信息安全等級保護(hù)政策培訓(xùn)教程

前言

信息安全等級保護(hù)制度是國家信息安全保障工作的基本制度、基本策略和基本方法，是促進(jìn)信息化健康發(fā)展，維護(hù)國家安全、社會(huì)秩序和公共利益的根本保障。國務(wù)院法規(guī)和中央文件明確規(guī)定，要實(shí)行信息安全等級保護(hù)，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護(hù)制度。信息安全等級保護(hù)是當(dāng)今發(fā)達(dá)國家保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施、保障信息安全的通行做法，也是我國多年來信息安全工作經(jīng)驗(yàn)的總結(jié)。開展信息安全等級保護(hù)工作不僅是保障重要信息系統(tǒng)安全的重大措施，也是一項(xiàng)事關(guān)國家安全、社會(huì)穩(wěn)定、國家利益的重要任務(wù)。近幾年，為組織各單位、各部門開展信息安全等級保護(hù)工作，公安部根據(jù)法律授權(quán)，會(huì)同國家保密局、國家密碼管理局和原國務(wù)院信息辦組織開展了基礎(chǔ)調(diào)查、等級保護(hù)試點(diǎn)、信息系統(tǒng)定級備案、安全建設(shè)整改等重要工作，出臺了一系列政策文件，構(gòu)成了信息安全等級保護(hù)政策體系，為指導(dǎo)各地區(qū)、各部門開展等級保護(hù)工作提供了政策保障。同時(shí)，在國內(nèi)有關(guān)部門、專家、企業(yè)的共同努力下，公安部和標(biāo)準(zhǔn)化工作部門組織制訂了信息安全等級保護(hù)工作需要的一系列標(biāo)準(zhǔn)，形成了信息安全等級保護(hù)標(biāo)準(zhǔn)體系，為開展信息安全等級保護(hù)工作提供了標(biāo)準(zhǔn)保障。今后一段時(shí)期，公安機(jī)關(guān)、行業(yè)主管部門和信息系統(tǒng)運(yùn)營使用單位將組織開展等級保護(hù)培訓(xùn)工作。我們結(jié)合近些年的工作實(shí)踐，在公安部網(wǎng)絡(luò)安全保衛(wèi)局的指導(dǎo)下，編寫了這本教程，對開展信息安全等級保護(hù)工作的主要內(nèi)容、方法、流程、政策和標(biāo)準(zhǔn)等內(nèi)容進(jìn)行解讀，對信息系統(tǒng)定級備案、安全建設(shè)整改、等級測評、安全檢查等工作進(jìn)行詳細(xì)解釋說明，供讀者參考、借鑒。由于水平所限，書中難免有不足之處，敬請讀者指正。本書由公安部信息安全等級保護(hù)評估中心組織編寫，在編寫過程中得到國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心趙林副主任的大力支持和指導(dǎo)，在此表示由衷地感謝。參加編寫的有周左鷹、郭啟全、朱建平、畢馬寧、景乾元、劉偉、張秀東、祝國邦、馬力、任衛(wèi)紅、李升、劉靜等。

內(nèi)容概要

本教程共6章，主要介紹開展信息安全等級保護(hù)工作的主要內(nèi)容、信息安全等級保護(hù)政策體系和標(biāo)準(zhǔn)體系、信息系統(tǒng)定級與備案工作、信息安全等級保護(hù)安全建設(shè)整改工作、信息安全等級保護(hù)等級測評工作、安全自查和監(jiān)督檢查。    本教程對信息安全等級保護(hù)工作有關(guān)政策、標(biāo)準(zhǔn)進(jìn)行解讀，對主要工作環(huán)節(jié)進(jìn)行解釋說明，供有關(guān)部門在開展信息安全等級保護(hù)培訓(xùn)中使用。

