1、關于保護信息安全級別的白皮書內(nèi)蒙古小區(qū)信息安全評價有限責任公司目錄一、背景3二、什么是計算機信息系統(tǒng)的安全等級保護32.1計算機信息系統(tǒng)32.2信息安全級別保護3三、等級保護內(nèi)容43.1為什么要進行等級保護43.2等級保護內(nèi)容53.3相關政策和法律依據(jù)53.4等級保護工作的意義7四、信息系統(tǒng)安全級別的劃分和保護84.1“自主等級、自主保護”和國家監(jiān)督管理84.2信息系統(tǒng)的安全等級84.3信息系統(tǒng)安全保護等級的等級要素94.4五級保護和監(jiān)督9五、等級保護的具體內(nèi)容和要求105.1信息安全級別保護級別的工作105.2信息安全等級保護申報工作155.3安全建設整改的工作175.4等級保護評價業(yè)務32

2、5.5信息安全等級保護監(jiān)視檢查40六、內(nèi)蒙古信息安全等級保護評價中心416.1團隊構成41一、背景隨著我國信息化建設的程度越來越高，有關國家計民生的重要領域信息系統(tǒng)已經(jīng)成為國家的重要基礎設施，信息資源已成為重要戰(zhàn)略資源之一。 目前中國基礎信息網(wǎng)絡和重要信息系統(tǒng)安全面臨的形勢非常嚴峻，既有外部威脅，又有自身的脆弱性和弱點。 信息安全落后于信息化發(fā)展的信息系統(tǒng)的安全建設和管理目標不明信息安全工作重點沒有突出信息安全監(jiān)控管理沒有建立依據(jù)和標準的監(jiān)督管理措施，監(jiān)督管理系統(tǒng)還沒有完善。1994年經(jīng)黨中央和國務院批準，國家信息化領導小組必須加強信息安全保障工作，實施信息安全等級保護，重點保護基礎信息網(wǎng)絡和

3、重要信息系統(tǒng)的安全，加快安全等級保護制度的建設。 這項重大決定明確執(zhí)行中華人民共和國計算機信息系統(tǒng)安全保護條例 (國務院令147號)關于實施信息安全等級保護制度的規(guī)定，提出了從總體上解決國家信息安全問題的方法，進一步確定了信息安全發(fā)展的主線、中心任務，提出了總要求。 對信息系統(tǒng)實施等級保護是國家法定制度和基本國策，是開展信息安全保護工作的有效途徑，是信息安全保護工作的發(fā)展方向。 實施信息安全水平保護的決定具有重大的現(xiàn)實和戰(zhàn)略意義。 同時，為了更好地維護重要領域的信息系統(tǒng)的安全，將安全保護工作納入法制化、規(guī)范化、制度化管理的軌道。為了進一步貫徹中華人民共和國計算機信息系統(tǒng)安全保護條例 (國務院令

4、147號)，國家有關主管部門相繼公布了一系列等級保護制度。 國家信息化領導小組關于加強信息安全保障工作的意見 (中發(fā)行200327號)、信息安全等級保護管理辦法 (普通話200743號)、關于信息安全等級保護工作的實施意見 (普通話200466號)、關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知 (普通話2007861號)。 從2007年開始，為了提高我國基礎信息網(wǎng)絡和重要信息系統(tǒng)的信息安全保護能力和水平，從國家層面，我國政府、金融、電力、通信、交通燈基礎行業(yè)在全國組織開展了重要信息系統(tǒng)的安全水平保護。二、什么是計算機信息系統(tǒng)的安全等級保護2.1計算機信息系統(tǒng)計算機信息系統(tǒng)是指以計算機或計

5、算機網(wǎng)絡為主體，按照一定的應用目標和規(guī)則進行信息收集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)，即信息管理和信息系統(tǒng)。信息的定義：信息是事物運動狀態(tài)和特征的描述，數(shù)據(jù)是載荷信息的物理符號。 信息管理過程是信息的收集、傳遞和加工。 流向判斷、決策過程和管理活動的是信息。2.2信息安全級別的保護信息安全級別的保護是在重要程度等級別上保護信息和信息運營商的工作，是存在于很多國家的信息安全領域的工作。 在中國，信息安全等級的保護廣義上是指與這項工作有關的標準、產(chǎn)品、系統(tǒng)、信息等根據(jù)等級保護思想的安全工作，狹義上是指信息系統(tǒng)的安全水平保護，是指國家安全、法人和其他組織和市民的專用信息和公開信息和存儲、傳輸

