一����、概念
信息系統(tǒng)根據(jù)其在國(guó)家安全、經(jīng)濟(jì)建設(shè)����、社會(huì)生活中的重要程度,遭到破壞后對(duì)國(guó)家安全���、社會(huì)秩序��、公共利益及公民�、法人和其他組織的合法利益的危害程度�����,由低到高劃分為五個(gè)等級(jí)�����。分別是:
第一級(jí):用戶自主保護(hù)級(jí)
第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí)
第三級(jí):安全標(biāo)記保護(hù)級(jí)
第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)
第五級(jí):訪問(wèn)驗(yàn)證保護(hù)級(jí)
不同級(jí)別的信息系統(tǒng)應(yīng)該落實(shí)不同強(qiáng)度的安全要求���,為了規(guī)范安全要求的落實(shí)標(biāo)準(zhǔn)�����,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)制訂了《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》這個(gè)標(biāo)準(zhǔn)��,該標(biāo)準(zhǔn)對(duì)不同級(jí)別的信息系統(tǒng)應(yīng)該落實(shí)的安全要求項(xiàng)進(jìn)行了明確而具體的規(guī)定�����,將其分為管理要求和技術(shù)要求總共十個(gè)類別����,分別是:
技術(shù)要求:
1、物理安全
2��、主機(jī)安全
3��、應(yīng)用安全
4����、網(wǎng)絡(luò)安全
5、數(shù)據(jù)安全及備份回復(fù)
管理要求:
1���、安全管理制度
2��、安全管理機(jī)構(gòu)
3��、人員安全管理
4�����、系統(tǒng)建設(shè)管理
5�、系統(tǒng)運(yùn)維管理
二��、政策法規(guī)
中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例
計(jì)算機(jī)信息系統(tǒng)保護(hù)等級(jí)劃分準(zhǔn)則
國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障
工作的意見(jiàn)
關(guān)于加強(qiáng)信息安全等級(jí)保護(hù)
工作的實(shí)施意見(jiàn)
信息安全等級(jí)保護(hù)管理辦法
關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知
關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)整改工作的指導(dǎo)意見(jiàn)
三、標(biāo)準(zhǔn)規(guī)范
計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)
劃分準(zhǔn)則(基礎(chǔ)類標(biāo)準(zhǔn))
信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南(基礎(chǔ)類標(biāo)準(zhǔn))
信息系統(tǒng)安全等級(jí)保護(hù)
定級(jí)指南(應(yīng)用類標(biāo)準(zhǔn))
信息系統(tǒng)安全等級(jí)保護(hù)基本要求(應(yīng)用類建設(shè)標(biāo)準(zhǔn))
信息系統(tǒng)通用安全技術(shù)要求(應(yīng)用類建設(shè)標(biāo)準(zhǔn))
信息系統(tǒng)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求(應(yīng)用類建設(shè)標(biāo)準(zhǔn))
信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求(應(yīng)用類測(cè)評(píng)標(biāo)準(zhǔn))
信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南(應(yīng)用類測(cè)評(píng)標(biāo)準(zhǔn))
信息系統(tǒng)安全管理要求(應(yīng)用類管理標(biāo)準(zhǔn))
信息系統(tǒng)安全工程
管理要求(應(yīng)用類管理標(biāo)準(zhǔn))
四���、工作流程
等級(jí)保護(hù)工作不是一件事,而是由五件事組成的一個(gè)完整工作流程���。通常所說(shuō)的等級(jí)保護(hù)工作指的是等級(jí)保護(hù)測(cè)評(píng)這項(xiàng)工作流程�����。根據(jù)信息系統(tǒng)等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)��,等級(jí)保護(hù)工作總共分五個(gè)階段�,分別為:
1���、定級(jí)
信息系統(tǒng)運(yùn)營(yíng)使用單位按照等級(jí)保護(hù)管理辦法和定級(jí)指南��,自主確定信息系統(tǒng)的安全保護(hù)等級(jí)�����。有上級(jí)主管部門的�,應(yīng)當(dāng)經(jīng)上級(jí)主管部門審批����??缡』蛉珖?guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護(hù)等級(jí)��。雖然是自主定級(jí)��,但是也得根據(jù)系統(tǒng)實(shí)際情況去定級(jí)��,有行業(yè)指導(dǎo)文件的根據(jù)指導(dǎo)文件來(lái)���,沒(méi)有文件的根據(jù)定級(jí)指南來(lái)��,總之一句話合理定級(jí)�。
