信息系統(tǒng)安全等級保護評估中心

1、公安部信息系統(tǒng)安全等級保護評估中心公安部信息安全等級保護評估中心公安部信息安全等級保護評估中心二二四年六月四年六月朱建平公安部信息系統(tǒng)安全等級保護評估中心 4/19/20223公安部信息安全等級保護評估中心27號文件進一步明確了我國的基號文件進一步明確了我國的基礎信息網(wǎng)絡和關系國家安全、經(jīng)礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)實行等級保護制度；信息系統(tǒng)實行等級保護制度；同時要求等級保護工作需要各部同時要求等級保護工作需要各部門根據(jù)職能分工、協(xié)同配合。門根據(jù)職能分工、協(xié)同配合。4/19/20224公安部信息安全等級保護評估中心信息安全等級保護

2、是信息安全等級保護是中華人民共和國計算機信息系中華人民共和國計算機信息系統(tǒng)安全保護條例統(tǒng)安全保護條例規(guī)定的法定保護制度，具有強制性；規(guī)定的法定保護制度，具有強制性；第二是以國家制度推進信息和信息系統(tǒng)安全保護責任第二是以國家制度推進信息和信息系統(tǒng)安全保護責任的落實；的落實；第三是符合客觀實際，具有科學性；第三是符合客觀實際，具有科學性；第四是具有自我保護與國家保護相結(jié)合的長效保護機第四是具有自我保護與國家保護相結(jié)合的長效保護機制；制；第五是突出保護重點，國家優(yōu)先重點保護涉及國計民第五是突出保護重點，國家優(yōu)先重點保護涉及國計民生的信息系統(tǒng)，國家基礎信息網(wǎng)絡和重要信息系統(tǒng)內(nèi)生的信息系統(tǒng)，國家基礎信息

3、網(wǎng)絡和重要信息系統(tǒng)內(nèi)分級重點保護三級以上的局域網(wǎng)和子系統(tǒng)安全；分級重點保護三級以上的局域網(wǎng)和子系統(tǒng)安全；第六是具有整體保護性，在突出重點，兼顧一般的原第六是具有整體保護性，在突出重點，兼顧一般的原則下，著重加強重點、要害部位則下，著重加強重點、要害部位,由點到面進行保護，由點到面進行保護，逐步實現(xiàn)信息安全整體保障。逐步實現(xiàn)信息安全整體保障。 4/19/20225公安部信息安全等級保護評估中心國家實行信息安全等級保護，必須緊緊國家實行信息安全等級保護，必須緊緊抓住抓好五個關鍵環(huán)節(jié)，形成長效信息安全抓住抓好五個關鍵環(huán)節(jié)，形成長效信息安全等級保護運行機制。國家信息安全等級保護等級保護運行機制。國家信

4、息安全等級保護制度運行機制有以下關鍵環(huán)節(jié)構(gòu)成：制度運行機制有以下關鍵環(huán)節(jié)構(gòu)成：1法律規(guī)范法律規(guī)范2管理與技術規(guī)范管理與技術規(guī)范3實施過程控制實施過程控制4結(jié)果控制結(jié)果控制5監(jiān)督管理。監(jiān)督管理。4/19/20226公安部信息安全等級保護評估中心1法律規(guī)范：國家制定和完善信息安全等級保法律規(guī)范：國家制定和完善信息安全等級保護政策、法律規(guī)范以及組織實施規(guī)則和方法護政策、法律規(guī)范以及組織實施規(guī)則和方法,完善信完善信息安全保護法律體系；息安全保護法律體系；2管理與技術規(guī)范：制定符合國情的標準管理與技術規(guī)范：制定符合國情的標準,建立建立等級保護體系；等級保護體系；3實施過程控制：明確落實系統(tǒng)擁有者的安全實

5、施過程控制：明確落實系統(tǒng)擁有者的安全責任制，系統(tǒng)擁有者按法律規(guī)定和安全等級標準的責任制，系統(tǒng)擁有者按法律規(guī)定和安全等級標準的要求進行信息系統(tǒng)的建設和管理，并承擔應急管理要求進行信息系統(tǒng)的建設和管理，并承擔應急管理責任，在信息系統(tǒng)生命周期內(nèi)進行自管、自查、自責任，在信息系統(tǒng)生命周期內(nèi)進行自管、自查、自評，建立安全管理體系。安全產(chǎn)品的研發(fā)者提供符評，建立安全管理體系。安全產(chǎn)品的研發(fā)者提供符合安全等級標準要求的技術產(chǎn)品。合安全等級標準要求的技術產(chǎn)品。4/19/20227公安部信息安全等級保護評估中心4結(jié)果控制：建立非盈利并能夠覆蓋全國的結(jié)果控制：建立非盈利并能夠覆蓋全國的系統(tǒng)安全等級保護的執(zhí)法檢查與

