信息系統(tǒng)等級(jí)保護(hù)實(shí)施指南介紹-江西神舟信息安全評(píng)估中心

1、貫徹27號(hào)文件積極推進(jìn)信息系統(tǒng)等級(jí)建設(shè),公安部信息安全等級(jí)保護(hù)評(píng)估中心二○○四年六月,朱建平,目錄,,1等級(jí)保護(hù)是國家基本政策2建立國家信息安全等級(jí)保護(hù)機(jī)制 3信息系統(tǒng)安全等級(jí)保護(hù)制度實(shí)施方法 4等級(jí)化系統(tǒng)的建設(shè),1、等級(jí)保護(hù)是國家基本政策,27號(hào)文件進(jìn)一步明確了我國的基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)實(shí)行等級(jí)保護(hù)制度；同時(shí)要求等級(jí)保護(hù)工作需要各部門根據(jù)職能分工、協(xié)同配合。,1、

2、等級(jí)保護(hù)是國家基本政策,信息安全等級(jí)保護(hù)是《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定的法定保護(hù)制度，具有強(qiáng)制性；第二是以國家制度推進(jìn)信息和信息系統(tǒng)安全保護(hù)責(zé)任的落實(shí)；第三是符合客觀實(shí)際，具有科學(xué)性；第四是具有自我保護(hù)與國家保護(hù)相結(jié)合的長效保護(hù)機(jī)制；第五是突出保護(hù)重點(diǎn)，國家優(yōu)先重點(diǎn)保護(hù)涉及國計(jì)民生的信息系統(tǒng)，國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)內(nèi)分級(jí)重點(diǎn)保護(hù)三級(jí)以上的局域網(wǎng)和子系統(tǒng)安全；第六是具有整體保護(hù)性，在突出重點(diǎn)，兼顧一般

3、的原則下，著重加強(qiáng)重點(diǎn)、要害部位,由點(diǎn)到面進(jìn)行保護(hù)，逐步實(shí)現(xiàn)信息安全整體保障。,2、建立國家信息安全等級(jí)保護(hù)機(jī)制,國家實(shí)行信息安全等級(jí)保護(hù)，必須緊緊抓住抓好五個(gè)關(guān)鍵環(huán)節(jié)，形成長效信息安全等級(jí)保護(hù)運(yùn)行機(jī)制。國家信息安全等級(jí)保護(hù)制度運(yùn)行機(jī)制有以下關(guān)鍵環(huán)節(jié)構(gòu)成：1．法律規(guī)范2．管理與技術(shù)規(guī)范3．實(shí)施過程控制4．結(jié)果控制5．監(jiān)督管理。,2、建立國家信息安全等級(jí)保護(hù)機(jī)制,1．法律規(guī)范：國家制定和完善信息安全等級(jí)保護(hù)政策、法律規(guī)范以及組織

4、實(shí)施規(guī)則和方法,完善信息安全保護(hù)法律體系；2．管理與技術(shù)規(guī)范：制定符合國情的標(biāo)準(zhǔn),建立等級(jí)保護(hù)體系；3．實(shí)施過程控制：明確落實(shí)系統(tǒng)擁有者的安全責(zé)任制，系統(tǒng)擁有者按法律規(guī)定和安全等級(jí)標(biāo)準(zhǔn)的要求進(jìn)行信息系統(tǒng)的建設(shè)和管理，并承擔(dān)應(yīng)急管理責(zé)任，在信息系統(tǒng)生命周期內(nèi)進(jìn)行自管、自查、自評(píng)，建立安全管理體系。安全產(chǎn)品的研發(fā)者提供符合安全等級(jí)標(biāo)準(zhǔn)要求的技術(shù)產(chǎn)品。,2、建立國家信息安全等級(jí)保護(hù)機(jī)制,4．結(jié)果控制：建立非盈利并能夠覆蓋全國的系統(tǒng)安全等級(jí)

