1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,国家信息安全等级保护制度的主要内容和要求,河南省公安厅网安总队,王志奇,二一六年六月,1,摘 要,一、信息安全等级保护制度的主要内容,二、信息安全等级保护政策体系和标准,体系,三、信息安全等级保护工作的具体内容,和要求,四、公安机关对政府网站进行安全监管,的主要内容,2,一、等级保护制度的主要内容,(一)国家为什么要实施信息安全等级保护制度,习近平总书记任中央网络安全和信息化领导小组组长,两次召开会议,两次发表重要讲话。,“,没有网络安全就没有国家安全,”,;,目前,网上斗争总体形势是敌强我弱,表现为,“,
2、四个没有根本转变,”,:美国垄断网络霸权的格局、网络空间敌强我弱的总体态势、敌对势力妄图利用网络扳倒中国的政治图谋、我技术上受制于人的被动局面没有根本改变。,3,一、等级保护制度的主要内容,1.,严峻的信息安全形势需要,敌对势力的入侵、攻击、破坏,针对基础信息网络和重要信息系统的违法犯罪持续上升,基础信息网络和重要信息系统安全隐患严重,2.,是维护国家安全的需要,基础信息网络与重要信息系统已成为国家关键基础设施,必须要保护好。,信息安全是国家安全的重要组成部分。信息安全的本质是信息对抗、技术对抗,是网络空间的政治斗争。,4,一、等级保护制度的主要内容,美国,网络空间战略,:过去把反恐作为国家第
3、一安全威胁,现在网络是国家第一安全威胁。,据,中国反钓鱼网站联盟,发布的数据显示,全球范围内,中国被恶意软件感染电脑的平均率为,54.1%,成为唯一一个感染率超过,50%,的国家。,自,2012,年起,,“,反共黑客联盟,”,每,3,天攻击我一个政府网站。,5,网安总队依托技术支撑力量对全省范围内涉及电子政务的,11863,个域名和相关,IP,进行提取分析,有效域名,7856,个,其中,可正常访问域名,6073,个。其全省分布情况如图:,6,当前已完成监测的网站安全状况比率如下图:,7,2015,年,公安部共通报处置党政机关、企事业单位网站安全隐患(事件),5366,起,其中,4723,条线索
4、属中高危以上的漏洞和隐患,包括省级网站,2356,个,约占总数的,50%,。,在去年,5,月至,9,月公安机关组织的网络安全执法检查中,公安部组织全国,150,余家技术支持单位对全国,16.2,万个政府网站(含二级域名)进行技术检测,有,12.9%,的网站存在直接被入侵的漏洞、或已被恶意入侵,,21.2%,的网站存在高危安全漏洞,,42%,的政府网站存在信息泄露、可被间接利用的漏洞等安全隐患。,8,一、等级保护制度的主要内容,(二)组织开展等级保护工作的依据:,1,、,中华人民共和国人民警察法,;,2,、国务院,147,号令颁布的,中华人民共和国计算机信息系统安全保护条例,;,3,、中办发,2
5、00327,号,国家信息化领导小组关于加强信息安全保障工作的意见,;,4,、公通字,200466,号,关于信息安全等级保护工作的实施意见,;,5,、,2008,年国务院,“,三定,”,方案,,增加了公安部职能:监督、检查、指导信息安全等级保护工作,;,6,、中办发,2010 24,号,关于加强和改进互联网管理工作的意见,9,一、等级保护制度的主要内容,确立了信息安全等级保护制度的法律地位;,明确了实行等级保护是我国信息安全保障工作中一项重要制度和措施;,赋予了公安机关牵头负责信息安全等级保护工作监督管理的职责。,10,一、等级保护制度的主要内容,(三)等级保护的概念和核心内容,信息安全等级保护
6、就是对信息系统实行分等级保护、分等级监管,是将全国的信息系统(包括网络)按照重要性和遭受损坏后的危害程度分成五个安全保护等级,从第一级到第五级,逐级增高;公安机关对第二级信息系统进行指导,对第三、四级信息系统定期开展监督、检查。,11,一、等级保护制度的主要内容,核心内容:,国家制定统一的政策,各单位、各部门依法开展等级保护工作,有关职能部门对信息安全等级保护工作实施监督管理。实行信息安全等级保护,是在信息安全保障工作中,国家意志的体现,具有明显的强制性,。同时,坚持,“,自主定级,”,、,“,自行建设,”,、,“,自主保护,”,,体现了,“,谁主管、谁负责,谁使用、谁负责,谁运营、谁负责
