信息系統(tǒng)安全等級保護(hù)評估中心

1、公安部信息系統(tǒng)安全等級保護(hù)評估中心公安部信息安全等級保護(hù)評估中心公安部信息安全等級保護(hù)評估中心二二四年六月四年六月朱建平公安部信息系統(tǒng)安全等級保護(hù)評估中心 4/19/20223公安部信息安全等級保護(hù)評估中心27號文件進(jìn)一步明確了我國的基號文件進(jìn)一步明確了我國的基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)實(shí)行等級保護(hù)制度；信息系統(tǒng)實(shí)行等級保護(hù)制度；同時(shí)要求等級保護(hù)工作需要各部同時(shí)要求等級保護(hù)工作需要各部門根據(jù)職能分工、協(xié)同配合。門根據(jù)職能分工、協(xié)同配合。4/19/20224公安部信息安全等級保護(hù)評估中心信息安全等級保護(hù)

2、是信息安全等級保護(hù)是中華人民共和國計(jì)算機(jī)信息系中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例統(tǒng)安全保護(hù)條例規(guī)定的法定保護(hù)制度，具有強(qiáng)制性；規(guī)定的法定保護(hù)制度，具有強(qiáng)制性；第二是以國家制度推進(jìn)信息和信息系統(tǒng)安全保護(hù)責(zé)任第二是以國家制度推進(jìn)信息和信息系統(tǒng)安全保護(hù)責(zé)任的落實(shí)；的落實(shí)；第三是符合客觀實(shí)際，具有科學(xué)性；第三是符合客觀實(shí)際，具有科學(xué)性；第四是具有自我保護(hù)與國家保護(hù)相結(jié)合的長效保護(hù)機(jī)第四是具有自我保護(hù)與國家保護(hù)相結(jié)合的長效保護(hù)機(jī)制；制；第五是突出保護(hù)重點(diǎn)，國家優(yōu)先重點(diǎn)保護(hù)涉及國計(jì)民第五是突出保護(hù)重點(diǎn)，國家優(yōu)先重點(diǎn)保護(hù)涉及國計(jì)民生的信息系統(tǒng)，國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)內(nèi)生的信息系統(tǒng)，國家基礎(chǔ)信息

3、網(wǎng)絡(luò)和重要信息系統(tǒng)內(nèi)分級重點(diǎn)保護(hù)三級以上的局域網(wǎng)和子系統(tǒng)安全；分級重點(diǎn)保護(hù)三級以上的局域網(wǎng)和子系統(tǒng)安全；第六是具有整體保護(hù)性，在突出重點(diǎn)，兼顧一般的原第六是具有整體保護(hù)性，在突出重點(diǎn)，兼顧一般的原則下，著重加強(qiáng)重點(diǎn)、要害部位則下，著重加強(qiáng)重點(diǎn)、要害部位,由點(diǎn)到面進(jìn)行保護(hù)，由點(diǎn)到面進(jìn)行保護(hù)，逐步實(shí)現(xiàn)信息安全整體保障。逐步實(shí)現(xiàn)信息安全整體保障。 4/19/20225公安部信息安全等級保護(hù)評估中心國家實(shí)行信息安全等級保護(hù)，必須緊緊國家實(shí)行信息安全等級保護(hù)，必須緊緊抓住抓好五個(gè)關(guān)鍵環(huán)節(jié)，形成長效信息安全抓住抓好五個(gè)關(guān)鍵環(huán)節(jié)，形成長效信息安全等級保護(hù)運(yùn)行機(jī)制。國家信息安全等級保護(hù)等級保護(hù)運(yùn)行機(jī)制。國家信

4、息安全等級保護(hù)制度運(yùn)行機(jī)制有以下關(guān)鍵環(huán)節(jié)構(gòu)成：制度運(yùn)行機(jī)制有以下關(guān)鍵環(huán)節(jié)構(gòu)成：1法律規(guī)范法律規(guī)范2管理與技術(shù)規(guī)范管理與技術(shù)規(guī)范3實(shí)施過程控制實(shí)施過程控制4結(jié)果控制結(jié)果控制5監(jiān)督管理。監(jiān)督管理。4/19/20226公安部信息安全等級保護(hù)評估中心1法律規(guī)范：國家制定和完善信息安全等級保法律規(guī)范：國家制定和完善信息安全等級保護(hù)政策、法律規(guī)范以及組織實(shí)施規(guī)則和方法護(hù)政策、法律規(guī)范以及組織實(shí)施規(guī)則和方法,完善信完善信息安全保護(hù)法律體系；息安全保護(hù)法律體系；2管理與技術(shù)規(guī)范：制定符合國情的標(biāo)準(zhǔn)管理與技術(shù)規(guī)范：制定符合國情的標(biāo)準(zhǔn),建立建立等級保護(hù)體系；等級保護(hù)體系；3實(shí)施過程控制：明確落實(shí)系統(tǒng)擁有者的安全實(shí)

