信息安全等級(jí)保護(hù)總體方案

1、信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù) 公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局 （一）等級(jí)保護(hù)是什么一）等級(jí)保護(hù)是什么 （二）等級(jí)保護(hù)做什么（二）等級(jí)保護(hù)做什么 （三）等級(jí)保護(hù)如何實(shí)施（三）等級(jí)保護(hù)如何實(shí)施 法律和政策依據(jù)法律和政策依據(jù)中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例第二章安中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例第二章安全保護(hù)制度部分規(guī)定：全保護(hù)制度部分規(guī)定： “計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。安全等級(jí)的劃分標(biāo)準(zhǔn)和安全計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定。等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門制定?！庇?jì)算機(jī)

2、信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB17859-1999GB17859-1999（技術(shù)法規(guī)）規(guī)定： 國家對(duì)信息系統(tǒng)實(shí)行五級(jí)保護(hù)。國家對(duì)信息系統(tǒng)實(shí)行五級(jí)保護(hù)。國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見重點(diǎn)強(qiáng)調(diào)重點(diǎn)強(qiáng)調(diào)： 實(shí)行信息安全等級(jí)保護(hù)制度，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系實(shí)行信息安全等級(jí)保護(hù)制度，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)。統(tǒng)。一、等級(jí)保護(hù)是什么一、等級(jí)保護(hù)是什么（一）等級(jí)保護(hù)基本概念：信息系統(tǒng)安全等級(jí)保護(hù)是指對(duì)信息安全實(shí)行等（一）等級(jí)保護(hù)基本概念：信息系統(tǒng)安全等級(jí)保護(hù)是指對(duì)信息安全實(shí)行等級(jí)化保護(hù)和

3、等級(jí)化管理級(jí)化保護(hù)和等級(jí)化管理 根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實(shí)際安全需求，實(shí)行分級(jí)、分類、分階段實(shí)施保護(hù)，保障信息安全和系統(tǒng)安全正常運(yùn)行，維護(hù)國家利益、公共利益和社會(huì)穩(wěn)定。 等級(jí)保護(hù)的核心是對(duì)信息系統(tǒng)特別是對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級(jí)、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國家對(duì)信息安全等級(jí)保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范逐級(jí)加強(qiáng)監(jiān)管力度。突出重點(diǎn)，保障重要信息資源和重要信息系統(tǒng)的安全。等級(jí)保護(hù)是什么等級(jí)保護(hù)是什么（二）信息安全等級(jí)保護(hù)制度的主要內(nèi)容（二）信息安全等級(jí)保護(hù)制度的主要內(nèi)容 信息安全等級(jí)保護(hù)是指：對(duì)國家秘密信息、法人和其他組織及公民的專有信息、公開信息分類分級(jí)進(jìn)行管理和保護(hù)； 對(duì)信息系統(tǒng)按業(yè)務(wù)安全

4、應(yīng)用域和區(qū)實(shí)行分級(jí)保護(hù)。對(duì)信息系統(tǒng)按業(yè)務(wù)安全應(yīng)用域和區(qū)實(shí)行分級(jí)保護(hù)。 對(duì)系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按分級(jí)許可管理。對(duì)系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按分級(jí)許可管理。 對(duì)等級(jí)系統(tǒng)的安全服務(wù)資質(zhì)分級(jí)許可管理。對(duì)等級(jí)系統(tǒng)的安全服務(wù)資質(zhì)分級(jí)許可管理。 對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。等級(jí)保護(hù)是什么等級(jí)保護(hù)是什么（三）為什么要搞等級(jí)保護(hù)為什么要搞等級(jí)保護(hù) 保護(hù)業(yè)務(wù)安全應(yīng)用保護(hù)業(yè)務(wù)安全應(yīng)用。對(duì)信息安全分級(jí)保護(hù)是客觀需求：信息系統(tǒng)的建立是為社會(huì)發(fā)展、社會(huì)生活的需要而設(shè)計(jì)、建立的，是社會(huì)構(gòu)成、行政組織體系及其業(yè)務(wù)體系的反映，這種體系是分層次和級(jí)別的。