書籍目錄

第1章  信息安全等級保護(hù)制度的主要內(nèi)容 1  1.1  信息安全保障工作概述 1    1.1.1  加強(qiáng)信息安全工作的必要性和緊迫性 1    1.1.2  信息安全基本屬性 2    1.1.3  我國信息安全保障工作的確立 2    1.1.4  信息安全保障工作的主要內(nèi)容 3    1.1.5  保障信息安全的主要措施 3    1.1.6  北京奧運(yùn)會(huì)網(wǎng)絡(luò)安全保衛(wèi)成功經(jīng)驗(yàn)給信息安全工作帶來的啟示 4  1.2  信息安全等級保護(hù)的基本含義 5    1.2.1  信息安全等級保護(hù)的法律和政策依據(jù) 5    1.2.2  什么是信息安全等級保護(hù) 6    1.2.3  公安機(jī)關(guān)組織開展等級保護(hù)工作的法律、政策依據(jù) 8    1.2.4  貫徹落實(shí)信息安全等級保護(hù)制度的原則 9    1.2.5  信息系統(tǒng)安全保護(hù)等級的劃分與監(jiān)管 10  1.3  實(shí)行信息安全等級保護(hù)制度的必要性和緊迫性 11    1.3.1  為什么要強(qiáng)制實(shí)行信息安全等級保護(hù)制度 11    1.3.2  實(shí)施信息安全等級保護(hù)制度能解決什么問題 14    1.3.3  國外實(shí)施等級保護(hù)的經(jīng)驗(yàn)和做法 15  1.4  信息安全等級保護(hù)制度的主要內(nèi)容 17    1.4.1  等級保護(hù)工作中有關(guān)部門的責(zé)任和義務(wù) 17    1.4.2  等級保護(hù)工作的主要環(huán)節(jié)和基本要求 18  1.5  實(shí)施等級保護(hù)制度的工作情況 20    1.5.1  基礎(chǔ)調(diào)查 20    1.5.2  等級保護(hù)試點(diǎn)工作 20    1.5.3  部署定級備案工作 20    1.5.4  等級測評體系建設(shè)試點(diǎn)工作 21    1.5.5  等級保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）機(jī)構(gòu)和專家組建設(shè) 22第2章  信息安全等級保護(hù)政策體系和標(biāo)準(zhǔn)體系 24  2.1  信息安全等級保護(hù)政策體系 24    2.1.1  總體方面的政策文件 24    2.1.2  具體環(huán)節(jié)的政策文件 26  2.2  信息安全等級保護(hù)標(biāo)準(zhǔn)體系 28    2.2.1  信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)類別 28    2.2.2  相關(guān)標(biāo)準(zhǔn)與等級保護(hù)各工作環(huán)節(jié)關(guān)系 32    2.2.3  在應(yīng)用有關(guān)標(biāo)準(zhǔn)中需要注意的幾個(gè)問題 35    2.2.4  信息安全等級保護(hù)主要標(biāo)準(zhǔn)簡要說明 36第3章  信息系統(tǒng)定級與備案工作 60  3.1  信息系統(tǒng)安全保護(hù)等級的劃分與保護(hù) 60    3.1.1  信息系統(tǒng)定級工作原則 60    3.1.2  信息系統(tǒng)安全保護(hù)等級 61    3.1.3  信息系統(tǒng)安全保護(hù)等級的定級要素 61    3.1.4  五級保護(hù)和監(jiān)管 62  3.2  定級工作的主要步驟 62    3.2.1  開展摸底調(diào)查 62    3.2.2  確定定級對象 63    3.2.3  初步確定信息系統(tǒng)等級 64    3.2.4  信息系統(tǒng)等級評審 64    3.2.5  信息系統(tǒng)等級的審批 64  3.3  如何確定信息系統(tǒng)安全保護(hù)等級 65    3.3.1  如何理解信息系統(tǒng)的五個(gè)安全保護(hù)等級 65    3.3.2  定級的一般流程 66  3.4  信息系統(tǒng)備案工作的內(nèi)容和要求 71    3.4.1  信息系統(tǒng)備案與受理 71    3.4.2  公安機(jī)關(guān)受理備案要求 72    3.4.3  對定級不準(zhǔn)以及不備案情況的處理 73第4章  信息安全等級保護(hù)安全建設(shè)整改工作 74  4.1  工作目標(biāo)和工作內(nèi)容 74    4.1.1  工作目標(biāo) 74    4.1.2  工作范圍和工作特點(diǎn) 75    4.1.3  工作內(nèi)容 76    4.1.4  信息系統(tǒng)安全保護(hù)能力目標(biāo) 78    4.1.5  基本要求的主要內(nèi)容 81  4.2  工作方法和工作流程 85    4.2.1  