信息系统安全等级保护工作 主要内容和工作要求 马 伟 安徽省卫生厅信息中心 邮箱:ahwstmw@126.com 电话:0551-2242803
目录 一、等级保护概述 二、实行等级保护的意义 三、等级保护工作程序、内容 四、等级保护工作机制、推进模式 五、工作要求 六、有关政策文件和技术标准
一、等级保护概述 ●信息安全等级保护是一项制度,是国家在国民经济和社会信息化发展的过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的一项基本制度。
一、等级保护概述 ●是对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品分等级进行管理,对信息系统中发生的信息安全事件分等级进行响应、处置。
一、等级保护概述 ●根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,信息系统安全等级保护确定为5个级别,从第一级到第五级逐级增高。
一、等级保护概述 ●发展历程(1): 1994年,国务院颁布《计算机信息系统安全保护条例明确了 计算机信息系统实行安全等级保护 1999年,颁布《计算机信息系统安全保护等级划分准则》,2000年实施 2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确提出“实行信息安全等级保护”。 2004年,全国信息安全保障工作会议:专门将信息安全等级保护工作作为信息安全保障工作的一项重要任务来部署 2004年9月,四部门出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),构建了等级保护工作的基本框架,标志着信息安全等级保护工作正式启动。
一、等级保护概述 发展历程(2): 1999-2006年,制定了50多个国标和行标,初步形成了信息安全等级保护标准体系:《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》等。 2006年,下发等级保护管理办法(征求意见稿),并全面组织开展计算机信息系统基础调查。 2007年6月,四部门联合发布《信息安全等级保护管理办法》(公通字[2007]43号):明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了有关方面的职责、任务,为开展信息安全等级保护工作提供了规范保障。
一、等级保护概述 发展历程(3): 2007年,下发《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号),全面开展定级备案工作。 2009年,下发《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信[2009]1429号),部署开展等级测评和建设整改工作。 2010年,下发了《关于开展信息安全等级保护专项监督检查工作的通知》(公信安[2010]1175号)
二、实行等级保护的意义 当前,我国基础信息网络和重要信息系统安全面临的形势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节。 ●一是针对基础信息网络和重要信息系统的违法犯罪持续上升。(网上诈骗、色情、木马) ●二是基础信息网络和重要信息系统自身的安全隐患严重。 ●三是我国的信息安全保障工作基础性工作还很薄弱。(产品、技术受控)
二、实行等级保护的意义 信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法,开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障。 实施信息安全等级保护制度,信息系统运营使用单位和主管部门能按照标准进行安全建设、整改,信息系统安全与否也有了一个衡量尺度。 信息安全等级保护是发达国家的通行做法、也是我国多年工作经验总结。
二、实行等级保护的意义 “五个有利于” 有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调; 有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;
二、实行等级保护的意义 3.有利于优化信息安全资源的配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全; 4.有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理; 5.有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式 。
二、实行等级保护的意义 信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的基本保障,是信息安全保障工作中国家意志的体现。 在我国信息安全领域,只有等级保护是一项强制的制度,只有等级保护是公安部门牵头政府四个组成部门(公安、经信委、保密局、密码管理局)共同推进的工作,只有等级保护是由国家专政工具——警察监督检查的工作。
二、实行等级保护的意义 实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。
二、实行等级保护的意义 充分体现“适度安全、保护重点”的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,有效提高我国信息安全保障工作的整体水平。 实行信息安全等级保护制度,能够保障运营单位的信息安全,提升运行效益。
