中央关于信息安全的政策不断加码,高度逐渐提升到战略层面。等保2.0系列标准即将发布,监管趋严,不少从业者表示,地方监管部门正在提高等保测评的要求,为了更好地汇报工作,更高效地开展等级保护工作,相关的政策体系、主要标准必须了如指掌才行。 大家都知道 e 安在线一直努力为大家分享等级保护的干货 微信后台每天都会有来自四海八荒的问候 “开展等保都要了解什么政策?” “开展等保工作的5个步骤,都以哪些标准为依据?” “有没有全套的政策体系啊?” …… 作为一个敬业的小编 只能后台一一回答你们 昨日旧人换新人 …… e小安就想啊,如何高效解决这个问题呢? 于是 我决定 把等级保护相关的政策体系、标准要求整理成一份清单 然后 我就可以安心地过清明小长假了~~ 等级保护政策体系 1. 国务院147号令 《中华人民共和国计算机信息系统安全保护条例》(国务院147 号令) 第六条 公安部主管全国计算机信息系统安全保护工作。国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。 第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。 2.中办发[2003] 27号 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号) ● “要加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准相衔接的 中国特色的信息安全标准体系。” ● “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。 3.公通字[2004] 66号 《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号) ● “加快完善法律法规和标准体系。法律规范和技术标准是推广和实施信息安全等级保护工作的法律依据和技术保障。” ● “加快信息安全等级保护管理与技术标准的制定和完善,其他现行的相关标准规范中与等级保护管理规范和技术标准不相适应的,应当进行调整。” 公通字[2004] 66号‐职责分工和工作要求 ▲ 信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准,确定其信息和信息系统的安全保护等级。 ▲ 信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准对新建、改建、扩建的信息系统进行信息系统的安全规划设计、安全建设施工。 ▲ 信息和信息系统的运营、使用单位及其主管部门按照与信息系统安全保护等级相对应的管理规范和技术标准的要求,定期进行安全状况检测评估。 ▲ 国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求,对信息和信息系统的安全等级保护状况进行监督检查。 ▲ 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。 ▲ 在信息安全等级保护工作中,涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。 ▲ 信息和信息系统的主管部门及运营、使用单位按照等级保护的管理规范和技术标准进行信息安全建设和管理。 ▲ 国务院信息化工作办公室负责信息安全等级保护工作中部门间的协调。 4.公通字[2007] 43号 关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43 号) ⑴ 信息系统定级 ⑵ 信息系统备案 ⑶ 系统建设整改 ⑷ 开展等级测评 ⑸ 开展监督检查 《信息安全等级保护管理办法》 公通字[2007]43号 其中第三条规定: 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。 国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 其中第六条规定: 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第一级,自主保护。 第二级,工作指导。 第三级,强制监督和检查。 第四级,专门监督和检查。 其中第十条规定: ● 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。 ● 跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 ● 对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请 国家信息安全保护等级专家评审委员会评审。 其中第十一条规定: 信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统 安全建设或者改建工作。 第十二条 在信息系统建设过程中,运营、使用单位应当 按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准, 参照《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。 第十三条 运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。 第十四条 ▲ 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。 ▲ 信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。 ▲ 经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
其中第十五条规定: ● 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30 日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 ● 新建第二级以上信息系统,应当在投入运行后30 日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 ● 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。 ● 跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
其中第十八条规定: ▲ 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。 ▲ 对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。 ▲ 对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。