6、， 是對要處理的信息系統(tǒng)按等級進行安全保護，按等級管理信息系統(tǒng)中使用的信息安全產(chǎn)品，按等級對應、處理信息系統(tǒng)發(fā)生的信息安全事件的綜合工作。根據(jù)其重要性和實際安全需要，合理投入、分級保護、分類指導和逐步實施涉及國計民生的基礎信息網(wǎng)絡和重要信息系統(tǒng)，保障信息系統(tǒng)的安全正常運行和信息安全，提高信息安全綜合防護能力，保障國家安全，維護社會秩序和穩(wěn)定，保障和促進信息化建設的健康發(fā)展三、等級保護內(nèi)容3.1為什么要進行等級保護？當前中國信息安全面臨的形勢依然嚴峻，維護國家信息安全的任務非常艱巨和沉重。 一是西方敵對勢力滲透網(wǎng)絡，霸權活動不斷升級，我們將長期面臨敵對勢力的信息優(yōu)勢、技術優(yōu)勢帶來的信息安全威脅。

7、 二是國內(nèi)外反動勢力在西方敵對勢力的支撐下，頻繁攻擊破壞我的重要網(wǎng)絡和信息系統(tǒng)。 2006年發(fā)生了數(shù)十件衛(wèi)星廣播電視和中斷事件，今年也發(fā)生了很多衛(wèi)星干擾事件和光纜被破壞的事件。 隨著我國經(jīng)濟的持續(xù)發(fā)展和國際地位的提高，我國基礎信息網(wǎng)絡和重要信息系統(tǒng)已成為敵對勢力、敵對分子進行攻擊、破壞、恐怖活動的重點目標。 三是電腦病毒的傳播和網(wǎng)絡的非法入侵非常嚴重. 根據(jù)公安機關的調(diào)查，今年16月，中國每月平均截獲6萬6千種計算機病毒，累計感染計算機達到1億18千萬臺。 今年年初在中國發(fā)生的“熊貓燒香”病毒事件，短時間內(nèi)出現(xiàn)了700多種病毒變種，感染了445萬臺計算機，很多網(wǎng)民的互聯(lián)網(wǎng)賬號和密碼被盜。 四是

8、網(wǎng)絡犯罪在大幅度增加。 僅2006年，公安機關就調(diào)查了網(wǎng)絡上的違法犯罪事件4萬件以上，調(diào)查了違法犯罪嫌疑人3萬人以上，比去年大幅上升。 罪犯利用一些重要信息系統(tǒng)的安全漏洞，使用黑客病毒技術、釣魚技術、特洛伊木馬間諜程序等新技術進行網(wǎng)絡盜竊、網(wǎng)絡欺詐、網(wǎng)絡賭博等違法犯罪，給用戶帶來了嚴重損害，引起了許多社會問題第五，網(wǎng)上丟失和竊聽的情況很嚴重。 一些國家和地區(qū)間諜信息機構利用我的一些機構、人員和信息系統(tǒng)，在警戒性不高、安全措施不充分的情況下在網(wǎng)絡上使我激烈地活動，以我黨政軍的要害部門和重要的信息系統(tǒng)為目標。 近年來，受災嚴重的網(wǎng)絡丟失、盜竊事件頻發(fā)。 六、網(wǎng)絡安全管理差，安全對策不足，發(fā)生了信息