7、的信息安全责任制。,12,一、等级保护制度的主要内容,(四)等级保护制度的特点,紧迫性:信息安全滞后于信息化发展。,全面性:内容涉及广泛,各单位各部门落实。,基础性:基本制度、基本国策。,强制性:公安机关监督、检查、指导。,规范性:政策和标准保障。,13,一、等级保护制度的主要内容,(五)组织开展等级保护工作的目的,实现五方面目标,:,一是信息系统安全管理水平明显提高;,二是信息系统安全防范能力明显增强;,三是信息系统安全隐患和安全事故明显减少;,四是有效保障信息化健康发展;,五是有效维护国家安全、社会秩序和公共利益。,14,一、等级保护制度的主要内容,(六)等级保护工作中的职责分工,1
8、等级保护工作协调(领导)小组,负责信息安全等级保护工作组织领导,制定本地区、本行业开展信息安全等级保护的工作部署和实施方案,并督促有关单位落实,研究、协调、解决等级保护工作中的重要工作事项,及时通报或报告等级保护实施工作的相关情况。,2,、信息安全职能部门,公安,机关负责信息安全等级保护工作的监督、检查、指导,是等级保护工作的牵头部门。国家,保密,工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家,密码,管理部门负责等级保护工作中有关密码工作的监督、检查、指导。,网信,部门负责等级保护工作的部门间协调。,15,一、等级保护制度的主要内容,3,、信息系统运营使用单位及其主管部门,
9、信息系统运营使用单位按照等级保护的管理规范和技术标准,开展信息系统定级、备案、安全建设整改、等级测评、自查等工作,并接受公安机关等部门的监督、指导。有主管部门的,主管部门要督促、检查、指导本行业、本部门信息系统运营使用单位开展信息安全等级保护工作。,4,、安全服务机构,信息安全企业,信息系统安全集成商、等级测评机构等安全服务机构,依据国家有关管理规定和技术标准,开展技术支持、安全服务等工作,并接受监管部门的监督管理。,5,、专家组,宣传等级保护相关政策、标准;指导备案单位研究拟定贯彻实施意见和建设规划、技术标准的行业应用;参与定级和安全建设整改方案论证、评审;协助发现树立典型、总结经验并推广;
10、跟踪国内外信息安全技术最新发展,开展等级保护关键技术研究;研究提出完善等级保护政策体系和技术体系的意见和建议。,16,一、等级保护制度的主要内容,(七)开展等级保护工作的基本要求,各单位、各部门,按照,“,准确定级、严格审批、及时备案、认真整改、科学测评,”,的要求开展等级保护的定级、备案、整改、测评等工作。,公安机关要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。,对故意将信息系统安全级别定低,逃避公安、保密、密码部门监管,造成信息系统出现重大安全事故的,要追究单位和人员的责任。,17,二、等级保护政策体系和标准体系,(一)信息安全等级保护政策体系,
11、根据,法律授权和,国务院,147,号令,公安部,牵头成立了国家信息安全等级保护工作协调小组,并,会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了,关于加强信息安全保障工作的意见,等一些政策性文件;对等保的一些具体工作,公安部又制发了,信息安全等级保护管理办法,等,一系列指导意见和规范,构成了信息安全等级保护的,政策体系,,为指导各单位、各部门开展信息安全等级保护工作提供了政策保障,。,18,二、等级保护政策体系和标准体系,1,、,关于信息安全等级保护工作的实施意见,(公通字,200466,号),2,、,信息安全等级保护管理办法,公通字,200743,号),3,、,关于开展全国重要信
12、息系统安全等级保护定级工作的通知,(公信安,2007861,号),4,、,信息安全等级保护备案实施细则,(公信安,20071360,号),5,、,关于开展信息系统等级保护安全建设整改工作的指导意见,公信安,20091429,号),6,、,信息安全等级保护测评机构管理办法,(公信安,2013755,号),7,、,公安机关信息安全等级保护检查工作规范,(公信安,2008736,号),、,关于开展国家级重要信息系统和重点网站安全执法检查工作的通知,(公传发,2015253,号),8,、,关于加快推进国家电子政务外网安全等级保护工作的通知,(政务外网,201115,号),19,二、等级保护政策体系和标
13、准体系,9,、,国务院关于大力推进信息化发展和切实保障信息安全的若干意见,(国发,201223,号),10,、,关于进一步加强国家电子政务网络建设和应用工作的通知,(发改高技,20121986,号),11,、,国务院关于推进物联网有序健康发展的指导意见,(国发,20137,号),12,、,关于加强政府网站安全监管工作的指导意见,(公信安,2014353,号),、,公安机关政府网站安全监管工作规范,(公信安,2014795,号),13,、,关于加快推进网络与信息安全信息通报机制建设的通知,(公信安,201521,号),14,、中办、国办,关于加强社会治安防控体系建设的意见,(中办发,201469
