作者:公安部信息安全等級保護評估中心編輯。
ISBN 978-7-121-10885-3
出版日期:2065 438+00年6月
定價:45.00元
格式:16
頁碼:292本教程***6章主要介紹信息安全等級保護的主要內容、信息安全等級保護政策體系和標準體系、信息系統分級和備案工作、信息安全等級保護安全建設整改工作、信息安全等級保護等級評估工作、安全自查和監督檢查。
該課程解讀了信息安全等級保護的相關政策和標準,講解了主要工作環節,可供相關部門開展信息安全等級保護培訓時使用。信息安全等級保護制度是國家信息安全的基本制度、策略和方法,是促進信息化健康發展、維護國家安全、社會秩序和公共利益的根本保障。國務院法律法規和中央文件明確規定,實行信息安全等級保護,重點保護關系國家安全、經濟命脈和社會穩定的基礎信息網絡和重要信息系統,建立信息安全等級保護制度。信息安全等級保護是發達國家保護關鍵信息基礎設施、保障信息安全的通行做法,也是我國多年信息安全工作經驗的總結。開展信息安全等級保護不僅是保障重要信息系統安全的重要措施,也是關系到國家安全、社會穩定和國家利益的重要任務。
近年來,為組織各單位、各部門開展信息安全等級保護工作,公安部根據法律授權,會同國家保密局、國家密碼管理局、原國務院新聞辦組織開展了基礎調查、等級保護試點、信息系統分級備案、安全建設整改等重要工作,出臺了壹系列政策文件,構成了信息安全等級保護政策體系,為指導各地區、各部門開展等級保護工作提供了政策保障。同時,在國內有關部門、專家和企業的共同努力下,公安部和標準化部門組織制定了信息安全等級保護所需的壹系列標準,形成了信息安全等級保護標準體系,為信息安全等級保護提供了標準保障。
今後,公安機關、行業主管部門和信息系統運營使用單位將組織開展等級保護培訓。我們根據近幾年的工作實踐,在公安部網絡安全保衛局的指導下,編寫了本教程,對信息安全等級保護的主要內容、方法、流程、政策和標準進行了解讀,對信息系統分級備案、安全建設整改、等級評估和安全檢查等工作進行了詳細說明,供讀者參考。由於水平有限,書中難免有不足之處。請指正。
本書由公安部信息安全等級保護測評中心編寫,在編寫過程中得到了國家網絡與信息安全信息報告中心趙霖副主任的大力支持和指導。在此表示衷心的感謝。周、郭啟全、、畢馬寧、景、劉偉、張秀東、朱國邦、馬麗、任、博士等。
讀者可登錄中國信息安全等級保護網了解最新信息。
作者
2010 5月第1章信息安全等級保護體系主要內容1
1.1信息安全工作概述1
1.1.1加強信息安全工作的必要性和緊迫性1
1.1.2信息安全的基本屬性2
1.1.3中國信息安全建設2
1.1.4信息安全工作主要內容3
1.1.5確保信息安全的主要措施3
北京奧運會網絡安全的成功經驗對信息安全工作的啟示4
1.2信息安全等級保護的基本含義5
1.2.1信息安全等級保護法律政策依據5
1.2.2什麽是信息安全等級保護6
1.2.3公安機關組織開展等級保護工作的法律政策依據8
1.2.4實施信息安全等級保護制度的原則9
1.2.5信息系統安全保護等級的分類與監管10
1.3實施信息安全等級保護制度的必要性和緊迫性
1.3.1為什麽要強制執行信息安全等級保護制度11?
