信息系统安全等级保护的必要性
随着我国信息技术的快速发展,为维护国家安全和社会稳定,维护信息网络安全,国务院于1994年颁布了《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)。
2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
2007年公安部会同国家保密局、国家密码管理局和国务院信息化工作办公室下发《信息安全等级保护管理办法》(公通字[2007]43号)明确规定“定期对信息系统安全等级状况开展等级测评”。“第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评„„”。并制定了包括《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》等50多个国家标准和行业标准,形成了信息安全等级保护标准体系。具体如下图所示:
2012年,CSDN 网站因未落实国家信息安全等级保护制度,造成了大量用户信息泄露的严重后果。依据《中华人民共和国计算机信息系统安全保护条例》,北京市公安局对CSDN 网站运营公司做出行政警告处罚。可见,开展等级保护工作是企业义不容辞的信息安全义务。
各行业或监管部门落实信息安全等级保护工作的具体工作
随着国家相关机关不断出台等级保护规范标准,各行业或监管部门迅速发文响应并落实行业内信息系统安全等级保护工作。例如,卫生部2011年印发(卫办发[2011]85号)《卫生行业信息安全等级保护工作的指导意见》的通知,明确卫生行业信息系统实行“定级备案、建设与整改、等级测评”工作。中国人民银行2012年制定了《金融行业信息安全等级保护测评服务安全指引》、《金融行业信息信息系统信息安全等级保护测评指南》和《金融行业信息系统信息安全等级保护实施指引》,2013年制定了《征信机构管理办法》(中国人民银行令[2013]第1号),明确和规范金融机构开展的信息系统安全等级保护测评工作。教育部2014年发布《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技
[2014]4号)明确规定“各单位信息系统要按照教育行业有关规范准确定级和备案”,“按照国际和教育行业有关标准规范要求进行等级测评”。还有财政部、人力资源社会保障、交通运输行业、电力行业等监管部门或行业都发布相应文件明确落实信息系统安全等级保护工作,建立、健全信息安全管理制度,落实安全保护技术措施,全面贯彻落实信息安全等级保护制度。
等级保护测评的工作内容
为了达到各级的安全保护能力要求,国家等级保护基本安全要求提出了技术要求和管理要求两大类,涵盖了物理(机房)、网络、主机、应用、数据安全、安全管理制度、安全管理机构、人员、系统建设、系统运维十个方面的内 容。如下图所示
信息系统安全等级保护测评(简称“等级保护测评”) 包括系统定级、系统备案、安全建设整改、等级保护测评、定期安全检查五个阶段。等级保护工作的实施过程如下图所示:
等级保护测评是指信息系统运营、使用单位委托具有等级保护测评资质的测评机构对其建设的已定级的信息系统进行等级保护测评过程,测评机构在测评过程中采用访谈、检查和测试三大类的测评方法,具体细分为人员访谈、文档审查、配置核查、现场观测和工具测试等五个小类,对信息系统进行安全测评和风险评估,验证信息系统是否满足相应安全保护等级要求,并形成信息安全等级保护测评报告。其所包含的测评工作流程可参考下图:
公安机关等安全监管部门进行信息安全等级保护监督检查时,系统运营、使用单位必须提交由具有等级测评资质的机构出具的等级测评报告。
哪些行业需要进行等级保护测评
政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等;
金融行业:金融监管机构、各大银行、证券、保险公司等; 电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等;
能源行业:电力公司、石油公司、烟草公司; 企业单位:大中型企业、央企、上市公司等; 其它有信息系统定级需求的行业与单位。
一些基于上级监管单位要求和政策的强制要求开展等级保护测评的企业。例如,中国人民银行要求征信机构必须进行等级保护测评,所以多数相关机构会委托经人民银行和国家信息安全管理机构批准成立的认证机构CFCA (中国金融认证中心)进行测评。CFCA 是国家级权威安全认证机构,是国家重要的金融信息安全基础设施之一,汇集高、精、尖人才,拥有优秀的管理团队和工作扎实、饱含激情与活力的员工队伍。CFCA 在2013年已获得公安部颁发的《等级保护测评机构能力评估合格证书》、《等级保护测评机构推荐证书》,CFCA 成立的信息安全实验室拥有40多名具备信息安全等级测评师资质的工程师,大部分工程师在等级保护测评领域有五年以上的工作经验,是国内最权威的测评机构之一。
组织中哪些信息系统需要实施等级保护
电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、
部门的生产、调度、管理、办公等重要信息系统
市(地)级以上党政机关的重要网站和办公信息系统。 涉及国家秘密的信息系统。
开展等级保护测评的益处
对于企业来说,实施信息安全等级保护测评能够有效地提高单位信息和信息系统安全建设的整体水平,有效控制企业信息安全建设成本;有利于明确国家、法人和其他组织、公民的信息安全责任,加强企业信息安全管理。
对于信息系统来说,通过等级保护测评可及时发现信息系统安全状况并制定方案进行整改,当信息系统完全达到安全保护能力要求时,信息系统就基本可做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”。
具体包括:
保障基础设施安全,保障网络周边环境和物理特性引起的网络设备和线路的持续使用。
保障网络连接安全,保障网络传输中的安全,尤其保障网络边界和外部接入中的安全。
保障计算环境的安全,保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。
保障应用系统安全,保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和鉴别,防止和抵御各种安全威胁和攻击手段,在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。
保障数据安全及备份恢复,保障数据完整性、数据保密性、备份和恢复等。 安全管理体系保障。根据国家有关信息安全等级保护方面的标准和规范要求,建立一套切实可行的安全管理体系,加强安全管理机制。