5、因此，信息安全保護(hù)必須符合客觀存在。 等級(jí)化保護(hù)是信息安全發(fā)展規(guī)律：按組織業(yè)務(wù)應(yīng)用區(qū)域、分層、分類、分級(jí)進(jìn)行保護(hù)和管理，分階段推進(jìn)等級(jí)保護(hù)制度建設(shè)，這是做好國家信息安全保護(hù)必須遵循的客觀規(guī)律。等級(jí)保護(hù)是什么等級(jí)保護(hù)是什么（四）信息安全保護(hù)存在的主要問題四）信息安全保護(hù)存在的主要問題 當(dāng)前，我國信息安全存在的最大問題是信息安全保護(hù)工作不統(tǒng)一、不規(guī)范。有關(guān)各方對(duì)信息安全如何保護(hù)及安全與否無法把握，心中無數(shù)。 實(shí)行等級(jí)保護(hù)首先要解決這個(gè)問題，以國家法定信息安全等級(jí)保護(hù)制度，統(tǒng)一信息安全保護(hù)工作，推進(jìn)規(guī)范化、法制化建設(shè)，保障安全，促進(jìn)發(fā)展。促進(jìn)民族信息安全科學(xué)技術(shù)發(fā)展，解決我國信息技術(shù)和安全技術(shù)“空心

6、”問題，實(shí)現(xiàn)信息安全自主可控，保障國家安全。二、等級(jí)保護(hù)做什么二、等級(jí)保護(hù)做什么 （一）信息資源分類分級(jí)保護(hù)制度信息資源分類分級(jí)保護(hù)制度 信息資源已經(jīng)成為國家經(jīng)濟(jì)建設(shè)和社會(huì)發(fā)展的重要戰(zhàn)略資源。信息資源應(yīng)當(dāng)分類： 秘密信息：國家保密法規(guī)定的三類信息； 專有信息：國家、組織及個(gè)人所有的信息； 公開信息：國家、組織及個(gè)人的可公開信息。 各部門、單位可根據(jù)信息系統(tǒng)中的信息資源情況，在這三大類下再分若該類和級(jí)進(jìn)行標(biāo)記管理、保護(hù)。等級(jí)保護(hù)做什么等級(jí)保護(hù)做什么 （二）系統(tǒng)安全功能分級(jí)保護(hù)制度（二）系統(tǒng)安全功能分級(jí)保護(hù)制度 以計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB17859-1999為指導(dǎo)，建立包括系統(tǒng)安全功

7、能、系統(tǒng)之間、網(wǎng)絡(luò)之間、設(shè)備之間、用戶之間的可信可信鑒別鑒別保障平臺(tái)，對(duì)信息系統(tǒng)的安全等級(jí)從功能上劃分為五個(gè)級(jí)別的安全保護(hù)能力： 第一級(jí)：用戶自主保護(hù)級(jí) ； 第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí) ； 第三級(jí)：安全標(biāo)記保護(hù)級(jí) ； 第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí) （系統(tǒng)整體安全設(shè)計(jì)系統(tǒng)整體安全設(shè)計(jì)）； 第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)。 安全保護(hù)能力從第一級(jí)到第五級(jí)逐級(jí)增強(qiáng)。(見說明、有關(guān)標(biāo)準(zhǔn)）等級(jí)保護(hù)做什么等級(jí)保護(hù)做什么（三）安全產(chǎn)品使用分級(jí)管理制度三）安全產(chǎn)品使用分級(jí)管理制度 國家對(duì)信息安全產(chǎn)品的使用實(shí)行分等級(jí)管理制度。按照信息安全產(chǎn)品的可控性、可靠性、可信性、安全性和可監(jiān)督性的要求確定相應(yīng)等級(jí)進(jìn)行管理。 信息安全產(chǎn)品是指與信