14、号),15,、中央综治办,(中综办,201416,号),;,关于组织开展,2015,年网络安全保障工作全国综治考核评价的通知,(,公信安,2015884,号),20,21,全国综治考评,中办、国办,关于加强社会治安防控体系建设的意见,(中办发,2014 69,号)明确提出要,“,健全信息安全等级保护制度,完善网络安全风险监测预警、通报处置机制。,”,中央综治办(中综办,201416,号)首次将信息安全保障工作纳入全国综治工作考核,具体考核任务由公安部网安局组织部署。,22,全国综治考评,公安部网安局,关于组织开展信息安全保障工作全国综治考核评价的通知,(公信安,【2014】4700,号),首
15、次将信息安全保障工作纳入全国综治考评体系,考评主体,公安部网安局,考评对象,各省、区、市人民政府,3,中央综治办,关于印发,的通知,(中综办,【2014】16,号),公安部网安局负责两项考评内容,:,1,、“平安建设公共安全管理工作”部分,负责“信息安全保障工作”考核评价,为减分项,最高可减,2,分;,2,、“平安建设宣传工作”部分,配合中央综治办开展“信息网络服务管理工作”考核评价,为得分项,满分为,0.3,分。,23,关于组织开展,2015,年网络安全保障工作全国综治考核评价的通知,(,公信安,【,2015】884,号,),公安部网安局,网络安全保障工作,信息网络服务管理工作,一、网络社会
16、治安防控体系建设,二、网络与信息安全通报预警工作,三、信息安全等级保护工作,四、重要信息系统和网站发生的案(事)件情况,五、综合防控和打击网络违法犯罪情况,六、信息网络服务管理工作,网络安全保障工作共分为五大部分,,17,个考评分项,所有考核项目均为减分项,合计最多可减,2,分,信息网络服务管理工作共有一个部分,,3,个考评分项,所有考核项目均为加分项,合计最多可加,0.3,分,7,2015,年综治考评重点分类,24,二、等级保护政策体系和标准体系,(二)信息安全等级保护标准体系,公安部在有关部门、专家、企业的协助下,先后组织制定了信息系统定级、测评、建设等,10,多个国家标准,从基础类、应用
17、类、产品类和其他类四个方面形成了信息安全等级保护的,标准体系,,为开展信息安全等级保护工作提供了标准保障。在公安部指导下,电力、电信、银行、证券、海关等,40,余个重点行业出台了,110,余份行业等级保护政策文件,,50,余份行业信息系统安全保护技术标准,确保了等级保护制度在重点行业的贯彻落实。,25,二、等级保护政策体系和标准体系,基础标准:,计算机信息系统安全保护等级划分准则,(,GB17859,1999,),。在此基础上制定出技术类、管理类、产品类标准。,安全要求:,信息系统安全等级保护基本要求,(,GB/T22239-2008,),信息系统安全等级保护的行业规范,26,二、等级保护政策
18、体系和标准体系,系统等级:,信息系统安全等级保护定级指南,(,GB/T22240-2008,),信息系统安全等级保护行业定级细则,方法指导:,信息系统安全等级保护实施指南,(,GB/T25058-2010,),信息系统等级保护安全设计技术要求,(,GB/T25070-2010,),现状分析:,信息系统安全等级保护测评要求,(,GB/T28448-2012,),信息系统安全等级保护测评过程指南,(,GB/T28449-2012,),27,28,三、等级保护工作的具体内容和要求,对信息系统分等级进行安全保护和监管有,五个规定动作,,即,定级、备案、建设整改、等级测评,和,监督检查,五个环节。,(一
19、信息安全等级保护定级工作,信息系统定级原则,:,“,自主定级、专家评审、主管部门审批、公安机关审核,”,。,具体可按照,关于开展全国重要信息系统安全等级保护定级工作的通知,(公通字,2007861,号)要求执行。,定级工作流程:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。,29,三、等保工作具体内容和要求(定级),1.,确定定级对象,起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)。,用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。,各单位网站。,2.,确定信息系统安全保护等级,信息系统的安全保护等级由两个,定级要素,决定:
