國家等級保護政策標準解讀

1、-. z.國家等級保護政策標準解讀一概述信息平安等級保護制度是國家信息平安保障工作的根本制度、根本策略和根本方法，是促進信息化安康開展，維護國家平安、社會秩序和公共利益的根本保障。國務院147號令及中辦發(fā)2003 27號文等文件明確規(guī)定，要實行信息平安等級保護，重點保護根底信息網(wǎng)絡和關系國家平安、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)。建立和落實信息平安等級保護制度是形勢所迫、國情所需。我國信息平安保障工作要求堅持積極防御、綜合防*的方針，全面提高信息平安防護能力。等級保護工作的具體環(huán)節(jié)分為定級、備案、系統(tǒng)建立整改、開展等級測評、信息平安監(jiān)管部門定期開展監(jiān)視檢查五步驟。等級保護工作中各環(huán)節(jié)用到

2、的主要標準包括：計算機信息系統(tǒng)平安保護等級劃分準則、信息系統(tǒng)平安等級保護實施指南、信息系統(tǒng)平安保護等級定級指南、信息系統(tǒng)平安等級保護根本要求、信息系統(tǒng)平安等級保護測評過程指南。等級保護相關標準與等級保護各工作環(huán)節(jié)的關系如下：二信息平安等級保護實施指南信息系統(tǒng)平安等級保護實施指南GB/T25058-2010介紹和描述了實施信息系統(tǒng)等級保護過程中涉及的階段、過程和需要完成的活動，通過對過程和活動的介紹，使大家了解對信息系統(tǒng)實施等級保護的流程方法，以及不同的角色在不同階段的作用等。信息系統(tǒng)全生命周期分為信息系統(tǒng)定級、總體平安規(guī)劃、平安設計與實施、平安運行維護、信息系統(tǒng)終止等五個階段。在平安運行與維護

3、階段，信息系統(tǒng)因需求變化等原因?qū)е戮植空{(diào)整，而系統(tǒng)的平安保護等級并未改變，應從平安運行與維護階段進入平安設計與實施階段，重新設計、調(diào)整和實施平安措施，確保滿足等級保護的要求。但是信息系統(tǒng)發(fā)生重大變更導致信息系統(tǒng)等級變化是，應從平安運行維護階段進入信息系統(tǒng)定級階段，重新開場一輪信息平安等級保護的實施過程。2.1 信息系統(tǒng)定級定級備案是信息平安等級保護的首要環(huán)節(jié)。信息系統(tǒng)定級工作應按照自主定級、專家評審、主管部門審批、公安機關審核的原則進展。在等級保護工作中，信息系統(tǒng)運營使用單位和主管部門按照誰主管誰負責，誰運營誰負責的原則開展工作，并承受信息平安監(jiān)管部門對開展等級保護工作的監(jiān)管。2.1.1定級定

4、級工作的主要內(nèi)容包括：確定定級對象、確定信息系統(tǒng)平安保護等級、組織專家評審、主管部門審批、公安機關審核，具體可按照關于開展全國重要信息系統(tǒng)平安等級保護定級工作的通知要求執(zhí)行。等級確實定是不依賴于平安保護措施的，具有一定的客觀性，即該系統(tǒng)在存在之初便由其自身所實現(xiàn)的使命決定了它的平安保護等級，而非由后天的平安保護措施決定。不同級別的信息系統(tǒng)應具備相應級別的平安保護能力。信息系統(tǒng)的平安保護等級應當根據(jù)信息系統(tǒng)在國家平安、經(jīng)濟建立、社會生活中的重要程度，遭到破壞后對國家平安、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。信息系統(tǒng)的平安保護等級分為五級，從第一級到第五級逐級

5、增高。定級方法包括：確定定級對象、確定業(yè)務信息平安受到破壞時所侵害的客體、綜合評定業(yè)務信息平安被破壞對客體的侵害程度等。信息系統(tǒng)定級階段的目標是信息系統(tǒng)運營、使用單位按照國家有關管理規(guī)*和GB/T 22240-2008，確定信息系統(tǒng)的平安保護等級，信息系統(tǒng)運營、使用單位有主管部門的，應當經(jīng)主管部門審核批準。2.1.2 備案信息平安等級保護備案工作包括信息系統(tǒng)備案、受理、審核和備案信息管理等工作。信息系統(tǒng)運營使用單位和受理備案的公安機關應按照信息平安等級保護備案實施細則的要求辦理信息系統(tǒng)備案工作。第二級以上信息系統(tǒng)，在平安保護等級確定后30天內(nèi)，由其運營、使用單位或其主管部門到所在地設區(qū)的市級以

6、上公安機關辦理備案手續(xù)。辦理備案手續(xù)時，應當首先到公安機關指定的網(wǎng)址下載并填寫備案表，準備好備案文件，然后到指定的地點備案。2.2 總體平安規(guī)劃總體平安規(guī)劃階段的目標是根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)的定級情況、信息系統(tǒng)承載業(yè)務情況，通過分析明確信息系統(tǒng)平安需求，設計合理的、滿足等級保護要求的總體平安方案，并制定出平安實施方案，以指導后續(xù)的信息系統(tǒng)平安建立工程實施。對于已運營運行的信息系統(tǒng)，需求分析應當首先分析判斷信息系統(tǒng)的平安保護現(xiàn)狀與等級保護要求之間的差距。2.3 平安設計與實施平安設計與實施階段的目標是按照信息系統(tǒng)平安總體方案的要求，結(jié)合信息系統(tǒng)平安建立工程方案，分期分步落實平安措施。2

