信息安全等级保护 制度实施 毕马宁
引言 近年来,党中央、国务院高度重视,各有关方面协调配合、共同努力,我国信息安全保障工作取得了很大进展。但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:
存在的问题 信息安全滞后于信息化发展; 信息安全阻碍了信息化发展。
存在的问题(续) —大多数单位均采用防火墙作为内外网的防护设备奠定了最基本的网络安全基础。 —重视外部攻击与入侵,忽视内部的非法行为 —偏重产品,忽视体系和管理。 —关键技术、产品受制于人。
产生问题的原因 信息安全防范意识和能力薄弱; 信息安全法律法规不完善,标准体系尚待完善; 信息系统安全建设和管理缺乏体系化思想; 监督管理缺乏依据和标准,监管体系尚待完善。
我们的对策 美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁,制定了一系列强化信息网络安全建设的政策和标准,其中一个很重要思想就是将不同重要程度的信息系统划分不同的安全等级,以指导不同领域的信息安全工作。 面对严峻的形势和严重的问题,如何解决我国信息安全问题,是摆在我国政府、企业、公民面前的重大关键问题。
我们的对策(续) 经过我国信息安全领域有关部门和专家学者的多年研究,在借鉴国外先进经验和结合我国国情的基础上,提出了分等级保护的策略来解决我国信息安全问题: 信息安全等级保护制度
信息安全等级保护制度 《中华人民共和国计算机信息系统安全保护条例》( 1994年国务院147号令)规定“计算机信息系统实行安全等级保护。等级划分标准和等级管理办法由公安部会同有关部门制定”。
信息安全等级保护制度(续) 2003年,中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出:要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度。制定信息安全等级保护的管理办法和技术指南。
信息安全等级保护制度(续) 2004年9月,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室联合下发了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),文件中明确指出:信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
等级保护制度的主要内容 根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;信息系统必须达到的基本的安全保护水平等因素,对信息和信息系统划分以下五个安全保护和监管等级:
第一级为自主保护级 适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。 信息系统运营、使用单位或个人依照国家管理规范和技术标准进行自主保护。
第二级为指导保护级 适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成轻微损害,但不损害国家安全; 信息系统运营、使用单位应当依据国家管理规范和技术标准自主进行保护。必要时,国家信息安全监管职能部门进行指导。
第三级为监督保护级 适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成损害; 依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。
第四级为强制保护级 适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,对国家安全、社会秩序和公共利益造成严重损害 ; 依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查。
第五级为专控保护级 适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,所承载的业务受到破坏后,会直接对国家安全造成特别严重损害; 依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督。
信息安全产品使用 信息安全产品的安全功能和可控性直接关系到其所构建的信息系统的安全; 国家对信息安全产品的管理除按法律要求实行销售许可外,还对信息安全产品的使用按照其安全性,特别是其可控性和可信性进行分等级管理。
信息安全事件分等级响应处置 依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围,确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案,确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后,分等级按照预案进行响应和处置。
