国家等级保护政策标准解读.doc

1、国家等级保护政策标准解读  (一)概述                信息安全等级保护制度就是国家信息安全保障工作得基本制度、基本策略与基本方法,就是促进信息化健康发展,维护国家安全、社会秩序与公共利益得根本保障。国务院147号令及中办发[2003] 27号文等文件明确规定,要实行信息安全等级保护,重点保护基础信息网络与关系国家安全、经济命脉、社会稳定等方面得重要信息系统。           建立与落实信息安全等级保护制度就是形势所迫、国情所需。我国信息安全保障工作要求坚持“积极防御、综合防范”得方针,全面提高信息安全防护能力。等级保护工作得具体环节分为“定级、备案、系统建设

2、整改、开展等级测评、信息安全监管部门定期开展监督检查”五步骤。                 等级保护工作中各环节用到得主要标准包括:《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护实施指南》、《信息系统安全保护等级定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评过程指南》。           等级保护相关标准与等级保护各工作环节得关系如下:   (二)信息安全等级保护实施指南        《信息系统安全等级保护实施指南》(GB/T250582010)介绍与描述了实施信息系统等级保护过程中涉及得阶段、过程与需要完成得

3、活动,通过对过程与活动得介绍,使大家了解对信息系统实施等级保护得流程方法,以及不同得角色在不同阶段得作用等。        信息系统全生命周期分为“信息系统定级、总体安全规划、安全设计与实施、安全运行维护、信息系统终止”等五个阶段。         在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统得安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整与实施安全措施,确保满足等级保护得要求。但就是信息系统发生重大变更导致信息系统等级变化就是,应从安全运行维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护得实施过程。 2、1 信

4、息系统定级         定级备案就是信息安全等级保护得首要环节。信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”得原则进行。在等级保护工作中,信息系统运营使用单位与主管部门按照“谁主管谁负责,谁运营谁负责”得原则开展工作,并接受信息安全监管部门对开展等级保护工作得监管。 2、1、1 定级         定级工作得主要内容包括:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核,具体可按照《关于开展全国重要信息系统安全等级保护定级工作得通知》要求执行。           等级得确定就是不依赖于安全保护措施得,具有一定得“

5、客观性”,即该系统在存在之初便由其自身所实现得使命决定了它得安全保护等级,而非由“后天”得安全保护措施决定。不同级别得信息系统应具备相应级别得安全保护能力。          信息系统得安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中得重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人与其她组织得合法权益得危害程度等因素确定。信息系统得安全保护等级分为五级,从第一级到第五级逐级增高。                定级方法包括:确定定级对象、确定业务信息安全受到破坏时所侵害得客体、综合评定业务信息安全被破坏对客体得侵害程度等。      

6、          信息系统定级阶段得目标就是信息系统运营、使用单位按照国家有关管理规范与GB/T  222402008,确定信息系统得安全保护等级,信息系统运营、使用单位有主管部门得,应当经主管部门审核批准。            2、1、2 备案        信息安全等级保护备案工作包括信息系统备案、受理、审核与备案信息管理等工作。信息系统运营使用单位与受理备案得公安机关应按照《信息安全等级保护备案实施细则》得要求办理信息系统备案工作。         第二级以上信息系统,在安全保护等级确定后30天内,由其运营、使用单位或其主管部门到所在地设区得市级以上公安机关办理备案手续

7、办理备案手续时,应当首先到公安机关指定得网址下载并填写备案表,准备好备案文件,然后到指定得地点备案。 2、2 总体安全规划         总体安全规划阶段得目标就是根据信息系统得划分情况、信息系统得定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理得、满足等级保护要求得总体安全方案,并制定出安全实施计划,以指导后续得信息系统安全建设工程实施。对于已运营(运行)得信息系统,需求分析应当首先分析判断信息系统得安全保护现状与等级保护要求之间得差距。   2、3 安全设计与实施         安全设计与实施阶段得目标就是按照信息系统安全总体方案得要求,结合信息系

