等级保护工作指导建议书

第页等级保护工作建议书山东维平信息安全测评技术有限公司2019年4月14日目录\o"1-3"\h\z\u一、什么是信息安全等级保护416768222\h-3-二、为什么要开展信息安全等级保护工作416768223\h-4-三、开展等级保护工作的法律法规依据416768224\h-5-（一）总体政策416768225\h-6-（二）具体政策416768226\h-6-1．定级政策416768227\h-7-2．备案政策416768228\h-7-3．安全建设整改政策416768229\h-7-4．等级测评政策416768230\h-8-5．检查监督政策416768231\h-8-四、等级保护工作流程416768232\h-8-（一）确定测评机构416768233\h-9-（二）信息系统定级、备案416768234\h-9-（三）差距分析测评416768235\h-10-（四）安全建设整改416768236\h-11-（五）等级测评416768237\h-12-（六）安全运行及维护416768238\h-12-（七）信息系统终止416768239\h-12-附：山东维平信息安全测评技术有限公司承担的项目介绍416768240\h-13-什么是信息安全等级保护信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,信息系统的安全保护等级确定为5个级别，从第一级到第五级逐级增高。（1级自主保护级；2级指导保护级；3级监督保护级；4级强制保护级；5级专控保护级。）信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的基本制度、基本策略、基本管理方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。在我国信息安全领域，只有等级保护是一项强制的制度，只有等级保护是由公安部牵头国务院四个部门（公安部、国务院信息办、国家保密局、国家密码管理局）共同推进的工作，只有等级保护是由国家专政工具——警察监督检查的工作。为什么要开展信息安全等级保护工作当前，我国基础信息网络和重要信息系统安全面临的形势十分严峻，既有外部威胁，又有自身脆弱性和薄弱环节。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。信息安全等级保护充分体现“适度安全、保护重点”的目的，将有限的财力、物力、人力投入到重要信息系统安全保护中，按标准建设安全保护措施，建立安全保护制度，落实安全责任，有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全，有效提高我国信息安全保障工作的整体水平。从政府角度，电子政务信息系统存在着来自社会环境、技术环境和物理自然环境的安全风险，其安全威胁无时无处不在。对于电子政务信息系统的安全问题，不能企图单凭利用一些集成了信息安全技术的安全产品来解决，而必须建立电子政务信息系统安全保障体系，考虑技术、管理和法律的因素，全方位地、综合解决系统安全问题。等级保护制度是电子政务提供科学决策、监管控制、大众服务功能成功的保证。实施等级保护制度可以很好的解决信息共享及保密性、完整性的关系、开放性及保护隐私的关系、互联性及局部隔离的关系，是实现“安全”电子政务的基本保障。从卫生信息化建设角度，国家卫生和计划生育委员（以下简称“国家卫计委”）会非常重视卫生医疗行业的信息化及安全建设，近年来颁发如下文件：《卫生行业信息安全等级保护的指导意见》（卫办发[2019]85号）、《关于配合卫生行业开展信息安全等级保护工作的通知》（公信安[2019]2501号）、卫生部卫办发（2019）59号文，《关于进一步深化治理医药购销领域商业贿赂工作的通知》、国家卫生计生委印发《关于建立医药购销领域商业贿赂不良记录的规定》的通知（国卫法制发〔2019〕50号）、国家卫生计生委办公厅公安部办公厅关于加强医院安全防范系统建设的指导意见国卫办医发〔2019〕28号、省计生委《关于转发国家卫生计生委办公厅公安部办公厅关于加强医院安全防范系统建设的指导意见的通知》、省卫计委（2019）2号文《关于加强医疗机构信息系统药品、高值耗材统计功能管理办法（试行）》、、省卫计委《关于开展卫生行业信息安全等级保护工作的通知》。该通知要求全省卫生医疗系统，尤其是三甲医院按照国家卫计委文件要求并结合山东省医院实际开展等级保护建设工作。开展等级保护工作的法律法规依据图一等级保护文件体系（一）总体政策总体方面的文件有两个，这两个文件确定了等级保护制度的总体内容和要求，对等级保护工作的开展起到宏观指导作用。1、公安部、国家保密局、国家密码管理委员会办公室、国务院信息化办公室《关于信息安全等级保护工作的实施意见》（公通字[2019]66号）。该文件是为贯彻落实国务院第147号令和中办27号文件、由四部委共同会签印发、指导相关部门实施信息安全等级保护工作的纲领性文件，主要内容包括贯彻落实信息安全等级保护制度的基本原则，等级保护工作的基本内容、工作要求和实施计划，以及各部门工作职责分工等。2、公安部、国家保密局、国家密码管理局、国务院信息工作办公室《信息安全等级保护管理办法》（公通字[2019]43号）。该文件是在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上，由四部委共同会签印发的重要管理规范，主要内容包括信息安全等级保护制度的基本内容、流程及工作要求，信息系统定级、备案、安全建设整改、等级测评的实施及管理，信息安全产品和测评机构选择等，为开展信息安全等级保护工作提供了规范保障。（二）具体政策对应等级保护工作的具体环节（信息系统定级、备案、安全建设整改、等级测评、安全检查），出台了相应的政策规范：1．定级政策公安部、国家保密局、国家密码管理局、国务院信息工作办公室《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2019]861号）。