信息安全等级保护制度的意义 实行等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。
信息安全等级保护制度的意义(续) 实施信息安全等级保护,可以有效地提高我国信息安全建设的整体水平, 有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调; 有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督;
信息安全等级保护制度的意义(续) 有利于明确国家、法人和其他组织、公民的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施; 有利于提高安全保护的科学性、整体性、针对性,推动信息安全产业水平,逐步探索一条适应社会主义市场经济发展的信息安全发展模式。
信息安全等级保护制度的基本原则 信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。信息安全等级保护制度遵循以下基本原则: 一是明确责任,共同保护 二是依照标准,自行保护 三是同步建设,动态调整 四是指导监督,重点保护
信息安全等级保护工作的基本要求 实施信息安全等级保护应当做好以下六个方面工作: (一)完善标准,分类指导。 (二)科学定级,严格备案。 (三)建设整改,落实措施。 (四)自查自纠,落实要求。 (五)建立制度,加强管理。 (六)监督检查,完善保护。
等级保护工作的职责分工 公安机关负责信息安全等级保护工作的监督、检查、指导。 国家保密工作部门负责等级保护工作中有关保密工作的监 督、检查、指导。 国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。 在信息安全等级保护工作中,涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。 国务院信息化工作办公室负责信息安全等级保护工作中部门间的协调。
等级保护工作的职责分工 信息和信息系统的建设、运行、维护、使用单位和个人,按照“谁主管、谁负责”的原则,在信息安全等级保护工作中承担具体的安全责任。 重要行业的主管部门负责在本行业内贯彻落实信息安全等级保护工作,并对行业内信息系统运营、使用单位的落实情况进行管理。
等级保护工作的组织开展 随着信息化的发展,信息共享,互联互通已经成为主流,10年前147号令提出重要领域信息系统安全保护的工作任务已经向信息安全保障方向发展,谁主管谁负责已经成为信息安全保障工作的基本原则。 因此,要与时俱进,为信息安全等级保护工作注入新的内涵,等级保护要适应当前信息化发展和信息安全保障工作的总体要求以保持其生命力。
等级保护工作的组织开展 等级保护工作的开展要适应当前政府职能转变的要求,转变过去那种对重要信息系统采取的偏重内保型管理、治安管理型和包办型管理,逐步转变到前瞻型管理、社会型管理和服务型管理的新型管理模式上。要提高服务保障意识,努力为社会服务,为经济建设服务,为国家的安定和稳定服务。
《中华人民共和国计算机信息系统安全保护条例》 重要信息系统安全等级保护体系 《中华人民共和国计算机信息系统安全保护条例》 《信息安全等级保护管理办法》及相关规定 授权 指定 国家 基础 标准 (GB 17859 ) 及 配套 行业 管理 规范 和 技术 运营单位/主管部门 行政执法部门 技 术 支 持 咨询 监理 工程 测评 规划 设计 建设 运行 重要信息系统 等级化的 业务分类与定级 网络系统结构 产品装备与配置 过程控制与管理
监督检查执法体系 部/省级公安机关/网监部门 技 术 支 指导监督、检查处置 持 体 系 机构/人员/制度/规范/服务/产品/测评/备案 重要信息系统的主管/建设/运营部门/机构 重要信息系统
技术支持体系 公安部公共信息网络安全监察局 社会力量 公安部信息安全等级保护评估中心 地方网监部门 各地技术支持机构 授权机构 技术服务与支持 等级安全检测 监督、检查、执法 重要信息系统 规划、设计、建设、运行、测评、备案
关于我们 “公安部信息安全等级保护评估中心”是由公安部批准成立,国家发改委划拨专项经费支持,为国家推行信息安全等级保护制度提供技术支持的专业机构.
我们的使命 为国家推行信息安全等级保护制度所进行的监督执法检查提供技术支持 为重点行业、重要信息系统实行信息安全等级保护提供技术服务
技术标准体系 GB 17859_1999 。。。。。。 信息系统安全保护等级定级指南 信息系统安全等级保护基本要求 信息系统安全等级保护管理监督检查要求 信息系统安全保护等级测评准则 信息系统等级保护实施指南 信息系统等级保护评估指南