8、息網(wǎng)絡(luò)或者信息系統(tǒng)安全相關(guān)的以計(jì)算機(jī)硬件或者軟件的形態(tài)集成的，實(shí)現(xiàn)信息系統(tǒng)運(yùn)行中的特定功能的，構(gòu)建信息系統(tǒng)并使其正常運(yùn)行的軟硬設(shè)備。不同安全保護(hù)等級(jí)的信息系統(tǒng)和網(wǎng)絡(luò)應(yīng)使用與其安全等級(jí)相適應(yīng)的信息安全產(chǎn)品。 等級(jí)保護(hù)做什么等級(jí)保護(hù)做什么（四）事件分級(jí)響應(yīng)與處置制度事件分級(jí)響應(yīng)與處置制度 信息安全事件是指危害信息系統(tǒng)平臺(tái)運(yùn)行和安全功能、應(yīng)用系信息安全事件是指危害信息系統(tǒng)平臺(tái)運(yùn)行和安全功能、應(yīng)用系統(tǒng)（包括數(shù)據(jù)信息）的完整性、可用性和保密性，危害國家安全、統(tǒng)（包括數(shù)據(jù)信息）的完整性、可用性和保密性，危害國家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益、公民利益的故障、事故、案件、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益、公

9、民利益的故障、事故、案件、戰(zhàn)爭(zhēng)行為等戰(zhàn)爭(zhēng)行為等。依據(jù)信息安全事件對(duì)信息和信息系統(tǒng)的破壞程度、所造成的社會(huì)影響以及涉及的范圍，確定事件等級(jí)。根據(jù)不同安全保護(hù)等級(jí)的信息系統(tǒng)中發(fā)生的不同等級(jí)事件制定相應(yīng)的預(yù)案，確定事件響應(yīng)和處置的范圍、程度以及適用的管理制度等。信息安全事件發(fā)生后，分等級(jí)按預(yù)案進(jìn)行響應(yīng)和處置。等級(jí)保護(hù)做什么等級(jí)保護(hù)做什么（五）分級(jí)監(jiān)管制度（五）分級(jí)監(jiān)管制度 第一級(jí) :自主性保護(hù) ； 第二級(jí) :指導(dǎo)性保護(hù) ； 第三級(jí) :監(jiān)督性保護(hù) ； 第四級(jí) :強(qiáng)制性保護(hù) ； 第五級(jí) :?？匦员Ｗo(hù) 。 政府信息安全保護(hù)職能部門將逐級(jí)加大安全保護(hù)力度。系統(tǒng)主管部門也應(yīng)按級(jí)加強(qiáng)自管、自查力度。等級(jí)保護(hù)做什

10、么等級(jí)保護(hù)做什么（六）信息安全等級(jí)保護(hù)原則信息安全等級(jí)保護(hù)原則 明確責(zé)任，共同保護(hù) 依照標(biāo)準(zhǔn)，自行保護(hù) 同步建設(shè)，動(dòng)態(tài)調(diào)整 監(jiān)督指導(dǎo)，重點(diǎn)保護(hù) 確保重點(diǎn)、兼顧一般 按需保護(hù)、效費(fèi)合理 等級(jí)保護(hù)做什么等級(jí)保護(hù)做什么（七）保護(hù)重點(diǎn)保護(hù)重點(diǎn) 國家優(yōu)先重點(diǎn)保護(hù)涉及國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，主要包括：國家事務(wù)處理信息系統(tǒng)（黨政機(jī)關(guān)辦公系統(tǒng)）；金融、稅務(wù)、工商、海關(guān)、能源、交通運(yùn)輸、社會(huì)保障、教育等關(guān)系到國計(jì)民生的信息系統(tǒng)；國防工業(yè)、國家科研等單位的信息系統(tǒng)；公用通信、廣播電視傳輸?shù)然A(chǔ)信息網(wǎng)絡(luò)中的信息系統(tǒng)；網(wǎng)絡(luò)管理中心、重要網(wǎng)站中的重要信息系統(tǒng)和其他領(lǐng)域的重要信息系統(tǒng)。

