國家信息安全等級保護制度介紹

1、信息安全等級保護制度介紹一、開展信息安全等級保護工作的重要性和必要性信息安全等級保護是指國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準,組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護,對等級保護工作的實施進行監(jiān)督、管理。信息安全等級保護制度是國家在國民經濟和社會信息化的發(fā)展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設健康發(fā)展的一項基本制度。實行信息安全等級保護制度,能夠充分調動國家、法人和其他組織及公民的積極性,發(fā)揮各方面的作用,達到有效保護的目的,增強安全保護的整體性、針對性和實效性,使信息系統(tǒng)安全建設更加突出重點、統(tǒng)一規(guī)范、科學合理

2、,對促進我國信息安全的發(fā)展將起到重要推動作用。二、信息安全等級保護相關法律和文件1994年國務院頒布的中華人民共和國計算機信息系統(tǒng)安全保護條例規(guī)定,“計算機信息系統(tǒng)實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定”。1999年9月13日國家發(fā)布計算機信息系統(tǒng)安全保護等級劃分準則。2003年中央辦公廳、國務院辦公廳轉發(fā)國家信息化領導小組關于加強信息安全保障工作的意見(中辦發(fā)200327 號明確指出,“要重點保護基礎信息網(wǎng)絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng),抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術指南”。2007

3、年6月,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定了信息安全等級保護管理辦法(以下簡稱管理辦法,明確了信息安全等級保護的具體要求。三、工作分工和組織協(xié)調(一工作分工。公安機關負責信息安全等級保護工作的監(jiān)督、檢查、指導。國家保密工作部門負責等級保護工作中有關保密工作的監(jiān)督、檢查、指導。國家密碼管理部門負責等級保護工作中有關密碼工作的監(jiān)督、檢查、指導。涉及其他職能部門管轄范圍的事項,由有關職能部門依照國家法律法規(guī)的規(guī)定進行管理。國務院信息化工作辦公室及地方信息化領導小組辦事機構負責等級保護工作的部門間協(xié)調。信息系統(tǒng)主管部門應當督促、檢查、指導本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運營

4、、使用單位的信息安全等級保護工作。信息系統(tǒng)的運營、使用單位應當履行信息安全等級保護的義務和責任。(二組織協(xié)調。省公安廳、省國家保密局、省國家密碼管理局、省信息化領導小組辦公室聯(lián)合成立信息安全等級保護工作協(xié)調小組,負責信息安全等級保護工作的組織部署,由省公安廳主管網(wǎng)監(jiān)工作的領導任組長,省國家保密局、省國家密碼管理局、省信息化領導小組辦公室主管領導任副組長。辦公室設在省公安廳網(wǎng)警總隊,負責信息安全等級保護工作的具體組織實施。各行業(yè)主管部門要成立行業(yè)信息安全等級保護工作小組,組織本系統(tǒng)和行業(yè)的信息安全等級保護工作。各地級以上市參照成立相應工作機制。重要信息系統(tǒng)運營使用單位成立信息安全等級保護工作組,

5、負責組織本單位的信息系統(tǒng)安全等級保護工作。四、信息安全等級保護等級劃分和監(jiān)管方式(一信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經濟建設、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。信息系統(tǒng)的安全保護等級分為以下五級:第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴

6、重損害,或者對國家安全造成損害。第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。(二信息系統(tǒng)運營、使用單位依據(jù)本辦法和相關技術標準對信息系統(tǒng)進行保護,國家有關信息安全監(jiān)管部門對其信息安全等級保護工作進行監(jiān)督管理。第一級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。第二級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行指導。第三級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護。國

7、家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查。第四級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范、技術標準和業(yè)務專門需求進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行強制監(jiān)督、檢查。第五級信息系統(tǒng)運營、使用單位應當依據(jù)國家管理規(guī)范、技術標準和業(yè)務特殊安全需求進行保護。國家指定專門部門對該級信息系統(tǒng)信息安全等級保護工作進行專門監(jiān)督、檢查。五、信息安全等級保護制度的原則信息安全等級保護的核心是對信息安全分等級、按標準進行建設、管理和監(jiān)督。信息安全等級保護制度遵循以下基本原則:(一明確責任,共同保護。通過等級保護,組織和動員國家、法人和其他組織、公民共同

8、參與信息安全保護工作;各方主體按照規(guī)范和標準分別承擔相應的、明確具體的信息安全保護責任。(二依照標準,自行保護。國家運用強制性的規(guī)范及標準,要求信息和信息系統(tǒng)按照相應的建設和管理要求,自行定級、自行保護。(三同步建設,動態(tài)調整。信息系統(tǒng)在新建、改建、擴建時應當同步建設信息安全設施,保障信息安全與信息化建設相適應。因信息和信息系統(tǒng)的應用類型、范圍等條件的變化及其他原因,安全保護等級需要變更的,應當根據(jù)等級保護的管理規(guī)范和技術標準的要求,重新確定信息系統(tǒng)的安全保護等級。等級保護的管理規(guī)范和技術標準應按照等級保護工作開展的實際情況適時修訂。(四指導監(jiān)督,重點保護。國家指定信息安全監(jiān)管職能部門通過備案