6、評估體系，使用系統(tǒng)安全等級保護的執(zhí)法檢查與評估體系，使用統(tǒng)一標準和工具開展系統(tǒng)安全等級保護檢查評估統(tǒng)一標準和工具開展系統(tǒng)安全等級保護檢查評估工作。工作。5監(jiān)督管理：公安機關依法行政，督促安全監(jiān)督管理：公安機關依法行政，督促安全等級保護責任制的落實，以等級保護標準監(jiān)督、等級保護責任制的落實，以等級保護標準監(jiān)督、檢查、指導基礎信息網(wǎng)絡和重要信息系統(tǒng)安全等檢查、指導基礎信息網(wǎng)絡和重要信息系統(tǒng)安全等級保護建設、管理。對安全等級技術產(chǎn)品實行監(jiān)級保護建設、管理。對安全等級技術產(chǎn)品實行監(jiān)管，對監(jiān)測評估機構(gòu)實施監(jiān)管。政府其他職能部管，對監(jiān)測評估機構(gòu)實施監(jiān)管。政府其他職能部門應當認真履行職責，依法行政，按職責開

7、展信門應當認真履行職責，依法行政，按職責開展信息安全等級保護專項制度建設工作，完善信息安息安全等級保護專項制度建設工作，完善信息安全監(jiān)督體系。全監(jiān)督體系。4/19/20228公安部信息安全等級保護評估中心首先，公安、國家保密、國家密碼首先，公安、國家保密、國家密碼管理、技術監(jiān)督、信息產(chǎn)業(yè)等國家有關管理、技術監(jiān)督、信息產(chǎn)業(yè)等國家有關信息網(wǎng)絡安全的行政主管部門要在國家信息網(wǎng)絡安全的行政主管部門要在國家信息化領導小組的統(tǒng)一領導下，制定我信息化領導小組的統(tǒng)一領導下，制定我國開展信息網(wǎng)絡安全等級保護工作的發(fā)國開展信息網(wǎng)絡安全等級保護工作的發(fā)展政策，統(tǒng)一制定針對不同安全保護等展政策，統(tǒng)一制定針對不同安全保

8、護等級的管理規(guī)定和技術標準，對不同信息級的管理規(guī)定和技術標準，對不同信息網(wǎng)絡確定不同安全保護等級和實施不同網(wǎng)絡確定不同安全保護等級和實施不同的監(jiān)督管理措施，既包括依法進行行政的監(jiān)督管理措施，既包括依法進行行政監(jiān)督、檢查和指導，也包括依據(jù)國家技監(jiān)督、檢查和指導，也包括依據(jù)國家技術標準進行的技術檢查和評估。術標準進行的技術檢查和評估。4/19/20229公安部信息安全等級保護評估中心其次，等級保護堅持其次，等級保護堅持“誰主誰主管、誰負責；誰經(jīng)營、誰負責；管、誰負責；誰經(jīng)營、誰負責；誰建設、誰負責；誰使用、誰負誰建設、誰負責；誰使用、誰負責。責。”的原則。的原則。4/19/202210公安部信息安

9、全等級保護評估中心第三，等級保護實行第三，等級保護實行“國家國家主導；重點單位強制，一般單位主導；重點單位強制，一般單位自愿；高保護級別強制，低保護自愿；高保護級別強制，低保護級別自愿級別自愿”的監(jiān)管原則。的監(jiān)管原則。4/19/202211公安部信息安全等級保護評估中心第四，信息網(wǎng)絡安全狀況等級的第四，信息網(wǎng)絡安全狀況等級的技術檢測是等級保護的重點。技術檢測是等級保護的重點。由國家授權的技術檢測機構(gòu)通過由國家授權的技術檢測機構(gòu)通過技術檢測來進行評定。技術檢測機構(gòu)技術檢測來進行評定。技術檢測機構(gòu)需取得國家主管部門的技術資質(zhì)和授需取得國家主管部門的技術資質(zhì)和授權后，方可從事信息網(wǎng)絡安全等級保權后，