二、实行等级保护的意义 在当今信息时代和全球一体化的背景下,经济社会的发展必须全面提升核心竞争力,这种核心竞争力主要表现在反应的速度、质量、成本和服务等方面,这些要素的改善和提高,都需要计算机信息技术的支持,离不开信息化这一重要基础和后盾。信息化是当今经济社会降低成本、提高效益的首要选择。 因此,如何能够既能保证“足够”的安全,又坚持“适度”的安全,协调好安全、成本、效率三者的关系,成为信息化过程中必须考虑的重大问题。实行信息安全等级保护制度正是有效解决上述问题的方法。
三、等级保护工作程序、内容 定级备案 建设整改 测评验收 监督检查
各个工作环节间的关系: ★定级是等级保护的首要环节 ★按等级保护是等级保护的核心 ★建设整改是等级保护工作落实的关键 ★等级测评是评价安全保护状况的方法 ★监督检查是保护能力不断提高的保障
(一)定级备案 定级工作原则(1) -确定定级对象:梳理本单位信息系统,确定系统个数。 坚持“自主定级、自主保护”的原则:各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,自主确定信息系统的安全保护等级,并按照所定等级,自主对信息系统进行保护。 满足管理要求原则:安全等级不是保障程度等级,也不是技术能力等级,而是从国家管理的需要出发,从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息或信息系统被破坏后造成危害的严重性角度对信息系统确定的等级;
(一)定级备案 定级工作原则(2) 全局性原则:等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度,系统定级也必须从国家层面考虑,体现全局性; 以业务为核心原则:系统是为业务服务,安全等级应反映系统承载业务的重要性,应以业务为出发点和核心,将信息系统重要性纳入业务重要性统筹考虑; 合理性原则:反映信息系统的主要安全特征,优化结构、降低投资、突出重点,有效保护。
(一)定级备案 定级 备案 安全保护等级为第二级及以上的信息系统运营使用单位应当在系统投入运行后(新建系统)或确定等级后(已运营系统)30日内到公安机关办理备案手续。隶属中央或省的驻皖国有单位的信息系统,由省公安厅受理备案。上述单位在各地运行的分支系统由其在各地的分支机构报所在地地级以上市公安机关备案。其他单位的信息系统在所在地地级以上市公安机关备案。
(一)定级备案 备案步骤:信息系统运营、使用单位首先从安徽省公安厅网络安全便民服务网站 (www.ah.cyberpolice.cn)上下载备案表和辅助备案工具,然后填写备案表。对于二级系统,只需填写表一、二、三,对于三级系统还需填写表四并提交其中所列材料(可以延期提交)。最后将有关书面材料和利用辅助备案工具生成的备案电子数据提交所在的省辖市公安机关网安部门。
信息系统安全等级保护等级划分 1级:自主保护级 2级:指导保护级 3级:监督保护级 4级:强制保护级 5级:专控保护级 (一)定级备案 信息系统安全等级保护等级划分 1级:自主保护级 2级:指导保护级 3级:监督保护级 4级:强制保护级 5级:专控保护级
(一)定级备案 信息系统安全等级保护等级确定 根据《信息系统安全等级保护定级指南》(GB/T 22240-2208)要求,信息系统保护等级由系统遭到破坏所侵害的客体(I公民、法人和其他组织的合法权益 II社会秩序、公共利益 III国家安全)以及所侵害客体程度(I一般损害II严重损害III特别严重损害)两个定级要素确定。
(一)定级备案 定级要素与安全保护等级二维矩阵表 受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 社会秩序、公共利益 第三级 第四级 国家安全 第五级
(一)定级备案 三种损害程度定义描述 一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
(一)定级备案 三种损害程度定义描述 严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
(一)定级备案 三种损害程度定义描述 特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。 详细内容请参阅《信息系统安全等级保护定级指南》(GB/T 22240-2208)
(一)定级备案 定级工作需注意的问题: 1. 新建系统在规划设计阶段应确定等级,按照信息系统等级保护要求,同步规划、同步设计、同步实施安全保护技术措施和管理措施。 2.要防止片面追求绝对安全而定级过高,避免浪费;也要防止定级过低,逃避监管。最大限度的提高投入产出比。 3.涉密信息系统的等级确定要按照国家保密局的有关规定和标准执行。 4.对拟定为第四级(含)以上的信息系统,由运营使用单位或主管部门请国家信息安全保护等级专家评审委员会评审。
(二)建设整改 信息系统运营使用单位应当在职能部门指导下,在安全服务机构、测评机构的支持下,对信息系统进行评估,对照相关标准查找差距,针对存在的安全隐患以及未落实的安全措施制定整改方案,配备符合《信息安全等级保护管理办法》要求的安全专用产品,落实安全技术措施,健全安全管理制度。对于新建、改建、扩建的信息系统,要在规划、设计、建设等环节同步落实安全等级保护要求。
(二)建设整改 安全建设整改是等级保护工作落实的关键所在; 安全建设整改使确定了等级的信息系统能够达到相应等级的基本的保护水平和满足自身需求的安全保护能力; 安全建设整改实现五方面目标: 一是信息系统安全管理水平明显提高 二是信息系统安全防护能力达到相应等级水平 三是信息系统安全隐患和安全事故明显减少 四是有效保障信息化健康发展 五是有效维护国家安全、社会秩序和公共利益。