20、等级保护对象受到破坏时,所侵害的客体,和,对客体造成侵害的程度,。,侵害的,客体,包括公民、法人和其他组织的合法权益;社会秩序、公共利益和国家安全三个方面。,对客体造成,侵害的程度,分为:造成一般损害;造成严重损害;造成特别严重损害三种情况。,30,三、等保工作具体内容和要求(定级),管理办法,规定:,信息系统从低到高分为,五个等级。,第一级,,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。,第二级,,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。,第三级,,信息系
21、统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。,第四级,,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。,第五级,,信息系统受到破坏后,会对国家安全造成特别严重损害。,31,定级要素与安全保护等级的关系,三、等保工作具体内容和要求(定级),受侵害的对象,侵害程度,一般损害,严重损害,特别严重损害,公民、法人和其他组织的合法权益,第一级,第二级,第二级,社会秩序、公共利益,第二级,第三级,第四级,国家安全,第三级,第四级,第五级,32,五级保护,三、等保工作具体内容和要求(定级),信息系统级别,信息系统重要性,监督管理强度等级
22、第一级,一般信息系统,自主保护级,第二级,一般信息系统,指导保护级,第三级,重要信息系统,监督保护级,第四级,重要信息系统,强制保护级,第五级,重要信息系统,专控保护级,按照公安部的要求,除特殊行业和情况外,系统定级的简单做法是:,县级,信息系统安全保护等级最高确定为第二级;,省辖市,信息系统安全保护等级最高确定为第三级;安全保护等级确定为第四级的信息系统要报公安部十一局审核。,33,三、等保工作具体内容和要求(定级),三类基本要求,S,类,业务信息安全保护类:关注的是保护数据在存储、传输、处理过程中,不被泄漏、破坏和免受未授权的修改,。,A,类,系统服务安全保护类:关注的是保护系统连续正常
23、的运行,,避免因对系统的未授权修改、破坏而导致系统不可用,。,-G,类,通用安全保护类:既关注保护业务信息的安全性,同时也关注保护系统的连续可用性。,34,信息系统定级结果组合,安全保护等级,信息系统定级结果的组合,第一级,S1A1G1,第二级,S1A2G2,S2A2G2,,,S2A1G2,第三级,S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3,第四级,S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4,第五级,S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A5G5,S5A4G5,S5A3G5,S5A2G5,S5
24、A1G5,35,三、等保工作具体内容和要求(定级),实际操作中参考确定信息系统等级:,第一级信息系统,:,适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。,第二级信息系统,:,适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。,第三级信息系统,:,一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的
25、分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省联接的网络系统等。,第四级信息系统,:,一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全,影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信骨干传输网、铁路客票系统、列车指挥调度系统等。,36,三、等保工作具体内容和要求(备案),(二),信息系统备案工作,信息系统备案登记实行,同级备案,和,属地备案,相结合的原则。,备案工作包括:信息系统备案、受理、审核和备案信息管理。具体按照,公安部(公信安,20071360,号),信息安全等级保护备案实施细则,的,要求开展。,1,、备案,信息系统安全保护等级确定为第二
