信息安全等级保护工作面临的形势和要求.ppt

1、信息安全等级保护工作面临的形势和要求公安部 网络安全保卫局,目 录,一、近年来等级保护工作情况 和取得的成效 二、当前等级保护工作面临的 形势和存在的问题 三、下一步等级保护重点工作,一、等级保护工作情况和取得的成效,2007年以来，各地区、各部门高度重视等级保护工作，按照公安部统一部署，在全国范围内先后组织开展了信息系统定级备案、安全建设整改、等级测评体系建设和等级测评、监督检查等重要工作，初步建立了具有中国特色的信息安全等级保护制度，有力促进了国家信息安全保障工作，有效提高了我国基础信息网络和重要信息系统的安全保护能力。,一、等级保护工作情况和取得的成效,（一）切实加强等级保护工作的组织领

2、导，保证了等级保护工作顺利开展 公安部、31个省、90%的地市成立了信息安全等级保护工作协调（领导）小组。 公安部、18个省建立了等级保护联络员制度。 公安部、各省都组建了等级保护专家组。,一、等级保护工作情况和取得的成效,68个重点行业和部门成立了等级保护协调领导机构，明确了等级保护责任部门和责任人员。 电力、广电、银行、证券、水利、海关、税务、铁路、农业、国土资源、教育等20多个重点行业，以及国家电网公司、中石油、中石化、中国华能集团等很多中央企业以等级保护工作为抓手，开展网络与信息安全工作。,一、等级保护工作情况和取得的成效,（二）建立健全了等级保护政策体系和标准体系，为等级保护制度的贯

3、彻落实提供了保障 部级文件 实施意见、管理办法、定级工作通知、安全建设整改工作指导意见等。 公安部十一局文件 备案、等级测评报告模板、等级测评体系建设、等级保护检查等具体工作的实施细则或工作规范。,一、等级保护工作情况和取得的成效,国家标准（30多个） 等级划分准则、定级指南、实施指南、基本要求、安全管理要求、安全设计技术要求、测评要求及测评过程指南等。 行业标准 电信、广电、水利、电力、证券、税务、卫生等行业标准,一、等级保护工作情况和取得的成效,（三）开展等级保护定级备案工作，等级保护的重点对象基本明确 电信、广电、银行、铁道、海关、税务、民航、证券、电力、公安、国防工业、社会保障等行业第

4、三级以上信息系统所占全部第三级以上信息系统86%。 生产作业、调度指挥、管理控制等重要业务系统，占所有种类重要信息系统的70%以上。,一、等级保护工作情况和取得的成效,（四）积极稳妥地开展信息安全等级测评体系建设，为等级保护工作提供了一支可靠的专业技术支撑力量 115家测评机构通过了省级等保办初审，2208人参加了等级测评师培训和考试，其中1683人取得了等级测评师证书。 国家信息安全等级保护工作协调小组办公室汇总发布了全国信息安全等级保护测评机构推荐目录，已向社会公布了83家测评机构。,一、等级保护工作情况和取得的成效,（五）深入推进等级测评和安全建设整改工作，有效提高重要信息系统的安全保护

5、能力 树立了国家电网公司、国土资源部等安全建设整改工作典型。 电力、海关、证券、教育、税务、广电等20多个重点行业纵向对等级测评和安全建设整改工作进行了阶段性的部署。 3000余个第二级（含）以上信息系统开展了等级测评，全国有6000余个信息系统完成了等级保护安全建设整改。,一、等级保护工作情况和取得的成效,（六）认真组织开展等级保护专项监督检查工作，有效推动了等级保护制度的贯彻落实 去年9月至12月，公安部组织部、省、市三级公安机关集中对各单位、各部门开展了等级保护工作专项检查。 出动警力2.2万人次，检查单位9600余家，检查系统1.35万个，出具反馈意见书和整改通知书2800余份。 公安

