等级保护的政策与标准
1. 信息安全的重要性
(1)国家信息安全形势严峻(敌对势力),针对基础信息系统的违法犯罪持续上升(网上诈骗、入侵、网上盗窃)。
(2)维护国家安全的需求(基础信息网络【互联网、电信网、广电网】及重要信息系统【银行、铁路、电力、海关】已经成为国家的关键基础设施)。
(3)信息安全非传统安全。
2. 什么是等级保护?
网络安全等级保护是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。
3. 为什么要实施等级保护?
国家信息安全的基本制度,是国策。
开展信息安全的基本方法,促进国家信息化的根本保证。
4. 实施等级保护的目的
(1)明确信息安全重点,干活时突出重点,把钱用在重点建设上。
(2)有利于同步建设,协调发展,优化信息安全资源配置,明确信息安全的责任,推动信息安全产业的发展。
5. 公安部门开展等级保护的依据
(1)警察法规定:监督、管理计算机信息系统的安全保护工作。
(2)国务院147号令:公安部主管等保工作,等级保护的具体办法由公安部会同有关部门制定。
(3)公安部82号令,151号令,网络安全法。
6. 等级保护的发展历程
公安部牵头实施信息安全等级保护制度,开展了如下具体工作:
(1)出台了等级保护规范标准
① 2004年9月,《关于信息安全等级保护工作的实施意见》(公通字<2004>66号)
② 2007年6月,《信息安全等级保护管理办法》(公通字<2007>43号)
(2)开展了等级保护基础调查工作
2005年底,公安部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安<2005>1431号)
(3)开展了等级保护试点工作
2006年6月,公安部、国家保密局、国家密码管理局、国务院信息办联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安<2006>573号)
(4)部署开展定级工作
2007年7月20日,公安部、国家保密局、国家密码管理局、国务院信息办在北京联合召开了“全国重要信息系统安全等级保护工作定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。
7. 等级保护相关标准
(1)等级保护主要标准
① 《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)
② 《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)
③ 《信息安全技术 信息系统安全等级保护实施指南》(GB/T 25058-2010)
④ 《信息安全技术 信息系统安全等级保护测评要求》(GB/T 28448-2012)
⑤ 《信息安全技术 信息系统安全等级保护测评过程指南》(GB/T 28449-2012)
(2)等级保护配套标准
① 《计算机信息系统安全等级保护等级划分准则》(GB 17859-1999)
② 《信息系统通用安全技术要求》(GB/T20271)
③ 《网络基础安全技术要求》(GB/T20270)
④ 《操作系统安全技术要求》(GB/T20272)
⑤ 《数据库管理系统安全技术要求》(GB/T20273)
⑥ 《终端计算机系统安全等级技术要求》(GA/T671)
⑦ 《信息系统安全管理要求》(GB/T20269)
⑧ 《信息系统安全工程管理要求》(GB/T20282)
8. 等级保护相关部门的职能和义务
2007年6月,《信息安全等级保护管理办法》(公通字<2007>43号)明确了公安、保密、密码、信息化部门的职责:
(1)公安:牵头、领导、对全国这项工作的开展进行监督指导
(2)保密局:负责有关保密工作的监督、检查、指导,并涉及国家秘密信息系统的分析保护工作(注,只是针对涉及国家秘密的信息系统)
(3)密码局:负责有关密码工作的监督、检查、指导
(4)工业和信息化部:负责各部门间的协调
————————————————
版权声明:本文为CSDN博主「土豆aaa」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_32405915/article/details/118516021