单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,公安部,信息安全等级保护评估中心,贯彻27号文件积极推进信息系统等级建设,公安部信息平安等级保护评估中心,二四年六月,朱建平,目录,1等级保护是国家根本政策,2建立国家信息平安等级保护机制,3信息系统平安等级保护制度实施方法,4等级化系统的建设,1、等级保护是国家根本政策,27号文件进一步明确了我国的根底信息网络和关系国家平安、经济命脉、社会稳定等方面的重要信息系统实行等级保护制度;,同时要求等级保护工作需要各部门根据职能分工、协同配合。,1、等级保护是国家根本政策,信息平安等级保护是?中华人民共和国计算机信息系统平安保护条例?规定的法定保护制度,具有强制性;,第二是以国家制度推进信息和信息系统平安保护责任的落实;,第三是符合客观实际,具有科学性;,第四是具有自我保护与国家保护相结合的长效保护机制;,第五是突出保护重点,国家优先重点保护涉及国计民生的信息系统,国家根底信息网络和重要信息系统内分级重点保护三级以上的局域网和子系统平安;,第六是具有整体保护性,在突出重点,兼顾一般的原那么下,着重加强重点、要害部位,由点到面进行保护,逐步实现信息平安整体保障。,2、建立国家信息平安等级保护机制,国家实行信息平安等级保护,必须紧紧抓住抓好五个关键环节,形成长效信息平安等级保护运行机制。国家信息平安等级保护制度运行机制有以下关键环节构成:,1法律标准,2管理与技术标准,3实施过程控制,4结果控制,5监督管理。,2、建立国家信息平安等级保护机制,1法律标准:国家制定和完善信息平安等级保护政策、法律标准以及组织实施规那么和方法,完善信息平安保护法律体系;,2管理与技术标准:制定符合国情的标准,建立等级保护体系;,3实施过程控制:明确落实系统拥有者的平安责任制,系统拥有者按法律规定和平安等级标准的要求进行信息系统的建设和管理,并承担应急管理责任,在信息系统生命周期内进行自管、自查、自评,建立平安管理体系。平安产品的研发者提供符合平安等级标准要求的技术产品。,2、建立国家信息平安等级保护机制,4结果控制:建立非盈利并能够覆盖全国的系统平安等级保护的执法检查与评估体系,使用统一标准和工具开展系统平安等级保护检查评估工作。,5监督管理:公安机关依法行政,催促平安等级保护责任制的落实,以等级保护标准监督、检查、指导根底信息网络和重要信息系统平安等级保护建设、管理。对平安等级技术产品实行监管,对监测评估机构实施监管。政府其他职能部门应当认真履行职责,依法行政,按职责开展信息平安等级保护专项制度建设工作,完善信息平安监督体系。,3、信息系统平安等级保护制度实施方法,首先,公安、国家保密、国家密码管理、技术监督、信息产业等国家有关信息网络平安的行政主管部门要在国家信息化领导小组的统一领导下,制定我国开展信息网络平安等级保护工作的开展政策,统一制定针对不同平安保护等级的管理规定和技术标准,对不同信息网络确定不同平安保护等级和实施不同的监督管理措施,既包括依法进行行政监督、检查和指导,也包括依据国家技术标准进行的技术检查和评估。,3、信息系统平安等级保护制度实施方法,其次,等级保护坚持“谁主管、谁负责;谁经营、谁负责;谁建设、谁负责;谁使用、谁负责。的原那么。,3、信息系统平安等级保护制度实施方法,第三,等级保护实行“国家主导;重点单位强制,一般单位自愿;高保护级别强制,低保护级别自愿的监管原那么。,3、信息系统平安等级保护制度实施方法,第四,信息网络平安状况等级的技术检测是等级保护的重点。,由国家授权的技术检测机构通过技术检测来进行评定。技术检测机构需取得国家主管部门的技术资质和授权后,方可从事信息网络平安等级保护的技术检测。,3、信息系统平安等级保护制度实施方法,方案在五年左右的时间在全国范围内分三个阶段实施信息平安等级保护制度:,1、准备阶段,2、试行阶段,3、全面实行阶段,4、等级化系统的建设,信息系统等级的划分方法自主评级,实施步骤:,业务影响分析、划分子系统,确定子系统边界,确定平安保护等级,子系统间访问关系的模型化,平安风险分析与控制措施调整,确定系统保护平安方案,系统等级和平安方案的批准,等级保护第一级,第一级平安的信息系统具备对信息和系统进行根本保护的能力。,在技术方面,第一级要求设置根本的平安功能,使信息免遭非授权的泄露和破坏,能保证根本平安的系统效劳。,在平安管理方面,第一级要求根据机构自身平安需求,为信息系统正常运行提供根本的平安管理保障。,5等级化系统的建设,等级保护第二级,第二级平安的信息系统具备对信息和系统进行比较完整的系统化的平安保护能力。,在技术方面,第二级要求采用系统化的设计方法,实现比较完整的平安保护,并通过平安审计机制,使其它平安机制间接地相连接,使信息免遭非授权的泄露和破坏,保证一定平安的系统效劳。,在平安管理方面,第二级要求建立必要的信息系统平安管理制度,对平安管理和执行过程进行方案、管理和跟踪。根据实际平安需求,明确机构和人员的相应责任。,5等级化系统的建设,等级保护第三级,第三级平安的信息系统具备对信息和系统进行基于平安策略强制的平安保护能力。,在技术方面,第三级要求按照完整的平安策略模型,实施强制性的平安保护,使数据信息免遭非授权的泄露和破坏,保证较高平安的系统效劳。,在平安管理方面,第三级要求建立完整的信息系统平安管理体系,对平安管理过程进行标准化的定义,并对过程执行实施监督和检查。根据实际平安需求,建立平安管理机构,配备专职平安管理人员,落实各级领导及相关人员的责任。,5等级化系统的建设,等级保护第四级,第四级平安的信息系统具备对信息和系统进行基于平安策略强制的整体的平安保护能力。,在技术方面,物理隔离,第四级要求采用结构化设计方法,按照完整的平安策略模型,实现各层面相结合的强制性的平安保护,使数据信息免遭非授权的泄露和破坏,保证高平安的系统效劳。,在平安管理方面,第四级要求建立持续改进的信息系统平安管理体系,在对平安管理过程进行标准化定义,并对过程执行实施监督和检查的根底上,具有对缺陷自我发现、纠正和改进的能力。根据实际平安需求,采取平安隔离措施,限定信息系统规模和应用范围。建立平安管理机构,配备专职平安管理人员,落实各级领导及相关人员的责任。,5等级化系统的建设,等级保护第五级,第五级平安的信息系统提供对信息和系统进行基于可验证平安策略的强制的平安保护能力。,在技术方面,第五级要求按照确定的平安策略,在整体的实施强制性的平安保护的根底上,通过可验证设计增强系统的平安性,使其具有抗渗透能力,使数据信息免遭非授权的泄露和破坏,保证最高平安的系统效劳。,在平安管理方面,第五级要求由信息系统的主管部门和使用单位根据平安需求,建立核心部门的专用信息系统平安管理体系,对平安管理过程进行标准化的定义,并对过程执行实施监督和检查,具有对缺陷自我发现、纠正和改进的能力。采取平安隔离措施,限定信息系统规模和应用范围。建立平安管理机构,配备专职平安管理人员,落实各级领导及相关人员的责任。,5等级化系统的建设,谢谢大家!,