信息安全等級(jí)保護(hù)政策培訓(xùn)教程

前言

信息安全等級(jí)保護(hù)制度是國(guó)家信息安全保障工作的基本制度、基本策略和基本方法，是促進(jìn)信息化健康發(fā)展，維護(hù)國(guó)家安全、社會(huì)秩序和公共利益的根本保障。國(guó)務(wù)院法規(guī)和中央文件明確規(guī)定，要實(shí)行信息安全等級(jí)保護(hù)，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度。信息安全等級(jí)保護(hù)是當(dāng)今發(fā)達(dá)國(guó)家保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施、保障信息安全的通行做法，也是我國(guó)多年來(lái)信息安全工作經(jīng)驗(yàn)的總結(jié)。開(kāi)展信息安全等級(jí)保護(hù)工作不僅是保障重要信息系統(tǒng)安全的重大措施，也是一項(xiàng)事關(guān)國(guó)家安全、社會(huì)穩(wěn)定、國(guó)家利益的重要任務(wù)。近幾年，為組織各單位、各部門(mén)開(kāi)展信息安全等級(jí)保護(hù)工作，公安部根據(jù)法律授權(quán)，會(huì)同國(guó)家保密局、國(guó)家密碼管理局和原國(guó)務(wù)院信息辦組織開(kāi)展了基礎(chǔ)調(diào)查、等級(jí)保護(hù)試點(diǎn)、信息系統(tǒng)定級(jí)備案、安全建設(shè)整改等重要工作，出臺(tái)了一系列政策文件，構(gòu)成了信息安全等級(jí)保護(hù)政策體系，為指導(dǎo)各地區(qū)、各部門(mén)開(kāi)展等級(jí)保護(hù)工作提供了政策保障。同時(shí)，在國(guó)內(nèi)有關(guān)部門(mén)、專家、企業(yè)的共同努力下，公安部和標(biāo)準(zhǔn)化工作部門(mén)組織制訂了信息安全等級(jí)保護(hù)工作需要的一系列標(biāo)準(zhǔn)，形成了信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系，為開(kāi)展信息安全等級(jí)保護(hù)工作提供了標(biāo)準(zhǔn)保障。今后一段時(shí)期，公安機(jī)關(guān)、行業(yè)主管部門(mén)和信息系統(tǒng)運(yùn)營(yíng)使用單位將組織開(kāi)展等級(jí)保護(hù)培訓(xùn)工作。我們結(jié)合近些年的工作實(shí)踐，在公安部網(wǎng)絡(luò)安全保衛(wèi)局的指導(dǎo)下，編寫(xiě)了這本教程，對(duì)開(kāi)展信息安全等級(jí)保護(hù)工作的主要內(nèi)容、方法、流程、政策和標(biāo)準(zhǔn)等內(nèi)容進(jìn)行解讀，對(duì)信息系統(tǒng)定級(jí)備案、安全建設(shè)整改、等級(jí)測(cè)評(píng)、安全檢查等工作進(jìn)行詳細(xì)解釋說(shuō)明，供讀者參考、借鑒。由于水平所限，書(shū)中難免有不足之處，敬請(qǐng)讀者指正。本書(shū)由公安部信息安全等級(jí)保護(hù)評(píng)估中心組織編寫(xiě)，在編寫(xiě)過(guò)程中得到國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心趙林副主任的大力支持和指導(dǎo)，在此表示由衷地感謝。參加編寫(xiě)的有周左鷹、郭啟全、朱建平、畢馬寧、景乾元、劉偉、張秀東、祝國(guó)邦、馬力、任衛(wèi)紅、李升、劉靜等。

內(nèi)容概要

本教程共6章，主要介紹開(kāi)展信息安全等級(jí)保護(hù)工作的主要內(nèi)容、信息安全等級(jí)保護(hù)政策體系和標(biāo)準(zhǔn)體系、信息系統(tǒng)定級(jí)與備案工作、信息安全等級(jí)保護(hù)安全建設(shè)整改工作、信息安全等級(jí)保護(hù)等級(jí)測(cè)評(píng)工作、安全自查和監(jiān)督檢查。    本教程對(duì)信息安全等級(jí)保護(hù)工作有關(guān)政策、標(biāo)準(zhǔn)進(jìn)行解讀，對(duì)主要工作環(huán)節(jié)進(jìn)行解釋說(shuō)明，供有關(guān)部門(mén)在開(kāi)展信息安全等級(jí)保護(hù)培訓(xùn)中使用。

