信息安全等级保护政策、标准和五个规定动作

Presentation on theme: "信息安全等级保护政策、标准和五个规定动作"— Presentation transcript:

1 信息安全等级保护政策、标准和五个规定动作

2 钟英南 为你IT从业路上增值

3 信息安全等级保护概念与安全等级 信息安全等级保护政策 信息安全等级保护标准 信息安全等级保护五个规定动作 系统定级 系统备案 建设整改 等级测评 监督检查

4 信息安全等级保护概念与安全等级

5 信息安全等级保护概念 对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统实行分等级实行安全保护； 对信息系统中使用的信息安全产品实行按等级管理； 对信息系统中发生的信息安全事件实行分等级响应、处置。

6 信息安全等级保护五个安全等级

7 信息安全等级保护政策体系 颁布时间 文件名称 文号 颁布机构 内容及意义 1994年 2月18日
《中华人民共和国计算机信息系统安全保护条例》 国务院147号令 国务院 第一次提出信息系统要实行等级保护，并确定了等级保护的职责单位。 2003年 9月7日 《国家信息化领导小组关于加强信息安全保障工作的意见》 中办国办发[2003]27号 中共中央办公厅 国务院办公厅 等级保护工作的开展必须分步骤、分阶段、有计划的实施。明确了信息安全等级保护制度的基本内容。 2004年 9月15日 《关于信息安全等级保护工作的实施意见》 公通字[2004]66号 公安部 国家保密局 国家密码管理委员会办公室 （国家密码管理局） 国务院信息化工作办公室 将等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障的一项基本制度。 2007年 6月22日 《信息安全等级保护管理办法》 公通字[2007]43号 明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务。 7月16日 《关于开展全国重要信息系统安全等级保护定级工作的通知》 公信安[2007]861号 就定级范围、定级工作主要内容、定级工作要求等事项进行了通知。 10月26日 《信息安全等级保护备案实施细则》 （公信安[2007]1360号） 公安部网络安全保卫局 规定了公安机关受理信息系统运营使用单位信息系统备案工作的内容、流程、审核等内容 2008年 6月10日 《公安机关信息安全等级保护检查工作规范（试行）》 （公信安[2008]736号） 规定了公安机关开展信息安全等级保护检查工作的内容、程序、方式以及相关法律文书等，使检查工作规范化、制度化。 8月6日 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》 （发改高技[2008]2071号） 发改委 明确了项目验收条件：公安机关颁发的信息系统安全等级保护备案证明、等级测评报告和风险评估报告。 2009年 10月27日 《关于开展信息系统等级保护安全建设整改工作的指导意见》 （公信安[2009]1429号） 明确了安全建设整改工作的目标、内容、流程和要求 11月6日 《信息系统安全等级测评报告模版（试行）》的通知 （公信安[2009]1487号） 文件明确了等级测评的内容、方法和测评报告格式等内容，用以规范等级测评活动 2010年 3月12日 《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》 （公信安[2010]303号） 要求在全国部署开展信息安全等级保护测评体系建设和开展等级测评相关工作。 9月1日 《关于开展信息安全等级保护专项监督检查工作的通知》 （公信安[2010]1175号） 明确了公安机关网络安全保卫部门开展信息安全等级保护专项监督检查工作的目的、内容、检查方法和进度安排。

8 信息安全等级保护标准

9 信息安全等级保护标准 序号 类别 标准编号 标准分类 标准名称 1 基础类 GB 17859-1999 信息安全技术
计算机信息系统安全保护等级划分准则 GB/T 信息安全技术信息系统安全等级保护基本要求 2 应用类 GB/T 信息系统安全等级保护定级指南 GB/T 信息系统安全等级保护实施指南 GB/T 信息系统安全等级保护测评要求 GB/T 信息系统安全等级保护测评过程指南 GB/T 信息系统等级保护安全设计技术要求 GA/T 信息系统安全等级保护体系框架 GA/T 信息系统安全等级保护基本模型 3 其他类 GB/Z 信息安全事件管理指南 GB/Z 信息安全事件分类分级指南 4 GBT 信息安全风险评估规范 GB/Z 信息安全风险管理指南 5 GB/T 信息安全管理体系要求

10 信息安全等级保护五个规定动作 掌握都有哪五个规定动作

11 五个规定动作 系统定级：明确责任主体、自主定级、专家审核、上级主管单位审批； 系统备案：定级系统须在上级主管单位及属地公安机关备案；
备系统案 建设整改 等级测评 监督检查 系统定级：明确责任主体、自主定级、专家审核、上级主管单位审批； 系统备案：定级系统须在上级主管单位及属地公安机关备案； 建设整改：根据《信息系统安全等级保护基本要求》进行安全加固与改进； 等级测评：邀请具有等级测评资质的测评机构进行安全等级测评； 监督检查：通过安全检查的方式持续改进系统安全。

12