如何建设符合信息安全等级保护要求的信息系统？信息安全等级保护的.ppt

公安部公安部信息安全信息安全等级保护等级保护评估中心评估中心信息安全等级保护制度实施毕马宁毕马宁公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/20242引言 近年来，党中央、国务院高度重视，各有关方面协调配合、共同努力，我国信息安全保障工作取得了很大进展但是从总体上看，我国的信息安全保障工作尚处于起步阶段，基础薄弱，水平不高，存在以下突出问题： 公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/20243存在的问题¨信息安全滞后于信息化发展；¨信息安全阻碍了信息化发展公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/20244存在的问题（续）—大多数单位均采用防火墙作为内外网的防护设备奠定了最基本的网络安全基础—重视外部攻击与入侵，忽视内部的非法行为—偏重产品，忽视体系和管理—关键技术、产品受制于人公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/20245产生问题的原因¨信息安全防范意识和能力薄弱;¨信息安全法律法规不完善，标准体系尚待完善;¨信息系统安全建设和管理缺乏体系化思想； ¨监督管理缺乏依据和标准，监管体系尚待完善。

公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/20246我们的对策 美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁，制定了一系列强化信息网络安全建设的政策和标准，其中一个很重要思想就是将不同重要程度的信息系统划分不同的安全等级，以指导不同领域的信息安全工作 面对严峻的形势和严重的问题，如何解决我国信息安全问题，是摆在我国政府、企业、公民面前的重大关键问题公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/20247我们的对策（续） 经过我国信息安全领域有关部门和专家学者的多年研究，在借鉴国外先进经验和结合我国国情的基础上，提出了分等级保护的策略来解决我国信息安全问题： 信息安全等级保护制度信息安全等级保护制度公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/20248信息安全等级保护制度 《中华人民共和国计算机信息系统安全保护条例》（ 1994年国务院147号令）规定“计算机信息系统实行安全等级保护等级划分标准和等级管理办法由公安部会同有关部门制定”。

公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/20249信息安全等级保护制度（续） 2003年，中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出：要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度制定信息安全等级保护的管理办法和技术指南 公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202410信息安全等级保护制度(续） 2004年9月，公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），文件中明确指出：信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度 公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202411等级保护制度的主要内容 根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；信息系统必须达到的基本的安全保护水平等因素，对信息和信息系统划分以下五个安全保护和监管等级： 公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202412第一级为自主保护级Ø适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。

Ø信息系统运营、使用单位或个人依照国家管理规范和技术标准进行自主保护 公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202413第二级为指导保护级Ø适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全；Ø信息系统运营、使用单位应当依据国家管理规范和技术标准自主进行保护必要时，国家信息安全监管职能部门进行指导公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202414第三级为监督保护级Ø适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害；Ø依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202415第四级为强制保护级Ø适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，对国家安全、社会秩序和公共利益造成严重损害 ；Ø依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202416第五级为专控保护级Ø适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，所承载的业务受到破坏后，会直接对国家安全造成特别严重损害；Ø依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督。

公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202417信息安全产品使用Ø信息安全产品的安全功能和可控性直接关系到其所构建的信息系统的安全；Ø国家对信息安全产品的管理除按法律要求实行销售许可外，还对信息安全产品的使用按照其安全性，特别是其可控性和可信性进行分等级管理公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202418信息安全事件分等级响应处置 依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围，确定事件等级根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案，确定事件响应和处置的范围、程度以及适用的管理制度等信息安全事件发生后，分等级按照预案进行响应和处置 公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202419信息安全等级保护制度的意义 实行等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。

公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202420信息安全等级保护制度的意义（续） 实施信息安全等级保护，可以有效地提高我国信息安全建设的整体水平， 有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调； 有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督；公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202421信息安全等级保护制度的意义（续） 有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施； 有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息安全发展模式公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202422信息安全等级保护制度的基本原则 信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督信息安全等级保护制度遵循以下基本原则： 一是明确责任，共同保护 二是依照标准，自行保护 三是同步建设，动态调整 四是指导监督，重点保护公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202423信息安全等级保护工作的基本要求实施信息安全等级保护应当做好以下六个方面工作： （一）完善标准，分类指导。

