12-1518公安部信息安全等级保护评估中心等级保护第五级第五级安全的信息系统提供对信息和系统进行基于可验证安全策略的强制的安全保护能力。在技术方面,第五级要求按照确定的安全策略,在整体的实施强制性的安全保护的基础上,通过可验证设计增强系统的安全性,使其具有抗渗透能力,使数据信息免遭非授权的泄露和破坏,保证最高安全的系统服务。在安全管理方面,第五级要求由信息系统的主管部门和使用单位根据安全需求,建立核心部门的专用信息系统安全管理体系,对安全管理过程进行规范化的定义,并对过程执行实施监督和检查,具有对缺陷自我发现、纠正和改进的能力。采取安全隔离措施,限定信息系统规模和应用范围。建立安全管理机构,配备专职安全管理人员,落实各级领导及相关人员的责任。公安部信息系统安全等级保护评估中心