信息安全等级保护培训教材
(第一册)
目 录
一、信息安全等级保护政策体系 (一)总体方面的政策文件 (二)具体环节的政策文件
1、定级环节 2、备案环节
3、安全建设整改环节 4、等级测评环节 5、安全检查环节
二、信息安全等级保护标准体系
(一)各类标准与等级保护工作的关系
1、基础标准 2、安全要求类标准 3、定级类标准 4、方法指导类标准 5、现状分析类标准
(二)在应用有关标准中需注意的几个问题
三、信息安全等级保护安全管理制度建设和技术措施建设 (一)信息安全等级保护安全管理制度建设
1、开展安全管理制度建设的依据
2、开展安全管理制度建设的内容 3、开展安全管理制度建设的要求
(二)开展信息安全等级保护安全技术措施建设
1、开展安全技术措施建设的依据 2、开展安全技术措施建设的内容 3、开展安全技术措施建设的要求
四、安全建设整改工作的原则和主要思路 (一)工作目标 (二)工作范围 (三)工作方法
五、安全建设整改工作基本流程 六、信息安全产品的选择使用 七、信息系统安全等级测评工作 (一)测评机构的选择 (二)等级测评工作的开展 八、安全自查和监督检查 (一)备案单位的定期自查 (二)行业主管部门的督导检查 (三)公安机关的监督检查 九、工作要求
(一)同步部署,同步实施 (二)加强宣传,树立典型
(三)认真总结,及时报送
广西壮族自治区
信息安全等级保护培训教材
公安部、国家保密局、国家密码管理局和原国务院信息办2007年7月在全国范围内组织开展的信息系统定级备案工作已基本完成。通过定级,基本摸清了国家基础网络和信息系统底数,掌握了关系国家安全、国计民生的重要信息系统基本情况,为深入开展信息安全等级保护工作打下了坚实基础。
近年来,公安部会同有关部门开展了信息系统等级保护安全建设整改工作的试点、示范,以及为期3个月的信息安全等级保护测评体系建设试点工作,组织制定了《信息系统等级保护安全设计技术要求》、《信息安全等级保护测评机构及测评人员管理细则》和《信息系统等级保护测评报告模版》相关标准规范,在此基础上出台了《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号,以下简称《指导意见》),为指导各单位、各部门开展信息安全等级保护安全建设整改工作(以下简称“安全建设整改工作”)奠定了基础。为了明确开展信息安全等级保护安全建设整改工作的内容和要求,这里对有关问题进一步进行解释说明。
一、信息安全等级保护政策体系
近几年,为组织开展信息安全等级保护工作,公安部根据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)的授权,会同国家保密局、国家密码管理局和原国务院信息办出
台了一些文件,发改委会同公安部、国家保密局出台了相关文件,公安部对有些具体工作出台了一些指导意见和规范,这些文件初步构成了信息安全等级保护政策体系(如图1所示),为指导各地区、各部门开展等级保护工作提供了政策保障。为了方便使用,我们已将信息安全等级保护政策文件汇编成《信息安全等级保护政策汇编》发给有关单位、部门。
定级 信息安全等级保护工作 备案 1 信息安全等级保护法律政策体系安全建设整改 等级测评图 [2007]1360 检查 (一)总体方面的政策文件 级《《作《号全《行关(《工关的关)风关)试公信》于总体方面的文件有两个,这两个文件确定了等级保护制度的作于指于险于印行安息的的开导开评加)安通发》机《通展意展估强(关全知信总体内容和要求,对等级保护工作的开展起到宏观指导作用。 号等知全见信工国公信(息)级》》作家信息(国(息公系的电安安重保公公系信统1、《关于信息安全等级保护工作的实施意见》(公通字通子护全通要信统安安知等政信备字安全等》级务息案(级[2004]66号)该文件是为贯彻落实国务院第147等号令和中办27保系。实发工级保护统施改程号护测安建安细高)检评号文件、由四部委共同会签印发、指导相关部门实施信息安全等全设全技则号报查号等建项》)告号工)级(设目)级保护工作的纲领性文件,主要内容包括贯彻落实信息安全等级模公作整信保版信改息规护(安工安范试工作要求和实定保护制度的基本原则,等级保护工作的基本内容、 [2008]736[2009]1487施计划,以及各部门工作职责分工等。 2、《信息安全等级保护管理办法》(公通字[2007]43号)。该《关于信息安全等级保护工作的实施意见》(公通字[2004]66号) 文件是在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上,由四部委共同会签印发的重要管理规《中华人民共和国计算机信息系统《国家信息化领导小组关于加强信息安全范,主要内容包括信息安全等级保护制度的基本内容、流程及工安全保护条例 》(国务院147号令) 保障工作的意见》(中办发[2003]27号) 作要求,信息系统定级、备案、安全建设整改、等级测评的实施
[2007]861 《信息安全等级保护管理办法》(公通字[2007]43号) [2009]1429 [2008]2071 与管理,信息安全产品和测评机构选择等,为开展信息安全等级保护工作提供了规范保障。
(二)具体环节的政策文件
对应等级保护工作的具体环节(信息系统定级、备案、安全建设整改、等级测评、安全检查),出台了相应的政策规范:
1、定级环节
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)。2007年7月20日四部委在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”,会议根据该通知精神部署在全国范围内开展重要信息系统安全等级保护定级工作,标志着全国信息安全等级保护工作全面开展。该文件由四部委共同会签印发。
2、备案环节
《信息安全等级保护备案实施细则》(公信安[2007]1360号)。该文件规定了公安机关受理信息系统运营使用单位信息系统备案工作的内容、流程、审核等内容,并附带有关法律文书,指导各级公安机关受理信息系统备案工作。该文件由公安部网络安全保卫局印发。
3、安全建设整改环节
(1)《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)。该文件明确了非涉及国家秘密信息系统开展安全建设整改工作的目标、内容、流程和要求等,文件附件包括《信息安全等级保护安全建设整改工作指南》和《信
信息安全等级保护培训教材(第1册)