5、施過程控制：明確落實(shí)系統(tǒng)擁有者的安全責(zé)任制，系統(tǒng)擁有者按法律規(guī)定和安全等級標(biāo)準(zhǔn)的責(zé)任制，系統(tǒng)擁有者按法律規(guī)定和安全等級標(biāo)準(zhǔn)的要求進(jìn)行信息系統(tǒng)的建設(shè)和管理，并承擔(dān)應(yīng)急管理要求進(jìn)行信息系統(tǒng)的建設(shè)和管理，并承擔(dān)應(yīng)急管理責(zé)任，在信息系統(tǒng)生命周期內(nèi)進(jìn)行自管、自查、自責(zé)任，在信息系統(tǒng)生命周期內(nèi)進(jìn)行自管、自查、自評，建立安全管理體系。安全產(chǎn)品的研發(fā)者提供符評，建立安全管理體系。安全產(chǎn)品的研發(fā)者提供符合安全等級標(biāo)準(zhǔn)要求的技術(shù)產(chǎn)品。合安全等級標(biāo)準(zhǔn)要求的技術(shù)產(chǎn)品。4/19/20227公安部信息安全等級保護(hù)評估中心4結(jié)果控制：建立非盈利并能夠覆蓋全國的結(jié)果控制：建立非盈利并能夠覆蓋全國的系統(tǒng)安全等級保護(hù)的執(zhí)法檢查與

6、評估體系，使用系統(tǒng)安全等級保護(hù)的執(zhí)法檢查與評估體系，使用統(tǒng)一標(biāo)準(zhǔn)和工具開展系統(tǒng)安全等級保護(hù)檢查評估統(tǒng)一標(biāo)準(zhǔn)和工具開展系統(tǒng)安全等級保護(hù)檢查評估工作。工作。5監(jiān)督管理：公安機(jī)關(guān)依法行政，督促安全監(jiān)督管理：公安機(jī)關(guān)依法行政，督促安全等級保護(hù)責(zé)任制的落實(shí)，以等級保護(hù)標(biāo)準(zhǔn)監(jiān)督、等級保護(hù)責(zé)任制的落實(shí)，以等級保護(hù)標(biāo)準(zhǔn)監(jiān)督、檢查、指導(dǎo)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全等檢查、指導(dǎo)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全等級保護(hù)建設(shè)、管理。對安全等級技術(shù)產(chǎn)品實(shí)行監(jiān)級保護(hù)建設(shè)、管理。對安全等級技術(shù)產(chǎn)品實(shí)行監(jiān)管，對監(jiān)測評估機(jī)構(gòu)實(shí)施監(jiān)管。政府其他職能部管，對監(jiān)測評估機(jī)構(gòu)實(shí)施監(jiān)管。政府其他職能部門應(yīng)當(dāng)認(rèn)真履行職責(zé)，依法行政，按職責(zé)開

7、展信門應(yīng)當(dāng)認(rèn)真履行職責(zé)，依法行政，按職責(zé)開展信息安全等級保護(hù)專項(xiàng)制度建設(shè)工作，完善信息安息安全等級保護(hù)專項(xiàng)制度建設(shè)工作，完善信息安全監(jiān)督體系。全監(jiān)督體系。4/19/20228公安部信息安全等級保護(hù)評估中心首先，公安、國家保密、國家密碼首先，公安、國家保密、國家密碼管理、技術(shù)監(jiān)督、信息產(chǎn)業(yè)等國家有關(guān)管理、技術(shù)監(jiān)督、信息產(chǎn)業(yè)等國家有關(guān)信息網(wǎng)絡(luò)安全的行政主管部門要在國家信息網(wǎng)絡(luò)安全的行政主管部門要在國家信息化領(lǐng)導(dǎo)小組的統(tǒng)一領(lǐng)導(dǎo)下，制定我信息化領(lǐng)導(dǎo)小組的統(tǒng)一領(lǐng)導(dǎo)下，制定我國開展信息網(wǎng)絡(luò)安全等級保護(hù)工作的發(fā)國開展信息網(wǎng)絡(luò)安全等級保護(hù)工作的發(fā)展政策，統(tǒng)一制定針對不同安全保護(hù)等展政策，統(tǒng)一制定針對不同安全保