6、部与北京市公安局组成了5个联合检查组，集中对中央国家机关75个部门进行了检查。,一、等级保护工作情况和取得的成效,1、重点行业和部门高度重视，工作变被动为主动； 2、等级保护对信息安全保障工作的基础性地位和抓手作用充分显现，将等级保护纳入信息安全工作中，将信息安全纳入信息化和单位安全生产管理体系中的思想越来越深入人心； 3、定级备案工作使工作重点更加突出； 4、等级测评及时发现了一大批系统安全隐患、漏洞和薄弱环节，有针对性地开展了安全建设整改；,一、等级保护工作情况和取得的成效,5、安全建设整改对科学调整系统架构，整合业务应用，合理规划系统安全建设，优化资源配置发挥了重要作用； 6、监督检查确

7、保了各项措施的落实； 7、宣传教育培训，信息安全意识和技能有新提高； 8、通报机制、联络员机制、专家辅助决策机制等机制建设使等级保护工作更加顺畅。,一、等级保护工作情况和取得的成效,几条工作经验： 一是领导重视是根本。 二是充分发挥行业主管部门作用是关键。 三是突出工作重点是有效对策。 四是充分调动多方力量是重要保障。 五是加强服务指导是科学方法。 六是开展监督检查是重要手段。,二、当前面临的形势和存在的问题,1、对等级保护工作的重视程度还不够，各行业、各地区之间的差异还比较大。 电力、电信、税务、海关、水利、铁路、民航、证券等行业工作进展较快。银行、卫生、交通、广电等行业刚刚起步。 2、对重

8、要信息系统重要性的认识不足。 如何运用关键部门分析和相互依赖性分析方法，从对系统到部门、部门到行业的特点分析，增强对重要信息系统重要性的认识。,二、当前面临的形势和存在的问题,3、等级测评和安全建设整改工作进展较慢。 等级测评机构刚刚成立不久，测评水平和能力需要不断提高。备案单位对等级测评重要性的认识有待提高。 信息系统差异大，安全建设整改周期长，难度大。逐步将等级保护安全建设与信息化建设统筹、将管理制度建设与安全技术措施建设并重。 等级测评和安全建设整改经费保障。,二、当前面临的形势和存在的问题,4、公安机关等级保护工作的监督检查力度不够。 公安机关对等级保护工作重视程度要进一步提高，加大警

9、力投入，探索长效的检查工作开展方法和相关经验。 5、理论研究的深度和广度还不够。 加强对国际关键信息基础设施（CIIP)保护的研究，借鉴国际CIIP经验，兼顾政府对国家安全与企业对业务连续性的不同需求和目标，完善等级保护制度的内涵和外延，缩短与国外的差距，提高等级保护政策、理论和技术水平。,美国关键信息基础设施保护政策,根据2001年通过提供截获或阻止恐怖主义必需的工具来团结和强化美国法案（爱国者法案），定义的“关键基础设施”是指这样一些关系到美国生死存亡的，无论是物理的还是虚拟的系统和资产，这些系统和资产的功能丧失或遭到破坏，会对国家安全、经济稳定、国家公众健康与安全或这些要素的任何结合产生

10、严重影响。 2003年12月，发布的国土安全总统令第7号确定了17个关键基础设施（CI）和关键资源（CI/KR），同时还确定了保护这些部门的角色和责任。2008年3月，增加了一个，共18个，并声称还会变化和增加。分别是：信息技术；电信；化学制品；商业设施；大坝；商用核反应堆、材料和废弃物；政府设施；交通系统；应急服务；邮政和货运服务；农业和食品；饮用水和废水处理系统；公共健康和医疗；能源（包括石油和天然气生产、提炼、储存和输送，以及电力，商用核电设施除外）。银行和金融；国家纪念碑和象征性标志；国防工业基地；关键制造业。,上个世纪90年代以来，美国采取了多项措施加强对关键基础设施保护（CIP）和