5、保護(hù)的執(zhí)法檢查與評(píng)估體系，使用統(tǒng)一標(biāo)準(zhǔn)和工具開展系統(tǒng)安全等級(jí)保護(hù)檢查評(píng)估工作。5．監(jiān)督管理：公安機(jī)關(guān)依法行政，督促安全等級(jí)保護(hù)責(zé)任制的落實(shí)，以等級(jí)保護(hù)標(biāo)準(zhǔn)監(jiān)督、檢查、指導(dǎo)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)、管理。對(duì)安全等級(jí)技術(shù)產(chǎn)品實(shí)行監(jiān)管，對(duì)監(jiān)測(cè)評(píng)估機(jī)構(gòu)實(shí)施監(jiān)管。政府其他職能部門應(yīng)當(dāng)認(rèn)真履行職責(zé)，依法行政，按職責(zé)開展信息安全等級(jí)保護(hù)專項(xiàng)制度建設(shè)工作，完善信息安全監(jiān)督體系。,3、信息系統(tǒng)安全等級(jí)保護(hù)制度實(shí)施方法,首先，公安、

6、國家保密、國家密碼管理、技術(shù)監(jiān)督、信息產(chǎn)業(yè)等國家有關(guān)信息網(wǎng)絡(luò)安全的行政主管部門要在國家信息化領(lǐng)導(dǎo)小組的統(tǒng)一領(lǐng)導(dǎo)下，制定我國開展信息網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的發(fā)展政策，統(tǒng)一制定針對(duì)不同安全保護(hù)等級(jí)的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，對(duì)不同信息網(wǎng)絡(luò)確定不同安全保護(hù)等級(jí)和實(shí)施不同的監(jiān)督管理措施，既包括依法進(jìn)行行政監(jiān)督、檢查和指導(dǎo)，也包括依據(jù)國家技術(shù)標(biāo)準(zhǔn)進(jìn)行的技術(shù)檢查和評(píng)估。,3、信息系統(tǒng)安全等級(jí)保護(hù)制度實(shí)施方法,其次，等級(jí)保護(hù)堅(jiān)持“誰主管、誰負(fù)責(zé)；誰經(jīng)營、誰

7、負(fù)責(zé)；誰建設(shè)、誰負(fù)責(zé)；誰使用、誰負(fù)責(zé)?！钡脑瓌t。,3、信息系統(tǒng)安全等級(jí)保護(hù)制度實(shí)施方法,第三，等級(jí)保護(hù)實(shí)行“國家主導(dǎo)；重點(diǎn)單位強(qiáng)制，一般單位自愿；高保護(hù)級(jí)別強(qiáng)制，低保護(hù)級(jí)別自愿”的監(jiān)管原則。,3、信息系統(tǒng)安全等級(jí)保護(hù)制度實(shí)施方法,第四，信息網(wǎng)絡(luò)安全狀況等級(jí)的技術(shù)檢測(cè)是等級(jí)保護(hù)的重點(diǎn)。由國家授權(quán)的技術(shù)檢測(cè)機(jī)構(gòu)通過技術(shù)檢測(cè)來進(jìn)行評(píng)定。技術(shù)檢測(cè)機(jī)構(gòu)需取得國家主管部門的技術(shù)資質(zhì)和授權(quán)后，方可從事信息網(wǎng)絡(luò)安全等級(jí)保護(hù)的技術(shù)檢測(cè)。,3、信息

8、系統(tǒng)安全等級(jí)保護(hù)制度實(shí)施方法,計(jì)劃在五年左右的時(shí)間在全國范圍內(nèi)分三個(gè)階段實(shí)施信息安全等級(jí)保護(hù)制度：1、準(zhǔn)備階段2、試行階段3、全面實(shí)行階段,4、等級(jí)化系統(tǒng)的建設(shè),信息系統(tǒng)等級(jí)的劃分方法（自主評(píng)級(jí)）實(shí)施步驟：業(yè)務(wù)影響分析、劃分子系統(tǒng)確定子系統(tǒng)邊界確定安全保護(hù)等級(jí)子系統(tǒng)間訪問關(guān)系的模型化安全風(fēng)險(xiǎn)分析與控制措施調(diào)整確定系統(tǒng)保護(hù)安全計(jì)劃系統(tǒng)等級(jí)和安全計(jì)劃的批準(zhǔn),等級(jí)保護(hù)第一級(jí)第一級(jí)安全的信息系統(tǒng)具備對(duì)信息和系統(tǒng)進(jìn)行基

