網絡安全等級保護概述

網絡安全等級保護概述

一、等級保護的定義

信息安全等級保護是國家信息安全保障工作的基本制度，基本策略，基本方法。
等級保護的核心是對信息系統特別是對業務應用系統安全分等級，按
標準進行建設，管理，監督。

一、等級保護相關的法律法規

1.國外對網絡信息安全的對策

據統計，世界上有90多個國家制定了專門的法律保護網絡安全。分析來看，在管控手段方面，有的國家通過專門的國內立法進行管制，如美國、澳大利亞、新加坡、印度等；有的國家則積極開展公私合作，推動互聯網業界的行業自律以實現網絡管制，如英國。在管控對象方面，主要涵蓋關鍵基礎設施的安全、網絡信息安全和打擊網絡犯罪等方面。
美國：《全球電子商務框架》、《2001年愛國者法案》、《2002年國土安全法》、《2002年聯邦信息安全管理法》、《2005年個人數據隱私與安全法》《2010年網絡安全法案》、《2010年網絡安全加強法案》、《國家網絡基礎設施保護法案2010》、《網絡空間作爲國有資產保護法案2010》

歐盟：歐盟頒佈了《數據保留指令》、歐洲網絡與信息安全局發佈《國家網絡安全策略——爲加強網絡空間安全的國家努力設定線路》

英國：《通信監控權法》、《調查權管理法》、《緊急通信與互聯網數據保留法案》、《戰略防務與安全審查——“在不確定的時代下建立一個安全的英國”》、《網絡安全戰略》

澳大利亞：《電信傳輸法》、《反垃圾郵件法》、《數字保護法》、《信息安全手冊》、《國家信息安全戰略》

日本：《日本網絡安全戰略》、《網絡安全基本法》、對《刑法》修正

新加坡：《國內安全法》、《個人信息保護法》、《垃圾郵件控制法》、《網絡行爲法》、《廣播法》、《互聯網操作規則》、《行業內容操作守則》

印度：《信息技術法》

2.國內對網絡信息安全的對策

1994年，國務院發佈了《中華人民共和國計算機信息系統安全保護條例》（國務院第1994年147號令），該條例是計算機信息系統安全保護的法律基礎。“計算機信息系統實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定” 。

2003年7月，國務院信息化領導小組第三次會議討論通過並於9月由中央辦公廳、國務院辦公廳轉發了《國家信息化領導小組關於加強信息安全保障工作的意見》（中辦發[2003]27 號），第一次把信息安全提到了促進經濟發展、維護社會穩定、保障國家安全、加強精神文明建設的高度。“實行信息安全等級保護”。 “要重點保護基礎信息網絡和關係國家安全、經濟命脈、社會穩定等方面的重要信息系統，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南” 。

2004年7月，公安部、國家保密局、國密辦以及國信辦聯合下發《關於信息安全等級保護工作的實施意見》（公通字[2004]66號），進一步明確了信息安全等級保護制度的主要工作方向和工作內容。

2007年7月，公安部、國家保密局、國密辦以及國信辦再次聯合下發《信息安全等級保護管理辦法》（公通字[2007]43號），進一步推進信息安全等級保護，規範信息安全等級保護管理。

2009年4月，廣東省公安廳、省國家保密局、省密碼管理局、省信息化工作領導小組辦公室聯合下發《廣東省深化信息安全等級保護工作方案》（粵公通字[2009]45號），要求“通過深化信息安全等級保護，全面推動重要信息系統安全整改和測評工作。”

2010年3月，廣東省信息安全等級保護協調小組辦公室下發《關於開展信息系統等級保護整改和測評工作的通知》，提出“爲進一步推動我省信息安全等級保護，提高信息系統安全保護能力，組織開展信息系統安全整改和測評工作。”，要求“一、高度重視，落實保障。二、明確測評機構管理要求。三、組織開展年度測評。四、完成系統整改和驗收測評。”，並開展“組織對各單位信息系統年度測評、安全整改、驗收測評以及安全保護狀況進行監督檢查。”

2011年3月，廣東省公安廳網絡警察總隊下發《關於繼續深化我省信息安全等級保護工作的通知(廣公（網安）[2011]61號)》

2012年4月，廣東省信息安全等級保護協調小組辦公室下發《關於2012年推動信息安全等級保護有關問題的通知（粵等保辦[2012]8號）》。

2013年4月，廣東省信息安全等級保護協調小組辦公室下發《關於貫徹落實十八大精神深化信息安全等級保護工作的通知（粵等保辦[2013]4號）》。
…
2017年6月，《中華人民共和國網絡安全法》正式實行，明確提出“國家實行網絡安全等級保護制度”的要求。

