信息安全等级保护总体方案

信息安全等级保护总体方案信息安全等级保护公安部公共信息网络安全监察局（一）等级保护是什么（二）等级保护做什么（三）等级保护如何实施法律和政策依据《中华人民共和国计算机信息系统安全保护条例》第二章安中华人民共和国计算机信息系统安全保护条例》全保护制度部分规定：全保护制度部分规定：“计算机信息系统实行安全等级保护。安全等级的划分标准和安全计算机信息系统实行安全等级保护。等级保护的具体办法，由公安部会同有关部门制定。”等级保护的具体办法，由公安部会同有关部门制定。《计算机信息系统安全保护等级划分准则》GB__-1999（技计算机信息系统安全保护等级划分准则》GB__-1999术法规）规定：：国家对信息系统实行五级保护。国家对信息系统实行五级保护。《国家信息化领导小组关于加强信息安全保障工作的意见》国家信息化领导小组关于加强信息安全保障工作的意见》重点强调：实行信息安全等级保护制度，重点保护基础信息网络和重要信息系实行信息安全等级保护制度，统。一、等级保护是什么（一）等级保护基本概念：信息系统安全等级保护是指对信息安全实行等等级保护基本概念：级化保护和等级化管理根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行，维护国家利益、公共利益和社会稳定。等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点，保障重要信息资源和重要信息系统的安全。等级保护是什么（二）信息安全等级保护制度的主要内容信息安全等级保护是指：对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护；对信息系统按业务安全应用域和区实行分级保护。对信息系统按业务安全应用域和区实行分级保护。对系统中使用的信息安全产品实行按分级许可管理。对系统中使用的信息安全产品实行按分级许可管理。对等级系统的安全服务资质分级许可管理。对等级系统的安全服务资质分级许可管理。对信息系统中发生的信息安全事件分等级响应、处置对信息系统中发生的信息安全事件分等级响应、处置。等级保护是什么（三）为什么要搞等级保护为什么要搞等级保护保护业务安全应用。对信息安全分级保护是客观需求：保护业务安全应用信息系统的建立是为社会发展、社会生活的需要而设计、建立的，是社会构成、行政组织体系及其业务体系的反映，这种体系是分层次和级别的。因此，信息安全保护必须符合客观存在。等级化保护是信息安全发展规律：按组织业务应用区域、分层、分类、分级进行保护和管理，分阶段推进等级保护制度建设，这是做好国家信息安全保护必须遵循的客观规律。等级保护是什么（四）信息安全保护存在的主要问题四当前，我国信息安全存在的最大问题是信息安全保护工作不统一、不规范。有关各方对信息安全如何保护及安全与否无法把握，心中无数。实行等级保护首先要解决这个问题，以国家法定信息安全等级保护制度，统一信息安全保护工作，推进规范化、法制化建设，保障安全，促进发展。促进民族信息安全科学技术发展，解决我国信息技术和安全技术“空心”问题，实现信息安全自主可控，保障国家安全。二、等级保护做什么（一）信息资源分类分级保护制度信息资源分类分级保护制度信息资源已经成为国家经济建设和社会发展的重要战略资源。信息资源应当分类：秘密信息：国家保密法规定的三类信息；专有信息：国家、组织及个人所有的信息；公开信息：国家、组织及个人的可公开信息。各部门、单位可根据信息系统中的信息资源情况，在这三大类下再分若该类和级进行标记管理、保护。等级保护做什么（二）系统安全功能分级保护制度以《计算机信息系统安全保护等级划分准则》GB__-1999为指导，建立包括系统安全功能、系统之间、网络之间、设备之间、用户之间的可信可信鉴别保障平台，对信息系统的安全等级从功能上划分为五个级别的安全保鉴别护能力：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级（系统整体安全设计系统整体安全设计）；系统整体安全设计第五级：访问验证保护级。安全保护能力从第一级到第五级逐级增强。（见说明、有关标准）等级保护做什么（三）安全产品使用分级管理制度国家对信息安全产品的使用实行分等级管理制度。按照信息安全产品的可控性、可靠性、可信性、安全性和可监督性的要求确定相应等级进行管理。信息安全产品是络或者信息系统安全相关的以计算机硬件或者软件的形态集成的，实现信息系统运行中的特定功能的，构建信息系统并使其正常运行的软硬设备。不同安全保护等级的信息系统和网络应使用与其安全等级相适应的信息安全产品。等级保护做什么（四）事件分级响应与处置制度事件分级响应与处置制度信息安全事件是指危害信息系统平台运行和安全功能、应用系信息安全事件是指危害信息系统平台运行和安全功能、统（包括数据信息）的完整性、可用性和保密性，危害国家安全、包括数据信息）的完整性、可用性和保密性，危害国家安全、社会秩序、经济建设、公共利益、公民利益的故障、事故、案件、社会秩序、经济建设、公共利益、公民利益的故障、事故、案件、战争行为等。依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围，确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案，确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后，分等级按预案进行响应和处置。等级保护做什么（五）分级监管制度第一级：自主性保护；第二级：指导性保护；第三级：监督性保护；第四级：强制性保护；第五级：专控性保护。政府信息安全保护职能部门将逐级加大安全保护力度。系统主管部门也应按级加强自管、自查力度。等级保护做什么（六）信息安全等级保护原则信息安全等级保护原则明确责任，共同保护依照标准，自行保护同步建设，动态调整监督指导，重点保护确保重点、兼顾一般按需保护、效费合理等级保护做什么（七）保护重点保护重点国家优先重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统，主要包括：国家事务处理信息系统（党政机关办公系统）;金融、税务、工商、海关、能源、交通运输、社会保障、教育等关系到国计民生的信息系统；国防工业、国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信息系统；网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。区别重点，分级进行保护。等级保护做什么（八）安全等级保护制度运行五个关键控制环节1.法律规范；2.管理与技术规范；3.系统安全等级实施过程控制；4.系统安全等级实现结果控制；5.国家监督管理。以上五个关键控制环节，构成国家信息安全等级保护长效机制。等级保护做什么（九）信息系统安全集中控制管理体系信息系统安全集中控制管理体系第一：防范与保护；第二：监控与检查；第三：响应与处置。其中包括自我保护和国家保护两个方面。等级保护做什么（十）系统主要目标的安全管理：1.组织责任管理2.信息资源管理3.保密信息管理4.系统资源管理5.密码使用管理6.各类用户管理7.应用边界管理8.安全事件管理。等级保护做什么（十一）互连互通、信息共享，以利发展互连互通、信息共享，互连互通互连互