9、系統(tǒng)運行事故。 金融、民航等重要信息系統(tǒng)連續(xù)發(fā)生運行事故，不僅直接影響了生產(chǎn)業(yè)務的正常運行，還帶來了嚴重的社會影響。面對復雜的信息安全形勢，胡錦濤總書記等中央領導總是重視信息安全工作，多次發(fā)出重要指示。 中央政治局第三十八屆學習會上，胡錦濤總書記表示，現(xiàn)在國際上圍繞信息的獲取、利用和控制的斗爭越來越激烈，保護國家在網(wǎng)絡空間的安全和利益成為信息時代的重要戰(zhàn)略課題。 我們要敏銳地把握現(xiàn)在世界信息化發(fā)展的趨勢，積極推進國民經(jīng)濟和社會信息化，確保我國在激烈的國際競爭中掌握主動權。對評價工作各部門的支援一)符合國家信息安全等級保護相關政策和標準要求2 )實現(xiàn)信息系統(tǒng)的等級化保護和等級化管理。3 )了解自

10、己系統(tǒng)的安全，了解信息安全現(xiàn)狀和面臨的威脅，以幫助客戶獲得業(yè)務到技術的集成需求。4 )幫助客戶理解自己系統(tǒng)安全要求的底線，改造盲人系統(tǒng)和購買設備，避免資金和資源浪費。5 )建立有效的信息安全系統(tǒng)，完善信息安全體系結構，保障客戶業(yè)務數(shù)據(jù)的安全和連續(xù)性。6 )通過完善管理制度提高顧客的安全意識，減少和避免人為因素引起的安全事件的發(fā)生。3.2等級保護內(nèi)容l對管理和保護國家秘密信息、法人和其他組織和公民的專用信息、公開信息的分類等級的信息系統(tǒng)按業(yè)務安全應用區(qū)域和區(qū)域進行分層保護。分階段管理l系統(tǒng)使用的信息安全產(chǎn)品。l等級系統(tǒng)的安全服務資格等級管理。對l信息系統(tǒng)中發(fā)生的信息安全事件按等級進行應答處理l5

11、項規(guī)定工作：信息系統(tǒng)等級設定、備案、安全建設評審、等級評價、監(jiān)督檢查。3.3相關政策和法律依據(jù)3.3.1相關政策1994年國務院公布了中華人民共和國國務院令(147號) 中華人民共和國計算機信息系統(tǒng)安全保護條例。 從此，國家有關主管部門陸續(xù)公布幾個政策和標準，等級保護作為國家信息安全保障整改建設的標準，進入了著陸階段關于2003年召開、國事共同發(fā)表的中間發(fā)行200327號文件，轉發(fā)國家信息化領導小組關于加強信息安全保障工作的意見的通知2004年由公安部、秘密局、國密閥及國信閥共同公布的公通字200466號文件關于信息安全等級保護工作的實施意見；2007年由公安部、秘密局、國密瓣和國信瓣共同公布

12、的公通字200743號文件信息安全等級保護管理辦法。2007年由公安部、秘密局、國密閥和國信閥共同公布的公信安2007861號文件關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知。2007年公安部公布的公信安20071360號文件信息安全等級保護備案實施細則。2008年公安部公布的公信安2008736號文件公安機關信息安全等級保護檢查工作規(guī)范。2008年公安部、秘密局、國家發(fā)展改革委員會公布的發(fā)展改革技術20082071號文件關于加強國家電子政務工程建設項目信息安全風險評估工作的通知2009年公安部公布的公信安20091429號文件關于開展信息安全等級保護安全建設整改工作的指導意見。2010

13、年公安部公布的公信安2010303號文件關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知。3.3.2國家相關政策在計算機信息系統(tǒng)安全等級保護工作中的作用：3.3.3區(qū)域政策和其他行業(yè)指導文件內(nèi)蒙古自治區(qū)相關文件2011年內(nèi)蒙古自治區(qū)人民政府公布第183號政府令內(nèi)蒙古自治區(qū)計算機信息系統(tǒng)安全保護辦法，2012年2月1日開始實施，計算機系統(tǒng)信息安全水平的保護，已在內(nèi)蒙古自治區(qū)進入著陸階段2012年內(nèi)蒙古自治區(qū)發(fā)改委、財政廳、公安廳、保密局、內(nèi)網(wǎng)事務所共同發(fā)表了內(nèi)發(fā)改高技術字(2012)2242號文件轉發(fā)國家發(fā)改委等五部門關于進一步加強國家電子政務網(wǎng)絡建設和應用工作的通知2013年內(nèi)蒙古