（二）科学定级，严格备案 （三）建设整改，落实措施 （四）自查自纠，落实要求 （五）建立制度，加强管理 （六）监督检查，完善保护公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202424等级保护工作的职责分工Ø公安机关负责信息安全等级保护工作的监督、检查、指导Ø国家保密工作部门负责等级保护工作中有关保密工作的监 督、检查、指导Ø国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导Ø在信息安全等级保护工作中，涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理Ø国务院信息化工作办公室负责信息安全等级保护工作中部门间的协调 公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202425等级保护工作的职责分工Ø信息和信息系统的建设、运行、维护、使用单位和个人，按照“谁主管、谁负责”的原则，在信息安全等级保护工作中承担具体的安全责任Ø重要行业的主管部门负责在本行业内贯彻落实信息安全等级保护工作，并对行业内信息系统运营、使用单位的落实情况进行管理。

公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202426等级保护工作的组织开展Ø随着信息化的发展，信息共享，互联互通已经成为主流，10年前147号令提出重要领域信息系统安全保护的工作任务已经向信息安全保障方向发展，谁主管谁负责已经成为信息安全保障工作的基本原则Ø因此，要与时俱进，为信息安全等级保护工作注入新的内涵，等级保护要适应当前信息化发展和信息安全保障工作的总体要求以保持其生命力公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202427等级保护工作的组织开展Ø等级保护工作的开展要适应当前政府职能转变的要求，转变过去那种对重要信息系统采取的偏重内保型管理、治安管理型和包办型管理，逐步转变到前瞻型管理、社会型管理和服务型管理的新型管理模式上要提高服务保障意识，努力为社会服务，为经济建设服务，为国家的安定和稳定服务 公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202428《中华人民共和国计算机信息系统安全保护条例》国家基础标准(GB17859 )及配套标准《信息安全等级保护管理办法》及相关规定运营单位/主管部门行政执法部门咨询监理工程测评重要信息系统规划 设计 建设 运行等级化的重要信息系统安全等级保护体系技术支持行业管理规范和技术规范业务分类与定级网络系统结构产品装备与配置过程控制与管理授权指定公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202429部/省级公安机关/网监部门重要信息系统的主管/建设/运营部门/机构重要信息系统指导监督、检查处置机构/人员/制度/规范/服务/产品/测评/备案技术支持体系监督检查执法体系公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202430技术支持体系社会力量公安部公共信息网络安全监察局各地技术支持机构公安部信息安全等级保护评估中心地方网监部门技术服务与支持重要信息系统规划、设计、建设、运行、测评、备案监督、检查、执法授权机构等级安全检测公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202431关于我们 “公安部信息安全等级保护评估中心”是由公安部批准成立，国家发改委划拨专项经费支持，为国家推行信息安全等级保护制度提供技术支持的专业机构．公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202432我们的使命Ø为国家推行信息安全等级保护制度所进行的监督执法检查提供技术支持Ø为重点行业、重要信息系统实行信息安全等级保护提供技术服务公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202433GB 17859_1999。

信息系统安全保护等级定级指南信息系统安全保护等级定级指南信息系统安全等级保护基本要求信息系统安全等级保护基本要求信息系统安全等级保护管理监督检查要求信息系统安全等级保护管理监督检查要求信息系统安全保护等级测评准则信息系统安全保护等级测评准则信息系统等级保护实施指南信息系统等级保护实施指南信息系统等级保护评估指南信息系统等级保护评估指南技术标准体系公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202434等级保护工作的具体做法基本要求，实施指南、 安全产品标准 定级指南、实施指南 监督管理要求、 测评准则、基本要求 基本要求，定级指南、实施指南，评估指南监督管理要求实施指南公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202435系统调查和描述系统调查和描述子系统划分子系统划分子系统定级子系统定级子系统边界设定子系统边界设定定级结果文档化定级结果文档化等级保护工作的具体做法等级化风险评估等级化风险评估分级保护模型化处理分级保护模型化处理安全策略规划安全策略规划安全建设规划安全建设规划安全建设详细方案设计安全建设详细方案设计安全产品采购安全产品采购安全控制开发安全控制开发安全控制集成安全控制集成验收验收等级安全检测等级安全检测备案备案操作管理和控制操作管理和控制配置管理和控制配置管理和控制变更管理和控制变更管理和控制安全状态监控安全状态监控安全事件处理和应急预案安全事件处理和应急预案自主检查自主检查和和监督检查监督检查持续改进持续改进公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202436等级确定的原则Ø自主定级原则–信息系统的运营、使用单位应当根据相关管理办法和技术标准，结合其系统的情况，自行确定安全保护等级。