工作方法 85    4.2.2  工作流程 86  4.4  安全管理制度建設(shè) 87    4.4.1  落實(shí)信息安全責(zé)任制 87    4.4.2  信息系統(tǒng)安全管理現(xiàn)狀分析 89    4.4.3  制定安全管理策略和制度 89    4.4.4  落實(shí)安全管理措施 90    4.4.5  安全自查與調(diào)整 93  4.5  安全技術(shù)措施建設(shè) 93    4.5.1  信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析 93    4.5.2  信息系統(tǒng)安全技術(shù)建設(shè)整改方案設(shè)計(jì) 95    4.5.3  安全建設(shè)整改工程實(shí)施和管理 99    4.5.4  信息系統(tǒng)安全建設(shè)整改方案要素 100  4.6  信息安全產(chǎn)品的選擇使用 102    4.6.1  選擇獲得銷售許可證的信息安全產(chǎn)品 102    4.6.2  產(chǎn)品分等級檢測和使用 102    4.6.3  第三級以上信息系統(tǒng)使用信息安全產(chǎn)品問題 103第5章  信息安全等級保護(hù)等級測評工作 104  5.1  等級測評工作概述 104    5.1.1  等級測評的基本含義 104    5.1.2  等級測評的目的 104    5.1.3  開展等級測評時(shí)機(jī) 105    5.1.4  等級測評機(jī)構(gòu)的選擇 105    5.1.5  等級測評依據(jù)的標(biāo)準(zhǔn) 106  5.2  等級測評機(jī)構(gòu)及測評人員的管理與監(jiān)督 107    5.2.1  為什么要開展等級測評體系建設(shè)工作 107    5.2.2  對測評機(jī)構(gòu)和測評人員的管理 108    5.2.3  等級測評機(jī)構(gòu)應(yīng)當(dāng)具備的基本條件 108    5.2.4  測評機(jī)構(gòu)的業(yè)務(wù)范圍和工作要求 109    5.2.5  測評機(jī)構(gòu)的的禁止行為 110    5.2.6  測評機(jī)構(gòu)的申請、受理、審核、推薦流程 110    5.2.7  對測評機(jī)構(gòu)的監(jiān)督管理 113  5.3  等級測評的工作流程和工作內(nèi)容 113    5.3.1  基本工作流程和工作方法 113    5.3.2  系統(tǒng)信息收集 115    5.3.3  編制測評方案 118    5.3.4  現(xiàn)場測評 122    5.3.5  測評結(jié)果判斷 126    5.3.6  測評報(bào)告編制 128  5.4  等級測評工作中的風(fēng)險(xiǎn)控制 129    5.4.1  存在的風(fēng)險(xiǎn) 129    5.4.2  風(fēng)險(xiǎn)的規(guī)避 129  5.5  等級測評報(bào)告的主要內(nèi)容 131    5.5.1  等級測評報(bào)告的構(gòu)成 131    5.5.2  等級測評報(bào)告的主要內(nèi)容說明 131第6章  安全自查和監(jiān)督檢查 134  6.1  定期自查與督導(dǎo)檢查 134    6.1.1  備案單位的定期自查 134    6.1.2  行業(yè)主管部門的督導(dǎo)檢查 135  6.2  公安機(jī)關(guān)的監(jiān)督檢查 135    6.2.1  檢查的原則和方法 135    6.2.2  檢查的主要內(nèi)容 135    6.2.3  檢查整改要求 136    6.2.4  檢查工作要求 136附錄A  關(guān)于信息安全等級保護(hù)工作的實(shí)施意見 138附錄B  信息安全等級保護(hù)管理辦法 148附錄C  關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知 162附錄D  信息安全等級保護(hù)備案實(shí)施細(xì)則（試行） 177附錄E  公安機(jī)關(guān)信息安全等級保護(hù)檢查工作規(guī)范（試行） 186附錄F  關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評估工作的通知 201附錄G  關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見 222附錄H  信息系統(tǒng)安全等級測評報(bào)告模版（試行） 227附錄I  關(guān)于推動(dòng)信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知 249附錄J  信息安全等級保護(hù)測評工作管理規(guī)范（試行） 252附錄K  信息安全等級保護(hù)安全建設(shè)指導(dǎo)委員會(huì)專家名單 275

