等级保护与分级保工作指南v1.docx
《等级保护与分级保工作指南v1.docx》由会员分享,可在线阅读,更多相关《等级保护与分级保工作指南v1.docx(38页珍藏版)》请在冰点文库上搜索。
等级保护与分级保工作指南v1
内部资料
等级保护与分级保护工作指南
吉大正元信息技术股份有限公司
2008年8月
范围
本文档描述了信息系统安全等级保护与涉密信息系统分级保护的背景、现状、基本概念、实施流程、主管部门的职责划分、用户的实施要求,以及对厂商的资质管理等内容,供公司内部人员了解和学习等级保护和分级保护参考。
背景与现状
等级保护思想的发展
Ø信息系统分等级保护的思想在国际上已有二十多年的历史
1983年美国国防部发布了《可信计算机系统评估准则》(TCSEC,俗称橘皮书),将计算机系统的安全等级分为D、C1、C2、B1、B2、B3和A1七个级别,开创了分等级保护的先河,之后欧洲将其发展为《信息技术安全性评估标准》(ITSEC),美国又在此基础上进一步完善推出了《通用安全评估准则》(CC)、《联邦信息和信息系统的安全分类标准》(FIPS199)、《联邦信息系统安全控制》(SP800-53)和《美国国家空间战略》等,完善了计算机系统安全分级制度,并逐步落实了分等级保护的方法。
Ø等级保护是国家信息安全的基本制度
我国的等级保护思想始于1994年发布的《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令),其中明确提出了“计算机信息系统实行安全等级保护”。
之后于1999年发布了《计算机信息系统安全保护等级划分准则》(GB17859-1999)。
等级保护工作推动取得突破性进展的标志是2003年发布《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号,简称27号文件)和2005年发布的《关于信息安全等级保护的实施意见》(公通字[2005]66号,简称66号文件),确立了等级保护作为国家信息安全保障的基本制度。
等级保护制度是从国家的视角,依据信息系统被破坏后,对国家安全、社会秩序和公共利益造成的影响程度来划分系统的安全等级。
等级保护制度充分体现了信息安全的国家意志。
Ø等级保护与分级保护的分开管理
在66号文发布之后,等级保护按照信息系统的涉密情况分成两条线管理。
非涉密信息系统的等级保护由公安部负责监督、检查、指导,称为“信息系统安全等级保护”;涉及国家秘密信息系统的等级保护由国家保密工作机构负责监督、检查、指导,称为“涉及国家秘密的信息系统分级保护”。
在等级保护方面,国家发布了《信息安全等级保护管理办法》(公通字[2007]43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)等文件,并起草了“信息系统安全等级保护定级指南”、“信息系统安全等级保护基本要求”、“信息系统安全等级保护实施指南”等系列国家标准(报批稿)。
在分级保护方面,国家保密局发布了《涉及国家秘密的信息系统分级保护管理办法》(国保发[2005]16号),之后陆续发布了《涉及国家秘密的信息系统分级保护技术要求》、《涉及国家秘密的信息系统分级保护管理规范》、《涉及国家秘密的信息系统分级保护方案设计指南》、《涉及国家秘密的信息系统分级保护测评指南》等一系列分级保护的国家保密标准。
政策发文情况
等级保护制度是以27号文件为基本指导方针,以政策发文的形式落实国家的管理要求,以技术标准的形式提供实施方法和实施流程,并通过安全产品和安全服务保障等级保护与分级保护的实施落地。
Ø主要政策发文
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令,1994年);
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号);
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号);
《信息安全等级保护管理办法》(公通字[2007]43号);
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)。
《涉及国家秘密的计算机信息系统集成资质管理办法》(国保发[2005]5号)。
《涉及国家秘密的信息系统分级保护管理办法》(国保发[2005]16号)
《电子政务保密管理指南》(国保发[2007]5号)
《涉及国家秘密的信息系统审批管理规定》(国保发[2007]18号)
Ø其他相关保密政策发文
1988年9月5日第七届全国人民代表大会常务委员会第三次会议通过《中华人民共和国保守国家秘密法》,规定国家秘密范围和密级以及相关保密制度。
1990年5月25日,国家保密局发布《中华人民共和国保守国家秘密法实施办法》,更明确密级、变更、解密及奖惩等细则。
1998年,国保发(1998)1号文件《计算机信息系统保密管理暂行规定》。
1998年,中保办发(1998)6号文件《涉及国家秘密的通讯、办公自动化和计算机信息系统审批暂行办法》。
2000年,中共中央办公厅国务院办公厅厅字(2000)58号文件《中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理的规定》。
2004年,中保委发(2004)7号文件《关于加强信息安全保障工作中保密管理的若干意见》。
2005年,中共中央办公厅厅字(2005)1号文件《中共中央保密委员会办公室、国家保密局关于保密要害部门、部位保密管理规定》
