计算机信息系统安全等级保护白皮书

信息安全等级保护白皮书内蒙古信元信息安全评测有限责任公司目录一、背景............................................................3二、计算机信息系统安全等级保护是什么................................32.1计算机信息系统................................................32.2信息安全等级保护..............................................4三、等级保护内容....................................................43.1为什么要做等级保护............................................43.2等级保护内容..................................................63.3相关政策及法律依据............................................63.4等级保护工作意义..............................................8四、信息系统安全保护等级的划分与保护...............................104.1“自主定级、自主保护”与国家监管..............................104.2信息系统安全保护等级.........................................104.3信息系统安全保护等级的定级要素...............................114.4五级保护和监管...............................................11五、等级保护具体内容和要求.........................................125.1信息安全等级保护定级工作.....................................125.2信息安全等级保护备案工作.....................................175.3安全建设整改工作.............................................195.4等级保护测评工作.............................................345.5信息安全等级保护监督检查.....................................42六、内蒙古信息安全等级保护测评中心.................................436.1团队组成.....................................................43一、背景随着我国信息化建设程度越来越高，关系国计民生的重要领域信息系统已成为国家的关键基础设施，信息资源已成为重要的战略资源之一。当前，我国基础信息网络和重要信息系统安全面临的形势十分严峻，既有外部威胁，又有自身脆弱性和薄弱环节。信息安全滞后于信息化发展；信息系统安全建设和管理的目标不明确；信息安全保障工作的重点不突出；信息安全监督管理缺乏依据和标准；监管措施有待到位，监管体系尚待完善。1994年经党中央和国务院批准，国家信息化领导小组决定加强信息安全保障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全，要抓紧安全等级保护制度建设。这一重大决定，明确落实了《中华人民共和国计算机信息系统安全保护条例》（国务院令147号）中关于实行信息安全等级保护制度的有关规定，提出了从整体上根本上解决国家信息安全问题的办法,进一步确定了信息安全的发展主线、中心任务，提出了总要求。对信息系统实行等级保护是国家法定制度和基本国策，是开展信息安全保护工作的有效办法，是信息安全保护工作的发展方向。实行信息安全等级保护的决定具有重大的现实和战略意义。同时为了更好的维护重要领域信息系统的安全，使安全保护工作走上法制化、规范化、制度化管理轨道。为进一步贯彻落实《中华人民共和国计算机信息系统安全保护条例》（国务院令147号），国家相关主管部门相继颁布了一系列等级保护制度。《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《信息安全等级保护管理办法》（公通字[2007]43号)、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）。自2007年开始，为了提高我国基础信息网络和重要信息系统的信息安全保护能力和水平，从国家层面开始推动我国的政府、金融、电力、通信、交通灯基础行业在全国范围内组织开展重要信息系统安全等级保护工作。二、计算机信息系统安全等级保护是什么2.1计算机信息系统计算机信息系统是指以计算机或计算机网络为主体，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统，即信息管理与信息系统。信息的定义：信息是对事物运动状态和特征的描述，而数据是载荷信息的物理符号。信息管理过程就是信息的收集、传递、加工。判断、决策的过程，管理活动中流动的是信息。2.2信息安全等级保护信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上称为的一般指信息系统安全等级保护，是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。