10、方可從事信息網(wǎng)絡安全等級保護的技術檢測。護的技術檢測。 4/19/202212公安部信息安全等級保護評估中心計劃在五年左右的時間在全計劃在五年左右的時間在全國范圍內(nèi)分三個階段實施信息安國范圍內(nèi)分三個階段實施信息安全等級保護制度：全等級保護制度：1、準備階段、準備階段2、試行階段、試行階段3、全面實行階段、全面實行階段4/19/202213公安部信息安全等級保護評估中心信息系統(tǒng)等級的劃分方法（自主評信息系統(tǒng)等級的劃分方法（自主評級）級）實施步驟：實施步驟：業(yè)務影響分析、劃分子系統(tǒng)業(yè)務影響分析、劃分子系統(tǒng)確定子系統(tǒng)邊界確定子系統(tǒng)邊界確定安全保護等級確定安全保護等級子系統(tǒng)間訪問關系的模型化子系統(tǒng)間訪

11、問關系的模型化安全風險分析與控制措施調(diào)整安全風險分析與控制措施調(diào)整確定系統(tǒng)保護安全計劃確定系統(tǒng)保護安全計劃系統(tǒng)等級和安全計劃的批準系統(tǒng)等級和安全計劃的批準4/19/202214公安部信息安全等級保護評估中心等級保護第一級第一級安全的信息系統(tǒng)具備對信息和系統(tǒng)進行基本保護的能力。在技術方面，第一級要求設置基本的安全功能，使信息免遭非授權的泄露和破壞，能保證基本安全的系統(tǒng)服務。在安全管理方面，第一級要求根據(jù)機構(gòu)自身安全需求，為信息系統(tǒng)正常運行提供基本的安全管理保障。4/19/202215公安部信息安全等級保護評估中心等級保護第二級第二級安全的信息系統(tǒng)具備對信息和系統(tǒng)進行比較完整的系統(tǒng)化的安全保護能力

12、。在技術方面，第二級要求采用系統(tǒng)化的設計方法，實現(xiàn)比較完整的安全保護，并通過安全審計機制，使其它安全機制間接地相連接，使信息免遭非授權的泄露和破壞，保證一定安全的系統(tǒng)服務。 在安全管理方面，第二級要求建立必要的信息系統(tǒng)安全管理制度，對安全管理和執(zhí)行過程進行計劃、管理和跟蹤。根據(jù)實際安全需求，明確機構(gòu)和人員的相應責任。 4/19/202216公安部信息安全等級保護評估中心等級保護第三級第三級安全的信息系統(tǒng)具備對信息和系統(tǒng)進行基于安全策略強制的安全保護能力。在技術方面，第三級要求按照完整的安全策略模型 ，實施強制性的安全保護，使數(shù)據(jù)信息免遭非授權的泄露和破壞，保證較高安全的系統(tǒng)服務。在安全管理方面

13、，第三級要求建立完整的信息系統(tǒng)安全管理體系，對安全管理過程進行規(guī)范化的定義，并對過程執(zhí)行實施監(jiān)督和檢查。根據(jù)實際安全需求，建立安全管理機構(gòu)，配備專職安全管理人員，落實各級領導及相關人員的責任 。4/19/202217公安部信息安全等級保護評估中心等級保護第四級第四級安全的信息系統(tǒng)具備對信息和系統(tǒng)進行基于安全策略強制的整體的安全保護能力。在技術方面，物理隔離，第四級要求采用結(jié)構(gòu)化設計方法，按照完整的安全策略模型，實現(xiàn)各層面相結(jié)合的強制性的安全保護，使數(shù)據(jù)信息免遭非授權的泄露和破壞，保證高安全的系統(tǒng)服務。 在安全管理方面，第四級要求建立持續(xù)改進的信息系統(tǒng)安全管理體系，在對安全管理過程進行規(guī)范化定義，并對過程執(zhí)行實施監(jiān)督和檢查的基礎上，具有對缺陷自我發(fā)現(xiàn)、糾正和改進的能力。根據(jù)實際安全需求，采取安全隔離措施，限定信息系統(tǒng)規(guī)模和應用范圍。建立安全管理機構(gòu)，配備專職安全管理人員，落實各級領導及相關人員的責任。 4/19/202218公安部信息安全等級保護評估中心等級保護第五級第五級安全的信息系統(tǒng)提供對信息和系統(tǒng)進行基于可驗證安全策略的強制的安全保護能力。在技術方面，第五級要求按照確定的安全策略，在整體的實施強制性的安全保護的基礎上，通過可驗證設計增強系統(tǒng)的安全性，使其具