國家等級(jí)保護(hù)政策標(biāo)準(zhǔn)解讀

1、-. z.國家等級(jí)保護(hù)政策標(biāo)準(zhǔn)解讀一概述信息平安等級(jí)保護(hù)制度是國家信息平安保障工作的根本制度、根本策略和根本方法，是促進(jìn)信息化安康開展，維護(hù)國家平安、社會(huì)秩序和公共利益的根本保障。國務(wù)院147號(hào)令及中辦發(fā)2003 27號(hào)文等文件明確規(guī)定，要實(shí)行信息平安等級(jí)保護(hù)，重點(diǎn)保護(hù)根底信息網(wǎng)絡(luò)和關(guān)系國家平安、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)。建立和落實(shí)信息平安等級(jí)保護(hù)制度是形勢(shì)所迫、國情所需。我國信息平安保障工作要求堅(jiān)持積極防御、綜合防*的方針，全面提高信息平安防護(hù)能力。等級(jí)保護(hù)工作的具體環(huán)節(jié)分為定級(jí)、備案、系統(tǒng)建立整改、開展等級(jí)測(cè)評(píng)、信息平安監(jiān)管部門定期開展監(jiān)視檢查五步驟。等級(jí)保護(hù)工作中各環(huán)節(jié)用到

2、的主要標(biāo)準(zhǔn)包括：計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)則、信息系統(tǒng)平安等級(jí)保護(hù)實(shí)施指南、信息系統(tǒng)平安保護(hù)等級(jí)定級(jí)指南、信息系統(tǒng)平安等級(jí)保護(hù)根本要求、信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)過程指南。等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)與等級(jí)保護(hù)各工作環(huán)節(jié)的關(guān)系如下：二信息平安等級(jí)保護(hù)實(shí)施指南信息系統(tǒng)平安等級(jí)保護(hù)實(shí)施指南GB/T25058-2010介紹和描述了實(shí)施信息系統(tǒng)等級(jí)保護(hù)過程中涉及的階段、過程和需要完成的活動(dòng)，通過對(duì)過程和活動(dòng)的介紹，使大家了解對(duì)信息系統(tǒng)實(shí)施等級(jí)保護(hù)的流程方法，以及不同的角色在不同階段的作用等。信息系統(tǒng)全生命周期分為信息系統(tǒng)定級(jí)、總體平安規(guī)劃、平安設(shè)計(jì)與實(shí)施、平安運(yùn)行維護(hù)、信息系統(tǒng)終止等五個(gè)階段。在平安運(yùn)行與維護(hù)

3、階段，信息系統(tǒng)因需求變化等原因?qū)е戮植空{(diào)整，而系統(tǒng)的平安保護(hù)等級(jí)并未改變，應(yīng)從平安運(yùn)行與維護(hù)階段進(jìn)入平安設(shè)計(jì)與實(shí)施階段，重新設(shè)計(jì)、調(diào)整和實(shí)施平安措施，確保滿足等級(jí)保護(hù)的要求。但是信息系統(tǒng)發(fā)生重大變更導(dǎo)致信息系統(tǒng)等級(jí)變化是，應(yīng)從平安運(yùn)行維護(hù)階段進(jìn)入信息系統(tǒng)定級(jí)階段，重新開場(chǎng)一輪信息平安等級(jí)保護(hù)的實(shí)施過程。2.1 信息系統(tǒng)定級(jí)定級(jí)備案是信息平安等級(jí)保護(hù)的首要環(huán)節(jié)。信息系統(tǒng)定級(jí)工作應(yīng)按照自主定級(jí)、專家評(píng)審、主管部門審批、公安機(jī)關(guān)審核的原則進(jìn)展。在等級(jí)保護(hù)工作中，信息系統(tǒng)運(yùn)營使用單位和主管部門按照誰主管誰負(fù)責(zé)，誰運(yùn)營誰負(fù)責(zé)的原則開展工作，并承受信息平安監(jiān)管部門對(duì)開展等級(jí)保護(hù)工作的監(jiān)管。2.1.1定級(jí)定

4、級(jí)工作的主要內(nèi)容包括：確定定級(jí)對(duì)象、確定信息系統(tǒng)平安保護(hù)等級(jí)、組織專家評(píng)審、主管部門審批、公安機(jī)關(guān)審核，具體可按照關(guān)于開展全國重要信息系統(tǒng)平安等級(jí)保護(hù)定級(jí)工作的通知要求執(zhí)行。等級(jí)確實(shí)定是不依賴于平安保護(hù)措施的，具有一定的客觀性，即該系統(tǒng)在存在之初便由其自身所實(shí)現(xiàn)的使命決定了它的平安保護(hù)等級(jí)，而非由后天的平安保護(hù)措施決定。不同級(jí)別的信息系統(tǒng)應(yīng)具備相應(yīng)級(jí)別的平安保護(hù)能力。信息系統(tǒng)的平安保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家平安、經(jīng)濟(jì)建立、社會(huì)生活中的重要程度，遭到破壞后對(duì)國家平安、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。信息系統(tǒng)的平安保護(hù)等級(jí)分為五級(jí)，從第一級(jí)到第五級(jí)逐級(jí)