26、级以上的,系统运营、使用单位,登录,“,中国信息安全等级保护网,”,(,www.djbh.ent,)下载并填写,信息系统安全等级保护备案表,到,所在地县级以上公安机关网安部门办理备案手续。,第二级信息系统备案时需填写并提交,备案表,中的,表一,(备案单位基本情况)、,表二,(备案信息系统承载业务、系统服务、网络平台、关键产品使用、采用服务等情况)和,表三,(备案信息系统定级情况);第三级以上信息系统,运营、使用单位还应当在系统整改、测评完成后提交,备案表,中,表四,所列系统拓扑结构及说明、系统设施设计实施方案、使用的安全产品清单、等级测评报告、专家评审意见等项内容的书面材料及电子文档。,37,
27、三、等保工作具体内容和要求(备案),2.,受理备案与审核,公安机关受理备案后,按照,信息安全等级保护备案实施细则,要求,对备案材料进行审核,定级准确、材料符合要求的颁发由公安部统一监制的备案证明。,省直机关、省属企事业单位、隶属于中央的在豫单位和跨省辖市联网运行的信息系统,由省公安厅网安总队(或指定省辖市、省直管县公安网安部门)负责受理备案。,3,、目前我省的整体备案情况,截止,2015,年,12,月底,省、市公安机关共,备案,2838,家单位各类信息系统和政府网站,3471,个,其中二级系统,2998,个,三级以上重要信息系统,483,个;在省厅总队备案的包括省直机关和省属金融、电信、银行、
28、电力等重点行业共计,101,个单位,共备案二级以上系统,851,个,其中三级系统,223,个、四级系统,1,个。,38,三、等保工作具体内容和要求(建设整改),(三),信息系统安全建设整改工作,建设整改,是落实信息安全等级保护工作的关键,也就是在定级备案的基础上,信息系统运营使用单位结合行业特点和安全需求,通过建设整改,使不同等级的信息系统在物理安全、网络安全、主机安全、应用安全和数据安全等方面达到相应等级的基本保护能力,做到,“,可信、可控、,可管,”,,,从而提高我国基础网络和重要信息系统整体防护能力。,1,、整改范围:,一是已备案的第二级(含)以上信息系统;二是尚未开展定级备案的信息系统
29、要先定级备案,定级不准的要先纠正,再开展安全建设整改;三是新建系统要同步开展安全建设工作。,2,、,整改内容:,包括,管理,和,技术,两个方面:,安全管理建设整改,方面:一是落实信息安全责任制。二是落实人员安全管理制度。三是落实系统建设管理制度。四是落实系统运维管理制度。,安全技术措施建设整改,方面:结合行业特点和安全需求,制定建设整改方案,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。可以采取一个安全管理中心和计算环境安全、区域边界安全和通信网络安全的,“,一个中心三维防护,”,策略,实现相应级别信息系统的安全保护技术要求。,39,三、等保工作具体内容和要求
30、建设整改),40,三、等保工作具体内容和要求(建设整改),3,、整改流程,第一步:制定安全建设整改工作规划,对安全建设整改工作进行总体部署。,第二步:开展信息系统安全现状分析,从管理和技术两方面确定安全建设整改需求。,第三步:确定安全保护策略,制定信息系统安全建设整改方案。,第四步:开展信息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施。,第五步:开展安全自查和等级测评,及时发现问题并进一步整改。,41,工,作,流,程,42,三、等保工作具体内容和要求(建设整改),不同级别信息系统安全建设整改的具体内容,应根据信息系统定级时的,业务信息,安全等级和,
31、系统服务,安全等级,以及信息系统安全保护现状确定。信息系统安全建设整改工作的具体实施,可以根据实际情况,将安全管理和安全技术整改内容一并实施,也可以分步实施。,4,、整改效果:信息系统应达到的保护能力目标,第二级信息系统:,经过安全建设整改工作,信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;具有检测常见的攻击行为,并对安全事件进行记录的能力;系统遭到损害后,具有恢复系统正常运行状态的能力。,43,三、等保工作具体内容和要求(建设整改),第三级信息系统:,经过安全建设整改工作,信息系统在统一的安全保护策略下具有抵御大规模、较强