Ø满足国家管理要求原则–信息系统安全保护等级既不是信息系统安全保障等级，也不是信息系统所能达到的技术能力等级，而是从安全监管需要，从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202437等级确定的原则Ø业务为核心原则–信息系统是为业务应用服务的，信息系统的安全保护等级应当依据信息系统承载业务的重要性、业务对信息系统的依赖度和系统特殊的安全需求确定Ø合理性原则–不同于信息安全产品，信息系统千差万别，各具特色，只有在划分安全保护等级的过程中，尽可能反映出信息系统的主要安全特征，合理划分等级，才能做到突出重点，适度保护公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202438等级确定的实施流程输入输入输出输出过程过程公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202439等级保护实施过程与风险管理的关系Ø信息安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督那么信息系统安全保护等级的确定首先应满足国家管理的要求，然后，根据系统安全级别结合基本保护要求进行系统安全建设。

Ø对信息系统实施等级保护的过程中，等级保护的相关标准对不同级别的信息系统提出了基本保护要求，基本保护要求是系统安全建设的基础，但是不同的信息系统由于其本身的特性，除基本保护要求外，可以通过风险管理中的风险分析方法使得系统的等级保护更加个性化公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202440等级保护实施过程与风险管理的关系Ø信息安全风险评估是等级保护工作的一种辅助科学手段，它可以帮助导出一个确定信息系统的个性安全需求Ø信息安全风险评估是信息系统运行使用单位开展信息安全保护工作，提高信息安全管理水平的一种自我评估、自主保护的方法Ø信息安全风险评估与信息安全等级保护职能监管部门依据国家管理要求和相关技术标准对等级化信息系统进行的符合性检测有所区别公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202441等级保护的备案管理Ø信息系统运营、使用单位应当在其系统安全保护等级确定后，向当地同级公安机关提请备案Ø备案时应当到备案机关填写备案登记表并按要求提交相关资料 备案登记表/系统体系/功能结构图/系统安全保护方案或措施/系统安全管理制度等 公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202442等级保护的备案管理 信息系统备案信息是国家有关信息安全职能部门了解和掌握重要信息系统的安全保护基本状况、分析总体安全形势的基础资料来源，也是下一步接受备案机关开展各项监督检查工作所必需的基本依据。

——新建系统： ——已有系统：公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202443自主检查Ø信息系统运营、使用单位应当依照其系统相应等级的标准要求，自行对信息系统安全保护状况定期开展检查发现问题的，应当及时整改Ø确定系统安全保护等级的因素发生变化的，其运营、使用单位应当根据本办法和有关技术标准的要求，重新确定其安全保护等级，并按照相应等级的安全要求对其安全保护措施进行整改公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202444监督检查Ø公安机关依据《信息安全等级保护管理办法》和有关技术标准，对三、四级信息系统落实相应等级的管理规范和技术标准要求的情况进行监督检查Ø对安全保护等级为三级信息系统每年至少检查一次，对安全保护等级为四级信息系统每半年至少检查一次Ø公安机关在监督检查过程中，发现信息系统存在安全隐患或未达到《信息安全等级保护管理办法》规定和相关技术标准要求的，应当书面通知其整改，有上级主管部门的，同时通知其上级主管部门公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202445等级保护工作下一步计划和安排Ø抓好准备阶段各项工作的落实情况Ø重点实行阶段各项主要工作Ø全面实行阶段主要工作公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202446联系方法Ø：010-68193053Ø：13331122015Ø网站：Ø联系人：毕马宁公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心9/4/202447谢谢 谢！谢！Q & A。