14、自治區(qū)人民政府辦公室發(fā)表了內(nèi)政事務所(2013)133號文件內(nèi)蒙古自治區(qū)人民政府辦公廳關于開展政府網(wǎng)站信息安全等級保護工作的通知3.3.4其他行業(yè)指導文件2007年國家電力監(jiān)督委員會發(fā)布了電氣監(jiān)視信息200744號電力行業(yè)信息系統(tǒng)等級保護定級工作指導建議號、電氣監(jiān)視信息200750號電力行業(yè)網(wǎng)絡與信息安全監(jiān)督管理暫行規(guī)定號2011年國家衛(wèi)生部向衛(wèi)生部發(fā)行了201185號文件衛(wèi)生行業(yè)信息安全等級保護工作的指導建議2012年中央銀行發(fā)布銀發(fā)2012163號文件中國人民銀行關于銀行業(yè)金融機構信息系統(tǒng)安全等級保護定級的指導意見、2012171號文件中國人民銀行金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引等

15、三個行業(yè)標準的通知。3.4等級保護工作的意義信息安全等級保護是國家信息安全保障的基本制度、基本戰(zhàn)略、基本方法，開展信息安全等級保護是保護信息化發(fā)展、維護國家信息安全的根本保障。 實施信息安全等級保護制度，使信息系統(tǒng)的運用使用部門和主管部門可以按標準進行安全的建設、完善，信息系統(tǒng)的安全性也有測量尺度。信息安全等級的保護有效地體現(xiàn)了“適度的安全保護重點”的目的，將有限的財力和人力投入到重要信息系統(tǒng)的安全保護中，根據(jù)標準建立安全保護措施，建立安全保護制度，落實安全責任，加強監(jiān)督檢查，有效地保護重要信息系統(tǒng)的安全，我國信息和信息系統(tǒng)的安全建設的整體框架建立信息安全等級保護制度，開展信息安全等級保護工作

16、，優(yōu)化信息安全資源配置，有利于在信息化建設過程中同步建設信息安全設施，保障信息安全和信息化建設的協(xié)調(diào)，為信息系統(tǒng)的安全建設和管理提供系統(tǒng)、目的、可行性的指導和服務， 明確有助于重點保障基礎信息網(wǎng)絡和有關國家安全、經(jīng)濟生命脈、社會穩(wěn)定等重要信息系統(tǒng)安全的國家、法人、其他組織、公民的信息安全責任，促進有助于加強信息安全管理的信息安全產(chǎn)業(yè)發(fā)展，有助于探索適應社會主義市場經(jīng)濟發(fā)展的信息安全模式3.5等級保護涉及行業(yè)和系統(tǒng)根據(jù)等級保護政策的要求，必須實施等級保護的信息系統(tǒng)包括黨政：(黨委、政府等)金融：(銀行、保險、證券等)和財稅系統(tǒng)(財政、稅務、工商等)經(jīng)濟貿(mào)易：(商貿(mào)、海關等)通信：(郵政、電信業(yè)、

17、廣播、電視等)能源：(電力、熱、煤氣、煤炭、礦業(yè)、燃料、水利、供水等)交通運輸：(宇宙、航空、鐵路、道路、水運、海上運輸?shù)?社會應急服務：(醫(yī)療、消費、緊急救援等)教育科學研究：(教育、科學研究、尖端科學技術等)防衛(wèi)建設系統(tǒng)：國有大中型企業(yè)：為互聯(lián)機構、訪問機構、重點網(wǎng)站和公眾提供互聯(lián)網(wǎng)服務的場所的信息系統(tǒng)。四、信息系統(tǒng)安全級別的劃分和保護4.1“自主等級、自主保護”和國家監(jiān)督管理辦法第6條中，信息安全水平的保護堅持“自主水平、自主保護”的原則。 信息系統(tǒng)的運用使用單位和主管部門是信息安全水平保護的責任主體，根據(jù)所屬信息系統(tǒng)的重要性和被破壞后的危害程度，自主決定信息系統(tǒng)的安全水平。 同時按照規(guī)定等級，相應等級的管理規(guī)范和技術標準，建設信息安全保護設施，建立安全制度，實行安全責任，自主保護信息系統(tǒng)。在等級保護工作中，信息系統(tǒng)運營使用部門和主管