32、恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能立即恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。,第四级信息系统:,经过安全建设整改工作,信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力,抵抗严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行快速响应处置,并能够追踪安
33、全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能迅速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。,44,三、等保工作具体内容和要求(等级测评),(四)信息安全等级保护测评工作,等级测评,:是测评机构,依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,,以是否符合等级保护基本要求为目的,对被测系统,安全等级保护状况进行检测评估,的合规性验证。,等级测评是信息安全等级保护工作的重要环节。,等级测评机构,,,是指具备,测评机构管理办法,要求的基本条件,经省级等保办审核推荐,通过公安部评估中心岗前培训和对机构的能
34、力评估后,向社会推荐的从事等级测评等信息安全服务的机构。等级测评机构以提供等级测评服务为主,也可根据信息系统运营使用单位安全保障需求,提供信息安全咨询、应急保障、安全运维、安全监理等服务。,45,三、等保工作具体内容和要求(等级测评),1,、等级测评机构管理,:,2013,年,5,月,公安部制发了,信息安全等级保护测评机构管理办法,(公信安,2013 755,号),共,32,条,可登录,“,中国信息安全等级保护网,”,(,www.djbh.ent,)政策标准,政策规范,国家政策查询),。,国家信息安全等级保护工作协调小组办公室(简称,“,国家等保办,”,)负责受理隶属国家信息安全职能部门和重点
35、行业测评机构的申请受理、审核推荐工作。,省级信息安全等级保护工作协调(领导)小组办公室(简称,“,省等保办,”,)负责受理本辖区内测评机构的申请受理、审核推荐工作。,公安部信息安全等级保护评估中心(以下简称,“,评估中心,”,)负责测评机构的能力评估和培训工作。,对等级测评机构的日常监督检查、测评项目抽查和年审工作,由推荐单位负责,及时掌握等级测评机构工作情况。,46,三、等保工作具体内容和要求(等级测评),2,、等级测评工作的开展,信息安全等级测评工作应按照,“,流程规范、方法科学、结论公正,”,的要求进行。,测评目的,:一是掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全
36、建设整改需求;二是能够衡量出信息系统安全保护措施是否符合等级保护基本要求,是否具备了相应等级的安全保护能力。,测评时机,:建设整改前:等级测评,安全现状分析;建设整改后:等级测评,检验整改效果。,测评过程,:等级测评机构应严格按照信息安全等级保护标准规范公正、独立地开展等级测评工作,依据模板出具信息系统安全等级测评报告,确保测评质量,全面、客观地反映被测信息系统的安全保护状况。,47,三、等保工作具体内容和要求(等级测评),测评频率,:第三级以上定期;第二级参照。,测评费用,:参照国家信息化项目人工计费标准或根据被测设备数量与测评项预算测评费用。,测评报告备案,:测评工作结束后,测评项目小组要
37、按照公安部规定的统一格式编制,信息系统安全等级保护测评报告,并组织专家对,测评报告,进行评审。,测评报告,及整改建议、专家评审意见须报备案公安机关。,经等级测评,信息系统安全状况未达到安全保护等级要求的,重点网站和信息系统运营、使用单位或者其主管部门应当制定安全整改方案进一步进行整改。,48,三、等保工作具体内容和要求(等级测评),测评机构不得从事下列活动:,影响被测评信息系统正常运行,危害被测系统安全的;,非授权占有、使用,未妥善保管等级测评相关资料及数据文件的;,分包或转包等级测评项目,以及扰乱测评市场秩序的;,因单位股权、人员等情况发生变动,不符合等级测评机构基本条件的;,故意隐瞒测评过
