等保培训.01.国家信息安全等级保护制度的主要内容和要求

文章目录

• 一、信息安全等级保护制度的主要内容
• • （一）国家为什么要实施信息安全等级保护制度
  • （二）国家对等级保护制度的要求
  • （三）等级保护制度的地位和作用
  • （四）实施等级保护制度的主要目的
  • （五）公安机关组织开展等级保护工作的依据
  • • 全国公安机关 络安全保卫部门机构和部分职责
  • （六）等级保护工作的主要内容
  • （七）相关部门的责任和义务
  • • 国家信息安全职能部门门职责分工
  • （八）开展等级保护工作的基本要求
• 二、信息安全等级保护政策体系和标准体系
• • （一）信息安全等级保护政策体系
  • • 总体政策
    • 具体政策
  • （二）信息安全等级保护标准体系
• 三、信息安全等级保护工作的具体内容和要求（重点）
• • （一）信息安全等级保护定级工作
  • • 1.确定定级对象
    • 2.确定信息系统安全保护等级
    • 实际操作中参考确定信息系统等级：
    • 3.定级工作需注意的问题
  • （二）信息系统备案工作
  • • 1.备案
  • （三）信息系统安全建设整改工作
  • • 1、工作目标
    • 2、工作范围和工作特点
    • 3、工作方法
    • 4、工作内容
    • 5、工作流程
    • 6、信息系统应达到的保护能力目标
  • （四）信息安全等级保护测评工作
  • • 1、测评机构和测评人员的管理
    • 2、等级测评工作的开展
    • 3、测评业务范围
  • （五）安全自查和监督检查
  • （六）信息安全产品的选择使用

国家信息安全等级保护制度的主要内容和要求
由公安部 络安全保卫局，郭启全主讲
不过视频貌似比较老。。。

一、信息安全等级保护制度的主要内容

（一）国家为什么要实施信息安全等级保护制度

1.信息安全形势严峻
◆敌对势力的入侵、攻击、破坏
◆针对基础信息 络和重要信息系统的违法犯罪持续上升
◆基础信息 络和重要信息系统安全隐患严重
2.是维护国家安全的需要
◆基础信息 络与 重要信息系统已成为国家关键基础设施。
◆信息安全是国家安全的重要组成部分。
◆信息安全是非传统安全，信息安全本质是信息对抗、技术对抗。

（二）国家对等级保护制度的要求

1.《中华人民共和国计算机信息系统安全保护条例》（国务院147 令）：“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”
2.《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 ）规定：要重点保护基础信息 络和关系国家安全、经济命脉、 会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。

（三）等级保护制度的地位和作用

◆是国家信息安全保障工作的基本制度、基本国策。
◆是开展信息安全工作的基本方法。
◆是促进信息化、维护国家信息安全的根本保障。

（四）实施等级保护制度的主要目的

◆明确重点、突出重点、保护重点。
◆有利于同步建设、协调发展。
◆优化信息安全资源的配置。
◆明确信息安全责任。
◆推动信息安全产业发展。
国家发展改革部门、财政部门科技部门、公安机关对重要信息系统在政策上给子支持。

（五）公安机关组织开展等级保护工作的依据

1、《警察法》规定：警察履行“监督管理计算机信息系统的安全保护工作”的职责。
2、国务院令第147 规定：“公安部主管全国计算机信息系统安全保护工作”，“等级保护的具体办法，由公安部会同有关部门制定”。
3.2008年国务院三定方案，公安部新增职能：“监督、检查、指导信息安全等级保护工作”。

全国公安机关 络安全保卫部门机构和部分职责

机构：
公安部： 络安全保卫局
各省： 络警察总队
地市： 络警察支队
区县： 络警察大队
部分职责：
制定信息安全政策
打击 络违法犯罪
互联 安全管理
重要信息系统安全监察
络与信息安全信息通

（六）等级保护工作的主要内容

◆对信息系统分等级进行安全保护和监管
五个规定动作（不是自选动作）：信息系统定级、备案、安全建设整改、等级测评、监督检查。
◆信息安全产品分等级使用管理。
◆信息安全事件分等级响应、处置。

（七）相关部门的责任和义务

◆职能部门：制定管理规范和技术标准组织实施，开展监督、检查、指导。
◆行业主管部门：督促、检查、指导本行业本部门]开展等级保护工作。
◆运营使用单位：开展信息系统定级、备案、建设整改、等级测评、白查等工作，落实等级保护制度的各项要求。
◆安全服务机构：开展技术支持、服务等工作，并接受监管部门的监督管理。

国家信息安全职能部门门职责分工

◆公安机关；牵头部门，监督、检查、指导信息安全等级保护工作。
◆国家保密部门：负责等级保护工作中有关保密工作的监督、检查、指导。并负责涉及国家秘密信息系统分级保护。
◆国家密码管理部门：负责等级保护工作中有关密码工作的监督、检查、指导。
◆工业和信息化部门：负责等级保护工作中部门间的协调。

