1、等级保护工作开展参考资料

等级保护工作开展参考资料 文档说明 1 目标对象 客户单位的信息主管 计算机信息系统运维管理人员 2 文档功能 与客户一起探讨 信息安全等级保护工作 开展工作方法 一 等级保护重要性 我们国家信息安全 当前的主要任务之一是要贯彻落实等级保护 等级保护对于我们 国家所用的信息系统 按照它的重要性 等级的要求进行保护 这是非常重要的信息安全 保障的基本制度 二 执行标准速查表 序序 号号 工作内容工作内容执行标准执行标准标准代号标准代号 1 指导 思想 信息安全等 级保护工作 信息安全等级保护管理办法 公通字 2007 43 号 2 计算机信息系统安全保护等级划分准则 GB 17859 1999 3 基础 信息系统安全等级保护实施指南 GB T 25058 2010 4 信息系统安全等级保护定级指南 GB T 22240 2008 5 定级 信息系统安全等级保护基本要求 GB T 22239 2008 6 信息系统通用安全技术要求 GB T 20271 2006 7 建设 信息系统等级保护安全设计技术要求 GB T 25070 2010 8 信息系统安全等级保护测评要求 GB T 28448 2012 9 测评 信息系统安全等级保护测评过程指南 GB T 28449 2012 10 信息安全技术信息系统安全管理要求 GB T 20269 2006 11 运维 信息系统安全工程管理要求 GB T 20282 2006 三 等保工作流程 信息安全等级保护是国家信息安全保障的基本制度 等级保护的整体实施工作包括等 级保护定级与备案 等级保护差距分析 系统安全建设与整改 等级测评和监督检查等几 个阶段 系统定级 信息系统运营使用单位按照 信息系统信息安全等级保护 定级指南 确定信息系统安全等级 有主管部门的 报主管部门审 核批准 在申报系统新建 改建 扩建立项时须同时向立项审批部门 提交定级报告 系统备案 已运行的系统在安全保护等级确定后30日内 由其运营 使用单位到所在地设区的市级以上公安机关办理备案手续 新建的 系统 在通过立项申请后30日内办理 公安机关审核 颁发证书 公安机关颁发系统等级保护备案证书 定级不准 材料不齐 分析安全需求 差距分析 对照等保有关规定和标准分析系统安全建设整改需求 可委托 安全服务机构 等保技术支持单位分析 对于整改项目 还可委托测评机构通过等保测评 风险评估等方法分析整改需求 建设整改 根据需求制订建设整改方案 按照国家相关规范 和技术标准 使用符合国家有关规定 满足系统等级需求产 品 开展信息系统安全建设整改 等保测评 选择第三方测评机构进行测评 其中对于新建系统可在试运行阶段进行测评 提交报告 系统运营 使用单位向地级以上市公安机关报测 评报告 项目验收文档中也须含有测评报告 等保测评 定期选择第三方测评机构进行测评 三级系统每年至少一次 四级系统每半年至少一次 材料齐 定级准 不合格 合格 不合格 信息安全等级保护工作流程 其中定级定级 备案备案是信息安全等级保护的首要环节 可以梳理各行业 各部门 各单位的 信息系统类型 重要程度和数量等 确定信息安全保护的重点 是进行相应等级安全建设 的依据 而安全建设整改安全建设整改是信息安全等级保护工作落实的关键 通过建设整改使具有不同等级 的信息系统达到相应等级的基本保护能力 从而提高我国基础网络和重要信息系统整体防 护能力 用户完成定级工作之后 更主要的是依据等级保护整改的相关要求 通过一套规范的 等保整改过程 进行风险评估和等级保护差距分析 制定完整的安全整改建议方案 进行 等级化安全体系的设计与建设 最终符合国家等级保护建设要求 用户必须在深入理解定 级的根本要求 充分调查评估信息资产价值和安全风险的基础上才能完成形成合理的整改 建议方案 等级测评工作等级测评工作的主体是第三方测评中心 工作目的是检验和评价信息系统的安全建设 整改工作的成效 判断安全保护能力是否达到相关要求 监督检查工作监督检查工作的主体是信息安全职能管理部门 通过定期的监督 检查和指导 保障 重要信息系统安全保护能力不断提高 四 参考参考 沈昌祥院士对等保工作的意见沈昌祥院士对等保工作的意见 关于重要信息系统安全等级保护定级的几点意见 国家信息安全保护等级专家评审委员会主任 沈昌祥 院士 在调研 定级评审过程中 也发现当前定级工作还存在少数部门信息系统定级不合理 不准确问题 结合工作中掌握的一些具体情况 我认为主要有以下几方面原因 一是一是有些 部门未能站在国家安全 社会稳定的高度统筹考虑信息系统等级 而仅从行业和信息系统 自身安全角度考虑 二是二是有些部门认为信息系统级别定高 要花费更多的资金 单位负担 加重 三是三是有些部门对本行业下级单位定级指导不力 