7、.4 平安運行與維護平安運行與維護是等級保護實施過程中確保信息系統(tǒng)正常運行的必要環(huán)節(jié)，涉及的內(nèi)容較多，包括平安運行與維護機構(gòu)和平安運行與維護機制的建立，環(huán)境、資產(chǎn)、設備、介質(zhì)的管理，網(wǎng)絡、系統(tǒng)的管理，密碼、密鑰的管理，運行、變更的管理，平安狀態(tài)監(jiān)控和平安事件處置，平安審計和平安檢查等內(nèi)容。本標準并不對上述所有的管理過程進展描述，希望全面了解和控制平安運行與維護階段各類過程的本標準使用者可以參見其它標準或指南。2.4.1 信息系統(tǒng)建立整改建立整改是等級保護工作落實的關鍵所在。確定了各等級信息系統(tǒng)能夠到達相應等級的根本保護水平和滿足自身需求的平安保護能力。平安建立整改根本流程工作分為五步進展。1落

8、實負責平安建立整改工作的責任部門，由責任部門牽頭制定本單位和本行業(yè)信息系統(tǒng)平安建立整改工作方案，對平安建立整改工作進展總體部署。2開展信息系統(tǒng)平安保護現(xiàn)狀分析，從管理和技術(shù)兩個方面確定信息系統(tǒng)平安建立整改需求。3確定平安保護策略，制定信息系統(tǒng)平安建立整改方案。4按照信息系統(tǒng)平安建立整改方案，實施平安建立整改工程，建立并落實平安管理制度，落實平安責任制，建立平安設施，落實平安設施。5開展平安自查和等級測評。按照國家有關規(guī)定，依據(jù)根本要求，參照信息系統(tǒng)平安管理要求等標準規(guī)*要求，開展信息系統(tǒng)等級保護平安管理制度建立工作。工作流程包括：1落實信息平安責任制；2信息系統(tǒng)平安管理現(xiàn)狀分析；3制定平安管理

9、策略和制度；4落實平安管理措施；5平安自查與調(diào)整。按照國家有關規(guī)定，依據(jù)根本要求，參照信息系統(tǒng)通用平安技術(shù)要求、信息系統(tǒng)等級保護平安設計技術(shù)要求等標準規(guī)*要求，開展信息系統(tǒng)等級保護平安管理制度建立工作。工作流程包括：1信息系統(tǒng)現(xiàn)狀分析；2信息系統(tǒng)平安保護技術(shù)現(xiàn)狀分析；3平安需求論證和確定。2.4.2 等級測評等級測評是評價平安保護現(xiàn)狀的重要方法?？梢源_定信息系統(tǒng)的平安狀況，尤其是與相應等級根本要求的差距，提出平安整改需求。等級測評的目標是通過信息平安等級測評機構(gòu)對已經(jīng)完成等級保護建立的信息系統(tǒng)定期進展等級測評，確保信息系統(tǒng)的平安保護措施符合相應等級的平安要求。參與角色包括：信息系統(tǒng)主管部門、信

10、息系統(tǒng)運營使用單位以及信息平安等級測評機構(gòu)。等級測評主要參照的標準包括：信息系統(tǒng)平安等級保護根本要求、信息系統(tǒng)平安等級保護測評要求、信息系統(tǒng)平安等級保護測評過程指南。信息系統(tǒng)建立完成后，運營、使用單位或者其主管部門應中選擇符合本方法規(guī)定條件的測評機構(gòu)，依據(jù)信息系統(tǒng)平安等級保護測評要求等技術(shù)標準，定期對信息系統(tǒng)平安等級狀況開展等級測評。第三級信息系統(tǒng)應當每年至少進展一次等級測評，第四級信息系統(tǒng)應當每半年至少進展一次等級測評，第五級信息系統(tǒng)應當依據(jù)特殊平安需求進展等級測評。信息系統(tǒng)運營、使用單位及其主管部門應當定期對信息系統(tǒng)平安狀況、平安保護制度及措施的落實情況進展自查。第三級信息系統(tǒng)應當每年至少

11、進展一次自查，第四級信息系統(tǒng)應當每半年至少進展一次自查，第五級信息系統(tǒng)應當依據(jù)特殊平安需求進展自查。經(jīng)測評或者自查，信息系統(tǒng)平安狀況未到達平安保護等級要求的，運營、使用單位應當制定方案進展整改。測評機構(gòu)及其測評人員應嚴格執(zhí)行有關管理規(guī)*和技術(shù)標準，開展客觀、公正、公平的等級保護測評效勞，并依據(jù)信息平安測評聯(lián)盟等級測評工程收費指導意見進展收費。2.4.3 監(jiān)視檢查監(jiān)視檢查的目標是通過國家管理部門對信息系統(tǒng)定級、規(guī)劃設計、建立實施和運行管理等過程進展監(jiān)視檢查，確保其符合信息系統(tǒng)平安保護相應等級的要求。參與角色包括：信息系統(tǒng)主管部門、信息系統(tǒng)運營使用單位以及國家管理部門。2.5 信息系統(tǒng)終止信息系統(tǒng)終止階段是等級保護實施過程中的最后環(huán)節(jié)。當信息系統(tǒng)被轉(zhuǎn)移、終止或廢棄時，正確處理系統(tǒng)內(nèi)的敏感信息對于確保機構(gòu)信息資產(chǎn)的平安是至關重要的。在信息系統(tǒng)生命周期中，有些系統(tǒng)并不是真正意義上的廢棄，而是改良技術(shù)或轉(zhuǎn)變業(yè)務到新的信息系統(tǒng)，對于這些信息系統(tǒng)在終止處理過程中應確保信息轉(zhuǎn)移、設備遷移和介質(zhì)銷毀等方面的平安。信息系統(tǒng)平安等級保護實施指南GB/T25058-2010在信息系統(tǒng)終止階段關