（八）开展等级保护工作的基本要求

◆各单位、各部门，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求开展等级保护的定级、备案、整改测评等工作。
◆公安机关要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。
◆对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。

二、信息安全等级保护政策体系和标准体系

（一）信息安全等级保护政策体系

近几年，公安部根据国务院147 令的授权，会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了一些文件，公安部对有些具体工作出台了一些指导意见和规范，构成了信息安全等级保护政策体系。
汇集成《信息安全等级保护政策汇编》供有关单位、部门使用。
等保的相关政策有：
基础类
《计算机信息系统安全保护等级划分准则》GB 17859-1999
《信息系统安全等级保护实施指南》GB/T 25058-2010

应用类
等级保护定级：
《信息系统安全保护等级定级指南》GB/T 22240-2008
等级保护建设：
《信息系统安全等级保护基本要求》GB/T 22239-2008
《信息系统通用安全技术要求》GB/T 20271-2006
《信息系统等级保护安全设计技术要求》GB/T 25070-2010
等级保护测评：
《信息系统安全等级保护测评要求》 GB/T 28448-2012
《信息系统安全等级保护测评过程指南》 GB/T 28449-2012
等级保护管理：
《信息系统安全管理要求》GB/T 20269-2006
《信息系统安全工程管理要求》GB/T 20282-2006

在应用有关标准中需注意的几个问题：
1、《基本要求》是阶段性目标，《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一。
2、《基本要求》中不包含安全设计和工程实施等内容，因此可以参照《信息系统等级保护安全设计技术要求》等标准进行。
3、在进行安全建设整改时，应根据业务信息安全等级和系统服务安全等级确定《基本要求》中相应的安全保护要求。
4、重点行业可以按照《基本要求》等国家标准，结合行业特点和特殊安全需求，在公安部等有关部门]指导下，制定行业标准规范或细则。
5、《信息系统等级保护安全设计技术要求》提出“一个中心三维防护”（安全管理中心和计算环境安全、区域边界安全、通信 络安全）的安全保护设计技术要求。本标准应与其他标准配合使用。

三、信息安全等级保护工作的具体内容和要求（重点）

（一）信息安全等级保护定级工作

1.确定定级对象

◆起支撑、传输作用的信息 络（包括专 、内 、外 、 管系统）
◆用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统
◆各单位 站。

2.确定信息系统安全保护等级

《管理办法》规定的五个等级：
◆第一级，信息系统受到破坏后，会对公民法人和其他组织的合法权益造成损害，但不损害国家安全、 会秩序和公共利益。
◆第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对 会秩序和公共利益造成损害但不损害国家安全。
◆第三级，信息系统受到破坏后，会对 会秩序和公共利益造成严重损害，或者对国家安全造成损害。
◆第四级，信息系统受到破坏后，，会对 会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
◆第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

实际操作中参考确定信息系统等级：

◆第一级信息系统：适用于小型私营个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
◆第二级信息系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
◆第三级信息系统：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密商业秘密、敏感信息的办公系统和管理系统；跨省或全国联 运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户 站和重要 站；跨省联接的 络系统等。
◆第四级信息系统：一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全，影响 会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信核心 络、铁路客票系统、列车指挥调度系统等。

3.定级工作需注意的问题

◆同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。
◆新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计同步实施安全保护技术措施和管理措施。

（二）信息系统备案工作

1.备案

◆第二级以上信息系统，由信息系统运营使用单位到所在地设区的市级以上公安机关 络安全保卫部门办理备案手续，填写《信息系统安全等级保护备案表》。
注意：涉密系统要到国家保密机关备案。
◆隶属于中央的在京单位，其跨省或者全国统一联 运行并由主管部门统一定级的信息系统，由主管部门向公安部备案；其他信息系统向北京市公安局备案。
◆跨省或者全国统一联 运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。
◆各部委统一定级信息系统在各地的分支系统，即使是上级主管部门定级的，也要到当地公安 络安全保卫部门备案。
例如：湖北省某银行分行系统要到当地公安 络安全保卫部门备案

（三）信息系统安全建设整改工作

充分认识工作的复杂性和艰目性：
◆政策性和技术性很强。（等保相对其他 络安全工作涉及政策最多）
◆涉及范围广。
◆信息系统安全加固改造，需要国家在经费上予以支持。
◆跨省全国联 的大系统结构复杂、运行实时保障性高、数据重要，加固改造周期长。

1、工作目标

◆利用三年时间。力争2012前完成。
◆开展三项重点工作：安全管理制度建设、技术措施建设和等级测评
◆实现五方面目标：一是信息系统安全管理水平明显提高，二是信息系统安全防范能力明显增强，三是信息系统安全隐患和安全事故明显减少，四是有效保障信息化健康发展，五是有效维护国家安全、 会秩序和公共利益。

2、工作范围和工作特点

◆工作范围：
已备案的第二级（含）以上信息系统纳入安全建设整改的范围。
尚未开展定级备案的信息系统，要先定级备案，定级不准的要先纠正，再开展安全建设整改。
新建系统要同步开展安全建设工作
◆工作特点：继承发展、引入标准、外部监督、政策牵引。