11、區(qū)別重點(diǎn)，分級(jí)進(jìn)行保護(hù)。等級(jí)保護(hù)做什么等級(jí)保護(hù)做什么 （八）安全等級(jí)保護(hù)制度運(yùn)行五個(gè)關(guān)鍵控制環(huán)節(jié)安全等級(jí)保護(hù)制度運(yùn)行五個(gè)關(guān)鍵控制環(huán)節(jié) 1.法律規(guī)范； 2.管理與技術(shù)規(guī)范； 3.系統(tǒng)安全等級(jí)實(shí)施過程控制； 4.系統(tǒng)安全等級(jí)實(shí)現(xiàn)結(jié)果控制； 5.國家監(jiān)督管理。 以上五個(gè)關(guān)鍵控制環(huán)節(jié)，構(gòu)成國家信息安全等級(jí)保護(hù)長效機(jī)制。等級(jí)保護(hù)做什么等級(jí)保護(hù)做什么 （九）信息系統(tǒng)安全集中控制管理體系信息系統(tǒng)安全集中控制管理體系 第一：防范與保護(hù) ； 第二：監(jiān)控與檢查； 第三：響應(yīng)與處置。 其中包括自我保護(hù)和國家保護(hù)兩個(gè)方面。等級(jí)保護(hù)做什么等級(jí)保護(hù)做什么 （十）系統(tǒng)主要目標(biāo)的安全管理（十）系統(tǒng)主要目標(biāo)的安全管理： 1.組

12、織責(zé)任管理 2.信息資源管理 3.保密信息管理 4.系統(tǒng)資源管理 5.密碼使用管理 6.各類用戶管理 7.應(yīng)用邊界管理 8.安全事件管理。等級(jí)保護(hù)做什么等級(jí)保護(hù)做什么 （十一）互連互通、信息共享，以利發(fā)展互連互通、信息共享，以利發(fā)展 互連互通：不同安全等級(jí)的系統(tǒng)之間應(yīng)當(dāng)盡可能實(shí)現(xiàn)縱、橫互連互通，互操作。 信息共享：符合信息共享要求。 保障環(huán)境：保障安全并為應(yīng)用發(fā)展提供良好的環(huán)境。三、等級(jí)保護(hù)如何實(shí)施三、等級(jí)保護(hù)如何實(shí)施 （一）信息安全等級(jí)保護(hù)責(zé)任制信息安全等級(jí)保護(hù)責(zé)任制： 信息安全等級(jí)保護(hù)實(shí)行：誰主管誰負(fù)責(zé)：誰運(yùn)營誰負(fù)責(zé)：誰使用誰負(fù)責(zé)：誰提供安全服務(wù)誰負(fù)責(zé)。 等級(jí)保護(hù)如何實(shí)施等級(jí)保護(hù)如何實(shí)施

13、（二）等級(jí)確定等級(jí)確定 各部門、各單位應(yīng)當(dāng)適用法律規(guī)范和有關(guān)標(biāo)準(zhǔn)規(guī)范，確定其系統(tǒng)安全保護(hù)等級(jí)，報(bào)其主管部門領(lǐng)導(dǎo)批準(zhǔn)，并報(bào)當(dāng)?shù)赝?jí)信息安全職能部門備案。等級(jí)保護(hù)如何實(shí)施等級(jí)保護(hù)如何實(shí)施 （三）制定等級(jí)化建設(shè)和管理的解決方制定等級(jí)化建設(shè)和管理的解決方案和實(shí)施規(guī)范案和實(shí)施規(guī)范 各部門、各單位應(yīng)當(dāng)適用有關(guān)標(biāo)準(zhǔn)規(guī)定， 制定適合本系統(tǒng)的安全等級(jí)保護(hù)解決方案，進(jìn)行安全建設(shè)、使用、管理。等級(jí)保護(hù)如何實(shí)施等級(jí)保護(hù)如何實(shí)施 （四）檢測(cè)評(píng)估檢測(cè)評(píng)估 安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)機(jī)構(gòu)按其所取得的許可資質(zhì)，按照法規(guī)、標(biāo)準(zhǔn)規(guī)定提供評(píng)估服務(wù)，接受信息安全職能部門的監(jiān)督，并承擔(dān)法律規(guī)定的安全責(zé)任和義務(wù)。等級(jí)保護(hù)如何實(shí)施等級(jí)保護(hù)如何實(shí)