二是備案�。第二級(jí)以上信息系統(tǒng)定級(jí)單位到所在地所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。省級(jí)單位到省公安廳網(wǎng)安總隊(duì)備案����,各地市單位一般直接到市級(jí)網(wǎng)安支隊(duì)備案,也有部分地市區(qū)縣單位的定級(jí)備案資料是先交到區(qū)縣公安網(wǎng)監(jiān)大隊(duì)的���,具體根據(jù)各地市要求來(lái)�����。
三是系統(tǒng)安全建設(shè)���。信息系統(tǒng)安全保護(hù)等級(jí)確定后���,運(yùn)營(yíng)使用單位按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn),選擇管理辦法要求的信息安全產(chǎn)品��,建設(shè)符合等級(jí)要求的信息安全設(shè)施�����,建立安全組織��,制定并落實(shí)安全管理制度���。
四是等級(jí)測(cè)評(píng)。信息系統(tǒng)建設(shè)完成后����,運(yùn)營(yíng)使用單位選擇符合管理辦法要求的檢測(cè)機(jī)構(gòu),對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)����。
五是監(jiān)督檢查����。公安機(jī)關(guān)依據(jù)信息安全等級(jí)保護(hù)管理規(guī)范����,監(jiān)督檢查運(yùn)營(yíng)使用單位開(kāi)展等級(jí)保護(hù)工作,定期對(duì)信息系統(tǒng)進(jìn)行安全檢查����。運(yùn)營(yíng)使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)的安全監(jiān)督、檢查�����、指導(dǎo)����,如實(shí)向公安機(jī)關(guān)提供有關(guān)材料。
其中定級(jí)�����、備案工作原則上是由用戶單位自己填寫定級(jí)備案表交給公安網(wǎng)監(jiān)部門去進(jìn)行備案工作����,但考慮到實(shí)際情況�����,絕大多數(shù)情況下都是用戶單位在測(cè)評(píng)機(jī)構(gòu)的協(xié)助下完成這些工作�。系統(tǒng)安全建設(shè)和等級(jí)測(cè)評(píng)
一�、概念
信息系統(tǒng)根據(jù)其在國(guó)家安全、經(jīng)濟(jì)建設(shè)�����、社會(huì)生活中的重要程度����,遭到破壞后對(duì)國(guó)家安全���、社會(huì)秩序�����、公共利益及公民����、法人和其他組織的合法利益的危害程度�,由低到高劃分為五個(gè)等級(jí)�����。分別是:
第一級(jí):用戶自主保護(hù)級(jí)
第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí)
第三級(jí):安全標(biāo)記保護(hù)級(jí)
第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)
第五級(jí):訪問(wèn)驗(yàn)證保護(hù)級(jí)
不同級(jí)別的信息系統(tǒng)應(yīng)該落實(shí)不同強(qiáng)度的安全要求���,為了規(guī)范安全要求的落實(shí)標(biāo)準(zhǔn),全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)制訂了《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》這個(gè)標(biāo)準(zhǔn)���,該標(biāo)準(zhǔn)對(duì)不同級(jí)別的信息系統(tǒng)應(yīng)該落實(shí)的安全要求項(xiàng)進(jìn)行了明確而具體的規(guī)定�,將其分為管理要求和技術(shù)要求總共十個(gè)類別���,分別是:
技術(shù)要求:
1����、物理安全
2�����、主機(jī)安全
3�����、應(yīng)用安全
4、網(wǎng)絡(luò)安全
5�����、數(shù)據(jù)安全及備份回復(fù)
管理要求:
1����、安全管理制度
2、安全管理機(jī)構(gòu)
3����、人員安全管理
4、系統(tǒng)建設(shè)管理
5�、系統(tǒng)運(yùn)維管理
二、政策法規(guī)
中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例
計(jì)算機(jī)信息系統(tǒng)保護(hù)等級(jí)劃分準(zhǔn)則
國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障
工作的意見(jiàn)
關(guān)于加強(qiáng)信息安全等級(jí)保護(hù)
工作的實(shí)施意見(jiàn)
信息安全等級(jí)保護(hù)管理辦法
關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知