信息系统安全等级保护的必要性
随着我国信息技术的快速发展,为维护国家安全和社会稳定,维护信息网络安全,国务院于1994年颁布了《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)。
2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
2007年公安部会同国家保密局、国家密码管理局和国务院信息化工作办公室下发《信息安全等级保护管理办法》(公通字[2007]43号)明确规定“定期对信息系统安全等级状况开展等级测评”。“第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评„„”。并制定了包括《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》等50多个国家标准和行业标准,形成了信息安全等级保护标准体系。具体如下图所示:
2012年,CSDN 网站因未落实国家信息安全等级保护制度,造成了大量用户信息泄露的严重后果。依据《中华人民共和国计算机信息系统安全保护条例》,北京市公安局对CSDN 网站运营公司做出行政警告处罚。可见,开展等级保护工作是企业义不容辞的信息安全义务。
各行业或监管部门落实信息安全等级保护工作的具体工作
随着国家相关机关不断出台等级保护规范标准,各行业或监管部门迅速发文响应并落实行业内信息系统安全等级保护工作。例如,卫生部2011年印发(卫办发[2011]85号)《卫生行业信息安全等级保护工作的指导意见》的通知,明确卫生行业信息系统实行“定级备案、建设与整改、等级测评”工作。中国人民银行2012年制定了《金融行业信息安全等级保护测评服务安全指引》、《金融行业信息信息系统信息安全等级保护测评指南》和《金融行业信息系统信息安全等级保护实施指引》,2013年制定了《征信机构管理办法》(中国人民银行令[2013]第1号),明确和规范金融机构开展的信息系统安全等级保护测评工作。教育部2014年发布《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技
[2014]4号)明确规定“各单位信息系统要按照教育行业有关规范准确定级和备案”,“按照国际和教育行业有关标准规范要求进行等级测评”。还有财政部、人力资源社会保障、交通运输行业、电力行业等监管部门或行业都发布相应文件明确落实信息系统安全等级保护工作,建立、健全信息安全管理制度,落实安全保护技术措施,全面贯彻落实信息安全等级保护制度。
等级保护测评的工作内容
为了达到各级的安全保护能力要求,国家等级保护基本安全要求提出了技术要求和管理要求两大类,涵盖了物理(机房)、网络、主机、应用、数据安全、安全管理制度、安全管理机构、人员、系统建设、系统运维十个方面的内 容。如下图所示
信息系统安全等级保护测评(简称“等级保护测评”) 包括系统定级、系统备案、安全建设整改、等级保护测评、定期安全检查五个阶段。等级保护工作的实施过程如下图所示:
等级保护测评是指信息系统运营、使用单位委托具有等级保护测评资质的测评机构对其建设的已定级的信息系统进行等级保护测评过程,测评机构在测评过程中采用访谈、检查和测试三大类的测评方法,具体细分为人员访谈、文档审查、配置核查、现场观测和工具测试等五个小类,对信息系统进行安全测评和风险评估,验证信息系统是否满足相应安全保护等级要求,并形成信息安全等级保护测评报告。其所包含的测评工作流程可参考下图:
公安机关等安全监管部门进行信息安全等级保护监督检查时,系统运营、使用单位必须提交由具有等级测评资质的机构出具的等级测评报告。
哪些行业需要进行等级保护测评
政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等;
金融行业:金融监管机构、各大银行、证券、保险公司等; 电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等;
能源行业:电力公司、石油公司、烟草公司; 企业单位:大中型企业、央企、上市公司等; 其它有信息系统定级需求的行业与单位。
一些基于上级监管单位要求和政策的强制要求开展等级保护测评的企业。例如,中国人民银行要求征信机构必须进行等级保护测评,所以多数相关机构会委托经人民银行和国家信息安全管理机构批准成立的认证机构CFCA (中国金融认证中心)进行测评。CFCA 是国家级权威安全认证机构,是国家重要的金融信息安全基础设施之一,汇集高、精、尖人才,拥有优秀的管理团队和工作扎实、饱含激情与活力的员工队伍。CFCA 在2013年已获得公安部颁发的《等级保护测评机构能力评估合格证书》、《等级保护测评机构推荐证书》,CFCA 成立的信息安全实验室拥有40多名具备信息安全等级测评师资质的工程师,大部分工程师在等级保护测评领域有五年以上的工作经验,是国内最权威的测评机构之一。
组织中哪些信息系统需要实施等级保护
电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、
部门的生产、调度、管理、办公等重要信息系统
市(地)级以上党政机关的重要网站和办公信息系统。 涉及国家秘密的信息系统。
开展等级保护测评的益处
对于企业来说,实施信息安全等级保护测评能够有效地提高单位信息和信息系统安全建设的整体水平,有效控制企业信息安全建设成本;有利于明确国家、法人和其他组织、公民的信息安全责任,加强企业信息安全管理。
对于信息系统来说,通过等级保护测评可及时发现信息系统安全状况并制定方案进行整改,当信息系统完全达到安全保护能力要求时,信息系统就基本可做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”。
具体包括:
保障基础设施安全,保障网络周边环境和物理特性引起的网络设备和线路的持续使用。
保障网络连接安全,保障网络传输中的安全,尤其保障网络边界和外部接入中的安全。
保障计算环境的安全,保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。
保障应用系统安全,保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和鉴别,防止和抵御各种安全威胁和攻击手段,在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。
保障数据安全及备份恢复,保障数据完整性、数据保密性、备份和恢复等。 安全管理体系保障。根据国家有关信息安全等级保护方面的标准和规范要求,建立一套切实可行的安全管理体系,加强安全管理机制。