1.3.2實施信息安全等級保護制度14可以解決哪些問題
1.3.3國外實施等級保護的經驗和做法15
1.4信息安全等級保護體系主要內容17
1.4.1級保護工作中相關部門的責任和義務17
1.4.2等級保護工作的主要環節和基本要求
1.5實施等級保護制度20
1.5.1基礎調查20
1.5.2壹級保護試點工作20
1.5.3分級和備案工作部署20
1.5.4等級評價體系建設試點工作21
1.5.5壹級保護協調(領導)機構和專家組建設22
第二章信息安全等級保護政策體系和標準體系24頁
2.1信息安全等級保護政策體系24
2.1.1總體政策文件24
2.1.2具體環節的政策文件26
2.2信息安全等級保護標準體系28
2.2.1信息安全等級保護相關標準類別28
2.2.2相關標準與等級保護各工作環節的關系32
2.2.3應用相關標準時應註意的幾個問題35
2.2.4信息安全等級保護主要標準簡述36
第三章信息系統分級和備案工作60頁
3.1信息系統安全等級保護等級60級
3.1.1信息系統分類工作原理60
3.1.2信息系統安全保護等級61
3.1.3信息系統安全保護等級分級要素61
3.1.4五級保護和監督62
3.2分級工作的主要步驟62
進行徹底的調查
3.2.2確定分級對象63
3.2.3信息系統等級的初步確定64
3.2.4信息系統級審查
3.2.5信息系統層級64的審批
3.3如何確定信息系統安全保護等級65
3.3.1如何理解信息系統安全保護的五個等級65
3.3.2分級的壹般過程66
3.4信息系統備案工作的內容和要求71
3.4.1信息系統備案和驗收71
3.4.2公安機關受理備案要求72
3.4.3分級不準確和未備案的處理73
第四章信息安全等級保護和安全建設整改工作74
4.1工作目標和工作內容74
4.1.1工作目標74
4.1.2工作範圍和工作特點75
4.1.3工作內容76
4.1.4信息系統安全保護能力目標78
4.1.5基本要求主要內容81
4.2工作方法和工作流程85
4.2.1工作方法
工作流程86
4.4安全管理體系建設87
4.4.1落實信息安全責任制87
4.4.2信息系統安全管理現狀分析89
4.4.3制定安全管理政策和制度89
4.4.4實施安全管理措施90
4.4.5安全自檢和調整93
4.5施工安全技術措施93
4.5.1信息系統安全防護技術現狀分析93
4.5.2信息系統安全技術建設整改方案設計95
4.5.3安全施工整改項目的實施和管理
4.5.4信息系統安全建設整改方案要素100
4.6信息安全產品的選擇是102
4 . 6 . 1選擇銷售許可證為102的信息安全產品。
4.6.2產品分級檢測和使用102
4.6.3三級以上信息系統使用信息安全產品的問題103
第五章信息安全等級保護等級評估104
5.1等級評定工作概述104
5.1.1等級評價的基本含義104
5.1.2評級評估的目的104
5.1.3等級評定時間105
5.1.4選錯選錯評級評估機構105
5.1.5等級評價標準106
5.2對評級評價機構和評價人員的管理和監督107
5 . 2 . 1為什麽要進行等級評價體系建設107?
5.2.2評價機構和評價人員的管理108
5.2.3評級機構應滿足的基本條件為108。
5.2.4評估機構的業務範圍和工作要求109
5.2.5評估機構的禁止行為110
5.2.6評估機構的申請、受理、評審和推薦流程110
5.2.7評價機構的監督管理113
5.3等級評定的工作流程和工作內容113
5.3.1基本工作流程和工作方法113
5.3.2系統信息收集115
5.3.3編制評估方案118。
5.3.4現場評估122
5.3.5評估結果判斷126
5.3.6評估報告的編寫128
5.4等級評定中的風險控制129
5.4.1風險129
5.4.2風險規避129
5.5等級評估報告主要內容131
5.5.1等級評定報告的構成131
5.5.2等級評估報告主要內容描述131
第六章安全自檢和監督檢查134
6.1定期自檢和監督檢查134
6.1.1備案單位定期自查134
6.1.2行業主管部門的監督檢查135
6.2公安機關的監督檢查135
6.2.1檢驗原則和方法135
6.2.2檢驗的主要內容135
6.2.3檢查和整改要求136
6.2.4檢驗工作要求136
附錄A信息安全等級保護實施意見138
附錄B信息安全等級保護管理辦法148
附錄C關於開展國家重要信息系統安全等級保護分級工作的通知162
附錄D信息安全等級保護備案實施細則(試行)177
附錄E公安機關信息安全等級保護與檢查規範(試行)187
附錄F關於加強國家電子政務項目信息安全風險評估的通知202頁
附錄G關於開展信息安全等級保護和安全建設整改工作的指導意見223
附錄H信息系統安全等級評估報告模板(試行)228
附錄壹關於推進信息安全等級保護評價體系建設並開展等級評價的通知所屬250
附錄J信息安全等級保護評估管理規範(試行)253
附錄K信息安全等級保護安全建設指導委員會專家名單277