信息安全等级保护制度实施毕马宁

1、2022-3-152 近年来，党中央、国务院高度重视，各有关方面协调配合、共同努力，我国信息安全保障工作取得了很大进展。但是从总体上看，我国的信息安全保障工作尚处于起步阶段，基础薄弱，水平不高，存在以下突出问题： 2022-3-153信息安全滞后于信息化发展；信息安全阻碍了信息化发展。2022-3-154大多数单位均采用防火墙作为内外网的防护设备奠定了最基本的网络安全基础。重视外部攻击与入侵，忽视内部的非法行为偏重产品，忽视体系和管理。关键技术、产品受制于人。2022-3-155信息安全防范意识和能力薄弱;信息安全法律法规不完善，标准体系尚待完善;信息系统安全建设和管理缺乏体系化思想； 监督管

2、理缺乏依据和标准，监管体系尚待完善。 2022-3-156 美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁，制定了一系列强化信息网络安全建设的政策和标准，其中一个很重要思想就是将不同重要程度的信息系统划分不同的安全等级，以指导不同领域的信息安全工作。 面对严峻的形势和严重的问题，如何解决我国信息安全问题，是摆在我国政府、企业、公民面前的重大关键问题。2022-3-157 经过我国信息安全领域有关部门和专家学者的多年研究，在借鉴国外先进经验和结合我国国情的基础上，提出了分等级保护的策略来解决我国信息安全问题： 信息安全等级保护制度信息安全等级保护制度2022-3-158 中华人民共和国计算

3、机信息系统安全保护条例（ 1994年国务院147号令）规定“计算机信息系统实行安全等级保护。等级划分标准和等级管理办法由公安部会同有关部门制定”。2022-3-159 2003年，中央办公厅、国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）明确指出：要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度。制定信息安全等级保护的管理办法和技术指南。 2022-3-1510 2004年9月，公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了关于信息安全等级保护工作的实施意见（公

4、通字200466号），文件中明确指出：信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。 2022-3-1511 根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；信息系统必须达到的基本的安全保护水平等因素，对信息和信息系统划分以下五个安全保护和监管等级： 2022-3-1512适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩

5、序和公共利益。信息系统运营、使用单位或个人依照国家管理规范和技术标准进行自主保护。 2022-3-1513适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全；信息系统运营、使用单位应当依据国家管理规范和技术标准自主进行保护。必要时，国家信息安全监管职能部门进行指导。2022-3-1514适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害；依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。2022-3-1515适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破

6、坏后，对国家安全、社会秩序和公共利益造成严重损害 ；依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查。2022-3-1516适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，所承载的业务受到破坏后，会直接对国家安全造成特别严重损害；依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督。2022-3-1517信息安全产品的安全功能和可控性直接关系到其所构建的信息系统的安全；国家对信息安全产品的管理除按法律要求实行销售许可外，还对信息安全产品的使用按照其安全性，特别是其可控性和可信性进行分等级管理。2022-3-1518

7、依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围，确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案，确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后，分等级按照预案进行响应和处置。 2022-3-1519 实行等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。 2022-3-1520 实施信息安全等级保护，可以有效地提高我国信息安全建设

8、的整体水平， 有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调； 有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督；2022-3-1521 有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施； 有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息安全发展模式。2022-3-1522 信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。信息安全等级保护制度遵循以下基本原则： 一是明确责任，共同保护 二是依照标准

9、，自行保护 三是同步建设，动态调整 四是指导监督，重点保护2022-3-1523实施信息安全等级保护应当做好以下六个方面工作： （一）完善标准，分类指导。 （二）科学定级，严格备案。 （三）建设整改，落实措施。 （四）自查自纠，落实要求。 （五）建立制度，加强管理。 （六）监督检查，完善保护。2022-3-1524公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监 督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。在信息安全等级保护工作中，涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行

10、管理。国务院信息化工作办公室负责信息安全等级保护工作中部门间的协调。 2022-3-1525信息和信息系统的建设、运行、维护、使用单位和个人，按照“谁主管、谁负责”的原则，在信息安全等级保护工作中承担具体的安全责任。重要行业的主管部门负责在本行业内贯彻落实信息安全等级保护工作，并对行业内信息系统运营、使用单位的落实情况进行管理。2022-3-1526随着信息化的发展，信息共享，互联互通已经成为主流，10年前147号令提出重要领域信息系统安全保护的工作任务已经向信息安全保障方向发展，谁主管谁负责已经成为信息安全保障工作的基本原则。因此，要与时俱进，为信息安全等级保护工作注入新的内涵，等级保护要适

11、应当前信息化发展和信息安全保障工作的总体要求以保持其生命力。2022-3-1527等级保护工作的开展要适应当前政府职能转变的要求，转变过去那种对重要信息系统采取的偏重内保型管理、治安管理型和包办型管理，逐步转变到前瞻型管理、社会型管理和服务型管理的新型管理模式上。要提高服务保障意识，努力为社会服务，为经济建设服务，为国家的安定和稳定服务。 2022-3-1528中华人民共和国计算机信息系统安全保护条例国家基础标准(GB17859 )及配套标准信息安全等级保护管理办法及相关规定运营单位/主管部门行政执法部门咨询监理工程测评重要信息系统规划 设计 建设 运行等级化的技术支持行业管理规范和技术规范业