8、護(hù)等級的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，對不同信息級的管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，對不同信息網(wǎng)絡(luò)確定不同安全保護(hù)等級和實(shí)施不同網(wǎng)絡(luò)確定不同安全保護(hù)等級和實(shí)施不同的監(jiān)督管理措施，既包括依法進(jìn)行行政的監(jiān)督管理措施，既包括依法進(jìn)行行政監(jiān)督、檢查和指導(dǎo)，也包括依據(jù)國家技監(jiān)督、檢查和指導(dǎo)，也包括依據(jù)國家技術(shù)標(biāo)準(zhǔn)進(jìn)行的技術(shù)檢查和評估。術(shù)標(biāo)準(zhǔn)進(jìn)行的技術(shù)檢查和評估。4/19/20229公安部信息安全等級保護(hù)評估中心其次，等級保護(hù)堅(jiān)持其次，等級保護(hù)堅(jiān)持“誰主誰主管、誰負(fù)責(zé)；誰經(jīng)營、誰負(fù)責(zé)；管、誰負(fù)責(zé)；誰經(jīng)營、誰負(fù)責(zé)；誰建設(shè)、誰負(fù)責(zé)；誰使用、誰負(fù)誰建設(shè)、誰負(fù)責(zé)；誰使用、誰負(fù)責(zé)。責(zé)。”的原則。的原則。4/19/202210公安部信息安

9、全等級保護(hù)評估中心第三，等級保護(hù)實(shí)行第三，等級保護(hù)實(shí)行“國家國家主導(dǎo)；重點(diǎn)單位強(qiáng)制，一般單位主導(dǎo)；重點(diǎn)單位強(qiáng)制，一般單位自愿；高保護(hù)級別強(qiáng)制，低保護(hù)自愿；高保護(hù)級別強(qiáng)制，低保護(hù)級別自愿級別自愿”的監(jiān)管原則。的監(jiān)管原則。4/19/202211公安部信息安全等級保護(hù)評估中心第四，信息網(wǎng)絡(luò)安全狀況等級的第四，信息網(wǎng)絡(luò)安全狀況等級的技術(shù)檢測是等級保護(hù)的重點(diǎn)。技術(shù)檢測是等級保護(hù)的重點(diǎn)。由國家授權(quán)的技術(shù)檢測機(jī)構(gòu)通過由國家授權(quán)的技術(shù)檢測機(jī)構(gòu)通過技術(shù)檢測來進(jìn)行評定。技術(shù)檢測機(jī)構(gòu)技術(shù)檢測來進(jìn)行評定。技術(shù)檢測機(jī)構(gòu)需取得國家主管部門的技術(shù)資質(zhì)和授需取得國家主管部門的技術(shù)資質(zhì)和授權(quán)后，方可從事信息網(wǎng)絡(luò)安全等級保權(quán)后，

10、方可從事信息網(wǎng)絡(luò)安全等級保護(hù)的技術(shù)檢測。護(hù)的技術(shù)檢測。 4/19/202212公安部信息安全等級保護(hù)評估中心計(jì)劃在五年左右的時(shí)間在全計(jì)劃在五年左右的時(shí)間在全國范圍內(nèi)分三個(gè)階段實(shí)施信息安國范圍內(nèi)分三個(gè)階段實(shí)施信息安全等級保護(hù)制度：全等級保護(hù)制度：1、準(zhǔn)備階段、準(zhǔn)備階段2、試行階段、試行階段3、全面實(shí)行階段、全面實(shí)行階段4/19/202213公安部信息安全等級保護(hù)評估中心信息系統(tǒng)等級的劃分方法（自主評信息系統(tǒng)等級的劃分方法（自主評級）級）實(shí)施步驟：實(shí)施步驟：業(yè)務(wù)影響分析、劃分子系統(tǒng)業(yè)務(wù)影響分析、劃分子系統(tǒng)確定子系統(tǒng)邊界確定子系統(tǒng)邊界確定安全保護(hù)等級確定安全保護(hù)等級子系統(tǒng)間訪問關(guān)系的模型化子系統(tǒng)間訪

