信息安全等级级保护总体的方案.pptVIP

信息安全等级保护 公安部公共信息网络安全监察局 (-)等级保护是什么 (二)等级保护做什么 (三)等级保护如何实施 法律和政策依据 《中华人民共和国计算机信息系统安全保护条例》第二章安 全保护制度部分规定: “计算机信息系统实行安全等级保护安全等级的划分标准和安全 等级保护的具体办法,由公安部会同有关部门制定。” 《计算机信息系统安全保护等级划分准则》7859-1(技 术法规)规定: 国家对信息系统实行五级保护 《国家信息化领导小组关于加强信息安全保障工作的意见》 重点强调 实行信息安全等级保护制度,重点保护基础信息网络和重要信息系 等级保护是什么 (一)等级保护基本概念:信息系统安全等级保护是指对信息安全实行等 级化保护和等级化管理 根据信息系统应用业务重要程度及其实际安全需求,实 行分级、分类、分阶段实施保护,保障信息安全和系统安全 正常运行,维护国家利益、公共利益和社会稳定。 等级保护的核心是对信息系统特别是对业务应用系统安 全分等级、按标准进行建设、管理和监督。国家对信息安全 等级保护工作运用法律和技术规范逐级加强监管力度。突出 重点,保障重要信息资源和重要信息系统的安全 等级保护是什么 (二)信息安全等级保护制度的主要内容 信息安全等级保护是指:对国家秘密信息、法人和其他 组织及公民的专有信息、公开信息分类分级进行管理和保护 对信息系统按业务安全应用域和区实行分级保护。 对系统中使用的信息安全产品实行按分级许可管理。 对等级系统的安全服务资质分级许可管理。 对信息系统中发生的信息安全事件分等级响应、处置。 等级保护是什么 (三)为什么要搞等级保护 保护业务安全应用。对信息安全分级保护是客观需求 信息系统的建立是为社会发展、社会生活的需要而设计、 建立的,是社会构成、行政组织体系及其业务体系的反映, 这种体系是分层次和级别的。因此,信息安全保护必须符 合客观存在。 等级化保护是信息安全发展规律:按组织业务应用区 域、分层、分类、分级进行保护和管理,分阶段推进等级 保护制度建设,这是做好国家信息安全保护必须遵循的客 观规律。 等级保护是什么 (四)信息安全保护存在的主要问题 当前,我国信息安全存在的最大问题是信息安全保护工 作不统一、不规范。有关各方对信息安全如何保护及安全 与否无法把握,心中无数。 实行等级保护首先要解决这个问题,以国家法定信息 安全等级保护制度,统一信息安全保护工作,推进规范化、 法制化建设,保障安全,促进发展。促进民族信息安全科 学技术发展,解决我国信息技术和安全技术“空心”问题, 实现信息安全自主可控,保障国家安全。 二、等级保护做什么 (一)信息资源分类分级保护制度 信息资源已经成为国家经济建设和社会发展的重要战 略资源。信息资源应当分类: 秘密信息:国家保密法规定的三类信息 专有信息:国家、组织及个人所有的信息; 公开信息:国家、组织及个人的可公开信息 各部门、单位可根据信息系统中的信息资源情况,在 这三大类下再分若该类和级进行标记管理、保护。 等级保护做什么 (二)系统安全功能分级保护制度 以《计算机信息系统安全保护等级划分准则》GB17859-1999为指导,建 立包括系统安全功能、系统之间、网络之间、设备之间、用户之间的可信 鉴别保障平台,对信息系统的安全等级从功能上划分为五个级别的安全保 护能力: 第一级:用户自主保护级; 第二级:系统审计保护级 第三级:安全标记保护级 第四级:结构化保护级(系统整体安全设计) 第五级:访问验证保护级。 安全保护能力从第一级到第五级逐级増强。(见说明、有关标准) 等级保护做什么 (三)安全产品使用分级管理制度 国家对信息安全产品的使用实行分等级管理制度。按照 信息安全产品的可控性、可靠性、可信性、安全性和可监督 性的要求确定相应等级进行管理。 信息安全产品是指与信息网络或者信息系统安全相关的 以计算机硬件或者软件的形态集成的,实现信息系统运行中 的特定功能的,构建信息系统并使其正常运行的软硬设备。 不同安全保护等级的信息系统和网络应使用与其安全等级相 适应的信息安全产品。