書(shū)籍目錄

第1章  信息安全等級(jí)保護(hù)制度的主要內(nèi)容 1  1.1  信息安全保障工作概述 1    1.1.1  加強(qiáng)信息安全工作的必要性和緊迫性 1    1.1.2  信息安全基本屬性 2    1.1.3  我國(guó)信息安全保障工作的確立 2    1.1.4  信息安全保障工作的主要內(nèi)容 3    1.1.5  保障信息安全的主要措施 3    1.1.6  北京奧運(yùn)會(huì)網(wǎng)絡(luò)安全保衛(wèi)成功經(jīng)驗(yàn)給信息安全工作帶來(lái)的啟示 4  1.2  信息安全等級(jí)保護(hù)的基本含義 5    1.2.1  信息安全等級(jí)保護(hù)的法律和政策依據(jù) 5    1.2.2  什么是信息安全等級(jí)保護(hù) 6    1.2.3  公安機(jī)關(guān)組織開(kāi)展等級(jí)保護(hù)工作的法律、政策依據(jù) 8    1.2.4  貫徹落實(shí)信息安全等級(jí)保護(hù)制度的原則 9    1.2.5  信息系統(tǒng)安全保護(hù)等級(jí)的劃分與監(jiān)管 10  1.3  實(shí)行信息安全等級(jí)保護(hù)制度的必要性和緊迫性 11    1.3.1  為什么要強(qiáng)制實(shí)行信息安全等級(jí)保護(hù)制度 11    1.3.2  實(shí)施信息安全等級(jí)保護(hù)制度能解決什么問(wèn)題 14    1.3.3  國(guó)外實(shí)施等級(jí)保護(hù)的經(jīng)驗(yàn)和做法 15  1.4  信息安全等級(jí)保護(hù)制度的主要內(nèi)容 17    1.4.1  等級(jí)保護(hù)工作中有關(guān)部門(mén)的責(zé)任和義務(wù) 17    1.4.2  等級(jí)保護(hù)工作的主要環(huán)節(jié)和基本要求 18  1.5  實(shí)施等級(jí)保護(hù)制度的工作情況 20    1.5.1  基礎(chǔ)調(diào)查 20    1.5.2  等級(jí)保護(hù)試點(diǎn)工作 20    1.5.3  部署定級(jí)備案工作 20    1.5.4  等級(jí)測(cè)評(píng)體系建設(shè)試點(diǎn)工作 21    1.5.5  等級(jí)保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）機(jī)構(gòu)和專家組建設(shè) 22第2章  信息安全等級(jí)保護(hù)政策體系和標(biāo)準(zhǔn)體系 24  2.1  信息安全等級(jí)保護(hù)政策體系 24    2.1.1  總體方面的政策文件 24    2.1.2  具體環(huán)節(jié)的政策文件 26  2.2  信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)體系 28    2.2.1  信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)類別 28    2.2.2  相關(guān)標(biāo)準(zhǔn)與等級(jí)保護(hù)各工作環(huán)節(jié)關(guān)系 32    2.2.3  在應(yīng)用有關(guān)標(biāo)準(zhǔn)中需要注意的幾個(gè)問(wèn)題 35    2.2.4  信息安全等級(jí)保護(hù)主要標(biāo)準(zhǔn)簡(jiǎn)要說(shuō)明 36第3章  信息系統(tǒng)定級(jí)與備案工作 60  3.1  信息系統(tǒng)安全保護(hù)等級(jí)的劃分與保護(hù) 60    3.1.1  信息系統(tǒng)定級(jí)工作原則 60    3.1.2  信息系統(tǒng)安全保護(hù)等級(jí) 61    3.1.3  信息系統(tǒng)安全保護(hù)等級(jí)的定級(jí)要素 61    3.1.4  五級(jí)保護(hù)和監(jiān)管 62  3.2  定級(jí)工作的主要步驟 62    3.2.1  開(kāi)展摸底調(diào)查 62    3.2.2  確定定級(jí)對(duì)象 63    3.2.3  初步確定信息系統(tǒng)等級(jí) 64    3.2.4  信息系統(tǒng)等級(jí)評(píng)審 64    3.2.5  信息系統(tǒng)等級(jí)的審批 64  3.3  如何確定信息系統(tǒng)安全保護(hù)等級(jí) 65    3.3.1  如何理解信息系統(tǒng)的五個(gè)安全保護(hù)等級(jí) 65    3.3.2  定級(jí)的一般流程 66  3.4  信息系統(tǒng)備案工作的內(nèi)容和要求 71    3.4.1  信息系統(tǒng)備案與受理 71    3.4.2  公安機(jī)關(guān)受理備案要求 72    3.4.3  對(duì)定級(jí)不準(zhǔn)以及不備案情況的處理 73第4章  信息安全等級(jí)保護(hù)安全建設(shè)整改工作 74  4.1  工作目標(biāo)和工作內(nèi)容 74    4.1.1  工作目標(biāo) 74    4.1.2  工作范圍和工作特點(diǎn) 75    4.1.3  工作內(nèi)容 76    4.1.4  信息系統(tǒng)安全保護(hù)能力目標(biāo) 78    4.1.5  基本要求的主要內(nèi)容 81  4.2  工作方法和工作流程 85    4.2.1  工作方法 85    4.2.2  工作流程 86  4.4  安全管理制度建設(shè) 87    4.4.1  落實(shí)信息安全責(zé)任制 87    4.4.2  信息系統(tǒng)安全管理現(xiàn)狀分析 89    4.4.3  