17、18 信息系统等级保护 公安部信息安全等级保护评估中心.ppt

公安部信息系统安全等级保护评估中心贯彻贯彻 27 27号文件号文件积极推进信息系统等级建设积极推进信息系统等级建设公安部信息安全等级保护评估中心朱建平公安部信息系统安全等级保护评估中心目录目录 1 1等级保护是国家基本政策等级保护是国家基本政策 2 2建立国家信息安全等级保护机制建立国家信息安全等级保护机制 3 3信息系统安全等级保护制度实施方法信息系统安全等级保护制度实施方法 4 4等级化系统的建设等级化系统的建设 2017-2-13 3 公安部信息安全等级保护评估中心 1 1、、等级保护是国家基本政策等级保护是国家基本政策?27号文件进一步明确了我国的基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统实行等级保护制度; ?同时要求等级保护工作需要各部门根据职能分工、协同配合。 2017-2-13 4 公安部信息安全等级保护评估中心 1 1、、等级保护是国家基本政策等级保护是国家基本政策?信息安全等级保护是《中华人民共和国计算机信息系统安全保护条例》规定的法定保护制度,具有强制性; ?第二是以国家制度推进信息和信息系统安全保护责任的落实; ?第三是符合客观实际,具有科学性; ?第四是具有自我保护与国家保护相结合的长效保护机制; ?第五是突出保护重点,国家优先重点保护涉及国计民生的信息系统,国家基础信息网络和重要信息系统内分级重点保护三级以上的局域网和子系统安全; ?第六是具有整体保护性,在突出重点,兼顾一般的原则下,着重加强重点、要害部位,由点到面进行保护, 逐步实现信息安全整体保障。 2017-2-13 5 公安部信息安全等级保护评估中心 2 2、建立国家信息安全等级保护机制、建立国家信息安全等级保护机制国家实行信息安全等级保护,必须紧紧抓住抓好五个关键环节,形成长效信息安全等级保护运行机制。国家信息安全等级保护制度运行机制有以下关键环节构成: 1. 法律规范 。 2017-2-13 6 公安部信息安全等级保护评估中心 2 2、建立国家信息安全等级保护机制、建立国家信息安全等级保护机制 :国家制定和完善信息安全等级保护政策、法律规范以及组织实施规则和方法,完善信息安全保护法律体系; :制定符合国情的标准,建立等级保护体系; :明确落实系统拥有者的安全责任制,系统拥有者按法律规定和安全等级标准的要求进行信息系统的建设和管理,并承担应急管理责任,在信息系统生命周期内进行自管、自查、自评,建立安全管理体系。安全产品的研发者提供符合安全等级标准要求的技术产品。 2017-2-13 7 公安部信息安全等级保护评估中心 2 2、建立国家信息安全等级保护机制、建立国家信息安全等级保护机制 :建立非盈利并能够覆盖全国的系统安全等级保护的执法检查与评估体系,使用统一标准和工具开展系统安全等级保护检查评估工作。 :公安机关依法行政,督促安全等级保护责任制的落实,以等级保护标准监督、检查、指导基础信息网络和重要信息系统安全等级保护建设、管理。对安全等级技术产品实行监管, 对监测评估机构实施监管。政府其他职能部门应当认真履行职责,依法行政,按职责开展信息安全等级保护专项制度建设工作,完善信息安全监督体系。 2017-2-13 8 公安部信息安全等级保护评估中心 3 3、、信息系统安全等级保护制度实施方法信息系统安全等级保护制度实施方法首先,公安、国家保密、国家密码管理、技术监督、信息产业等国家有关信息网络安全的行政主管部门要在国家信息化领导小组的统一领导下,制定我国开展信息网络安全等级保护工作的发展政策,统一制定针对不同安全保护等级的管理规定和技术标准,对不同信息网络确定不同安全保护等级和实施不同的监督管理措施,既包括依法进行行政监督、检查和指导,也包括依据国家技术标准进行的技术检查和评估。 2017-2-13 9 公安部信息安全等级保护评估中心 3 3、、信息系统安全等级保护制度实施方法信息系统安全等级保护制度实施方法其次,等级保护坚持“谁主管、谁负责;谁经营、谁负责;谁建设、谁负责;谁使用、谁负责。”的原则。 2017-2-13 10 公安部信息安全等级保护评估中心 3 3、、信息系统安全等级保护制度实施方法信息系统安全等级保护制度实施方法第三,等级保护实行“国家主导;重点单位强制,一般单位自愿;高保护级别强制,低保护级别自愿”的监管原则。