信息安全等级保护评估中心.ppt

信息安全等级保护福建省网络与信息安全测评中心康仲生一、信息安全等级保护工作概述(一)开展信息安全等级保护工作的政策和法律依据。(一)开展信息安全等级保护工作的政策和法律依据。 1994 年, 《中华人民共和国计算机信息系统安全保护条例》(国务院 147 号令)规定, “计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法, 由公安部会同有关部门制定”。 1995 年2月18日人大 12次会议通过并实施的《中华人民共和国警察法》第二章第六条第十二款规定,公安机关人民警察依法履行“监督管理计算机信息系统的安全保护工作”。——法律依据。 1999 年,强制性国家标准- 《计算机信息系统安全保护等级划分准则》GB 17859 )。(一)开展信息安全等级保护工作的政策和法律依据。(一)开展信息安全等级保护工作的政策和法律依据。 2003 年,中办、国办转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出“实行信息安全等级保护”。“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。 2004 年,公安部、国家保密局、国家密码管理局、国信办联合印发了《关于信息安全等级保护工作的实施意见》(66号文件) 2007 年6月,公安部、国家保密局、国家密码管理局、国信办联合制定了《信息安全等级保护管理办法》(公通字[2007]43 号) (二)近年来信息安全等级保护工作进展一是制定了 50多个国标和行标,初步形成了信息安全等级保护标准体系二是开展了等级保护基础调查工作三是开展了等级保护试点工作四是出台了 66号文、 43号文、 861 号文等政策文件。五是召开“全国重要信息系统安全等级保护定级工作电视电话会议”六是成立“国家信息安全等级保护协调小组”(三)开展信息安全等级保护工作的重要意义信息安全等级保护制度是国家信息安全保障的基本制度、基本策略、基本方法;是当今发达国家的通行做法,也是我国多年来信息安全工作经验的总结。开展信息安全等级保护工作:有利于同步建设;有利于指导和服务;有利于保障重点;有利于明确责任;有利于产业发展(四)开展等级保护工作的总体要求 1、各基础信息网络和重要信息系统,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。 2、公安机关和保密、密码工作部门要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。 3、对故意将信息系统安全级别定低,逃避公安、保密、密码部门监管,造成信息系统出现重大安全事故的,要追究单位和人员的责任。二、明确各方责任义务二、明确各方责任义务(一)、《管理办法》中第二条明确了国家的责任国家通过制定统一的信息安全等级保护管理规范和技术标准, 组织公民、法人和其他组织对信息系统分等级实行安全保护, 对等级保护工作的实施进行监督、管理。信息安全监管部门包括公安机关、保密部门、国家密码工作部门。信息安全监管部门代表国家制定等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。(二)、《管理办法》第三条明确了信息安全监管部门的职责公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。