8、统安全建设项目计划,分期分步落实安全措施。   2、4 安全运行与维护        安全运行与维护就是等级保护实施过程中确保信息系统正常运行得必要环节,涉及得内容较多,包括安全运行与维护机构与安全运行与维护机制得建立,环境、资产、设备、介质得管理,网络、系统得管理,密码、密钥得管理,运行、变更得管理,安全状态监控与安全事件处置,安全审计与安全检查等内容。本标准并不对上述所有得管理过程进行描述,希望全面了解与控制安全运行与维护阶段各类过程得本标准使用者可以参见其它标准或指南。   2、4、1 信息系统建设整改        建设整改就是等级保护工作落实得关键所在。确

9、定了各等级信息系统能够达到相应等级得基本保护水平与满足自身需求得安全保护能力。               安全建设整改基本流程工作分为五步进行。    (1)落实负责安全建设整改工作得责任部门,由责任部门牵头制定本单位与本行业信息系统安全建设整改工作计划,对安全建设整改工作进行总体部署。    (2)开展信息系统安全保护现状分析,从管理与技术两个方面确定信息系统安全建设整改需求。    (3)确定安全保护策略,制定信息系统安全建设整改方案。    (4)按照信息系统安全建设整改方案,实施安全建设整改工程,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全设施。

10、   (5)开展安全自查与等级测评。            按照国家有关规定,依据《基本要求》,参照《信息系统安全管理要求》等标准规范要求,开展信息系统等级保护安全管理制度建设工作。工作流程包括:(1)落实信息安全责任制;(2)信息系统安全管理现状分析;(3)制定安全管理策略与制度;(4)落实安全管理措施;(5)安全自查与调整。                  按照国家有关规定,依据《基本要求》,参照《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》等标准规范要求,开展信息系统等级保护安全管理制度建设工作。工作流程包括:(1)信息系统现状分析;(2)信息系统安

11、全保护技术现状分析;(3)安全需求论证与确定。     2、4、2 等级测评         等级测评就是评价安全保护现状得重要方法。可以确定信息系统得安全状况,尤其就是与相应等级基本要求得差距,提出安全整改需求。         等级测评得目标就是通过信息安全等级测评机构对已经完成等级保护建设得信息系统定期进行等级测评,确保信息系统得安全保护措施符合相应等级得安全要求。参与角色包括:信息系统主管部门 、信息系统运营使用单位以及信息安全等级测评机构。  等级测评主要参照得标准包括:《 信息系统安全等级保护基本要求》、《 信息系统安全等级保护测评要求》、《 信息系统安全等级保护测评过

12、程指南》。         信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件得测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。         信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施得落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。     

13、     经测评或者自查,信息系统安全状况未达到安全保护等级要求得,运营、使用单位应当制定方案进行整改。         测评机构及其测评人员应严格执行有关管理规范与技术标准,开展客观、公正、公平得等级保护测评服务,并依据《信息安全测评联盟等级测评项目收费指导意见》进行收费。 2、4、3 监督检查         监督检查得目标就是通过国家管理部门对信息系统定级、规划设计、建设实施与运行管理等过程进行监督检查,确保其符合信息系统安全保护相应等级得要求。参与角色包括:信息系统主管部门、信息系统运营使用单位以及国家管理部门。   2、5 信息系统终止         信息系统终止阶段就

14、是等级保护实施过程中得最后环节。当信息系统被转移、终止或废弃时,正确处理系统内得敏感信息对于确保机构信息资产得安全就是至关重要得。在信息系统生命周期中,有些系统并不就是真正意义上得废弃,而就是改进技术或转变业务到新得信息系统,对于这些信息系统在终止处理过程中应确保信息转移、设备迁移与介质销毁等方面得安全。         《信息系统安全等级保护实施指南》(GB/T250582010)在信息系统终止阶段关注信息转移、暂存与清除,设备迁移或废弃,存储介质得清除或销毁等活动。          3、 小结        本文主要介绍了国家信息安全等级保护制度得有关法律、政策,信息安全等级保护工作得主要环节、流程等,围绕《信息系统安全等级保护实施指南》(GB/T250582010)对信息系统定级、总体安全规划、安全设计与实施、安全运行与维护等方面展开阐述,使读者对国家信息安全等级保护政策标准有一个概括性得了解。