9、本保護(hù)的能力。在技術(shù)方面，第一級(jí)要求設(shè)置基本的安全功能，使信息免遭非授權(quán)的泄露和破壞，能保證基本安全的系統(tǒng)服務(wù)。在安全管理方面，第一級(jí)要求根據(jù)機(jī)構(gòu)自身安全需求，為信息系統(tǒng)正常運(yùn)行提供基本的安全管理保障。,5等級(jí)化系統(tǒng)的建設(shè),等級(jí)保護(hù)第二級(jí)第二級(jí)安全的信息系統(tǒng)具備對(duì)信息和系統(tǒng)進(jìn)行比較完整的系統(tǒng)化的安全保護(hù)能力。在技術(shù)方面，第二級(jí)要求采用系統(tǒng)化的設(shè)計(jì)方法，實(shí)現(xiàn)比較完整的安全保護(hù)，并通過安全審計(jì)機(jī)制，使其它安全機(jī)制間接地相連

10、接，使信息免遭非授權(quán)的泄露和破壞，保證一定安全的系統(tǒng)服務(wù)。 在安全管理方面，第二級(jí)要求建立必要的信息系統(tǒng)安全管理制度，對(duì)安全管理和執(zhí)行過程進(jìn)行計(jì)劃、管理和跟蹤。根據(jù)實(shí)際安全需求，明確機(jī)構(gòu)和人員的相應(yīng)責(zé)任。,5等級(jí)化系統(tǒng)的建設(shè),等級(jí)保護(hù)第三級(jí)第三級(jí)安全的信息系統(tǒng)具備對(duì)信息和系統(tǒng)進(jìn)行基于安全策略強(qiáng)制的安全保護(hù)能力。在技術(shù)方面，第三級(jí)要求按照完整的安全策略模型 ，實(shí)施強(qiáng)制性的安全保護(hù)，使數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞，保證較高安

11、全的系統(tǒng)服務(wù)。在安全管理方面，第三級(jí)要求建立完整的信息系統(tǒng)安全管理體系，對(duì)安全管理過程進(jìn)行規(guī)范化的定義，并對(duì)過程執(zhí)行實(shí)施監(jiān)督和檢查。根據(jù)實(shí)際安全需求，建立安全管理機(jī)構(gòu)，配備專職安全管理人員，落實(shí)各級(jí)領(lǐng)導(dǎo)及相關(guān)人員的責(zé)任 。,5等級(jí)化系統(tǒng)的建設(shè),等級(jí)保護(hù)第四級(jí)第四級(jí)安全的信息系統(tǒng)具備對(duì)信息和系統(tǒng)進(jìn)行基于安全策略強(qiáng)制的整體的安全保護(hù)能力。在技術(shù)方面，物理隔離，第四級(jí)要求采用結(jié)構(gòu)化設(shè)計(jì)方法，按照完整的安全策略模型，實(shí)現(xiàn)各層面相結(jié)

12、合的強(qiáng)制性的安全保護(hù)，使數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞，保證高安全的系統(tǒng)服務(wù)。 在安全管理方面，第四級(jí)要求建立持續(xù)改進(jìn)的信息系統(tǒng)安全管理體系，在對(duì)安全管理過程進(jìn)行規(guī)范化定義，并對(duì)過程執(zhí)行實(shí)施監(jiān)督和檢查的基礎(chǔ)上，具有對(duì)缺陷自我發(fā)現(xiàn)、糾正和改進(jìn)的能力。根據(jù)實(shí)際安全需求，采取安全隔離措施，限定信息系統(tǒng)規(guī)模和應(yīng)用范圍。建立安全管理機(jī)構(gòu)，配備專職安全管理人員，落實(shí)各級(jí)領(lǐng)導(dǎo)及相關(guān)人員的責(zé)任。,5等級(jí)化系統(tǒng)的建設(shè),等級(jí)保護(hù)第五級(jí)第五級(jí)安全

13、的信息系統(tǒng)提供對(duì)信息和系統(tǒng)進(jìn)行基于可驗(yàn)證安全策略的強(qiáng)制的安全保護(hù)能力。在技術(shù)方面，第五級(jí)要求按照確定的安全策略，在整體的實(shí)施強(qiáng)制性的安全保護(hù)的基礎(chǔ)上，通過可驗(yàn)證設(shè)計(jì)增強(qiáng)系統(tǒng)的安全性，使其具有抗?jié)B透能力，使數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞，保證最高安全的系統(tǒng)服務(wù)。 在安全管理方面，第五級(jí)要求由信息系統(tǒng)的主管部門和使用單位根據(jù)安全需求，建立核心部門的專用信息系統(tǒng)安全管理體系，對(duì)安全管理過程進(jìn)行規(guī)范化的定義，并對(duì)過程執(zhí)行實(shí)施監(jiān)督和檢查，