二、等級保護相關的政策體系

三、等級保護建設的重要性

1.從國家層面

實施信息安全等級保護，可以有效地提高我國信息安全建設的整體水平；

有利於在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協調；

有利於加強對涉及國家安全、經濟秩序、社會穩定和公共利益的信息系統的安全保護和管理監督；

有利於明確國家、法人和其他組織、公民的安全責任，強化政府監管職能，共同落實各項安全建設和安全管理措施；

有利於提高安全保護的科學性、整體性、針對性，推動信息安全產業水平，逐步探索適應社會主義市場經濟發展的信息安全發展模式。

2.從企業層面

企業按照國家有關等級保護的管理規範和技術標準開展等級保護工作，建設安全設施、建立安全制度、落實安全責任，接受公安機關、保密部門、國家密碼工作部門對信息安全等級保護工作的監督、指導，保障信息系統安全。依照等保的要求，企業就能夠應對威脅，即使遇到威脅，也能夠在一定時間內恢復信息系統原有狀態。
例如，企業如果具備了第三級信息系統安全保護能力就能夠在統一安全策略下防護系統免受來自外部有組織的團體（如，一個商業情報組織或犯罪組織等），擁有較爲豐富資源（包括人員能力、計算能力等）的威脅源發起的惡意攻擊、較爲嚴重的自然災難（災難發生的強度較大、持續時間較長、覆蓋範圍較廣等）以及其他相當危害程度的威脅（內部人員的惡意威脅、無意失誤、較嚴重的技術故障等）所造成的主要資源損害，能夠發現安全漏洞和安全事件，在系統遭到損害後，能夠較快恢復絕大部分功能。

四、等級保護制定的標準歷程

五、監管機構的分工

《信息安全等級保護管理辦法》明確了監管部門的職責：

公安機關是等級保護工作的牽頭部門，承擔着信息安全等級保護工作的監督、檢查、指導；
國家保密工作部門、國家密碼管理部門負責等級保護工作中有關
保密工作和密碼工作的監督、檢查、指導；
國信辦及地方信息化領導小組辦事機構負責等級保護工作部門間的協調。
其中，涉及國家祕密信息系統的等級保護監督管理工作由國家保密工作部門負責；
非涉及國家祕密信息系統的等級保護監督管理工作由公安機關負責。

六、等保標準

1.基礎類

《信息安全等級保護管理辦法》公通字[2007]43號
《計算機信息系統安全保護等級劃分準則》GB 17859-1999
《信息系統安全等級保護實施指南》GB/T 25058-2010

2.應用類

定級：《信息系統安全保護等級定級指南》GB/T 22240-2008
建設：《信息系統安全等級保護基本要求》GB/T 22239-2008
《信息系統通用安全技術要求》GB/T 20271-2006
《信息系統等級保護安全設計技術要求》GB/T 25070-2010
測評：《信息系統安全等級保護測評要求》GB/T 28448-2012
《信息系統安全等級保護測評過程指南》GB/T 28449-2012

3.管理類

《信息系統安全管理要求》GB/T 20269-2006
《信息系統安全工程管理要求》GB/T 20282-2006

4. 技術類

GB/T 21052-2007 信息安全技術 信息系統物理安全技術要求
GB/T 20270-2006 信息安全技術 網絡基礎安全技術要求
GB/T 20271-2006 信息安全技術 信息系統通用安全技術要求
GB/T 20272-2006 信息安全技術 操作系統安全技術要求
GB/T 20273-2006 信息安全技術 數據庫管理系統安全技術要求
GA/T 671-2006 信息安全技術 終端計算機系統安全等級技術要求

5.其他類

GB/T 20984-2007 信息安全技術 信息安全風險評估規範
GB/T 20285-2007 信息安全技術 信息安全事件管理指南
GB/Z 20986-2007 信息安全技術 信息安全事件分類分級指南
GB/T 20988-2007 信息安全技術 信息系統災難恢復規範
GB/T 24363-2009 信息安全技術 信息安全應急響應計劃規範

6.行業標準

證券期貨業信息系統安全等級保護基本要求JR/T 0060-2010
金融行業信息系統信息安全等級保護實施指引-JR/T 0071—2012
金融行業信息系統信息安全等級保護測評指南-JR/T 0072—2012
菸草行業信息系統安全等級保護實施規範YC/T 495-2014
教育行業信息系統安全等級保護定級指南
交通運輸行業信息系統安全等級保護定級指南JT/T 904-2014
電力行業信息系統安全等級保護基本要求(電監會2012年11月)