38、程中发现的安全问题,或者在测评过程中弄虚作假未如实出具等级测评报告的;,有信息安全产品开发、销售或信息系统安全集成行为的;,限定被测评单位购买、使用指定信息安全产品的;,未按规定向等保办提交材料、报告情况或弄虚作假的等。,49,三、等保工作具体内容和要求(等级测评),3,、我省的总体测评情况:,近年来,按照公安部的要求,加强对我省所属,5,家测评机构的管理,规范等级测评行为,着力提高测评技术能力和服务水平。截至去年底,我省已完成等级测评的各类信息系统,500,个,其中二级系统,205,个、三级以上系统,295,个;从反映和检查情况看,测评工作依据合理、程序规范、方法得当,测评结果基本准确,对系
39、统存在的安全隐患客观地提出了整改建议,有力地推动了我省信息安全等级保护工作的开展。,50,三、等保工作具体内容和要求(等级测评),4,、等级保护制度体系与信息安全管理体系的关系,等级测评,:是测评机构按照,10,多个国家政策、,5,个核心标准、,50,多个配套标准,以是否符合等级保护基本要求为目的,对被测系统开展的合规性验证。,风险评估,:以持续推进风险管理为目的,是一种针对性的分析。,51,三、等保工作具体内容和要求(等级测评),项目,等保制度体系,信息安全管理体系(,ISMS,),监管机关,国家(公安机关),商业机构(行业主管),执行力度,强制性,商业推行,标准化,5,个核心标准、,50,
40、多个配套标准,3,个标准,体系化,10,余个政策体系,(管理体系、风评规范、评估准则),目的,国家评价保护能力,(,要多安全,),自身评价面临风险(能多安全),建设投入,有限度有重点投入,无限度无重点投入,评价方法,等级测评,风险评估,依据,合规性验证(,GB/T22239,),预测性评估(,ISO27001,),过程,PPDRR,模型,风险分析模型,工作方法,访谈、文档、配置检查,人工、工具测试,实地查看,风险分析,风险分析(资产、脆弱性,威胁识别与分析),时机,安全需求分析,能力达标评价,安全需求分析(策划),工作比较,ISMS,实施可以作为等级保护制度的一部分,风险评估是等级测评工作过程
41、的一部分。,52,三、等保工作具体内容和要求(监督检查),(五)安全自查和监督检查,备案单位、行业主管部门、公安机关要分别建立并落实监督检查机制,定期开展监督检查。,1,、备案单位的定期自查,定期开展自查,掌握信息系统安全状况、安全管理制度及技术保护措施的落实情况等。,配合公安机关的监督检查工作,如实提供有关资料及文件。当重要信息系统发生事件、案件时,备案单位应当及时向受理备案的公安机关报告。,自查表,空白模板可在,首页下载。,2,、行业主管部门的督导检查,行业主管部门要建立督导检查制度,组织制定本行业、本部门的信息安全等级保护检查工作规范。,定期组织对本行业、本部门等级保护工作开展情况进行检
42、查,督促落实信息安全等级保护制度,达到重点督促,以点带面的目的。,53,三、等保工作具体内容和要求(监督检查),3,、公安机关的监督检查,检查依据:,信息安全等级保护管理办法,(公通字,200743,号),、,关于开展国家级重要信息系统和重点网站安全执法检查工作的通知,(,公传发,2015253,号,),、,公安机关政府网站安全监管工作规范,(公信安,2014795,号),关于开展信息安全等级保护专项监督检查工作的通知,(,公信安,20101175,),和,公安机关信息安全等级保护检查工作规范(试行),(公信安,2008736,号),2016,年公安机关网络安全执法检查工作方案,。,检查目的:
43、摸清信息系统底数,督促解决重要信息系统未定级、未备案等问题。,督促相关单位落实国家信息安全等级保护制度要求,明确等级保护工作责任部门,建立健全信息安全管理制度。,督促第三级(含)以上重要信息系统开展等级测评,排查安全漏洞和隐患,及时进行加固改造。,建立重要信息系统重大信息安全事件(事故)应急指挥协调机制。,54,三、等保工作具体内容和要求(监督检查),检查步骤,:,制定检查方案,组织开展检查;会同行业主管部门共同开展,建立监督检查配合机制;对重要信息系统发生的事件、案件及时进行调查和立案侦查,并指导开展应急处置工作。,检查内容,:,1,、等级保护工作的组织部署和实施情况。,2,、信息安全管理
44、制度的建立和落实情况。,3,、信息系统安全等级保护定级备案情况。,4,、重要信息系统开展等级测评和安全建设整改情况。,5,、信息安全产品使用、等级保护自查整改等情况。,55,三、等保工作具体内容和要求(监督检查),检查周期:,对第三级信息系统的运营使用单位信息安全等级保护工作,每年组织一次等保检查,对四级系统每半年检查一次,对重点网站和第二级信息系统可参照进行检查,。,。,限期整改:,检查发现不符合等级保护有关管理规范和技术标准要求需要整改的,发送,信息系统安全等级保护限期整改通知,,逾期不改正的,给予警告,并向其上级主管部门通报。,56,三、等保工作具体内容和要求(监督检查),2015,年,
