信息安全等级保护的工作进展
一、2006年1月制定出台了《信息安全等级保护管理办法(试行)》。
二、2006年5月18日组织召开了国家信息安全等级保护工作协调小组第一次会议。
三、制定了等级保护系列技术标准。
四、开展了等级保护基础调查工作。
五、部署开展信息安全等级保护试点工作。
六、出台新的《信息安全等级保护管理办法》。
七、筹备召开全国信息系统定级工作。(基本完成)
八、安全建设整改、等级测评和检查。(正在进行)
下一步等级保护工作部署
一、总体思路
充分借鉴北京奥运会信息网络安全工作成功经验,健全完善等级保护工作机制,明确重点工作对象,明确工作分工和任务要求,严格落实安全责任制,认真抓好安全建设整改、等级测评和检查等三项重点工作。
二、工作目标
各地区、各部门要依据等级保护有关政策和标准,通过开展等级测评,明确等级保护安全建设整改需求,有针对性地开展安全等级保护管理制度建设和技术措施建设,并通过监督检查,落实等级保护制度的各项要求,使重要信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益。2010年底前完成涉及国家秘密的信息系统分级保护建设任务,2011年底前完成第三级以上(含)信息系统安全建设任务。
三、工作内容
(一)开展信息系统安全等级保护测评,明确安全建设整改需求。
开展信息安全等级测评工作是掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确安全建设需求的有效措施。
备案单位选择符合《管理办法》和有关标准规定条件的测评机构开展等级测评 测评机构依据《信息系统安全等级保护测评要求》等进行测评
测评机构按照公安部制订的《信息系统安全等级测评报告模版》编制测评报告
备案单位根据测评报告中的改进建议,研究确定系统安全建设整改的目标、内容和要求
系统安全建设整改工作完成后,应再次进行等级测评
第三级以上信息系统每年至少一次等级测评 备案单位应及时向受理备案的公安机关提交测评报告
(二)开展信息系统安全等级保护管理制度建设
参照《信息系统安全等级保护基本要求》、《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准,建立健全符合相应等级要求的安全管理制度。定期检查制度落实情况并不断完善。
信息安全责任制。要明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任;
(三)开展信息系统安全等级保护技术措施建设 。
参照《信息系统安全等级保护基本要求》、《信息系统通用安全技术要求》等有关标准,结合行业特点和安全需求,制定符合相应等级要求的信息系统安全技术建设方案。
按照建设方案,参照《信息系统安全等级保护实施指南》、《信息系统安全工程管理要求》等有关标准和信息安全产品分等级使用要求,组织实施信息系统安全建设工程,建立健全相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。
既可以针对等级测评发现的问题进行整改,也可以重新全面规划安全建设。
建立并完善系统安全保障体系,提高系统的整体安全防护能力
在系统安全保护技术设计中,可以结合实际,参照《信息系统等级保护安全设计技术要求》进行。
(四)开展等级测评机构建设和管理
《关于开展信息安全等级保护测评体系建设试点工作的通知 》(公信安[2009]812号)
《信息安全等级保护等级测评实施细则》
推动测评机构建设模式,探索测评机构能力建设和确认的内容和方法 探索测评人员条件、能力以及资格等内容和要求。
根据信息安全等级测评的实际需要,有计划地开展信息安全等级测评机构建设 。
等级测评机构应当符合《信息安全等级保护管理办法》的有关条件,并向当地等级保护工作协调(领导)小组办公室备案,供备案单位选择。
等级测评机构应当遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务;保守秘密,防范测评风险;对测评人员进行教育,并负责检查落实。
各级等级保护工作协调(领导)小组办公室对备案的测评机构实施管理。 加强对测评过程的管理,审核、审查 。
加强对测评机构的管理(条件、能力、培训、测评活动的规范)。
(五)开展信息安全等级保护工作的监督管理 。
各地区、各部门和各有关单位要定期对本地区、本部门、本单位等级保护安全责任制、安全管理制度及技术保护措施等信息安全等级保护制度的落实情况进行督促,定期开展自查和抽查。
公安机关应当按照《管理办法》和《公安机关信息安全等级保护检查工作规范》(公信安[2008]736号)的有关要求,会同主管部门定期对第
三、四级信息系统备案单位信息安全等级保护工作情况进行检查,及时发现问题并督促整改。
四、工作步骤
1、部署阶段:要利用多种形式,积极开展宣贯培训。结合本部门、本行业特点和实际情况认真研究贯彻落实意见,明确具体工作目标、内容和计划安排,制定具体落实工作方案。
2、等级测评阶段:要组织信息系统运营使用单位,通过等级测评和风险评估等方法,对照相关标准进行差距评估,查找信息系统安全隐患和问题,明确信息系统安全建设整改需求,制定信息系统安全建设整改方案,经专家评审、主管部门审批后报公安机关备案。
3、建设整改阶段:各地区、各部门全面开展重要信息系统安全建设整改工作。建设整改完成后要开展等级测评,针对测评发现的问题进一步开展整改,直至符合等级保护制度要求。重要行业、重要部门可以根据实际情况,选择有代表性的信息系统进行安全建设整改试点、示范,及时总结并推广先进经验。重点行业可以根据国家标准,在有关部门指导下,结合行业特点制定行业规范。
4、总结阶段:各地区、各部门要结合开展重要信息系统安全建设工作的实际,认真总结经验,查找不足,提出改进和完善安全建设工作的意见和建议,报国家信息安全等级保护工作协调小组办公室
五、工作要求
1、加强领导,落实责任。各地区、各部门要高度重视重要信息系统等级保护安全建设工作,按照“谁主管谁负责、谁运行谁负责”的原则,切实加强对重要信息系统安全建设工作的组织领导,完善工作机制,明确安全责任,落实等级保护工作的行业主管责任。信息系统运营使用单位要落实责任部门、责任人员和安全建设经费,保障安全建设工作顺利进行。
2、明确职责,密切配合。各级公安机关、保密工作部门、国家密码管理部门要加强对各单位、各部门安全建设工作落实情况的监督、检查、指导,各级工业和信息化部门要按照《管理办法》的要求加强对等级保护工作的协调。各信息系统主管部门组织本行业、本部门信息系统运营使用单位开展安全建设工作,督促、指导其落实各项工作任务。各信息系统运营使用单位依据《管理办法》和本通知要求,具体实施安全建设工作。
3、及时总结,取得成效。自2009年起,各地区、各部门要对等级保护工作开展情况进行年度总结,于每年年底前报同级信息安全等级保护协调(领导)小组办公室。备案单位每季度要对定级备案情况、等级测评情况、安全建设整改情况和自查情况等工作进行总结,形成总结报告并报受理备案的公安机关。