12、务分类与定级网络系统结构产品装备与配置过程控制与管理授权指定2022-3-1529部/省级公安机关/网监部门重要信息系统的主管/建设/运营部门/机构重要信息系统指导监督、检查处置机构/人员/制度/规范/服务/产品/测评/备案技术支持体系2022-3-1530社会力量公安部公共信息网络安全监察局各地技术支持机构公安部信息安全等级保护评估中心地方网监部门技术服务与支持重要信息系统规划、设计、建设、运行、测评、备案监督、检查、执法授权机构等级安全检测2022-3-1531 “公安部信息安全等级保护评估中心”是由公安部批准成立，国家发改委划拨专项经费支持，为国家推行信息安全等级保护制度提供技术支持的专

13、业机构2022-3-1532为国家推行信息安全等级保护制度所进行的监督执法检查提供技术支持为重点行业、重要信息系统实行信息安全等级保护提供技术服务2022-3-1533GB 17859_1999。信息系统安全保护等级定级指南信息系统安全保护等级定级指南信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护管理监督检查要求信息系统安全等级保护管理监督检查要求信息系统安全保护等级测评准则信息系统安全保护等级测评准则信息系统等级保护实施指南信息系统等级保护实施指南信息系统等级保护评估指南信息系统等级保护评估指南。2022-3-1534系统定级 等级备案与检测等级保护运行与管理基

14、本要求，实施指南、 安全产品标准 定级指南、实施指南 监督管理要求、 测评准则、基本要求 基本要求，定级指南、实施指南，评估指南安全规划与设计 安全建设与实现 监督管理要求实施指南2022-3-1535系统定级阶段安全规划设计阶段安全实施阶段运行管理和状态监控阶段等级备案与检测2022-3-1536自主定级原则 信息系统的运营、使用单位应当根据相关管理办法和技术标准，结合其系统的情况，自行确定安全保护等级。满足国家管理要求原则 信息系统安全保护等级既不是信息系统安全保障等级，也不是信息系统所能达到的技术能力等级，而是从安全监管需要，从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信

15、息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。2022-3-1537业务为核心原则 信息系统是为业务应用服务的，信息系统的安全保护等级应当依据信息系统承载业务的重要性、业务对信息系统的依赖度和系统特殊的安全需求确定。合理性原则 不同于信息安全产品，信息系统千差万别，各具特色，只有在划分安全保护等级的过程中，尽可能反映出信息系统的主要安全特征，合理划分等级，才能做到突出重点，适度保护。2022-3-1538系统调查、标识和描述子系统划分子系统定级子系统边界设定输入输入输出输出过程过程信息系统描述文件子系统列表系统安全保护等级定级结果边界设定结果信息系统基本信息、管理框架

16、、业务特性信息系统描述文件信息系统/子系统业务特性安全保护等级定级结果、子系统业务流程，网络拓扑定级结果文档化信息系统等级化分析报告信息系统描述文件子系统列表、定级及边界设定结果2022-3-1539信息安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。那么信息系统安全保护等级的确定首先应满足国家管理的要求，然后，根据系统安全级别结合基本保护要求进行系统安全建设。对信息系统实施等级保护的过程中，等级保护的相关标准对不同级别的信息系统提出了基本保护要求，基本保护要求是系统安全建设的基础，但是不同的信息系统由于其本身的特性，除基本保护要求外，可以通过风险管理中的风险分析方法使得系统

17、的等级保护更加个性化。2022-3-1540信息安全风险评估是等级保护工作的一种辅助科学手段，它可以帮助导出一个确定信息系统的个性安全需求。信息安全风险评估是信息系统运行使用单位开展信息安全保护工作，提高信息安全管理水平的一种自我评估、自主保护的方法。信息安全风险评估与信息安全等级保护职能监管部门依据国家管理要求和相关技术标准对等级化信息系统进行的符合性检测有所区别。2022-3-1541信息系统运营、使用单位应当在其系统安全保护等级确定后，向当地同级公安机关提请备案备案时应当到备案机关填写备案登记表并按要求提交相关资料。 备案登记表/系统体系/功能结构图/系统安全保护方案或措施/系统安全管理

18、制度等 2022-3-1542 信息系统备案信息是国家有关信息安全职能部门了解和掌握重要信息系统的安全保护基本状况、分析总体安全形势的基础资料来源，也是下一步接受备案机关开展各项监督检查工作所必需的基本依据。 新建系统： 已有系统：2022-3-1543信息系统运营、使用单位应当依照其系统相应等级的标准要求，自行对信息系统安全保护状况定期开展检查。发现问题的，应当及时整改。确定系统安全保护等级的因素发生变化的，其运营、使用单位应当根据本办法和有关技术标准的要求，重新确定其安全保护等级，并按照相应等级的安全要求对其安全保护措施进行整改。2022-3-1544公安机关依据信息安全等级保护管理办法和有