信息安全等级保护制度的相关标准及其应用.pptxVIP

信息安全等级保护制度的相关标准及其应用目 录等级保护的国家标准等级保护的定级过程 等级保护的建设整改交流与沟通目 录等级保护的国家标准等级保护的定级过程 等级保护的建设整改交流与沟通什么是等级保护？信息系统安全等级保护是指对信息和信息系统划分为五个安全保护和监管等级，实行分等级保护。为什么实行等级保护？ “一个提高，四个有利于” 有效地提高我国信息安全建设的整体水平 有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调； 有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督；为什么实行等级保护？ 有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施； 有利于提高安全保护的科学性、整体性、针对性，推动信息安全产业水平，逐步探索一条适应社会主义市场经济发展的信息安全发展模式。相关标准制定环境----安全环境 近年来，党中央、国务院高度重视，各有关方面协调配合、共同努力，我国信息安全保障工作取得了很大进展。但是从总体上看，我国的信息安全保障工作尚处于起步阶段，基础薄弱，水平不高，存在以下突出问题：—偏重产品，忽视体系和管理。—重视外部攻击与入侵，忽视内部的非法行为—缺乏信息安全风险意识，安全投入盲目—关键技术、产品受制于人—一劳永逸的错误观念，忽视信息安全是个动态的过程c相关标准制定单位----问题产生的原因信息安全防范意识和能力薄弱;信息安全法律法规不完善，标准体系尚待完善;信息系统安全建设和管理缺乏体系化思想； 现有标准杂、乱，安全建设无所适从；监督管理缺乏依据和标准，监管体系尚待完善。相关标准制定单位----我们的对策 美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁，制定了一系列强化信息网络安全建设的政策和标准，其中一个很重要思想就是将不同重要程度的信息系统划分不同的安全等级，以指导不同领域的信息安全工作。 面对严峻的形势和严重的问题，如何解决我国信息安全问题，是摆在我国政府、企业、公民面前的重大关键问题。 经过我国信息安全领域有关部门和专家学者的多年研究，在借鉴国外先进经验和结合我国国情的基础上，提出了分等级保护的策略来解决我国信息安全问题： 信息安全等级保护制度等级保护标准制修订背景 1994年，《中华人民共和国计算机信息系统安全保护条例》的发布 1999年，《计算机信息系统安全保护等级划分准则》 GB17859-1999发布 2001年，国家发改委“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护平台建设项目”（1110）工程实施 2003年，中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》，27号文第一项就是等级保护 2004年，四部委联合签发了《关于信息安全等级保护工作的实施意见 》 等级保护标准制修订背景 1994年 国务院147号令 《中华人民共和国计算机信息系统安全保护条例》 第9条规定：计算机信息系统实行安全等级保护。 1999年 国家标准GB17859 《计算机信息系统安全保护等级划分准则》主要内容来源于美国可信计算机系统评价准则TCSEC 第一级 用户自主保护级 第二级 系统审计保护级 第三级 安全标记保护级 第四级 结构化保护级 第五级 访问验证保护级等级保护标准制修订背景2001年 国家标准GB/T 18336 《信息技术 安全技术 信息技术安全性评估准则》 参照CC 即ISO/IEC 154082003年 中办发17号文件 提出实行信息安全等级保护的任务2004年 公通字66号文件 公安部、国家保密局、国家密码管理委员会办公室、国务院信息办 发布 《关于信息安全等级保护工作的实施意见》2006年 公通字7号文件（已经废除） 四部门发布《信息安全等级保护管理办法》等级保护标准制修订背景2006年 国家标准发布《信息安全技术?信息系统通用安全技术要求》（GB/T20271-2006）《信息安全技术?网络基础安全技术要求》（GB/T20270-2006）《信息安全技术?操作系统安全技术要求》（GB/T20272-2006）《信息安全技术?数据库管理系统安全技术要求》（GB/T20273-2006）《信息安全技术?终端计算机系统安全等级技术要求》（GA/T671-2006） 2007年5月底的更新《信息系统安全等级保护实施指南》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》200７年 公通字４３号文件（6月27号发出） 《信息安全等级保护管理办法》 公信安［２００７］８６１号《关于开展全国重要信息系统安全等级保护定级工作的通知》等级保护标准制修订背景北京北京政府第9号令 2005年9月国信办文件《