国家信息安全等级制度与等级保护(公安部).ppt

国家信息安全等级制度国家信息安全等级制度与等级保护工作的实施与等级保护工作的实施 公安部公共信息网络安全监察局 郭启全1精选课件目录 一、什么是信息安全等级保护一、什么是信息安全等级保护二、信息安全等级保护的工作进展二、信息安全等级保护的工作进展 三、安全保护等级的划分三、安全保护等级的划分 四、等级保护工作的职责分工四、等级保护工作的职责分工 五、等级保护工作的主要流程五、等级保护工作的主要流程 六、等级保护标准体系六、等级保护标准体系 七、信息安全产品和测评机构管理思路七、信息安全产品和测评机构管理思路 2精选课件一、什么是信息安全等级保护 信息安全等级保护是国家信息安全信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法保障的基本制度、基本策略、基本方法开展信息安全等级保护工作是保护信息开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现是信息安全保障工作中国家意志的体现3精选课件 1994年，中华人民共和国计算机信息系年，中华人民共和国计算机信息系统安全保护条例统安全保护条例 规定，规定，“计算机信息系统实计算机信息系统实行安全等级保护，安全等级的划分标准和安行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关全等级保护的具体办法，由公安部会同有关部门制定部门制定”。

1995年年2月月18日人大日人大12次会议通过并实次会议通过并实施的中华人民共和国警察法第二章第六施的中华人民共和国警察法第二章第六条第十二款规定，公安机关人民警察依法履条第十二款规定，公安机关人民警察依法履行行“监督管理计算机信息系统的安全保护工作监督管理计算机信息系统的安全保护工作”法律依据法律依据1999年，强制性国家标准计算机信年，强制性国家标准计算机信息系统安全保护等级划分准则息系统安全保护等级划分准则GB 17859）4精选课件 2003年，中办、国办转发的国家信息化年，中办、国办转发的国家信息化领导小组关于加强信息安全保障工作的意见领导小组关于加强信息安全保障工作的意见（中办发（中办发200327号）明确指出号）明确指出“实行信息安实行信息安全等级保护全等级保护”要重点保护基础信息网络和关要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南制定信息安全等级保护的管理办法和技术指南”2004年，公安部、国家保密局、国家密码年，公安部、国家保密局、国家密码管理局、国信办联合印发了关于信息安全等管理局、国信办联合印发了关于信息安全等级保护工作的实施意见（级保护工作的实施意见（66号文件）号文件）2006年年1月，公安部、国家保密局、国家密月，公安部、国家保密局、国家密码管理局、国信办联合制定了信息安全等级码管理局、国信办联合制定了信息安全等级保护管理办法（公通字保护管理办法（公通字20067号）号）5精选课件 等级保护制度的基本思想等级保护制度的基本思想1、政府层面：国家制定统一信息安全等级保护管政府层面：国家制定统一信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对信息安全产品的信息系统分等级实行安全保护，对信息安全产品的使用分等级实行管理，对等级保护工作的实施进行使用分等级实行管理，对等级保护工作的实施进行监督、指导。

监督、指导2、用户层面、用户层面：公民、法人和其他组织应当按照国：公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保家有关等级保护的管理规范和技术标准开展等级保护工作，服从国家对信息安全等级保护工作的监督、护工作，服从国家对信息安全等级保护工作的监督、指导，保障信息系统安全指导，保障信息系统安全3、社会层面、社会层面：信息安全产品的研制、生产单位，：信息安全产品的研制、生产单位，信息系统的集成、等级测评、风险评估等安全服务信息系统的集成、等级测评、风险评估等安全服务机构，依据国家有关管理规定和技术标准，开展相机构，依据国家有关管理规定和技术标准，开展相应工作，并接受国家信息安全职能部门的监督管理应工作，并接受国家信息安全职能部门的监督管理6精选课件二、信息安全等级保护的工作进展 一是一是2006年年1月制定出台了信息安全等级保护月制定出台了信息安全等级保护管理办法（试行）管理办法（试行）二是二是2006年年5月月18日组织召开了国家信息安全等日组织召开了国家信息安全等级保护工作协调小组第一次会议级保护工作协调小组第一次会议三是制定了等级保护系列技术标准三是制定了等级保护系列技术标准。

四是开展了等级保护基础调查工作四是开展了等级保护基础调查工作五是部署开展信息安全等级保护试点工作五是部署开展信息安全等级保护试点工作六是出台新的信息安全等级保护管理办法六是出台新的信息安全等级保护管理办法七是筹备召开全国信息系统定级工作七是筹备召开全国信息系统定级工作7精选课件三、安全保护等级的划分 8精选课件四、等级保护工作的职责分工 公安机关负责信息安全等级保护工作的公安机关负责信息安全等级保护工作的监督、检查、指导；国家保密工作部门负责监督、检查、指导；国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、等级保护工作中有关保密工作的监督、检查、指导；国家密码管理部门负责等级保护工作指导；国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导；涉及中有关密码工作的监督、检查、指导；涉及其他职能部门管辖范围的事项，由有关职能其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理；国部门依照国家法律法规的规定进行管理；国务院信息化工作办公室及地方信息化领导小务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调组办事机构负责等级保护工作的部门间协调。

9精选课件五、等级保护工作的主要流程 一是定级包括评审与审批一是定级包括评审与审批二是备案（二级以上信息系统）二是备案（二级以上信息系统）三是系统建设、整改（按条件选择产品）三是系统建设、整改（按条件选择产品）四是开展等级测评（按条件选择测评机构）四是开展等级测评（按条件选择测评机构）五是信息安全监管部门定期开展监督检查五是信息安全监管部门定期开展监督检查10精选课件六、等级保护的政策体系和标准体系六、等级保护的政策体系和标准体系 国务院国务院147号令、中央号令、中央27号文件、关于号文件、关于信息安全等级保护工作的实施意见信息安全等级保护工作的实施意见（公通（公通字字200466号）、信息安全等级保护管号）、信息安全等级保护管理办法（公通字理办法（公通字200743号）标准包括计算机信息系统安全保护等级标准包括计算机信息系统安全保护等级划分准则（划分准则（GB17859-1999）、信息系）、信息系统安全等级保护基本要求、信息系统安统安全等级保护基本要求、信息系统安全等级保护实施指南、信息系统安全等全等级保护实施指南、信息系统安全等级保护测评要求等级保护测评要求等30多个标准多个标准。

11精选课件七、信息安全产品和测评机构管理思路七、信息安全产品和测评机构管理思路 重要信息系统信息安全产品由第三方依据认证认可条例证明产品、服务、管理体系符合相关技技术术规规范范、相相关关技技术术规规范范的强制性要求或者标准的合格评定合格评定第二关，可信性、可靠性、可控性审核第一关，质量认证由国家信息安全监管部门依据法律职权规定，对其可能具有危害国家安全、社会秩序、公共利益的功能、情况进行评估和审核12精选课件七、信息安全产品和测评机构管理思路七、信息安全产品和测评机构管理思路 重要信息系统技术测评队伍由第三方依据认证认可条例对实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定第二关，可信性、可靠性、可控性审核第一关，能力认可由国家信息安全监管部门依据法律职权规定，对其可能具有危害国家安全、社会秩序、公共利益的功能、情况进行评估和审核13精选课件谢谢！14精选课件。