信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
规定动作:信息系统定级、备案、安全建设整改、等级测评、监督检查。
公安机关
是等级保护工作的牵头单位,负责制定政策标准
负责除电子政务和涉密以外信息系统等级保护工作的监督、检查、指导
国家保密工作部门
负责涉及国家秘密信息系统的等级保护工作的监督、检查、指导
负责对泄密事件进行查处
国家密码管理部门
负责等级保护工作中有关密码工作的监督、检查、指导
负责对密码进行分类分级管理,对密码配备、使用和管理进行检查和测评
工信部及地方经信部门
负责电子政务系统等级保护工作的监督、检查、指导
负责等级保护工作中部门间的协调
第一级 自主保护级
信息系统受到破坏后,对公民、法人和其他组织的合法权益、社会秩序、公共利益、国家安全的损害程度…
第二级 系统审计保护级
对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级 安全标记级
对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级 结构化保护级
对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级 访问验证保护级
对国家安全造成特别严重损害。
第一级 自主保护
依据国家有关管理规范和技术标准进行保护
第二级 指导保护
依据国家有关管理规范和技术标准进行保护
要求备案,并接受国家信息安全监管部门的指导
第三级 监督保护
依据国家有关管理规范和技术标准进行保护
要求备案(可以进行专家评审)、测评(每年一次),并接受国家信息安全监管部门的监督、检查
第四级 强制保护
依据国家有关管理规范、技术标准和业务专门需求进行保护
必须进行专家评审、备案、测评(每半年一次),并接受国家信息安全监管部门的强制监督、检查
第五级 专控保护
依据国家管理规范、技术标准和业务特殊需求进行保护
必须进行专家评审、备案,依据特殊安全需求进行等级测评,并接受国家指定专门部门的专门监督、检查
基础标准:
《计算机信息系统安全保护等级划分准则》。在此基础上制定出技术类、管理类、产品类标准。
安全要求:
《信息系统安全等级保护基本要求》
信息系统安全等级保护的行业规范
系统定级:
《信息系统安全等级保护定级指南》
信息系统安全等级保护行业定级细则
方法指导:
《信息系统安全等级保护实施指南》
《信息系统等级保护安全设计技术要求》
现状分析:
《信息系统安全等级保护测评要求》
《信息系统安全等级保护测评过程指南》
政策要求:满足国家、行业主管部门(公安、网信办、经信委、通管局等)关于信息安全保障的监管要求,不做等保不好向上级单位,主管部门交代。
法律、法规要求:《中华人民共和国网络安全法》第21条,38条,59条明确了等保的必要性和重要性,网络安全保障不力需要运营单位和个人承担的责任和相应处罚措施。不做等保工作就违法了?!
业务安全保障需求:核心系统遭到破坏,造成系统宕机、核心数据泄露等问题,将会对社会秩序、经济利益和公共利益造成严重损害。通过等保工作发现问题并经过整改后,有效提高系统安全防护能力。等保是国家认可的基本的安全保障措施
第21条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
解读:21条是等级保护工作的鲜明旗帜,是从国家层面对等级保护工作的法律认可,是网络安全法关于等级保护工作最重要的一条,简单来说,单位不做等级保护工作就是违法。
第38条
关键信息基础设施运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施保送相关负责关键信息基础设施安全保护工作的部门。
解读:明确了关键信息基础设施单位需要每年对其网络的安全性和可能存在的风险至少进行一次检测评估,等保评估就是对单位重要信息系统做的安全检测评估,做了等保评估就满足38条的要求了。
第59条
网络运营者不履行本法第21条、第25条规定的网络安全保护义务的,关键基础设施运营者不履行本法第33条、第34条、第36条、第38条规定的网络安全保护义务的,由有关主管部门责任改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万以上100万以下罚款,对直接负责的主管人员处1万元以上10万以下罚款。
解读:用户单位不重视等级保护,且不做等级保护工作的,单位需要被罚款1万-100万;主管责任人员需要被罚款5000-10万元。
系统定级 定级咨询服务 系统调查、系统定级、定级报告
系统备案 定级咨询服务 专家评审、协助备案
安全建设整改 风险评估服务、差距评估服务 安全规划与整改、方案设计服务 整改集成实施服务
等级测评 协助测评服务 测评准备、方案编制、现场评估、报告编制
安全自查与监督检查 安全运维服务 安全巡检、应急响应、安全通告、售后服务
系统定级
1、信息系统备案
第二级以上信息系统,由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续,填写《信息系统安全等级保护备案表》。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部备案;其他信息系统向北京市公安局备案。
跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
各部委统一定级信息系统在各地的分支系统,即使是上级主管部门定级的,也要到当地公安网络安全保卫部门备案。
2、受理备案与审核
公安机关对备案材料进行审核,定级准确、材料符合要求的颁发由公安部统一监制的备案证明。发现定级不准的,通知备案单位重新审核确定。
3、备案管理
将备案信息系统录入重要信息系统安全管理系统进行管理。
定级流程:
摸底调查、确定定级对象
对信息系统进行重要性分析
确定信息系统安全保护等级
组织专家评审、主管部门审批、
公安机关审核。
系统备案
二级系统备材料
《信息系统安全等级保护备案表》
三、四级系统备材料
系统拓扑结构及说明 系统安全保护设施设计实施方案或者改建实施方案 测评后符合系统安全保护等级的技术检测评估报告 主管部门审核批准信息系统安全保护等级的意见
系统安全组织机构和管理制度 系统使用的信息安全产品清单及其认证、销售许可证明
信息系统安全保护等级专家评审意见
范围:已备案的第二级(含)以上信息系统纳入安全建设整改的范围。
尚未开展定级备案的信息系统,要先定级备案,定级不准的要先纠正,再开展安全建设整改。
新建系统要同步开展安全建设工作。
步骤:
第一步:制定信息系统安全建设整改工作规划,对信息系统安全建设整改工作进行总体部署;
第二步:开展信息系统安全保护现状分析,从管理和技术两个方面确定信息系统安全建设整改需求;
第三步:确定安全保护策略,制定信息系统安全建设整改方案;
第四步:开展信息系统安全建设整改工作,建立并落实安全管理制度,落实安全责任制,建设安全设施,落实安全措施;
第五步:开展安全自查和等级测评,及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设整改工作。
服务器操作系统安全优化
安全加固软件和人工安全加固相结合:关闭掉无用的服务、进行漏洞扫描、身份认证、安全审计、访问控制、资源控制、备份等。
数据库系统安全优化
通过人工加固方式:操作系统和数据库帐号不共用、采用最小授权原则、制定口令策略、数据库审计、对权限较敏感的存储过程加密管理、对远程数据库调用进行地址限制、备份等。
应用系统安全优化
定期进行漏洞扫描实施应用系统安全加固;加强身份认证机制及用户权限和访问控制;实施应用安全审计、应用通信安全加密传输、加强资源控制;部署WEB防火墙实现七层应用安全防护。
数据备份及恢复
定期进行数据备份、编制灾难恢复计划,同时还要定期进行灾难演练。
一级文件:框架性安全管理制度
二级文件:具体安全管理制度
三级文件:操作规程手册
四级文件:记录表格
目标:
一是落实信息安全责任制
二是落实人员安全管理制度
三是落实系统建设管理制度
四是落实系统运维管理制度
在这里插入图片描述
信息系统安全建设整改完成后要进行等级测评,在工程预算中应当包括等级测评费用。对第三级(含)以上信息系统每年要进行等级测评,并对测评费用做出预算。
在公安部备案的信息系统应选择国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评;在省(区、市)、地市级公安机关备案的信息系统,备案单位应选择本省(区、市)信息安全等级保护工作协调小组办公室或国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评。目前国家级7家,北京市级10家。
测评时机:建设整改后开展等级测评,检验整改效果。
测评频率:第三级以上定期;第二级参照。
测评费用:参照国家信息化项目人工计费标准或根据被测设备数量与测评项预算测评费用。
测评目的
一是掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求;
二是能够衡量出信息系统安全保护措施是否符合等级保护基本要求,是否具备了相应等级的安全保护能力。
在这里插入图片描述
等保工作情况检查: 等级保护工作部署、组织落实和实施情况
制度及技术检查: 对等级保护要求的建设及符合情况
检查方法: 制度建设/安全配置/漏洞检查
安全评估: 依据等级保护相关规范对安全状况评估
备案单位应定期开展自查,掌握信息系统安全状况、安全管理制度及技术保护措施的落实情况等。
行业主管部门定期组织对本行业、本部门等级保护工作开展情况进行检查,督促落实信息安全等级保护制度,达到重点督促,以点带面的目的。
第三级、第四级信息系统,由受理备案的公安机关进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
公安机关监督检查内容包括:
等级保护工作部署和组织实施情况
信息系统安全等级保护定级备案情况
信息安全设施建设情况和信息安全整改情况
运营、使用单位信息安全管理制度建立和措施落实情况
信息安全产品选择和使用情况
聘请测评机构开展技术测评工作情况
运营、使用单位对信息系统安全状况定期自查情况及其主管部门督导检查情况