3、工作方法

◆突出重要系统，兼顾二级试点示范，行业推广。
◆管理制度建设和技术措施建设同步或分步实施。
◆加固改造，缺什么补什么；也可以进行总体安全建设整改规划。
◆利用信息安全等级保护综合工作平台，使等级保护工作常态化。

4、工作内容

（1）等级保护安全管理制度建设
◆一是落实信息安全责任制。
成立信息安全工作领导机构，明确信息安全工作的主管领导成立专门的信息安全管理部门或落实信息安全责任部门，确定安全岗位，落实专职人员或兼职人员。明确落实领导机构、责任部门和有关人员的信息安全责任。
◆二是落实人员安全管理制度。
制定人员录用、离岗、考核、教育培训等管理制度，落实管理的具体措施。对安全岗位人员要进行安全审查，定期进行培训、考核和安全保密教育，提高安全岗位人员的专业水平，逐步实现安全岗位人员持证上岗。
◆三是落实系统建设管理制度。
建立信息系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付等级测评、安全服务等管理制度，明确工作内容、工作方法、工作流程和工作要求。
◆四是落实系统运维管理制度。
建立机房环境安全、存储介质安全、设备设施安全、安全监控、 络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置等管理制度，制定应急预案并定期开展演练，采取相应的管理技术措施和手段，确保系统运维管理制度的有效落实。
（2）等级保护安全技术措施建设
结合行业特点和安全需求，制定符合相应等级要求的信息系统安全技术建设整改方案，开展安全技术措施建设。
可以采取“一个中心三维防护”的防护策略，实现相应级别信息系统的安全保护技术要求。

6、信息系统应达到的保护能力目标

第二级信息系统：经过安全建设整改工作，信息系统具有抵御小规模、较弱强度恶意攻击的能力，抵抗一般的自然灾害的能力，防范一般性计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对安全事件进行记录的能力；系统遭到损害后具有恢复系统正常运行状态的能力。
第三级信息系统：经过安全建设整改工作，信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现 警、记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能立即恢复正常运行状态，具有对系统资源、用户、安全机制等进行集中控管的能力。
第四级信息系统：经过安全建设整改工作，信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能，力，抵抗严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力具有检测、发现、 警、记录入侵行为的能力，具有对安全事件进行快速响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力对于服务保障性要求高的系统，应能迅速恢复正常运行状态：具有对系统资源、用户、安全机制等进行集中控管的能力。

（四）信息安全等级保护测评工作

等级测评是测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。是信息安全等级保护工作的重要环节。
公安机关按照《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安2010]303 ）要求，开展测评机构和测评人员的管理工作，保证等级测评的客观、公正和安全

1、测评机构和测评人员的管理

2、等级测评工作的开展

◆测评目的：
一是掌握信息系统安全状况、排查系统安全隐患和薄弱环节明确信息系统安全建设整改需求；
二是能够衡量出信息系统安全保护措施是否符合等级保护基本要求，是否具备了相应等级的安全保护能力。
◆收费标准：
按规模、功能点收费，或者按测评师等级收费：

注意：发改委批准的项目已含等保测评费用
◆测评工作要求：
测评工作应按照“流程规范、方法科学、结论公正”的要求进行。
被测单位要监督管理测评机构和测评人员的测评活动；与测评机构签订工作协议和保密协议；查验相关材料；落实测评过程监管措施。
测评 告备案：备案单位每年应将等级测评 告向受理备案的公安机关备案。

3、测评业务范围

◆职能部门测评机构在全国范围内开展测评业务，到地方时，应当事先告知属地省级等保办。
◆行业测评机构原则上在本行业内开展测评，到地方时应与属地省级等保办协调可以承担其他行业信息系统的测评任务。
◆地方测评机构原则，原则上在本地开展测评，也可以到异地开展测评，但事先须与当地等保办协调。可以承担各部委信息系统的测评任务。
◆特殊情况由公安机关进行协调。

（五）安全自查和监督检查

备案单位、行业主管部门、公安机关要分别建立并落实监督检查机制，定期开展监督检查。
1、备案单位的定期自查
◆定期开展自查，掌握信息系统安全状况、安全管理制度及技术保护措施的落实情况等。
◆配合公安机关的监督检查工作，如实提供有关资料及文件。当重要信息系统发生事件、案件时，备案单位应当及时向受理备案的公安机关 告。
2、行业主管部门]的督导检查
◆行业主管部门要建立督导检查制度，组织制定本行业、本部门]的信息安全等级保护检查工作规范。
◆定期组织对本行业、本部门门等级保护工作开展情况进行检查，督促落实信息安全等级保护制度，达到重点督促，以点带面的目的。
3、公安机关的监督检查
◆“谁受理备案、谁负责检查”。依据《公安机关信息安全等级保护检查工作规范（试行）》开展监督检查。
◆会同主管部门]共同开展，建立监督检查配合机制。
◆对重要信息系统发生的事件、案件及时进行调查和立案侦查，并指导开展应急处置工作。

（六）信息安全产品的选择使用