11、問關(guān)系的模型化安全風(fēng)險(xiǎn)分析與控制措施調(diào)整安全風(fēng)險(xiǎn)分析與控制措施調(diào)整確定系統(tǒng)保護(hù)安全計(jì)劃確定系統(tǒng)保護(hù)安全計(jì)劃系統(tǒng)等級和安全計(jì)劃的批準(zhǔn)系統(tǒng)等級和安全計(jì)劃的批準(zhǔn)4/19/202214公安部信息安全等級保護(hù)評估中心等級保護(hù)第一級第一級安全的信息系統(tǒng)具備對信息和系統(tǒng)進(jìn)行基本保護(hù)的能力。在技術(shù)方面，第一級要求設(shè)置基本的安全功能，使信息免遭非授權(quán)的泄露和破壞，能保證基本安全的系統(tǒng)服務(wù)。在安全管理方面，第一級要求根據(jù)機(jī)構(gòu)自身安全需求，為信息系統(tǒng)正常運(yùn)行提供基本的安全管理保障。4/19/202215公安部信息安全等級保護(hù)評估中心等級保護(hù)第二級第二級安全的信息系統(tǒng)具備對信息和系統(tǒng)進(jìn)行比較完整的系統(tǒng)化的安全保護(hù)能力

12、。在技術(shù)方面，第二級要求采用系統(tǒng)化的設(shè)計(jì)方法，實(shí)現(xiàn)比較完整的安全保護(hù)，并通過安全審計(jì)機(jī)制，使其它安全機(jī)制間接地相連接，使信息免遭非授權(quán)的泄露和破壞，保證一定安全的系統(tǒng)服務(wù)。 在安全管理方面，第二級要求建立必要的信息系統(tǒng)安全管理制度，對安全管理和執(zhí)行過程進(jìn)行計(jì)劃、管理和跟蹤。根據(jù)實(shí)際安全需求，明確機(jī)構(gòu)和人員的相應(yīng)責(zé)任。 4/19/202216公安部信息安全等級保護(hù)評估中心等級保護(hù)第三級第三級安全的信息系統(tǒng)具備對信息和系統(tǒng)進(jìn)行基于安全策略強(qiáng)制的安全保護(hù)能力。在技術(shù)方面，第三級要求按照完整的安全策略模型 ，實(shí)施強(qiáng)制性的安全保護(hù)，使數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞，保證較高安全的系統(tǒng)服務(wù)。在安全管理方面

13、，第三級要求建立完整的信息系統(tǒng)安全管理體系，對安全管理過程進(jìn)行規(guī)范化的定義，并對過程執(zhí)行實(shí)施監(jiān)督和檢查。根據(jù)實(shí)際安全需求，建立安全管理機(jī)構(gòu)，配備專職安全管理人員，落實(shí)各級領(lǐng)導(dǎo)及相關(guān)人員的責(zé)任 。4/19/202217公安部信息安全等級保護(hù)評估中心等級保護(hù)第四級第四級安全的信息系統(tǒng)具備對信息和系統(tǒng)進(jìn)行基于安全策略強(qiáng)制的整體的安全保護(hù)能力。在技術(shù)方面，物理隔離，第四級要求采用結(jié)構(gòu)化設(shè)計(jì)方法，按照完整的安全策略模型，實(shí)現(xiàn)各層面相結(jié)合的強(qiáng)制性的安全保護(hù)，使數(shù)據(jù)信息免遭非授權(quán)的泄露和破壞，保證高安全的系統(tǒng)服務(wù)。 在安全管理方面，第四級要求建立持續(xù)改進(jìn)的信息系統(tǒng)安全管理體系，在對安全管理過程進(jìn)行規(guī)范化定義，并對過程執(zhí)行實(shí)施監(jiān)督和檢查的基礎(chǔ)上，具有對缺陷自我發(fā)現(xiàn)、糾正和改進(jìn)的能力。根據(jù)實(shí)際安全需求，采取安全隔離措施，限定信息系統(tǒng)規(guī)模和應(yīng)用范圍。建立安全管理機(jī)構(gòu)，配備專職安全管理人員，落實(shí)各級領(lǐng)導(dǎo)及相關(guān)人員的責(zé)任。 4/19/202218公安部信息安全等級保護(hù)評估中心等級保護(hù)第五級第五級安全的信息系統(tǒng)提供對信息和系統(tǒng)進(jìn)行基于可驗(yàn)證安全策略的強(qiáng)制的安全保護(hù)能力。在技術(shù)方面，第五級要求按照確定的安全策略，在整體的實(shí)施強(qiáng)制性的安全保護(hù)的基礎(chǔ)上，通過可驗(yàn)證設(shè)計(jì)增強(qiáng)系統(tǒng)的安全性，使其具