5、增高。定級(jí)方法包括：確定定級(jí)對(duì)象、確定業(yè)務(wù)信息平安受到破壞時(shí)所侵害的客體、綜合評(píng)定業(yè)務(wù)信息平安被破壞對(duì)客體的侵害程度等。信息系統(tǒng)定級(jí)階段的目標(biāo)是信息系統(tǒng)運(yùn)營、使用單位按照國家有關(guān)管理規(guī)*和GB/T 22240-2008，確定信息系統(tǒng)的平安保護(hù)等級(jí)，信息系統(tǒng)運(yùn)營、使用單位有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。2.1.2 備案信息平安等級(jí)保護(hù)備案工作包括信息系統(tǒng)備案、受理、審核和備案信息管理等工作。信息系統(tǒng)運(yùn)營使用單位和受理備案的公安機(jī)關(guān)應(yīng)按照信息平安等級(jí)保護(hù)備案實(shí)施細(xì)則的要求辦理信息系統(tǒng)備案工作。第二級(jí)以上信息系統(tǒng)，在平安保護(hù)等級(jí)確定后30天內(nèi)，由其運(yùn)營、使用單位或其主管部門到所在地設(shè)區(qū)的市級(jí)以

6、上公安機(jī)關(guān)辦理備案手續(xù)。辦理備案手續(xù)時(shí)，應(yīng)當(dāng)首先到公安機(jī)關(guān)指定的網(wǎng)址下載并填寫備案表，準(zhǔn)備好備案文件，然后到指定的地點(diǎn)備案。2.2 總體平安規(guī)劃總體平安規(guī)劃階段的目標(biāo)是根據(jù)信息系統(tǒng)的劃分情況、信息系統(tǒng)的定級(jí)情況、信息系統(tǒng)承載業(yè)務(wù)情況，通過分析明確信息系統(tǒng)平安需求，設(shè)計(jì)合理的、滿足等級(jí)保護(hù)要求的總體平安方案，并制定出平安實(shí)施方案，以指導(dǎo)后續(xù)的信息系統(tǒng)平安建立工程實(shí)施。對(duì)于已運(yùn)營運(yùn)行的信息系統(tǒng)，需求分析應(yīng)當(dāng)首先分析判斷信息系統(tǒng)的平安保護(hù)現(xiàn)狀與等級(jí)保護(hù)要求之間的差距。2.3 平安設(shè)計(jì)與實(shí)施平安設(shè)計(jì)與實(shí)施階段的目標(biāo)是按照信息系統(tǒng)平安總體方案的要求，結(jié)合信息系統(tǒng)平安建立工程方案，分期分步落實(shí)平安措施。2

7、.4 平安運(yùn)行與維護(hù)平安運(yùn)行與維護(hù)是等級(jí)保護(hù)實(shí)施過程中確保信息系統(tǒng)正常運(yùn)行的必要環(huán)節(jié)，涉及的內(nèi)容較多，包括平安運(yùn)行與維護(hù)機(jī)構(gòu)和平安運(yùn)行與維護(hù)機(jī)制的建立，環(huán)境、資產(chǎn)、設(shè)備、介質(zhì)的管理，網(wǎng)絡(luò)、系統(tǒng)的管理，密碼、密鑰的管理，運(yùn)行、變更的管理，平安狀態(tài)監(jiān)控和平安事件處置，平安審計(jì)和平安檢查等內(nèi)容。本標(biāo)準(zhǔn)并不對(duì)上述所有的管理過程進(jìn)展描述，希望全面了解和控制平安運(yùn)行與維護(hù)階段各類過程的本標(biāo)準(zhǔn)使用者可以參見其它標(biāo)準(zhǔn)或指南。2.4.1 信息系統(tǒng)建立整改建立整改是等級(jí)保護(hù)工作落實(shí)的關(guān)鍵所在。確定了各等級(jí)信息系統(tǒng)能夠到達(dá)相應(yīng)等級(jí)的根本保護(hù)水平和滿足自身需求的平安保護(hù)能力。平安建立整改根本流程工作分為五步進(jìn)展。1落

8、實(shí)負(fù)責(zé)平安建立整改工作的責(zé)任部門，由責(zé)任部門牽頭制定本單位和本行業(yè)信息系統(tǒng)平安建立整改工作方案，對(duì)平安建立整改工作進(jìn)展總體部署。2開展信息系統(tǒng)平安保護(hù)現(xiàn)狀分析，從管理和技術(shù)兩個(gè)方面確定信息系統(tǒng)平安建立整改需求。3確定平安保護(hù)策略，制定信息系統(tǒng)平安建立整改方案。4按照信息系統(tǒng)平安建立整改方案，實(shí)施平安建立整改工程，建立并落實(shí)平安管理制度，落實(shí)平安責(zé)任制，建立平安設(shè)施，落實(shí)平安設(shè)施。5開展平安自查和等級(jí)測(cè)評(píng)。按照國家有關(guān)規(guī)定，依據(jù)根本要求，參照信息系統(tǒng)平安管理要求等標(biāo)準(zhǔn)規(guī)*要求，開展信息系統(tǒng)等級(jí)保護(hù)平安管理制度建立工作。工作流程包括：1落實(shí)信息平安責(zé)任制；2信息系統(tǒng)平安管理現(xiàn)狀分析；3制定平安管理