2005年,中办发(2005)6号文件《关于切实做好新形势下涉外国家安全和保密工作的意见》。
2006年,国保发(2006)3号文件《关于加强新技术产品使用保密管理的通知》。
技术标准现状
1.1.1等级保护标准
Ø主要标准
《信息系统安全等级保护定级规范》(国标报批稿);
《信息系统安全等级保护基本要求》(国标报批稿);
《信息系统安全等级保护实施指南》(国标报批稿);
《信息系统安全等级保护测评规范》(国标报批稿);
《电子政务信息安全等级保护实施指南》(试用稿)。
Ø其他相关标准
《计算机信息系统安全保护等级划分准则》(GB17859-1999);
《信息系统通用安全技术要求》(GB/T20271);
《网络基础安全技术要求》(GB/T20270);
《操作系统安全技术要求》(GB/T20272);
《数据库管理系统安全技术要求》(GB/T20273);
《终端计算机系统安全等级技术要求》(GA/T671);
《信息系统安全管理要求》(GB/T20269);
《信息系统安全工程管理要求》(GB/T20282)。
1.1.2分级保护标准
《涉及国家秘密的信息系统分级保护技术要求》(BMB17-2006);
《涉及国家秘密的信息系统工程监理规范》(BMB18-2006);
《涉及国家秘密的信息系统分级保护管理规范》(BMB20-2007);
《涉及国家秘密的信息系统分级保护测评指南》(BMB22-2007);
《涉及国家秘密的信息系统分级保护方案设计指南》(BMB23-2008)。
工作开展现状
1.1.3等级保护的工作推进现状
等级保护的政策已经正式发布,但实施标准仅是报批稿,还没有正式发布为国家标准。
因此等级保护的推广实施工作还未全面正式启动,多数用户在实施等级保护方面还处于观望状态。
等级保护的主要工作包括系统定级、备案、系统建设与整改、等级测评等、定期开展监督检查,用户的目标是在系统定级后,对系统进行安全建设与整改,通过测评来最终达到系统安全等级的基本要求。
Ø系统定级备案工作从07年7月发布了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)之后,已在全国大力度展开。
目前8+2重点行业、重要信息系统大部分已完成定级备案工作。
Ø系统安全整改与测评工作目前公安部还没有正式发文如何操作,因此安全整改和测评工作还没有在全国大范围开展。
目前北京基于奥运安全保障的要求,已在部分中央部委、北京市委办局、一些重要行业单位开始了部分测评工作。
但测评目的是差距测评,找出存在的主要安全问题,并不是等级保护的符合性测评,没有给出测评是否合格的结论。
Ø等级保护目前已开展完成的主要工作如下:
✓2006年1月制定出台了《信息安全等级保护管理办法(试行)》。
✓2006年5月18日组织召开了国家信息安全等级保护工作协调小组第一次会议。
✓制定了等级保护系列技术标准。
✓开展了等级保护基础调查工作。
✓部署开展信息安全等级保护试点工作。
✓出台了新的《信息安全等级保护管理办法》。
✓完成了全国重要信息系统的定级工作与备案工作
✓对部分单位实施了等级测评工作
1.1.4分级保护的工作推进现状
Ø分级保护的政策和国家标准目前都已经正式颁布实施,因此,分级保护在涉密单位中已经开始全面实施。
分级保护已经成为涉密信息系统安全保密建设的唯一依据。
Ø用户在涉密系统的安全建设方面已经没有选择,只要进行安全建设,都必须依照分级保护的要求。
Ø目前分级保护测评机构、测评队伍正在建设中,测评技术力量还不充足。
基本概念
基本含义
信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。
要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。
(中办发27号文)
等级保护思想的核心是明确重点、确保重点,达到适度安全。
这在我国信息化程度总体较低、信息化建设资金不足的情况下是非常必要的,国家可以用有限的安全建设资金去保护国家最重要的信息系统,达到“综合平衡安全成本和风险,优化信息安全资源的配置,确保重点”的目标。
Ø信息安全等级保护
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
(公通字66号文)
Ø涉密信息系统分级保护
涉密信息系统分级保护是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全.(国保发16号文)
定级依据与等级划分
Ø等级保护定级
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
等级
定义
第一级
息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级
信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级
信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级
信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级
信息系统受到破坏后,会对国家安全造成特别严重损害。
Ø分级保护定级
涉密信息系统按照所处理信息的最高密级,由低到高划分为秘密级、机密级和绝密级三个等级,其中机密级又分为机密级和机密增强级两档保护要求。