(二)建设整改 整改主要针对管理、技术两个方面 信息系统安全技术建设 信息系统安全管理建设 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运行管理 物理安全 网络安全 主机安全 应用安全 数据安全
(三)测评验收 安全建设整改完成后,运营使用单位须委托公安部门认定的测评机构进行测评,确认相关系统的安全保护状况已符合相关标准要求。安全测评要形成文档,作为验收的重要内容。经测评,信息系统的安全状况未达到安全保护等级要求的,运营使用单位要在测评机构和相关职能部门的指导下,进一步整改,直至符合安全要求,完成测评验收。
(四)监督检查 公安机关应当会同有关部门加强对信息系统的监督检查,对未依法履行定级、备案手续的单位,督促限期改正。发现定级不准的,通知运营单位重新审核确定。对安全措施不符合要求的,指导落实整改措施。
(四)监督检查 公安机关应当对第三级系统每年至少检查一次,对第四级系统每半年至少检查一次。对第五级信息系统,应当由国家指定的专门部门进行检查。对跨市或者全省统一联网运行的信息系统的检查,应当会同其主管部门进行。 检查不合格的要求限期整改,并将整改报告报公安机关备案。 信息系统主管部门和运营使用单位应当接受监督、检查、指导,并提供有关文件资料。
四、等级保护工作机制、推进模式 推进模式:等级保护实行属地管理、行业指导。国家层面上,由公安部牵头,国家保密局、国家密码管理局、国务院信息化工作办公室共同负责组织部署实施;省级层面上,由省公安厅牵头,省经信委、省国家保密局、省密码管理局共同负责组织部署实施;市级层面上,由市公安局牵头,市经信委、市国家保密局、市密码管理局共同推进,负责本市级区域内等保工作的推进实施。 卫生行政部门主要负责行业指导,配合本级等保工作主管职能部门进行卫生系统内的推进和实施。是一种条块结合的模式推进,块上主管,条上指导。
四、等级保护工作机制、推进模式 工作机制:为进一步推进等级保护工作,今年3月根据卫生部有关文件精神,我厅下发了《关于全面开展我省卫生行业信息安全等级保护工作的通知》(卫办秘〔2012〕144号)、《转发卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知》(卫办秘〔2012〕145号),确定:
四、等级保护工作机制、推进模式 省卫生厅信息化工作领导小组负责统筹组织我省卫生行业信息安全等级保护工作,并组织开展厅机关及挂靠单位信息安全等级保护工作。成立省卫生行业信息安全技术专家委员会,负责对我省卫生行业拟定三级(含三级)信息系统的定级指导、备案审查、建设整改方案的评审与论证等工作。
四、等级保护工作机制、推进模式 各市(省直管县)卫生局要确定分管领导,落实专人负责对本地区卫生行业信息安全等级保护工作的协调组织、监督指导,全面组织开展本地(单位)信息安全等级保护工作。确定联络员,负责落实信息安全等级保护工作有关政策和技术标准要求,掌握本地区信息安全等级保护工作动态和总体情况,代表本地区与卫生厅及同级信息安全等级保护工作主管职能部门进行日常联系和交流,协调落实本地区信息安全等级保护工作。
各级各类医疗卫生机构,明确职能部门,指定专人,按照等保工作有关文件要求,组织落实。 四、等级保护工作机制、推进模式 各级各类医疗卫生机构,明确职能部门,指定专人,按照等保工作有关文件要求,组织落实。
●高度重视、充分认识重要性、意义 ●主要负责同志负总责 分管领导具体抓 ●列入重要议事日程和工作绩效考核指标 五、工作要求 ●高度重视、充分认识重要性、意义 ●主要负责同志负总责 分管领导具体抓 ●列入重要议事日程和工作绩效考核指标 高度重视 加强领导 保障经费 加强监管 ●建立经费投入机制 ●纳入信息化建设预算内 ●加强对资金使用的监管 ●加强与本地主管部门的沟通交流,建立协作机制 ●密切合作,共同推进信息安全等级保护工作 加强沟通 密切合作
六、有关政策文件和标准规范 国家政策体系
六、有关政策文件和标准规范 我省在推进等保工作的重要文件通知 1.关于开展重要信息系统安全等级保护定级工作的通知(卫办秘〔2007〕692号) 2.关于印发《安徽省重要卫生信息系统等级保护安全建设工作方案》的通知(卫办秘〔2010〕650号) 3.关于我省卫生行业信息系统安全等级保护工作推进情况的通报(卫办秘〔2012〕381号) 4.关于全面开展我省卫生行业信息安全等级保护工作的通知(卫办秘〔2012〕144号) 5.转发卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知(卫办秘〔2012〕145号)
六、有关政策文件和标准规范 1-计算机信息系统 安全等级保护划分准则 2-信息安全技术 信息系统安全等级保护实施指南 技术标准规范 1-计算机信息系统 安全等级保护划分准则 2-信息安全技术 信息系统安全等级保护实施指南 3-信息安全技术 信息系统安全保护等级定级指南 4-信息安全技术 信息系统安全等级保护基本要求 5-信息安全技术 信息系统安全等级保护测评要求
六、有关政策文件和标准规范 6-信息安全技术 信息系统安全等级保护测评过程指南 7-信息系统等级保护安全设计技术要求 技术标准规范 6-信息安全技术 信息系统安全等级保护测评过程指南 7-信息系统等级保护安全设计技术要求 8-信息安全技术 网络基础安全技术要求 9-信息安全技术 信息系统安全通用技术要求 10-信息安全技术 信息系统物理安全技术要求 可从:www.djbh.net下载查询。
不足之处,请批评指正! 谢 谢! 安徽省卫生厅信息中心 马 伟 电话:0551-2242803