2007年7月20日四部委在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”，会议根据该通知精神部署在全国范围内开展重要信息系统安全等级保护定级工作，标志着全国信息安全等级保护工作全面开展。2．备案政策公安部《信息安全等级保护备案实施细则》（公信安[2019]1360号）。该文件规定了公安机关受理信息系统运营使用单位信息系统备案工作的内容、流程、审核等内容，并附带有关法律文书，指导各级公安机关受理信息系统备案工作。3．安全建设整改政策（1）公安部《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）。该文件明确了非涉及国家秘密信息系统开展安全建设整改工作的目标、内容、流程和要求等，文件附件包括《信息安全等级保护安全建设整改工作指南》和《信息安全等级保护主要标准简要说明》。（2）国家发改委、公安部、国家保密局《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2019]2071号）。该文件要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照《信息安全等级保护管理办法》进行，明确了项目验收条件：公安机关颁发的信息系统安全等级保护备案证明、等级测评报告和风险评估报告。4．等级测评政策公安部关于印发《信息系统安全等级测评报告模版（试行）》的通知（公信安[2009]1487号）。该文件明确了等级测评的内容、方法和测评报告格式等内容，用以规范等级测评活动。5．检查监督政策公安部《公安机关信息安全等级保护检查工作规范（试行）》（公信安[2019]736号）。该文件规定了公安机关开展信息安全等级保护检查工作的内容、程序、方式以及相关法律文书等，使检查工作规范化、制度化。等级保护工作流程按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。省公安厅依据相关法规和制度，受理备案，开展监督检查，确保此项工作及时完成。图二等级保护工作流程图（一）确定测评机构根据公安部对等级保护的最新要求，由公安部门认证的等级保护测评机构要在各单位开展等级保护工作中起到更重要的作用，不仅要完成等级保护测评工作，更要在前期协助各单位完成定级、备案、差距分析、建设整改等阶段的工作，以确保等级保护工作的规范性、连贯性及科学性。（二）信息系统定级、备案信息系统定级是开展信息安全等级保护的关键步骤，是单位开展信息安全等级保护工作的标志，其结果直接影响的测评和建设整改工作，对于信息系统这样一个具有较多业务系统的复杂信息系统来说，如何划分、整合业务系统、如何界定各业务系统的范围是较为复杂的工作，应在专业的机构指导下开展工作。定级工作分为系统识别及描述、信息系统划分、等级确定、专家评审、备案等主要步骤。应组织开展对所属信息系统的摸底调查，全面掌握信息系统的基本情况，按照《管理办法》和《信息系统安全等级保护定级指南》(以下简称《定级指南》)要求，并结合上级指导意见自主确定系统等级。对新建信息系统在系统建设的同时，要同步确定系统的安全保护等级，按照具体等级同步规划建设安全设施。在初步确定定级对象的安全保护等级后，可以聘请专家对定级情况进行评审，并出具评审意见。参照评审意见最后确定信息系统安全保护等级，形成定级报告，按照要求上报有关本门备案。时间进度：2个工作日系统识别及描述；3个工作日信息系统划分、确定定级；1个工作日专家评审；1个工作日备案。单位人员投入：1-2人系统识别及描述；1-2人系统划分、确定等级；2人参及专家评审；1人备案。（三）差距分析测评差距分析测评是开展安全建设整改的前奏，主要是对信息系统现有的安全措施进行评价，查看其及本等级应达到的安全防护水平的差距，以明确安全需求，为建设整改提供主要方向和内容。应邀请取得公安部资质认可、省公安厅推荐的等级测评机构对信息系统进行差距分析和现状检测，查找安全漏洞和隐患，编制检测评估情况报告时间进度：4个工作日现场差距分析；3个工作日差距分析报告。单位人员投入：信息系统的安全、物理、网络、系统、应用和安全管理等相关负责人配合差距分析。（四）安全建设整改应依据《管理办法》和相有关技术标准，结合差距分析得出的结果，进行安全需求分析，以明确基本安全需求和特殊安全需求并形成安全需求分析报告；制定总体安全设计方案，以明确总体安全策略、安全技术体系结构和整体安全管理体系结构；制定安全项目规划，以明确安全建设目标、安全建设内容和安全建设计划；进行安全方案详细设计，得出技术措施实现内容设计和管理措施实现内容设计；具体实施安全方案：技术措施方面从安全产品采购、安全控制开发、安全控制集成和系统验收等四方面开展工作，管理措施方面从管理机构和人员设置、管理制度建设和修订、人员安全技能培训、安全实施过程管理等四个方面开展工作。时间进度：2个工作日完成安全需求分析（在具有差距分析报告的前提下）；5个工作日制定总体安全设计方案；3个工作日制定安全项目规划；5个工作日完成安全方案详细设计；方案实施要结合实际情况而定。单位人员投入：1-2人参及安全需求分析、总体安全设计方案制度、安全项目规划及安全方案的详细设计；信息系统的安全、物理、网络、系统、应用和安全管理等相关负责人配合安全项目的具体实施。（五）等级测评二级以上信息系统整改建设完成后，须选择由省公安厅推荐的，取得公安部等级测评资质的等级测评机构，依据信息系统安全等级保护测评等技术标准对信息系统安全等级进行符合性等级测评，出具测评报告，向公安局进行等级测评报告备案。按照等级保护测评工作要求，三级的信息系统每年进行一次等级测评，四级的信息系统每半年进行一次等级测评，二级信息系统参照三级信息系统执行。时间进度：2个工作日完成测评准备工作；5个工作日完成测评方案编制；10个工作日完成现场测评；10个工作日完成测评报告。单位人员投入：1-2人参及测评信息收集工作；安全、物理、网络、系统、应用和安全管理等相关负责人配合现场测评工作。（六）安全运行及维护完成上述工作后，系统进行入安全运行及维护阶段，单位只需要按照已完成的安全管理体系的要求，开展各项工作，即可