等级保护与分级保护对比表
等级保护
分级保护
职能部门
公安机关
国家保密工作部门
国家保密工作部门
地方各级保密工作部门
国家密码管理部门
中央和国家机关
国务院信息办
建设使用单位
管理职责
公安机关
监督、检查、指导
国家保密局
(全国)
监督、检查、指导
国家保密工作部门
保密工作的监督、检查、指导
地方各级保密局
(本行政区域)
监督、检查、指导
国家密码管理部门
密码工作的监督、检查、指导
中央和国家机关
(本部门/本系统)
主管和指导
国务院信息办
部门间的协调
建设使用单位
(本单位)
具体实施
标准体系
国家标准(GB、GB/T)
国家保密标准(BMB,强制执行)
适用对象
非涉密信息系统
涉密信息系统
级别划分
一级(自主保护)
二级(指导保护)
三级(监督保护)
四级(强制保护)
五级(专控保护)
秘密级
机密级
绝密级
基本测评
1、物理安全
2、网络安全
3、主机系统安全
4、应用安全
5、数据安全
6、安全管理测评
7、安全管理机构
8、安全管理制度
9、人员安全管理
10、系统建设管理
11、系统运维管理
1、物理隔离
2、安全保密产品选择
3、安全域边界防护
4、密级标识
5、用户身份鉴别
6、访问控制力度
7、信息传输加密
8、信息存储加密
9、信息设备的电磁泄漏发射防护
10、边界控制
11、违规外联监倥
12、安全保密管理机构
13、安全保密管理制度
14、安全保密管理人员
15、集成资质单位选择
资质
国内注册的中资机构、技术设备符合要求、制度完善
涉及国家秘密的计算机信息系统集成:
甲级(全国范围)
乙级(本省、自治区、直辖市)
单项业务:
(全国,仅限所批准业务)
军工、软件开发、综合布线、系统服务、系统咨询、风险评估、工程监理、数据恢复、屏蔽室建设、保密安防监控。
等级保护工作流程与管理
等级保护整体工作流程
实施过程概述
1.1.5系统定级
信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范,确定信息系统的安全保护等级,使用单位有主管部门的,应当经主管部门审核批准。
信息系统分析,包括系统识别和描述、信息系统划分等方面。
安全保护等级确认,包括定级、审核和批准,形成定级报告。
1.1.6规划设计
总体安全规划设计的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况,通过分析明确信息系统安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的信息系统安全建设工程实施。
对于已运营(运行)的信息系统,需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。
安全需求分析,包括基本安全需求确定,额外/特殊安全需求确定,形成需求分析报告。
总体安全设计,包括总体安全策略设计,安全技术体系结构设计,整体安全管理体系结构设计,设计结果文档化。
安全方案详细设计,包括技术措施实现内容设计,管理措施实现内容设计,设计结果文档化。
安全建设项目规划,包括安全建设目标确定,安全建设内容规划,形成安全建设项目计划。
1.1.7建设实施
建设实施阶段的目标是按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分步落实安全措施。
技术措施实施,包括信息安全产品采购,安全控制开发,安全控制集成,系统验收。
管理措施实施,包括管理机构和人员的设置,管理制度的建设和修订,人员安全技能培训,安全实施过程管理。
1.1.8备案检测
等级测评,通过信息安全等级测评机构对已经完成等级保护建设的信息系统定期进行等级测评,确保信息系统的安全保护措施符合相应等级的安全要求。
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。
第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。
监督检查,通过国家管理部门对信息系统定级、规划设计、建设实施和运行管理等过程进行监督检查,确保其符合信息系统安全保护相应等级的要求。
1.1.9运维管理
安全运维管理是等级保护实施过程中确保信息系统正常运行的必要环节,涉及的内容较多,包括安全运行与维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。
运维管理和控制,包括运行管理职责确定,运行管理过程控制。
变更管理和控制,包括变更需求和影响分析,变更过程控制。
安全状态监控,包括监控对象确定,监控对象状态信息收集,监控状态分析和报告。
安全事件处置和应急预案,包括安全事件分级,应急预案制定,安全事件处置。
安全检查和持续改进,包括安全状态检查,改进方案制定,安全改进实施。
1.1.10系统废止
信息系统终止阶段是等级保护实施过程中的最后环节,当信息系统被转移、终止或废弃时,正确处理系统内的敏感信息对于确保机构信息资产的安全是至关重要的。
信息转移、暂存和清除,在信息系统终止处理过程中,对于可能会在另外的信息系统中使用的信息采取适当的方法将其安全地转移或暂存到可以恢复的介质中,确保将来可以继续使用,同时采用安全的方法清除要终止的信息系统中的信息。
设备迁移或废弃,确保信息系统终止后,迁移或废弃的设备内不包括敏感信息,对设备的处理方式应符合国家相关部门的要求。