第二十一条规定: 第三级以上信息系统应当选择使用符合条件的信息安全产品。 ① 国产信息安全产品 ② 取得销售许可证 第二十二条规定: 第三级以上信息系统应当选择符合条件的等级保护测评机构进行测评。 5.发改高科[2008] 2071号 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071 号) ● 国家电子政务项目,应开展信息安全测评工作 ● 非涉密信息系统和涉密信息系统开展工作 ● 一证两报告(信息系统备案证明、等级测评报告和风险评估报告 工作范围 ● 国家的电子政务网络 ● 重点业务信息系统 ● 基础信息库 ● 相关支撑体系等国家电子政务工程建设项目 工作内容 非涉密信息系统的信息安全风险评估应按照《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》和《信息安全风险评估规范》等有关要求,可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估报告。 等级测评报告参照公安部门制订的格式编制,风险评估报告参考《国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式》。 可委托机构 非涉密信息系统的信息安全风险评估,由国家信息技术安全研究中心、中国信息安全测评中心、公安部信息安全等级保护评估中心等三家专业测评机构承担。 ● 项目建设单位向审批部门提出项目竣工验收申请时,应提交该非涉密信息系统安全保护等级备案证明,以及相应的安全等级测评报告和信息安全风险评估报告。 ● 电子政务项目信息安全风险评估经费计入该项目总投资。 6.国发[2012]23号 《国务院关于推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号):“落实信息安全等级保护制度,开展相应等级的安全建设和管理,做好信息系统定级备案、整改和监督检查。” 7.发改高科[2012] 1986号 《关于进一步加强电子政务网络建设和应用工作的通知》(发改高技[2012]1986号) 第十一条 国家电子政务工程建设项目在验收前,应委托具备资质的测评机构,分别对涉及和不涉及国家秘密项目开展分级或 等级测评和风险评估,对符合要求的,方可申请项目竣工验收。 8.公信安[2014]2182号 公安部、发改委和财政部联合印发的《关于加强国家级重要信息系统安全保障工作有关事项的通知》(公信安[2014]2182号)要求,加强对47个行业、276家单位、500个涉及国计民生的国家级重要信息系统的安全监管和保障。 《公安防控体系建设的意见》要求:“完善国家网络安全监测预警和通报处置工作机制,推进完善信息安全等级保护制度”。 9.《关于加强社会治安防控体系建设的意见》 2014年12月,中办国办《关于加强社会治安防控体系建设的意见》要求:“完善国家网络安全监测预警和通报处置工作机制,推进完善信息安全等级保护制度”。 10.《关于全面深化公安改革若干重大问题的框架意见》 2014年12月中央批准实施的《关于全面深化公安改革若干重大问题的框架意见》指出, “推进健全信息安全等级保护制度,完善网络安全风险监测预警、通报处置机制”。 11.《关于加强智慧城市网络安全管理工作的若干意见》。 2015年公安部会同国家发改委、工信部、网信办印发了《关于加强智慧城市网络安全管理工作的若干意见》。组织开展“智慧城市”网络安全建设、管理和评价工作。 12.中华人民共和国网络安全法 主旨内容: ▲ 国家网络安全等级保护制度 ▲ 关键信息基础设施保护 ▲ 网络运营者、网络产品和服务提供者义务 ▲ 保障网络信息安全,个人信息保护 ▲ 关键信息基础设施重要数据跨境传输 ▲ 监测预警与应急处置 国家网络安全等级保护制度( 基本制度和基本国策,上升为法律 ) 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务。 第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。 第五十九条 ● 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款;对 直接负责的主管人员处五千元以上五万元以下 罚款。 ● 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予 警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款;对直接负责的主管人员处一万元以上十万元以下 罚款。 13.刑法修正案九法律责任条款 第二百八十六条之一【拒不履行信息网络安全管理义务罪】 网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金: (一)致使违法信息大量传播的; (二)致使用户信息泄露,造成严重后果的; (三)致使刑事案件证据灭失,情节严重的; (四)有其他严重情节的。 14.关键信息基础设施安全保护条例 ) 第十八条 下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围: (一)政府机关和能源、金融、交通、水利、 卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位; (二) 电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位; (三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位; (四)广播电台、电视台、通讯社等新闻单位; (五)其他重点单位。 综上,这么多的政策及法律支撑并要求我们及时开展网络安全和等级保护工作,我们没有理由不去做这块工作,不仅要做,还要做好。 我是等保主要标准的分割线 基础 1.《计算机信息系统安全保护等级划分准则》GB17859-1999 2.《 信息系统安全等级保护实施指南 》 (国标报批稿) 定级环节 3.《信息系统安全保护等级定级指南》 GB/T22240-2008 安全建设整改 4.《信息系统安全等级保护基本要求》 GB/T22239-2008 5.《 信息系统通用安全技术要求 》 GB/T20271-2006 6.《信息系统等级保护安全设计技术要求》 7.《信息系统安全管理要求》 GB/T20269-2006 8.《信息系统安全工程管理要求》 GB/T20282-2006 等级测评环节 9.《信息系统安全等级保护测评要求》 (国标报批稿) 10.《信息系统安全等级保护测评过程指南》 (国标报批稿) 各位老铁,为了整理这个清单,e小安已经斑秃了 这么全面的清单,私藏不如分享啊 |
|