章節(jié)摘錄

插圖：安全管理要求的分級描述方式根據(jù)信息系統(tǒng)的五個(gè)安全保護(hù)等級的劃分，隨著信息系統(tǒng)安全保護(hù)能力逐級增高，相應(yīng)的安全管理要求也逐級增強(qiáng)，體現(xiàn)在管理要素?cái)?shù)量的增加和管理強(qiáng)度的增強(qiáng)兩方面。例如，在描述信息系統(tǒng)安全管理要素“建立安全管理機(jī)構(gòu)”時(shí)，在該安全管理要素的標(biāo)題之下，首先簡要說明本要素的作用，然后分列（a）配備安全管理人員、（b）建立安全職能部門、（c）成立安全領(lǐng)導(dǎo)小組、（d）主要負(fù)責(zé)人出任領(lǐng)導(dǎo)、（e）建立信息安全部門為小標(biāo)題的五個(gè)不同強(qiáng)度的管理要求，而且在小標(biāo)題之下還有更細(xì)化的描述。由（a）至（e）強(qiáng)度逐步提高，并明確規(guī)定不同安全等級應(yīng)有選擇地滿足這些要求的一項(xiàng)。在具體描述時(shí)，有些管理要素的管理強(qiáng)度要求在前一強(qiáng)度基礎(chǔ)之上繼續(xù)完成的，會(huì)明確指出，如“在（a）的基礎(chǔ)上，……”。安全管理要素《安全管理要求》以安全管理要素作為描述安全管理要求的基本組件。信息系統(tǒng)安全管理要素是指，為實(shí)現(xiàn)信息系統(tǒng)安全等級保護(hù)所規(guī)定的安全要求，從管理角度應(yīng)采取的控制點(diǎn)，即實(shí)施的方法和措施。根據(jù)GB 17859對安全保護(hù)等級的劃分，不同的安全保護(hù)等級會(huì)有不同的安全管理要求，具體體現(xiàn)在管理要素?cái)?shù)量的增加和管理強(qiáng)度的增強(qiáng)兩方面。這些安全管理要素構(gòu)成信息系統(tǒng)安全管理的基本組件庫，為提出分等級管理要求奠定了基礎(chǔ)。安全管理要素的結(jié)構(gòu)分為三個(gè)層次，為便于說明將第一層稱為類，第二層稱為族，第三層為具體的安全管理要素，共計(jì)8個(gè)類，30個(gè)族，98個(gè)要素，對于每個(gè)管理要素，根據(jù)特定情況分別列出不同的管理強(qiáng)度，最多分為五級，最少可不分級。

編輯推薦

《信息安全等級保護(hù)政策培訓(xùn)教程》：信息安全等級保護(hù)制度是國家信息安全保障工作的基本制度、基本策略和基本方法，是促進(jìn)信息化健康發(fā)展，維護(hù)國家安全、社會(huì)秩序和公共利益的根本保障。開展信息安全等級保護(hù)工作不僅是保障重要信息系統(tǒng)安全的重大措施，也是一項(xiàng)事關(guān)國家安全、社會(huì)穩(wěn)定、國家利益的重要任務(wù)?！缎畔踩燃壉Ｗo(hù)政策培訓(xùn)教程》內(nèi)容包括：信息安全等級保護(hù)制度的主要內(nèi)容信息安全等級保護(hù)政策體系和標(biāo)準(zhǔn)體系信息系統(tǒng)定級與備案工作信息安全等級保護(hù)安全建設(shè)整改工作信息安全等級保護(hù)等級測評工作安全自查和監(jiān)督檢查

圖書封面

評論、評分、閱讀與下載

---

    信息安全等級保護(hù)政策培訓(xùn)教程 PDF格式下載

---