存储介质的清除或销毁,采用合理的方式对计算机介质(包括磁带、磁盘、打印结果和文档)进行信息清除或销毁处理,防止介质内的敏感信息泄露。
等级保护各相关方的职责划分
等级保护实施工程所涉及的主管部门与协作单位
协调单位
实施内容
系统主管部门
运营使用单位
国家主管部门
安全服务机构
产品供应商
等级测评机构
等保专家组
系统定级
系统调查和描述
√
★
信息系统划分
√
★
定级、审核和批准
√
★
√
形成定级报告
√
★
上报备案
√
√
★
(3级以上)★
规划设计
等级化风险评估
√
★
安全需求分析
√
★
√
总体安全设计
√
★
安全建设方案规划规划
√
★
专家论证
√
√
★
√
√
★
建设实施
技术措施实现
√
★
√
管理措施实现
★
√
安全实施管理
√
★
√
系统验收
√
★
√
备案检测
提交备案材料
√
√
★
系统监督检查
√
√
★
运维管理
运行管理和控制
★
变更管理和控制
★
安全状态监控
★
安全事件处置和应急预案
★
安全检查和持续改进
√
★
等级测评
√
√
★
系统废止
信息转移、暂存和清除
√
★
设备迁移和废弃
√
★
存储介质的清除或销毁
√
★
说明:
★代表主要协调单位、部门,√代表辅助协调单位、部门。
用户等级保护的实施要求
管理要求
内容
定级备案
已运营(运行)的第二级以上信息系统:
应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统:
应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统:
由主管部门向公安部办理备案手续。
跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
等级保护实施
信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。
等级保护自查
第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。
安全整改
经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
主管部门的管理手段
管理要求
内容
备案审核
对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;
发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;
发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。
运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。
等级测评
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
等级保护工作情况检查
对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。
对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
对第五级信息系统,应当由国家指定的专门部门进行检查。
等级保护对厂商和产品的资质管理
资质管理类别
内容
对从事等级保护服务的资质要求
无明确的资质要求
等级保护测评资质
仅提出了资质要求,并未颁发资质证书。
第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评(依据43号文件):
(一)在中华人民共和国境内注册成立(港澳台地区除外);
(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);
(三)从事相关检测评估工作两年以上,无违法记录;
(四)工作人员仅限于中国公民;
(五)法人及主要业务、技术人员无犯罪记录;
(六)使用的技术装备、设施应当符合本办法对信息安全产品的要求;
(七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
(八)对国家安全、社会秩序、公共利益不构成威胁。
等级保护信息安全产品选择
仅提出了产品选择要求,并未颁发资质证书。
第三级以上信息系统应当选择使用符合以下条件的信息安全产品(依据43号文件):
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。
分级保护工作流程与管理
分级保护整体工作流程
实施过程概述
1.1.11系统定级
依据《保密法》密级范围的规定,本单位、各部门组织开展对所属信息系统摸底调查工作。
按照涉密信息系统所处理信息的最高密级,由低到高划分为秘密、机密和绝密三个等级。
Ø识别信息系统
调查信息系统所在单位的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责、系统管理、使用、运维的责任部门确定业务流、数据流。
Ø明确系统定级
依据业务流所产生信息明确最高密级。
Ø确定系统保护级别
根据本单位信息的最高密级,依据BMB-17确定系统的保护等级。
并整理定级资料上报保密部门审批
1.1.12方案设计
Ø选择建设方
选择具备国家涉密资质的建设方设计信息系统安全保障体系。
Ø系统风险评估
在体系规划前根据方案设计要素制定详细调研、评估实施计划,识别用户系统存在的脆弱性
升级会员 