14、施 （五）安全等級(jí)產(chǎn)品保護(hù)安全等級(jí)產(chǎn)品保護(hù) 安全等級(jí)保護(hù)產(chǎn)品研發(fā)、提供、選購，應(yīng)當(dāng)貫徹標(biāo)準(zhǔn)和法規(guī)規(guī)定，符合信息安全產(chǎn)品的可控性、可靠性、可信性、安全性和可監(jiān)督性的要求。等級(jí)保護(hù)如何實(shí)施等級(jí)保護(hù)如何實(shí)施 （六）系統(tǒng)安全等級(jí)保護(hù)服務(wù)系統(tǒng)安全等級(jí)保護(hù)服務(wù) 系統(tǒng)安全等級(jí)保護(hù)服務(wù)單位應(yīng)當(dāng)按標(biāo)準(zhǔn)和法規(guī)規(guī)定提供安全服務(wù)，并承擔(dān)法律規(guī)定的安全責(zé)任和義務(wù)。 等級(jí)保護(hù)如何實(shí)施等級(jí)保護(hù)如何實(shí)施 （七）安全等級(jí)保護(hù)技術(shù)產(chǎn)品政策安全等級(jí)保護(hù)技術(shù)產(chǎn)品政策 重要、關(guān)鍵的信息安全技術(shù)和產(chǎn)品是國家信 息安全之安全。 國家對(duì)等級(jí)保護(hù)所需的信息技術(shù)安全產(chǎn)品選購使用應(yīng)當(dāng)實(shí)行分級(jí)管理政策。第三級(jí)以上的安全產(chǎn)品出口實(shí)行審批制度，保障國家

15、關(guān)鍵核心信息安全保護(hù)技術(shù)不外泄。 非等級(jí)保護(hù)產(chǎn)品可以進(jìn)入國際商業(yè)交流領(lǐng)域。 等級(jí)保護(hù)如何實(shí)施等級(jí)保護(hù)如何實(shí)施（八）監(jiān)督、檢查、指導(dǎo)監(jiān)督、檢查、指導(dǎo) 政府職能部門依法按標(biāo)準(zhǔn)進(jìn)行監(jiān)督、檢查、指導(dǎo)、提供服務(wù)。四、分三步推進(jìn)等級(jí)保護(hù)工作四、分三步推進(jìn)等級(jí)保護(hù)工作第一階段：準(zhǔn)備階段準(zhǔn)備階段 制定、制定、完善法律規(guī)范和技術(shù)規(guī)范，宣傳培訓(xùn)，試點(diǎn)，推廣信息安全等級(jí)保護(hù)試點(diǎn)經(jīng)驗(yàn)和方法，落實(shí)安全管理制度和責(zé)任，由各單位確定保護(hù)等級(jí)，加固改造現(xiàn)有系統(tǒng)安全。 分三步推進(jìn)等級(jí)保護(hù)工作分三步推進(jìn)等級(jí)保護(hù)工作第二階段：試行階段試行階段 選擇具有代表性的信息系統(tǒng)，開展等級(jí)保護(hù)試行工作，總結(jié)經(jīng)驗(yàn)，完善標(biāo)準(zhǔn)，為全面開展等級(jí)保護(hù)創(chuàng)造條件。分三步推進(jìn)等級(jí)保護(hù)工作分三步推進(jìn)等級(jí)保護(hù)工作第三階段：全面發(fā)展階段全面發(fā)展階段 完成現(xiàn)有系統(tǒng)加固改造，基本實(shí)現(xiàn)規(guī)范化、等級(jí)化、制度化、法制化。保障基礎(chǔ)信息網(wǎng)絡(luò)安全和重要信息系統(tǒng)安全。 逐