同类信息系统下级部门定级偏低 特别是一些重要行业地市级单位的系统级别偏低 四是四是少数部门领导对定级工作重视不够 还有些部门以信息系统运维单位为主进行定级 业务单位参与定级不够 信息安全等级保护制度是国家信息安全保障的基本制度 而定级是等级保护工作的首 要环节和关键环节 定级不准 系统备案 建设 整改 等级测评等后续工作都会失去意 义 信息系统安全就没有保证 定级时应主要考虑信息系统破坏后对国家安全 社会稳定 的影响 确定为三级以上的信息系统 均属于国家的重要信息系统 是国家要保护的重点 国家财政 有关部门要投入财力 物力 人力 保证其安全 重要信息系统属于国家关键 基础设施 需要运营使用单位 主管部门真正承担起安全责任 同时 信息安全监管部门 代表国家对重要信息系统的安全进行监督 检查 指导 在重要信息系统安全方面 运营 使用单位和主管部门是第一责任部门 负主要责任 信息安全监管部门是第二责任部门 负监管责任 运营使用单位 主管部门和信息安全监管部门密切配合 共同承担责任 才 能保护好国家基础信息网络和重要信息系统的安全 结合有些单位在定级工作中存在的问题 我就信息系统定级谈几点意见 一 准确确定定级对象 一 准确确定定级对象 在定级工作中 如何科学 合理地确定定级对象是最关键的问题 这里首先要明确一 个概念 信息系统包括起支撑 传输作用的基础信息网络和各类应用系统 具体工作中 应按如下原则确定定级对象 一是一是起支撑 传输作用的基础信息网络要作为定级对象 但不是将整个网络作为一个 定级对象 而是要从安全管理和安全责任的角度将基础信息网络划分成若干个最小安全域 或最小单元去定级 二是二是专网 内网 外网等网络系统 包括网管系统 要作为定级对象 同基础信息网 络一样 也不能将整个网络系统作为一个定级对象 而是要从安全管理和安全责任的角度 将网络系统划分成若干个最小安全域或最小单元去定级 三是三是各单位网站要作为独立的定级对象 如果网站的后台数据库管理系统安全级别高 也要作为独立的定级对象 网站上运行的信息系统 例如对社会服务的报名考试系统 也 要作为独立的定级对象 四是四是用于生产 调度 管理 作业 指挥 办公等目的的各类应用系统 要按照不同 业务类别单独确定为定级对象 不以系统是否进行数据交换 是否独享设备为确定定级对 象条件 不能将某一类信息系统作为一个定级对象去定级 五是五是确认负责定级的单位是否对所定级系统负有业务主管责任 也就是说 业务部门 应主导对业务信息系统定级 运维部门 例如信息中心 托管方 可以协助定级并按照业 务部门的要求开展后续安全保护工作 六是六是具有信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的设 备 设施按照一定的应用目标和规则组合而成的有形实体 应避免将某个单一的系统组件 如服务器 终端 网络设备等 作为定级对象 二 科学 合理 准确确定信息系统安全保护等级 二 科学 合理 准确确定信息系统安全保护等级 信息系统的安全保护等级是信息系统本身的客观自然属性 不应以已采取或将采取什 么安全保护措施为依据 而是以信息系统的重要性和信息系统遭到破坏后对国家安全 社 会稳定 人民群众合法权益的危害程度为依据 确定信息系统的安全等级 针对不同的信息系统 建议参考以下原则定级 第一级信息系统第一级信息系统 一般适用于乡镇所属信息系统 县级某些单位中一般的信息系统 小型私营 个体企业 中小学的信息系统 第二级信息系统第二级信息系统 一般适用于县级某些单位中的重要信息系统 地市级以上国家机关 企业 事业单位内部一般的信息系统 例如非涉及工作秘密 商业秘密 敏感信息的办公 系统和管理系统等 第三级信息系统第三级信息系统 一般适用于地市级以上国家机关 重要企事业单位内部重要的信息 系统 例如涉及工作秘密 商业秘密 敏感信息的办公系统和管理系统 重要领域 重要 部门跨省 跨市或全国 省 联网运行的用于生产 调度 管理 作业 指挥等方面的重 要信息系统 跨省或全国联网运行的重要信息系统在省 地市的分支系统 中央各部委 省 区 市 门户网站和重要网站 跨省联接的网络系统等 第四级信息系统第四级信息系统 一般适用于国家重要领域 重要部门中的特别重要系统以及核心系 统 例如全国铁路 民航 电力等部门的调度系统 银行 证券 保险 税务 海关等几 十个重要行业 部门中的涉及国计民生的核心系统 第五级信息系统第五级信息系统 一般适用于国家重要领域 重要部门中的极端重要系统 三 系统等级的确定与审批 三 系统等级的确定与审批 跨省或者全国统一联网运行的信息系统 可以由主管部门统一确定安全保护等级 其 中 由各行业统一规划 统一建设 统一安全保护策略的全国联网系统 应由