信息系统安全等级保护评估中心课件

1、贯彻27号文件积极推进信息系统等级建设,公安部信息安全等级保护评估中心 二四年六月,朱建平,目录,1等级保护是国家基本政策 2建立国家信息安全等级保护机制 3信息系统安全等级保护制度实施方法 4等级化系统的建设,1、等级保护是国家基本政策,27号文件进一步明确了我国的基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统实行等级保护制度； 同时要求等级保护工作需要各部门根据职能分工、协同配合,1、等级保护是国家基本政策,信息安全等级保护是中华人民共和国计算机信息系统安全保护条例规定的法定保护制度，具有强制性； 第二是以国家制度推进信息和信息系统安全保护责任的落实； 第三是符合客观实

2、际，具有科学性； 第四是具有自我保护与国家保护相结合的长效保护机制； 第五是突出保护重点，国家优先重点保护涉及国计民生的信息系统，国家基础信息网络和重要信息系统内分级重点保护三级以上的局域网和子系统安全； 第六是具有整体保护性，在突出重点，兼顾一般的原则下，着重加强重点、要害部位,由点到面进行保护，逐步实现信息安全整体保障,2、建立国家信息安全等级保护机制,国家实行信息安全等级保护，必须紧紧抓住抓好五个关键环节，形成长效信息安全等级保护运行机制。国家信息安全等级保护制度运行机制有以下关键环节构成： 1法律规范 2管理与技术规范 3实施过程控制 4结果控制 5监督管理,2、建立国家信息安全等级保

3、护机制,1法律规范：国家制定和完善信息安全等级保护政策、法律规范以及组织实施规则和方法,完善信息安全保护法律体系； 2管理与技术规范：制定符合国情的标准,建立等级保护体系； 3实施过程控制：明确落实系统拥有者的安全责任制，系统拥有者按法律规定和安全等级标准的要求进行信息系统的建设和管理，并承担应急管理责任，在信息系统生命周期内进行自管、自查、自评，建立安全管理体系。安全产品的研发者提供符合安全等级标准要求的技术产品,2、建立国家信息安全等级保护机制,4结果控制：建立非盈利并能够覆盖全国的系统安全等级保护的执法检查与评估体系，使用统一标准和工具开展系统安全等级保护检查评估工作。 5监督管理：公安

4、机关依法行政，督促安全等级保护责任制的落实，以等级保护标准监督、检查、指导基础信息网络和重要信息系统安全等级保护建设、管理。对安全等级技术产品实行监管，对监测评估机构实施监管。政府其他职能部门应当认真履行职责，依法行政，按职责开展信息安全等级保护专项制度建设工作，完善信息安全监督体系,3、信息系统安全等级保护制度实施方法,首先，公安、国家保密、国家密码管理、技术监督、信息产业等国家有关信息网络安全的行政主管部门要在国家信息化领导小组的统一领导下，制定我国开展信息网络安全等级保护工作的发展政策，统一制定针对不同安全保护等级的管理规定和技术标准，对不同信息网络确定不同安全保护等级和实施不同的监督管

5、理措施，既包括依法进行行政监督、检查和指导，也包括依据国家技术标准进行的技术检查和评估,3、信息系统安全等级保护制度实施方法,其次，等级保护坚持“谁主管、谁负责；谁经营、谁负责；谁建设、谁负责；谁使用、谁负责。”的原则,3、信息系统安全等级保护制度实施方法,第三，等级保护实行“国家主导；重点单位强制，一般单位自愿；高保护级别强制，低保护级别自愿”的监管原则,3、信息系统安全等级保护制度实施方法,第四，信息网络安全状况等级的技术检测是等级保护的重点。 由国家授权的技术检测机构通过技术检测来进行评定。技术检测机构需取得国家主管部门的技术资质和授权后，方可从事信息网络安全等级保护的技术检测,3、信息

6、系统安全等级保护制度实施方法,计划在五年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度： 1、准备阶段 2、试行阶段 3、全面实行阶段,4、等级化系统的建设,信息系统等级的划分方法（自主评级） 实施步骤： 业务影响分析、划分子系统 确定子系统边界 确定安全保护等级 子系统间访问关系的模型化 安全风险分析与控制措施调整 确定系统保护安全计划 系统等级和安全计划的批准,等级保护第一级 第一级安全的信息系统具备对信息和系统进行基本保护的能力。 在技术方面，第一级要求设置基本的安全功能，使信息免遭非授权的泄露和破坏，能保证基本安全的系统服务。 在安全管理方面，第一级要求根据机构自身安全需求，

7、为信息系统正常运行提供基本的安全管理保障,5等级化系统的建设,等级保护第二级 第二级安全的信息系统具备对信息和系统进行比较完整的系统化的安全保护能力。 在技术方面，第二级要求采用系统化的设计方法，实现比较完整的安全保护，并通过安全审计机制，使其它安全机制间接地相连接，使信息免遭非授权的泄露和破坏，保证一定安全的系统服务。 在安全管理方面，第二级要求建立必要的信息系统安全管理制度，对安全管理和执行过程进行计划、管理和跟踪。根据实际安全需求，明确机构和人员的相应责任,5等级化系统的建设,等级保护第三级 第三级安全的信息系统具备对信息和系统进行基于安全策略强制的安全保护能力。 在技术方面，第三级要求

8、按照完整的安全策略模型 ，实施强制性的安全保护，使数据信息免遭非授权的泄露和破坏，保证较高安全的系统服务。 在安全管理方面，第三级要求建立完整的信息系统安全管理体系，对安全管理过程进行规范化的定义，并对过程执行实施监督和检查。根据实际安全需求，建立安全管理机构，配备专职安全管理人员，落实各级领导及相关人员的责任,5等级化系统的建设,等级保护第四级 第四级安全的信息系统具备对信息和系统进行基于安全策略强制的整体的安全保护能力。 在技术方面，物理隔离，第四级要求采用结构化设计方法，按照完整的安全策略模型，实现各层面相结合的强制性的安全保护，使数据信息免遭非授权的泄露和破坏，保证高安全的系统服务。

9、在安全管理方面，第四级要求建立持续改进的信息系统安全管理体系，在对安全管理过程进行规范化定义，并对过程执行实施监督和检查的基础上，具有对缺陷自我发现、纠正和改进的能力。根据实际安全需求，采取安全隔离措施，限定信息系统规模和应用范围。建立安全管理机构，配备专职安全管理人员，落实各级领导及相关人员的责任,5等级化系统的建设,等级保护第五级 第五级安全的信息系统提供对信息和系统进行基于可验证安全策略的强制的安全保护能力。 在技术方面，第五级要求按照确定的安全策略，在整体的实施强制性的安全保护的基础上，通过可验证设计增强系统的安全性，使其具有抗渗透能力，使数据信息免遭非授权的泄露和破坏，保证最高安全的系统服务。 在安全管理方面，第五级要求由信息系统的主管部门和使用单位根据安全