9、、指導、檢查、督促整改等方式,對重要信息和信息系統(tǒng)的信息安全保護工作進行指導監(jiān)督。國家重點保護涉及國家安全、經濟命脈、社會穩(wěn)定的基礎信息網(wǎng)絡和重要信息系統(tǒng),主要包括:國家事務處理信息系統(tǒng)(黨政機關辦公系統(tǒng);財政、金融、稅務、海關、審計、工商、社會保障、能源、交通運輸、國防工業(yè)等關系到國計民生的信息系統(tǒng);教育、國家科研等單位的信息系統(tǒng);公用通信、廣播電視傳輸?shù)然A信息網(wǎng)絡中的信息系統(tǒng);網(wǎng)絡管理中心、重要網(wǎng)站中的重要信息系統(tǒng)和其他領域的重要信息系統(tǒng)。五、信息安全等級保護工作主要環(huán)節(jié)(一組織開展調查摸底。各信息系統(tǒng)主管部門、運營使用單位組織開展對所屬信息系統(tǒng)的摸底調查,全面掌握信息系統(tǒng)的數(shù)量、分布、

10、業(yè)務類型、應用或服務范圍、系統(tǒng)結構以及系統(tǒng)建設規(guī)劃等基本情況,為開展信息安全等級保護工作打下基礎。(二合理確定保護等級。各信息系統(tǒng)主管部門和運營使用單位要按照管理辦法和信息系統(tǒng)安全等級保護定級指南,確定定級對象的安全保護等級。涉密信息系統(tǒng)的等級確定按照國家保密局的有關規(guī)定和標準執(zhí)行。對擬確定為第四級以上信息系統(tǒng)的,由運營使用單位或主管部門請國家信息安全保護等級專家評審委員會評審。(三開展安全建設整改。各信息系統(tǒng)主管部門和運營使用單位應當根據(jù)確定的安全保護等級,對已有的信息系統(tǒng)按照等級保護的管理規(guī)范和技術標準,采購和使用相應等級要求的信息安全產品,落實安全技術措施,完成系統(tǒng)整改。對新建、改建、擴

11、建的信息系統(tǒng)按照等級保護的管理規(guī)范和技術標準進行信息系統(tǒng)的規(guī)劃設計、建設施工。(四組織系統(tǒng)安全測評。信息系統(tǒng)建設完成后,運營使用單位應當依照管理辦法選擇符合要求的測評機構進行測評。已投入運行信息系統(tǒng)在完成系統(tǒng)整改后也應當進行測評。經測評,信息系統(tǒng)安全狀況未達到安全保護等級要求的,運營使用單位應當制定方案進行整改。承擔第三級以上信息系統(tǒng)安全測評的機構由省公安廳根據(jù)管理辦法的有關規(guī)定予以推薦。(五依法履行備案手續(xù)。信息系統(tǒng)安全保護等級為第二級以上的信息系統(tǒng)運營使用單位或主管部門應當在系統(tǒng)投入運行后(新建系統(tǒng)或確定等級后(已運營的系統(tǒng)30日內到公安機關辦理備案手續(xù);鼓勵第一級和第五級的信息系統(tǒng)到公安

12、機關辦理備案手續(xù)。隸屬于中央的在京單位,其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng),由主管部門向公安部辦理備案手續(xù)?？绲貐^(qū)或全省統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)由省級主管部門組織向省公安廳備案?？绲貐^(qū)、跨省或者全省、全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng),向地級以上市公安局備案。涉密信息系統(tǒng)建設使用單位依據(jù)管理辦法和國家保密局的有關規(guī)定,到保密工作部門備案。(六加強安全監(jiān)督檢查。公安機關應當會同有關部門加強對信息系統(tǒng)的監(jiān)督檢查,對未依法履行定級、備案手續(xù)的單位,督促其限期改正。發(fā)現(xiàn)定級不準的,應當通知運營使用單位或其主管部門重新審核確定。對安全措施不符合要求的,要指導其落實整改措施。各級保密工作部門加強對涉密信息系統(tǒng)安全等級保護工作的指導、監(jiān)督和檢查。國家密碼管理部門加強對信息安全等級保護密碼管理。(七建設技術支撐體系。省公安廳會同有關部門根據(jù)管理辦法建立健全管理制度,向社會推薦一批符合要求的安全專用產品、安全測評機構。組織開展繼續(xù)教育工作,加強對安全專業(yè)技術人員的培訓,提高信息系統(tǒng)運營使用單位和主管部門以及安全