關(guān)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)整改工作的指導(dǎo)意見(jiàn)
三���、標(biāo)準(zhǔn)規(guī)范
計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)
劃分準(zhǔn)則(基礎(chǔ)類標(biāo)準(zhǔn))
信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南(基礎(chǔ)類標(biāo)準(zhǔn))
信息系統(tǒng)安全等級(jí)保護(hù)
定級(jí)指南(應(yīng)用類標(biāo)準(zhǔn))
信息系統(tǒng)安全等級(jí)保護(hù)基本要求(應(yīng)用類建設(shè)標(biāo)準(zhǔn))
信息系統(tǒng)通用安全技術(shù)要求(應(yīng)用類建設(shè)標(biāo)準(zhǔn))
信息系統(tǒng)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求(應(yīng)用類建設(shè)標(biāo)準(zhǔn))
信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求(應(yīng)用類測(cè)評(píng)標(biāo)準(zhǔn))
信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南(應(yīng)用類測(cè)評(píng)標(biāo)準(zhǔn))
信息系統(tǒng)安全管理要求(應(yīng)用類管理標(biāo)準(zhǔn))
信息系統(tǒng)安全工程
管理要求(應(yīng)用類管理標(biāo)準(zhǔn))
四、工作流程
等級(jí)保護(hù)工作不是一件事��,而是由五件事組成的一個(gè)完整工作流程����。通常所說(shuō)的等級(jí)保護(hù)工作指的是等級(jí)保護(hù)測(cè)評(píng)這項(xiàng)工作流程。根據(jù)信息系統(tǒng)等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)��,等級(jí)保護(hù)工作總共分五個(gè)階段,分別為:
1�、定級(jí)
信息系統(tǒng)運(yùn)營(yíng)使用單位按照等級(jí)保護(hù)管理辦法和定級(jí)指南,自主確定信息系統(tǒng)的安全保護(hù)等級(jí)����。有上級(jí)主管部門的,應(yīng)當(dāng)經(jīng)上級(jí)主管部門審批�。跨省或全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護(hù)等級(jí)��。雖然是自主定級(jí)��,但是也得根據(jù)系統(tǒng)實(shí)際情況去定級(jí)����,有行業(yè)指導(dǎo)文件的根據(jù)指導(dǎo)文件來(lái),沒(méi)有文件的根據(jù)定級(jí)指南來(lái)�����,總之一句話合理定級(jí)����。
二是備案。第二級(jí)以上信息系統(tǒng)定級(jí)單位到所在地所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)�����。省級(jí)單位到省公安廳網(wǎng)安總隊(duì)備案,各地市單位一般直接到市級(jí)網(wǎng)安支隊(duì)備案���,也有部分地市區(qū)縣單位的定級(jí)備案資料是先交到區(qū)縣公安網(wǎng)監(jiān)大隊(duì)的��,具體根據(jù)各地市要求來(lái)���。
三是系統(tǒng)安全建設(shè)。信息系統(tǒng)安全保護(hù)等級(jí)確定后���,運(yùn)營(yíng)使用單位按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)��,選擇管理辦法要求的信息安全產(chǎn)品��,建設(shè)符合等級(jí)要求的信息安全設(shè)施�,建立安全組織��,制定并落實(shí)安全管理制度����。
四是等級(jí)測(cè)評(píng)���。信息系統(tǒng)建設(shè)完成后�����,運(yùn)營(yíng)使用單位選擇符合管理辦法要求的檢測(cè)機(jī)構(gòu)��,對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)���。
五是監(jiān)督檢查�����。公安機(jī)關(guān)依據(jù)信息安全等級(jí)保護(hù)管理規(guī)范�,監(jiān)督檢查運(yùn)營(yíng)使用單位開(kāi)展等級(jí)保護(hù)工作����,定期對(duì)信息系統(tǒng)進(jìn)行安全檢查。運(yùn)營(yíng)使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)的安全監(jiān)督����、檢查、指導(dǎo)�,如實(shí)向公安機(jī)關(guān)提供有關(guān)材料。
其中定級(jí)��、備案工作原則上是由用戶單位自己填寫定級(jí)備案表交給公安網(wǎng)監(jiān)部門去進(jìn)行備案工作,但考慮到實(shí)際情況����,絕大多數(shù)情況下都是用戶單位在測(cè)評(píng)機(jī)構(gòu)的協(xié)助下完成這些工作。系統(tǒng)安全建設(shè)和等級(jí)測(cè)評(píng)