制定安全管理策略和制度 89    4.4.4  落實(shí)安全管理措施 90    4.4.5  安全自查與調(diào)整 93  4.5  安全技術(shù)措施建設(shè) 93    4.5.1  信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析 93    4.5.2  信息系統(tǒng)安全技術(shù)建設(shè)整改方案設(shè)計(jì) 95    4.5.3  安全建設(shè)整改工程實(shí)施和管理 99    4.5.4  信息系統(tǒng)安全建設(shè)整改方案要素 100  4.6  信息安全產(chǎn)品的選擇使用 102    4.6.1  選擇獲得銷售許可證的信息安全產(chǎn)品 102    4.6.2  產(chǎn)品分等級(jí)檢測(cè)和使用 102    4.6.3  第三級(jí)以上信息系統(tǒng)使用信息安全產(chǎn)品問(wèn)題 103第5章  信息安全等級(jí)保護(hù)等級(jí)測(cè)評(píng)工作 104  5.1  等級(jí)測(cè)評(píng)工作概述 104    5.1.1  等級(jí)測(cè)評(píng)的基本含義 104    5.1.2  等級(jí)測(cè)評(píng)的目的 104    5.1.3  開(kāi)展等級(jí)測(cè)評(píng)時(shí)機(jī) 105    5.1.4  等級(jí)測(cè)評(píng)機(jī)構(gòu)的選擇 105    5.1.5  等級(jí)測(cè)評(píng)依據(jù)的標(biāo)準(zhǔn) 106  5.2  等級(jí)測(cè)評(píng)機(jī)構(gòu)及測(cè)評(píng)人員的管理與監(jiān)督 107    5.2.1  為什么要開(kāi)展等級(jí)測(cè)評(píng)體系建設(shè)工作 107    5.2.2  對(duì)測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員的管理 108    5.2.3  等級(jí)測(cè)評(píng)機(jī)構(gòu)應(yīng)當(dāng)具備的基本條件 108    5.2.4  測(cè)評(píng)機(jī)構(gòu)的業(yè)務(wù)范圍和工作要求 109    5.2.5  測(cè)評(píng)機(jī)構(gòu)的的禁止行為 110    5.2.6  測(cè)評(píng)機(jī)構(gòu)的申請(qǐng)、受理、審核、推薦流程 110    5.2.7  對(duì)測(cè)評(píng)機(jī)構(gòu)的監(jiān)督管理 113  5.3  等級(jí)測(cè)評(píng)的工作流程和工作內(nèi)容 113    5.3.1  基本工作流程和工作方法 113    5.3.2  系統(tǒng)信息收集 115    5.3.3  編制測(cè)評(píng)方案 118    5.3.4  現(xiàn)場(chǎng)測(cè)評(píng) 122    5.3.5  測(cè)評(píng)結(jié)果判斷 126    5.3.6  測(cè)評(píng)報(bào)告編制 128  5.4  等級(jí)測(cè)評(píng)工作中的風(fēng)險(xiǎn)控制 129    5.4.1  存在的風(fēng)險(xiǎn) 129    5.4.2  風(fēng)險(xiǎn)的規(guī)避 129  5.5  等級(jí)測(cè)評(píng)報(bào)告的主要內(nèi)容 131    5.5.1  等級(jí)測(cè)評(píng)報(bào)告的構(gòu)成 131    5.5.2  等級(jí)測(cè)評(píng)報(bào)告的主要內(nèi)容說(shuō)明 131第6章  安全自查和監(jiān)督檢查 134  6.1  定期自查與督導(dǎo)檢查 134    6.1.1  備案單位的定期自查 134    6.1.2  行業(yè)主管部門(mén)的督導(dǎo)檢查 135  6.2  公安機(jī)關(guān)的監(jiān)督檢查 135    6.2.1  檢查的原則和方法 135    6.2.2  檢查的主要內(nèi)容 135    6.2.3  檢查整改要求 136    6.2.4  檢查工作要求 136附錄A  關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn) 138附錄B  信息安全等級(jí)保護(hù)管理辦法 148附錄C  關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知 162附錄D  信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則（試行） 177附錄E  公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范（試行） 186附錄F  關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知 201附錄G  關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn) 222附錄H  信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版（試行） 227附錄I  關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開(kāi)展等級(jí)測(cè)評(píng)工作的通知 249附錄J  信息安全等級(jí)保護(hù)測(cè)評(píng)工作管理規(guī)范（試行） 252附錄K  信息安全等級(jí)保護(hù)安全建設(shè)指導(dǎo)委員會(huì)專家名單 275