11、关键信息基础设施保护（CIIP）的管理。CIIP在美国总体安全战略中扮演重要角色。2007年国土安全战略强调了CIIP对于国家安全和稳定的重要性。“国家的许多基本和应急服务以及我们的关键基础设施全部依赖哪些构成了我们的网络基础设施的互联网、通信系统以及数据监控系统的不间断运行。一次网络攻击有可能削弱我们的高度相互依赖的关键基础设施和关键资源，最终削弱我们的经济和国家安全。”,美国关键信息基础设施保护政策,二、当前面临的形势和存在的问题,6、重要信息系统的安全保护能力不强。 一是部分单位对信息安全工作缺乏统一规划，信息安全责任不清。 二是些备案单位对系统的安全保护状况、存在的问题和隐患还不清楚。

12、 三是部分单位的信息安全管理制度不健全。 四是部分单位信息系统的安全保护策略不科学。 五是信息安全产品的使用问题。,三、下一步等级保护重点工作,（一）进一步提高对信息安全等级保护的认识和重视程度 国外在关键基础设施保护（CIP）和关键信息基础设施保护（CIIP）方面作了大量探索和实践。CIIP与我国重要领域信息安全等级保护存在一致性或相似性，有借鉴意义。 行业主管部门切实承担起责任，高度重视，以等级保护工作为核心，开展网络和信息安全工作。 引导备案单位加强对重要信息系统重要性的认识，在信息系统定级报告的基础上，撰写重要性分析报告。,三、下一步等级保护重点工作,（二）深化信息系统定级备案工作 梳

13、理行业信息系统定级备案情况 梳理跨省联网的信息系统定级备案情况 督促未定级、未备案的单位和信息系统 加强备案审核，及时纠正定级不准情况 建设重要信息系统基础数据库,三、下一步等级保护重点工作,（三）继续加强等级测评体系建设工作 加强测评机构的培训，提高测评机构和测评人员的能力。 加强对测评机构的监督，树立测评机构良好形象。 充分发挥测评机构等级保护政策和专业技术知识方面等专业队优势，鼓励测评机构积极参与等级保护宣传教育、为备案单位制定信息安全规划和安全建设整改方案、定级咨询、等级测评、安全监理、安全运维、安全监测、安全自查、应急响应技术支持等各环节的工作。,三、下一步等级保护重点工作,（四）加

14、快推动等级测评和安全建设整改工作 树立典型、组织培训，大力推动备案单位开展测评工作和安全建设整改工作。 要充分发挥各级等级保护协调领导小组及其办公室的作用，公安机关要与保密、密码、工信等职能部门及行业主管部门协同作战。 及时向当地发改委、财政等部门通报等级保护工作情况，取得他们对备案单位等级测评和安全建设整改工作的理解和支持。 要建立健全重要行业和单位的联络员机制，加强横向交流，相互促进。,三、下一步等级保护重点工作,（四）加快推动等级测评和安全建设整改工作 突出工作重点，重点督促电力、电信、广电、银行、税务、工商、证券、铁路、海关、民航、教育、卫生、社会保障、军工等重点部门的工作，尽快取得规

15、模效应。 通过网络安全典型案件和事件分析，远程渗透性测试等手段，督促备案单位提高开展等级测评和建设整改工作的自觉性。 鼓励和引导广大信息安全企事业单位和研究机构，积极研究探索安全建设整改的技术，研发有关产品，尽快满足各备案单位安全建设的迫切需要。,三、下一步等级保护重点工作,（五）加强监督检查工作 范围：第三级（含）以上信息系统及其备案单位 重点内容：备案单位等级保护工作情况和第三级（含）以上信息系统的安全保护状况 方式：实地检查，量化打分的形式 及时反馈检查意见，督促备案单位开展等级保护各项工作,三、下一步等级保护重点工作,（六）重要信息系统安全保护状况分析 制定重要信息系统安全保护状况分析报告模版，发挥已推荐测评机构的作用，要求各测评机构根据测评报告情况，进行总结分析。 公安机关根据开展远程技术检测、等级保护专项检查、信息安全事件处置等工作，分析重要信息系统的安全保护状况。 汇总以上两方面数据，全面分析重要信息系统的安全保护状况和