前 言
当前,我国信息安全面临的形势仍然十分严峻,维护国家信息安全的任务非常艰巨、繁重。随着我国经济的持续发展和国际地位的不断提高,我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患比较严重,计算机病毒传播和网络非法入侵十分猖獗,网络违法犯罪持续大幅上升,犯罪分子利用一些安全漏洞,使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪,给用户造成严重损失。特别是“科技奥运”和“数字奥运”是2008年北京奥运会的一大亮点,网络与信息安全已经成为事关北京奥运安全的重大问题之一。
党中央、国务院高度重视信息安全工作,中共中央办公厅转发的《国家网络与信息安全协调小组关于确保党的十七大信息安全的意见》,要求公安部会同有关部门,抓紧开展并完成重要信息系统安全等级保护定级工作,确保国家重要信息系统的信息网络安全,为党的十七大的胜利召开创造良好的信息网络环境。信息安全等级保护制度是国家信息安全保障工作的基本制度。开展信息安全等级保护工作不仅是加强国家信息安全保障工作的重要内容,也是一项事关国家安全、社会稳定、党的十七大胜利召开和北京奥运会成功举办的政治任务。为了加快推进信息安全等级保护工作,2007年6月22日,公安部与国家保密局、密码管理局、国务院信息办联合会签并印发了《信息安全等级保护管理办法》(公通字[2007]43号),7月16日四部委联合会签并下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),7月20日四部委联合组织召开了“全国重要信息系统安全等级保护定级工作电视电话会议”。为保证信息系统运营使用单位、主管部门能够及时、扎实地开展重要信息系统安全等级保护定级工作(以下简称“定级工作”),配合公安、保密、密码部门履行职责,监督、检查、指导定级工作,结合近年来公安机关牵头组织开展信息安全等级保护工作的基础调查、试点等工作经验,我们编写了这本培训教材,供有关部门在开展信息安全等级保护工作中参考、借鉴。
目 录
一、信息安全等级保护工作概述
(一)开展信息安全等级保护工作的政策和法律依据
(二)近几年来公安部牵头实施信息安全等级保护制度,开展了哪些具体工作
(三)我国信息信息网络安全面临的严峻形势
(四)实行信息安全等级保护制度能够解决哪些主要问题
(五)信息安全等级保护工作的主要流程包括哪些
(六)开展等级保护工作的总体要求
二、明确各方责任义务
三、信息系统安全保护等级的划分与保护
(一)坚持“自主定级、自主保护”与国家监管相统一原则
(二)信息系统安全保护等级
(三)信息系统安全保护等级的定级要素
(四)五级保护和监管
四、信息系统安全保护等级的确定
(一)定级范围
(二)定级工作步骤
五、备案和备案审核
(一)备案
(二)备案审核
六、信息系统安全建设整改、等级测评
(一)信息系统安全建设整改
(二)有关技术标准和管理标准的简要说明
(三)信息安全产品分等级使用管理
(四)等级测评和自查
七、监督检查
(一)监督检查的主要内容
(二)监督检查方式
(三)信息系统运营使用单位的配合
八、对违反有关等级保护规定的处罚
(一)违规行为
(二)处罚方式
附件:1、国家信息安全等级保护工作协调小组
2、国家信息安全保护等级专家评审委员会人员名单
3、信息系统安全等级保护备案表
4、《信息系统安全等级保护定级报告》模版
信息安全等级保护培训教材
一、信息安全等级保护工作概述
(一)开展信息安全等级保护工作的政策和法律依据
1、1994年,《中华人民共和国计算机信息系统安全保护条例 》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。该条明确了三个内容:一是确立了等级保护是计算机信息系统安全保护的一项制度;二是出台配套的规章和技术标准;三是明确了公安部的牵头地位。
2、1995年2月18日人大12次会议通过并实施的《中华人民共和国警察法》第二章第六条第十二款规定,公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。
3、2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度 。同时中央27号文明确了各级党委和政府在信息安全保障工作中的领导地位,以及“谁主管谁负责,谁运营谁负责”的信息安全保障责任制。
(二)近几年来公安部牵头实施信息安全等级保护制度,开展了哪些具体工作
按照《中华人民共和国计算机信息系统安全保护条例 》(国务院147号令)规定和《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)文件精神,公安部会同国家保密局、国家密码管理局和国务院信息办开展了如下工作。
1、出台了等级保护规范标准。2004年9月联合出台了《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),2007年6月联合出台了《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》),明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。制定了包括《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》等50多个国标和行标,初步形成了信息安全等级保护标准体系。
2、开展了等级保护基础调查工作。2005年底,公安部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号)。2006年上半年,公安部会同国信办在全国范围内开展了信息系统安全等级保护基础调查。调查对象共计65117家单位,涉及115319个信息系统。通过基础调查,基本摸清和掌握了全国信息系统特别是重要信息系统的基本情况,为制定信息安全等级保护政策奠定了坚实的基础。
3、开展了等级保护试点工作。2006年6月,公安部、国家保密局、国家密码管理局、国务院信息办联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)。在13个省区市和3个部委联合开展了信息安全等级保护试点工作。通过试点,完善了开展等级保护工作的模式和思路,检验和完善了开展等级保护工作的方法、思路、规范标准,探索了开展等级保护工作领导、组织、协调的模式和办法,为全面开展等级保护工作奠定了坚实的基础。
4、部署开展定级工作。2007年7月20日,公安部、国家保密局、国家密码管理局、国务院信息办在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。国家信息安全等级保护协调小组组长、公安部副部长张新枫同志和国务院信息化工作办公室副主任、国家网络与信息安全协调小组办公室主任杨学山同志作了重要讲话。国家信息安全职能部门、基础信息网络和重要信息系统主管部门、各省(区、市)公安厅(局)、保密局、国家密码管理局、信息化领导小组办公室和有关行业、部门的负责同志出席了会议。
|
|
资源大小:60.50 KB 