章節(jié)摘錄

插圖：安全管理要求的分級(jí)描述方式根據(jù)信息系統(tǒng)的五個(gè)安全保護(hù)等級(jí)的劃分，隨著信息系統(tǒng)安全保護(hù)能力逐級(jí)增高，相應(yīng)的安全管理要求也逐級(jí)增強(qiáng)，體現(xiàn)在管理要素?cái)?shù)量的增加和管理強(qiáng)度的增強(qiáng)兩方面。例如，在描述信息系統(tǒng)安全管理要素“建立安全管理機(jī)構(gòu)”時(shí)，在該安全管理要素的標(biāo)題之下，首先簡(jiǎn)要說(shuō)明本要素的作用，然后分列（a）配備安全管理人員、（b）建立安全職能部門(mén)、（c）成立安全領(lǐng)導(dǎo)小組、（d）主要負(fù)責(zé)人出任領(lǐng)導(dǎo)、（e）建立信息安全部門(mén)為小標(biāo)題的五個(gè)不同強(qiáng)度的管理要求，而且在小標(biāo)題之下還有更細(xì)化的描述。由（a）至（e）強(qiáng)度逐步提高，并明確規(guī)定不同安全等級(jí)應(yīng)有選擇地滿足這些要求的一項(xiàng)。在具體描述時(shí)，有些管理要素的管理強(qiáng)度要求在前一強(qiáng)度基礎(chǔ)之上繼續(xù)完成的，會(huì)明確指出，如“在（a）的基礎(chǔ)上，……”。安全管理要素《安全管理要求》以安全管理要素作為描述安全管理要求的基本組件。信息系統(tǒng)安全管理要素是指，為實(shí)現(xiàn)信息系統(tǒng)安全等級(jí)保護(hù)所規(guī)定的安全要求，從管理角度應(yīng)采取的控制點(diǎn)，即實(shí)施的方法和措施。根據(jù)GB 17859對(duì)安全保護(hù)等級(jí)的劃分，不同的安全保護(hù)等級(jí)會(huì)有不同的安全管理要求，具體體現(xiàn)在管理要素?cái)?shù)量的增加和管理強(qiáng)度的增強(qiáng)兩方面。這些安全管理要素構(gòu)成信息系統(tǒng)安全管理的基本組件庫(kù)，為提出分等級(jí)管理要求奠定了基礎(chǔ)。安全管理要素的結(jié)構(gòu)分為三個(gè)層次，為便于說(shuō)明將第一層稱為類，第二層稱為族，第三層為具體的安全管理要素，共計(jì)8個(gè)類，30個(gè)族，98個(gè)要素，對(duì)于每個(gè)管理要素，根據(jù)特定情況分別列出不同的管理強(qiáng)度，最多分為五級(jí)，最少可不分級(jí)。

編輯推薦

《信息安全等級(jí)保護(hù)政策培訓(xùn)教程》：信息安全等級(jí)保護(hù)制度是國(guó)家信息安全保障工作的基本制度、基本策略和基本方法，是促進(jìn)信息化健康發(fā)展，維護(hù)國(guó)家安全、社會(huì)秩序和公共利益的根本保障。開(kāi)展信息安全等級(jí)保護(hù)工作不僅是保障重要信息系統(tǒng)安全的重大措施，也是一項(xiàng)事關(guān)國(guó)家安全、社會(huì)穩(wěn)定、國(guó)家利益的重要任務(wù)。《信息安全等級(jí)保護(hù)政策培訓(xùn)教程》內(nèi)容包括：信息安全等級(jí)保護(hù)制度的主要內(nèi)容信息安全等級(jí)保護(hù)政策體系和標(biāo)準(zhǔn)體系信息系統(tǒng)定級(jí)與備案工作信息安全等級(jí)保護(hù)安全建設(shè)整改工作信息安全等級(jí)保護(hù)等級(jí)測(cè)評(píng)工作安全自查和監(jiān)督檢查

圖書(shū)封面

評(píng)論、評(píng)分、閱讀與下載

---

    信息安全等級(jí)保護(hù)政策培訓(xùn)教程 PDF格式下載

---