等级保护工作的具体做法 系统定级 安全规划与设计 安全建设与实现 等级备案与检测 等级保护运行与管理 定级指南、实施指南 基本要求,定级指南、 实施指南,评估指南 安全规划与设计 基本要求,实施指南、 安全产品标准 安全建设与实现 监督管理要求、 测评准则、基本要求 等级备案与检测 监督管理要求实施指南 等级保护运行与管理
等级保护工作的具体做法 系统定级阶段 安全规划设计阶段 安全实施阶段 等级备案与检测 运行管理和状态监控阶段 系统调查和描述 子系统划分 等级化风险评估 子系统定级 分级保护模型化处理 安全规划设计阶段 子系统边界设定 安全产品采购 安全策略规划 操作管理和控制 定级结果文档化 安全控制开发 安全建设规划 安全实施阶段 配置管理和控制 安全控制集成 安全建设详细方案设计 变更管理和控制 验收 等级安全检测 等级备案与检测 安全状态监控 备案 安全事件处理和应急预案 运行管理和状态监控阶段 自主检查和监督检查 持续改进
等级确定的原则 自主定级原则 信息系统的运营、使用单位应当根据相关管理办法和技术标准,结合其系统的情况,自行确定安全保护等级。 满足国家管理要求原则 信息系统安全保护等级既不是信息系统安全保障等级,也不是信息系统所能达到的技术能力等级,而是从安全监管需要,从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。
等级确定的原则 业务为核心原则 信息系统是为业务应用服务的,信息系统的安全保护等级应当依据信息系统承载业务的重要性、业务对信息系统的依赖度和系统特殊的安全需求确定。 合理性原则 不同于信息安全产品,信息系统千差万别,各具特色,只有在划分安全保护等级的过程中,尽可能反映出信息系统的主要安全特征,合理划分等级,才能做到突出重点,适度保护。
等级确定的实施流程 输入 输出 过程 系统调查、标识和描述 子系统划分 子系统定级 子系统边界设定 信息系统描述文件 子系统列表 系统安全保护等级定级结果 边界设定结果 信息系统基本信息、管理框架、业务特性 信息系统/子系统业务特性 安全保护等级定级结果、子系统业务流程,网络拓扑 定级结果文档化 信息系统等级化分析报告 子系统列表、定级及边界设定结果
等级保护实施过程与风险管理的关系 信息安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。那么信息系统安全保护等级的确定首先应满足国家管理的要求,然后,根据系统安全级别结合基本保护要求进行系统安全建设。 对信息系统实施等级保护的过程中,等级保护的相关标准对不同级别的信息系统提出了基本保护要求,基本保护要求是系统安全建设的基础,但是不同的信息系统由于其本身的特性,除基本保护要求外,可以通过风险管理中的风险分析方法使得系统的等级保护更加个性化。
等级保护实施过程与风险管理的关系 信息安全风险评估是等级保护工作的一种辅助科学手段,它可以帮助导出一个确定信息系统的个性安全需求。 信息安全风险评估是信息系统运行使用单位开展信息安全保护工作,提高信息安全管理水平的一种自我评估、自主保护的方法。 信息安全风险评估与信息安全等级保护职能监管部门依据国家管理要求和相关技术标准对等级化信息系统进行的符合性检测有所区别。
等级保护的备案管理 信息系统运营、使用单位应当在其系统安全保护等级确定后,向当地同级公安机关提请备案 备案时应当到备案机关填写备案登记表并按要求提交相关资料。 备案登记表/系统体系/功能结构图/系统安全保护方案或措施/系统安全管理制度等
等级保护的备案管理 信息系统备案信息是国家有关信息安全职能部门了解和掌握重要信息系统的安全保护基本状况、分析总体安全形势的基础资料来源,也是下一步接受备案机关开展各项监督检查工作所必需的基本依据。 ——新建系统: ——已有系统:
自主检查 信息系统运营、使用单位应当依照其系统相应等级的标准要求,自行对信息系统安全保护状况定期开展检查。发现问题的,应当及时整改。 确定系统安全保护等级的因素发生变化的,其运营、使用单位应当根据本办法和有关技术标准的要求,重新确定其安全保护等级,并按照相应等级的安全要求对其安全保护措施进行整改。
监督检查 公安机关依据《信息安全等级保护管理办法》和有关技术标准,对三、四级信息系统落实相应等级的管理规范和技术标准要求的情况进行监督检查。 对安全保护等级为三级信息系统每年至少检查一次,对安全保护等级为四级信息系统每半年至少检查一次。 公安机关在监督检查过程中,发现信息系统存在安全隐患或未达到《信息安全等级保护管理办法》规定和相关技术标准要求的,应当书面通知其整改,有上级主管部门的,同时通知其上级主管部门。
等级保护工作下一步计划和安排 抓好准备阶段各项工作的落实情况 重点实行阶段各项主要工作 全面实行阶段主要工作
联系方法 电话:010-68193053 手机:13331122015 网站:www.cspec.gov.cn 联系人:毕马宁
谢 谢! Q & A