计算机信息系统安全等级保护
► 2004年公安部等四部委《关于信息安全等级保护工 作的实施意见》(公通字[2004]66号)也指出,信 息安全等级保护制度是国家在国民经济和社会信息 化的发展过程中,提高信息安全保障能力和水平, 维护国家安全、社会稳定和公共利益,保障和促进 信息化建设健康发展的一项基本制度。
等级保护内涵
►对国家秘密信息、法人和其他组织及公民的 专有信息以及公开信息和存储、传输和处理 这些信息的信息系统分等级实行安全保护 (最主要)
等级保护发展过程
► 2003年中央办公厅、国务院办公厅转发的《国家信 息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号)中明确指出:“要重点保护 基础信息网络和关系国家安全、经济命脉、社会稳 定等方面的重要信息系统,抓紧建立信息安全等级 保护制度,制定信息安全等级保护的管理办法和技 术指南”。
计
安等等等 全级级级 方保保保 案护护护 详管技安 细理术全 涉实实测 及施施评
安
运 行 管 理 和 控 制
变 更 管 理 和 控 制
安 全 状 态 监 控
全 事 件 处 置 和 应 急 预
安 全 检 查 和 持 续 改 进
等 级 保 护 安 全 测 评
等 级 保 护 监 督 检 查
案
系 统 识 别 和 描 述
项目成果-电子政务系统等级划分 -大社保系统平台
序号
系统名称
1 南海区社会保险管理信息系统
三性安全等级 系统安
保密性 完整性 可用性 全等级 等级 等级 等级
3
3
3
3
2 南海区民政局业务系统
2
2
2
2
3
南海区社会保障(市民)卡业务 系统
2
2
2
2
4 大社保平台数据中心系统
2
3
2
3
5 南海区社会保险公共服务系统
2
2
2
2
项目成果-电子政务系统等级划分
序号
系统名称
三性安全等级
保密性 完整性 可用性 等级 等级 等级
系统安 全等级
1 南海区基金收费非税收入系统 2
3
2
3
2 南海区会计结算中心业务系统 2
3
2
3
3 狮山镇财务结算中心系统
2
2
2
2
4 南海区统计局基层统计系统
2
2
2
2
实施的解决方案的内容
► 管理体系建设 南海区电子政务安全组织管理办法 南海电子政务网络系统安全规范 南海电子政务互联网服务安全规范 南海电子政务安全业务系统接入规范 南海电子政务系统等级安全措施指标 南海电子政务信息安全应急预案 南海区电子政务安全运行维护作业计划
等级保护案例简介
背景简介
佛山市南海区是我国电子政务发展最早的地区 之一,被国务院办公厅确定为“国家电子政务试 点示范工程”基地。
南海电子政务应用系统的建设覆盖了全区各级 政府部门, 许多部门通过电子政务平台实现数据 共享和数据交换,如何确保在保障信息安全的基 础上,进一步实现电子政务系统之间的互连互通 是进行等级保护工作的重要内容,因此选择南海 区做为电子政务系统试点,有着重要的意义。
面向社会
自主保护级
安全保护划分
第五级:访问验证保护级(专控保护级)
适用于一般的信息系统,其受到破坏后,会,但不损害国家安全、社会秩序和公共利益。
第四级:结构化保护级(强制保护级) D
适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造 成轻微损害,但不损害国家安全。
►对信息系统中使用的信息安全产品实行按等 级管理
►对发生的信息安全事件按照等级进行响应和 处理等。
安全保护划分
►将计算机信息系统按照其在国家安全、经济
建设、社会生活中的重要程度,划分为5个不 同级别,安全保护要求由高至低依次为:
专控保护级(国家保密部门负责实施)
强制保护级
监督保护级 指导保护级
第一级:用户自主保护级 A
安全保护实施过程
局部调整
安全定级 安全规划设计
安全实施 安全运行维护
系统终止
重大变化
安全保护实施过程
安全定级
安安 全全 规定 划级 实施
安全定 实级 施
安安 全全 运定 行级 维护
安 系全 统定 终级 止
系 统 识 别 和 描 述
信安 息全 系等 统级 划确 分定
安 安全安 全体全 需系建 求总设 分体规 析设划
等级保护发展过程
► 1994年国务院颁布的《中华人民共和国计算机信息 系统安全保护条例》规定,“计算机信息系统实行 安全等级保护,安全等级的划分标准和安全等级保 护的具体办法,由公安部会同有关部门制定”。
► 1999年,公安部正式发布信息系统安全等级保护的 国家标准GB17859-1999,将计算机信息系统的安全 级别明确划分为5级并且提出了具体要求,这5级由 高至低依次为:访问验证保护级、结构化保护级、 安全标记保护级、系统审计保护级、用户自主保护 级。GB17859-1999为等级保护奠定了基础。
项目内容
南海等级化服务项目
系统调查与评估 资产调查
电子政务 系统等级划分
定级规范
应用与业务调查
系统风险和安全 措施调查
调查系统定级
分域保护框架 建设对象 分域设计
网络调整方案
总体安全建议 体系和规划建议
建议方案和 管理规范
安全组织 管理办法
项目报告
评估加固方案
项目成果-南海电子政务分域保护对象框架
信 息 系 统 划 分
安 全 等 级 确 定
安全保护实施过程
启动阶段
设计开发阶段
实施阶段
系统定级
安全规划设计
安全实施
运行维护阶段
废弃阶段 信息系统生命周期
安全运行维护
系统终止
新建信息系统安全等级保护实施
安
安
系全安 全
统规全 运
定划实 行
级设施 维
计
护
系统终止
现有信息系统安全等级保护实施
安全保护等级确定
第三级:安全标记保护级(监督保护级) C
适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到 破坏后,会对国家安全、社会秩序和公共利益造成损害。
第二级:系统审计保护级(指导保护级) B
适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到 破坏后,会对国家安全、社会秩序和公共利益造成严重损害。
安全保护等级确定
►信息系统的重要性由以下四个要素决定,其 中第一、二个要素决定信息系统内信息资产 的重要性,第三、四个要素决定信息系统所 提供服务的重要性,而信息资产及信息系统 服务的重要性决定了信息系统的重要性。
信息系统所属类型,即信息系统资产的安全利益主体 信息系统主要处理的业务信息类型 信息系统服务范围,包括服务对象和服务网络覆盖范围 业务对信息系统的依赖程度