对涉及国计民生的基础信息网络和重要信息系统按其重要程度及实际安全需求，合理投入，分级进行保护，分类指导，分阶段实施，保障信息系统安全正常运行和信息安全，提高信息安全综合防护能力，保障国家安全，维护社会秩序和稳定，保障并促进信息化建设健康发展，拉动信息安全和基础信息科学技术发展与产业化，进而牵动经济发展，提高综合国力。三、等级保护内容3.1为什么要做等级保护当前，我国信息安全面临的形势仍然十分严峻，维护国家信息安全的任务十分艰巨、繁重。一是西方敌对势力对我网上渗透和颠覆活动不断升级，我们将长期面临敌对势力的信息优势、技术优势所带来的信息安全威胁。二是境内外反动势力在西方敌对势力的支持下，对我重要网络和信息系统频繁进行攻击破坏。2006年就发生几十起攻击我卫星广播电视和插播事件，今年以来又发生多起卫星受干扰事件和光缆遭人为破坏事件。随着我国经济的持续发展和国际地位的不断提高，我国的基础信息网络和重要信息系统正成为敌对势力、敌对分子进行攻击、破坏和恐怖活动的重点目标。三是计算机病毒传播和网络非法入侵十分严重。据公安机关调查，今年1-6月，我国平均每月截获计算机病毒6.6万个，累计感染计算机达1.18亿台次。今年初在我国发生的“熊猫烧香”病毒案，短时间内就出现病毒变种700余个，感染了445万台计算机，大批网民的网上帐号、口令被窃取。四是网络违法犯罪持续大幅上升。仅2006年，公安机关就查处网上违法犯罪案件4万多起，查获违法犯罪嫌疑人3万多名，同比大幅上升。犯罪分子利用一些重要信息系统的安全漏洞，使用黑客病毒技术、网络钓鱼技术、木马间谍程序等新技术进行网络盗窃、网络诈骗、网络赌博等违法犯罪，给用户造成严重损失，引发诸多社会问题。五是网上失、窃密情况严重。一些国家和地区间谍情报机关利用我一些单位、人员和信息系统防范不严、警惕性不高、安全措施不力的状况在网上大肆对我进行窃密活动，目标直指我党政军要害部门和重要信息系统。近年来，已发生多起危害严重的网上失、窃密案件。六是网络安全管理不善，安全措施不到位，信息系统运行事故时有发生。金融、民航等重要信息系统连续发生运行事故，不仅直接影响生产业务的正常运行，而且造成了严重社会影响。面对复杂的信息安全形势，胡锦涛总书记等中央领导同志对信息安全工作始终高度重视，先后多次作出重要指示。在中央政治局第38次学习会上，胡锦涛总书记明确指出，当前，国际上围绕信息获取、利用、控制的斗争日趋激烈，维护国家在网络空间的安全和利益成为信息时代的重大战略课题。要求我们必须敏锐地把握当今世界信息化发展的趋势，积极推进国民经济和社会信息化，确保我国在日趋激烈的国际竞争中掌握主动权。※测评工作对各单位的帮助1)满足国家信息安全等级保护相关政策与标准要求2)实现信息系统等级化保护和等级化管理。3)帮助客户了解自身系统的安全性，了解信息安全现状和所面临的威胁，从而获得从业务面到技术面的整合需求。4)帮助客户了解自身系统的安全要求底线，避免盲目的整改系统及采购设备，造成资金与资源的浪费。5)建立有效的信息安全体系、完善信息安全架构，保障客户的业务数据安全与连续性。6)通过完善管理制度增强客户的安全意识，减少和避免人为因素造成的安全事件的发生。3.2等级保护内容对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护；对信息系统按业务安全应用域和区实行分级保护。对系统中使用的信息安全产品实行按分级管理。对等级系统的安全服务资质分级管理。对信息系统中发生的信息安全事件分等级响应、处置五个规定动作：信息系统定级、备案、安全建设整改、等级测评、监督检查。3.3相关政策及法律依据3.3.1相关政策1994年国务院发布了中华人民共和国国务院令（147号）《中华人民共和国计算机信息系统安全保护条例》。自此，国家相关主管部门陆续发布了多项政策及标准，等级保护作为国家信息安全保障整改建设的标准，逐步进入落地阶段：2003年中办、国办联合发布的中办发[2003]27号文件，关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知；2004年公安部、保密局、国密办以及国信办联合发布的公通字[2004]66号文件《关于信息安全等级保护工作的实施意见》；2007年公安部、保密局、国密办和国信办联合发布的公通字[2007]43号文件《信息安全等级保护管理办法》。2007年公安部、保密局、国密办和国信办联合发布的公信安[2007]861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》。2007年公安部发布的公信安[2007]1360号文件《信息安全等级保护备案实施细则》。2008年公安部发布的公信安[2008]736号文件《公安机关信息安全等级保护检查工作规范》。2008年公安部、保密局、国家发改委发布的发改高技[2008]2071号文件《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》2009年公安部发布的公信安[2009]1429号文件《关于开展信息安全等级保护安全建设整改工作的指导意见》。2010年公安部发布的公信安[2010]303号文件《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》。3.3.2国家相关政策在计算机信息系统安全等级保护工作中的作用：3.3.3地区性政策及其他行业指导性文件※内蒙古自治区相关文件2011年内蒙古自治区人民政府发布第183号政府令《内蒙古自治区计算机信息系统安全保护办法》，自2012年2月1日期施行，计算机系统信息安全等级保护工作在内蒙古自治区进入落地阶段2012年内蒙古自治区发改委、财政厅、公安厅、保密局、内网办联合发布内发改高技字（2012）2242号文件《转发国家发改委等五部门关于进一步加强国家电子政务网络建设和应用工作的通知》2013年内蒙古自治区人民政府办公厅发布内政办（2013）133号文件《内蒙古自治区人民政府办公厅关于