9、策略和制度；4落實(shí)平安管理措施；5平安自查與調(diào)整。按照國家有關(guān)規(guī)定，依據(jù)根本要求，參照信息系統(tǒng)通用平安技術(shù)要求、信息系統(tǒng)等級(jí)保護(hù)平安設(shè)計(jì)技術(shù)要求等標(biāo)準(zhǔn)規(guī)*要求，開展信息系統(tǒng)等級(jí)保護(hù)平安管理制度建立工作。工作流程包括：1信息系統(tǒng)現(xiàn)狀分析；2信息系統(tǒng)平安保護(hù)技術(shù)現(xiàn)狀分析；3平安需求論證和確定。2.4.2 等級(jí)測(cè)評(píng)等級(jí)測(cè)評(píng)是評(píng)價(jià)平安保護(hù)現(xiàn)狀的重要方法?？梢源_定信息系統(tǒng)的平安狀況，尤其是與相應(yīng)等級(jí)根本要求的差距，提出平安整改需求。等級(jí)測(cè)評(píng)的目標(biāo)是通過信息平安等級(jí)測(cè)評(píng)機(jī)構(gòu)對(duì)已經(jīng)完成等級(jí)保護(hù)建立的信息系統(tǒng)定期進(jìn)展等級(jí)測(cè)評(píng)，確保信息系統(tǒng)的平安保護(hù)措施符合相應(yīng)等級(jí)的平安要求。參與角色包括：信息系統(tǒng)主管部門、信

10、息系統(tǒng)運(yùn)營使用單位以及信息平安等級(jí)測(cè)評(píng)機(jī)構(gòu)。等級(jí)測(cè)評(píng)主要參照的標(biāo)準(zhǔn)包括：信息系統(tǒng)平安等級(jí)保護(hù)根本要求、信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)要求、信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)過程指南。信息系統(tǒng)建立完成后，運(yùn)營、使用單位或者其主管部門應(yīng)中選擇符合本方法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu)，依據(jù)信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)要求等技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)平安等級(jí)狀況開展等級(jí)測(cè)評(píng)。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)展一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)展一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊平安需求進(jìn)展等級(jí)測(cè)評(píng)。信息系統(tǒng)運(yùn)營、使用單位及其主管部門應(yīng)當(dāng)定期對(duì)信息系統(tǒng)平安狀況、平安保護(hù)制度及措施的落實(shí)情況進(jìn)展自查。第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少

11、進(jìn)展一次自查，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)展一次自查，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊平安需求進(jìn)展自查。經(jīng)測(cè)評(píng)或者自查，信息系統(tǒng)平安狀況未到達(dá)平安保護(hù)等級(jí)要求的，運(yùn)營、使用單位應(yīng)當(dāng)制定方案進(jìn)展整改。測(cè)評(píng)機(jī)構(gòu)及其測(cè)評(píng)人員應(yīng)嚴(yán)格執(zhí)行有關(guān)管理規(guī)*和技術(shù)標(biāo)準(zhǔn)，開展客觀、公正、公平的等級(jí)保護(hù)測(cè)評(píng)效勞，并依據(jù)信息平安測(cè)評(píng)聯(lián)盟等級(jí)測(cè)評(píng)工程收費(fèi)指導(dǎo)意見進(jìn)展收費(fèi)。2.4.3 監(jiān)視檢查監(jiān)視檢查的目標(biāo)是通過國家管理部門對(duì)信息系統(tǒng)定級(jí)、規(guī)劃設(shè)計(jì)、建立實(shí)施和運(yùn)行管理等過程進(jìn)展監(jiān)視檢查，確保其符合信息系統(tǒng)平安保護(hù)相應(yīng)等級(jí)的要求。參與角色包括：信息系統(tǒng)主管部門、信息系統(tǒng)運(yùn)營使用單位以及國家管理部門。2.5 信息系統(tǒng)終止信息系統(tǒng)終止階段是等級(jí)保護(hù)實(shí)施過程中的最后環(huán)節(jié)。當(dāng)信息系統(tǒng)被轉(zhuǎn)移、終止或廢棄時(shí)，正確處理系統(tǒng)內(nèi)的敏感信息對(duì)于確保機(jī)構(gòu)信息資產(chǎn)的平安是至關(guān)重要的。在信息系統(tǒng)生命周期中，有些系統(tǒng)并不是真正意義上的廢棄，而是改良技術(shù)或轉(zhuǎn)變業(yè)務(wù)到新的信息系統(tǒng)，對(duì)于這些信息系統(tǒng)在終止處理過程中應(yīng)確保信息轉(zhuǎn)移、設(shè)備遷移和介質(zhì)銷毀等方面的平安。信息系統(tǒng)平安等級(jí)保護(hù)實(shí)施指南GB/T25058-2010在信息系統(tǒng)終止階段關(guān)