文档介绍:信息安全等级保护概述本章内容安排信息安全等级保护制度信息系统安全等级保护实施信息系统安全等级确定信息系统安全等级保护要求信息系统安全风险评估第一节信息安全等级保护制度一、信息安全等级保护管理二、信息系统安全等级划分三、信息系统安全等级保护相关标准一、信息安全等级保护管理信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。背景1994年,《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。1995年2月18日人大12次会议通过并实施的《中华人民共和国警察法》第二章第六条第十二款规定,公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。——法律依据。1999年,强制性国家标准-《计算机信息系统安全保护等级划分准则》GB17859)。2003年,中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2004年,公安部、国家保密局、国家密码管理局、国信办联合印发了《关于信息安全等级保护工作的实施意见》(66号文件)2006年1月,公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法》(公通字[2006]7号)1、政府层面:国家制定统一信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对信息安全产品的使用分等级实行管理,对等级保护工作的实施进行监督、指导。2、用户层面:公民、法人和其他组织应当按照国家有关等级保护的管理规范和技术标准开展等级保护工作,服从国家对信息安全等级保护工作的监督、指导,保障信息系统安全。3、社会层面:信息安全产品的研制、生产单位,信息系统的集成、等级测评、风险评估等安全服务机构,依据国家有关管理规定和技术标准,开展相应工作,并接受国家信息安全职能部门的监督管理。等级保护制度的基本思想信息安全等级保护的工作进展一是2006年1月制定出台了《信息安全等级保护管理办法(试行)》。二是2006年5月18日组织召开了国家信息安全等级保护工作协调小组第一次会议。三是制定了等级保护系列技术标准。四是开展了等级保护基础调查工作。五是部署开展信息安全等级保护试点工作。六是出台新的《信息安全等级保护管理办法》。七是筹备召开全国信息系统定级工作。二、信息系统安全等级划分根据《信息系统安全等级保护实施指南》的规定,信息系统可以分为五个安全等级,国家对不同级别的信息和信息系统实行不同强度的监管政策。(一)第一级为自主保护级其主要对象为一般的信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不危害国家安全、社会秩序和公共利益。本级系统依照国家管理规范和技术标准进行自主保护。二、信息系统安全等级划分(二)第二级为指导保护级其主要对象为一般的信息系统,其业务信息安全性或业务服务保证性受到破坏后,会对社会秩序和公共利益造成一定损害,但不损害国家安全。本级系统依照国家管理规范和技术标准进行自主保护,必要时信息安全监管职能部门对其进行指导。