45、5,月,18,日,公安部召开部、省、市三级电视电话会议,决定在全国范围内开展为期三个月的国家级重要信息系统和重点网站安全执法检查工作。,据统计,专项检查期间,全省网安部门共组织,1086,家党政机关和重点单位开展网络安全自查工作;投入警力,5129,人次,现场检查了,836,家重点单位、,319,个重要信息系统和,1011,家重点网站;,通过组织远程技术检测,,消除重要信息系统和网站安全风险隐患,2049,个,出具网站隐患告知书和整改通知书,209,份,对,58,家存在高危漏洞和重大安全隐患的单位,采取了行政警告、停机整顿、约谈等措施。,57,三、等保工作具体内容和要求(监督检查),开展约谈,
46、对于网络安全隐患突出、多次发出风险提示或限期整改未完成的单位,,,按照法律规定,对责任单位法人或信息安全责任人以及对系统建设、运维单位进行约谈,宣讲法律法规、责令其在规定时限内完成整改。,行政处罚,对于约谈后,依然未完成整改或已造成较大负面影响的责任单位,按照人民警察法、公安机关办理行政案件程序规定、中华人民共和国计算机信息系统安全保护条例(国务院,147,号令)等相关规定,对责任单位开展行政处罚。,强制关停,对长期无人维护,问题隐患突出的中小网站,要在安保期内严格采取关停措施。,68,58,三、等保工作具体内容和要求(监督检查),2016,执法检查重点:,一是,国家级重要信息系统和本地其他第
47、三级以上重要信息系统;,二是,电力、通信、交通、水利、环保、医疗等,16,个重点领域以及水气暖、轨道交通等市政领域的工业控制类系统;,三是,省、市党政机关、事业单位和国有企业网站、大型互联网企业门户网站。,59,三、等保工作具体内容和要求(监督检查),(六)信息安全产品的选择使用,1,、信息安全产品在市场上销售,必须通过公安部信息安全产品检测中心检测,并获得公安部颁发的销售许可证。,2,、公安部发布了,关于调整更新计算机信息系统安全专用产品检测执行标准规范的公告,(公信安,20091157,号),对已有分级标准的,29,类信息安全产品开展分级检测工作。对于检测并审核通过的产品,产品销售许可证书
48、标注产品分级信息,便于用户选择使用。,3,、,信息安全等级保护管理办法,规定:第三级以上信息系统应当选择使用我国自主研发的信息安全产品。信息安全产品是信息系统安全的重要基础,尤其是进入到重要信息系统中的信息安全产品将直接影响信息系统安全。因此,在满足使用要求的前提下,应优先选择国产产品。,60,四、对政府网站进行安全监管的主要内容,四、公安机关开展政府网站安全监管工作,总体要求:,“,依法管网、以人管网和技术管网,”,。,依据:,公安部,关于加强政府网站安全监管工作的指导意见,(公信安,2014353,号)、,公安机关政府网站安全监管工作规范,(公信安,2014795,号)。,原则:,坚持政府
49、网站,“,开办有责、属地管理,”,。,61,四、对政府网站进行安全监管的主要内容,总体目标:,全面摸清县级以上政府网站底数,加强备案管理,做到,“,底数清、情况明,”,;同时要建立部、省、市三级政府网站安全监测体系,健全完善政府网站安全监管、应急处置和案事件侦查调查等工作机制。,主要任务,:在摸清政府网站底数的基础上,开展网站定级备案工作;签订安全责任书,明确政府网站安全责任;加强监督指导,落实网站安全防护措施;开展安全监测,及时发现安全隐患和攻击行为;建立有效机制,及时果断处置网站安全事件;加强情报侦察和监控,及时获取行动性信息;加强案件侦查,严厉打击攻击政府网站的行为等七个方面。,62,四
50、对政府网站进行安全监管的主要内容,公安机关政府网站安全监管工作规范,共,28,条,分总则、监督检查、监测处置、工作保障和附则五个部分。,第二条规定:,政府网站,是指党政机关利用互联网发布信息、提供在线服务、开展互动交流等而建立的网站系统。,第二十七条规定:网安部门对事业单位、国有企业及社会团体开办的互联网网站应参照本规范要求加强监管。,63,四、对政府网站进行安全监管的主要内容,监督检查,部分规定主要有:,一是,网安部门应当监督政府网站开办单位在政府网站建设和应用过程中落实信息网络安全同步规划、同步建设、同步实施的要求,制订和完善安全管理制度,建立健全安全保护技术措施;,二是,监督指导本地党
浙ICP备2021020529号-1 | 浙B2-20240490 
