等级保护标准体系-相关法律法规
网络安全等级保护介绍
网络安全等级保护是指对国家安全、公民法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。
提出:中华人民共和国计算机信息系统安全保护条例 (1994年国务院147号令)
第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
法律基础:
2007年6月,公安部国家保密局、国家密码管理局、国务院信息化工作办公室4部门联合发布的《 关于印发《信息安全等级保护管理办法》的通知 》(公通字[2007]43号)
全面实施:
2007年7月,公安部等4部门联合发布的《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)
等级保护工作的原则
- 明确责任,共同保护 ,组织动员国家、法人和其他组织、公民共同参与;各主体按照标准和规范分别承担相应的安全保护责任;
- 依照标准,自行保护,按照国家强制性标准和规范以及建设及管理要求,自行定级,自行保护。
- 同步建设,动态调整, 新建、改建、扩建信息系统时应同步调整安全设施;当信息系统的应用类型、范围发生变化,安全保护等级需变更;
- 指导监督,重点保护,职能部门通过备案、指导、检查督促等方式,对重要信息系统的安全保护工作进行指导监督。
政策及标准体系 -政策体系
中华人民共和国信息系统安全保护条例(国务院147号令)
- 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)
实行信息安全等级保护,要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。
关于信息安全等级保护工作的实施意见(公通字[2004]66号)
信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
信息安全等级保护管理办法(公通字[2007]43号)
明确了信息安全等级保护制度的基本内容、流程、工作要求、信息系统的定级、备案、安全建设整改、等级测评的实施与管理,信息安全产品的选择和测评机构的选择等。
定级:
关于开展全国重要信息系统安全等级保护定级工作的通知 (公通字2007]861号)
中华人民共和国信息系统安全保护条例(国务院147号令)
国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)
关于信息安全等级保护工作的实施意见(公通字[2004]66号)
信息安全等级保护管理办法(公通字[2007]43号)
备案:
信息安全等级保护备案实施细则(公信安[2007]1360号)
中华人民共和国信息系统安全保护条例(国务院147号令)
国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)
关于信息安全等级保护工作的实施意见(公通字[2004]66号)
信息安全等级保护管理办法(公通字[2007]43号)
建设整改:
关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)
关于进一步推进中央企业信息安全等级保护工作的通知(公通字[2010]70号)
关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)
中华人民共和国信息系统安全保护条例(国务院147号令)
国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)
关于信息安全等级保护工作的实施意见(公通字[2004]66号)
信息安全等级保护管理办法(公通字[2007]43号)
等级测评:
关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安[2010]303号)
中华人民共和国信息系统安全保护条例(国务院147号令)
国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)
关于信息安全等级保护工作的实施意见(公通字[2004]66号)
信息安全等级保护管理办法(公通字[2007]43号)
监督检查:
公安机关信息安全等级保护检查工作规范(公信安[2008]736号)
关于开展信息安全等级保护专项监督检查工作的通知(公信安[2010]1175号)
中华人民共和国信息系统安全保护条例(国务院147号令)
国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)
关于信息安全等级保护工作的实施意见(公通字[2004]66号)
信息安全等级保护管理办法(公通字[2007]43号)
1.5政策及标准体系-标准体系
基础类标准:
《计算机信息系统安全保护等级划分准则》 GB 17859-1999
应用类标准:
《信息安全技术 网络安全等级保护定级指南》 GB/T 22240—2020
《信息安全技术 网络安全等级保护实施指南》 GB/T 25058—2019
《信息安全技术 网络安全等级保护基本要求》 GB/T 22239—2019
《信息安全技术 网络安全等级保护测评要求》 GB/T 28448—2019
《信息安全技术 网络安全等级保护测评过程指南》 GB/T 28449—2018
产品类标准:
《信息安全技术 操作系统安全技术要求》 GB/T 20272-2019
《信息安全技术 数据库管理系统安全技术要求》 GB/T 20273-2019
其它类标准:
《信息安全技术 信息安全风险评估规范 》 GB/ T20984—2007
《信息技术 安全技术 信息安全事件管理指南》 GB/Z 20985—2007
《信息安全技术 信息安全事件分类分级指南》 GB/Z 20986—2007
等级保护的内容:
定级:等级保护对象定级工作一般流程
确定定级对象→初步确定等级→专家评审→主管部门核准→备案审核
备案:第二级(含第二级)信息系统属地管理原则;
建设整改:选择安全产品,制定落实安全管理制度,落实安全责任,建设安全设施,落实技术措施
等级测评:选择测评机构,测评实施,形成测评结论,编制测评报告
监督检查:主要针对第二级(含)及以上系统