一、信息安全等级保护工作法规、政策依据摘要
1、1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
2、2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
3、2004年公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合印发的《关于信息安全等级保护工作的实施意见》明确指出“实施信息安全等级保护,能够有效地提高我国信息和信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本;有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
在该意见中还明确了信息安全等级保护制度遵循以下基本原则:明确责任,共同保护;依照标准,自行保护;同步建设,动态调整;指导监督,重点保护;
4、2000年公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合印发了《信息安全等级保护管理办法》,在该办法第七条明确“信息系统的安全保护等级分为五级”,第十四条明确“信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。” 第十五条“已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。”
5、2011年内蒙古自治区人民政府颁布《内蒙古自治区计算机信息系统安全保护办法》(自治区政府183号令),该办法第六条“计算机信息系统运营、使用单位应当遵守下列规定: 对计算机信息系统安全保护等级准确定级,并按照等级保护管理规范和技术标准实施保护;新建计算机信息系统的,应当在规划、设计阶段确定安全保护等级,同步建设符合该安全保护等级要求的信息系统安全保护设施,落实安全保护措施”,第九条“计算机信息系统涉及国家安全、社会公共利益、重大经济建设等信息的,其运营、使用单位或者主管部门应当选择符合法定条件的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况进行测评。第二级以上计算机信息系统建设完成后,经测评合格方可投入使用”。第十条“计算机信息系统确定为第二级保护等级的,应当每两年至少进行一次系统安全等级测评;确定为第三级的,应当每年至少进行一次系统安全等级测评;确定为第四级以上的,应当每半年至少进行一次系统安全等级测评”
6、2012年自治区发改委、自治区公安厅、自治区财政厅、自治区保密局、自治区内网办联合发《关于进一步加强国家电子政务网络建设和应用工作的通知》(内发改高技字[2012]2242),该通知第四条“严格电子政务建设项目管理:自治区各级政务部门新建和续建电子政务建设项目,安全设施要与项目同步规划、同步建设、同步验收……项目验收前,项目建设单位应接受取得自治区安全等级保护协调小组办公室出具备案证明且具备资质的测评机构对涉密和不涉密项目进行分级或等级测评和风险评估,测评费列入总投资。”
7、2015年11月1日 刑法修正案(九)第二百八十六条之一网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
二、等保工作基本环节
1、组织开展调查摸底
2、合理确定保护等级
3、有效进行专家评审
4、依法履行备案手续
5、开展安全建设整改
6、组织系统安全测评
7、加强日常测评自查
8、加强安全监督检查
注:实际工作中5,6顺序交换后开展工作,以利于系统运营使用单位准确把握整改内容。
三、主要环节及工作流程说明
1、定级及专家评审
(1)等级划分
计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
(2)定级程序
信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。对拟确定为四级以下信息系统的,运营、使用单位或者主管部门应当请组织地区的等保专家委员会专家评审。
(3)定级注意事项
一级信息系统:适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。
二级信息系统:适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网,非涉及秘密、敏感信息的办公系统等。
三级信息系统:适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官方网站;跨省(市)联接的信息网络等。
四级信息系统:适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。
2、备案
(1)新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
(2)备案时限:信息系统运营、使用单位或者其主管部门(以下简称“备案单位”)应当在信息系统设计阶段确定信息系统安全保护等级,并在安全保护等级确定后30日内,到公安机关网安部门办理备案手续。
(3)备案申请:办理备案手续,应当到公安机关指定网址下载信息安全等级保护备案软件,利用该软件填写生成《信息系统安全等级保护备案表》(简称《备案表》,下同)表一、表二、表三纸质WORD格式文档一式两份和电子数据(RAR格式),并准备好相关附件(一式两份),向公安机关网安部门提出备案申请。第三级以上信息系统应当同时提供以下材料:
A.系统拓扑结构及说明;
B.系统安全组织机构和管理制度;
C.系统安全保护设施设计实施方案或者改建实施方案;
D.系统使用的信息安全产品清单及其认证、销售许可证明;
E.测评后符合系统安全保护等级的技术检测评估报告;
F.信息系统安全保护等级专家评审意见;
(4)备案审核:公安机关网安部门收到申请材料后,应当在10个工作日内进行审查。对符合要求的,公安机关网安部门应当在《备案表》加盖等保专用章并将其中一份反馈备案单位,并出具《信息系统安全等级保护备案证明》(以下简称《备案证明》)。《备案证明》由公安部统一监制。对不符合要求的,公安网安部门应当出具《信息系统安全等级保护备案审核结果通知》,通知备案单位进行整改。其中,对定级不准的备案单位,在通知整改的同时,应当建议备案单位重新定级。
(5)变更备案:《备案表》所载事项发生变更,备案单位应当自变更之日起30日内重新填写《备案表》报公安机关网安部门备案。其中,变更事项涉及《备案证明》的,公机关网安部门应当重新颁布《备案证明》。
(6)重新备案:运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。
3、安全建设和整改
计算机信息系统规划、设计、建设和维护应当同步落实相应的安全措施。运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)、《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)、《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)、《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)等技术标准同步建设符合该等级要求的信息安全设施。
运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。
4、信息系统安全等级测评
信息系统建设完成后,二级以上的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。已投入运行信息系统在完成系统整改后也应当进行测评。经测评,信息系统安全状况未达到安全保护等级要求的,运营使用单位应当制定方案进行整改。
(1)测评程序
计算机信息系统运营、使用单位委托安全测评机构测评,应当提交下列资料:
A:安全测评委托书;
B:计算机信息系统应用需求、系统结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产品清单。
安全测评机构在收到委托材料后,应当与委托方协商制订安全测评计划,开展安全测评工作,并出具安全测评报告。
经测评,计算机信息系统安全状况未达到国家有关规定和标准的要求的,委托单位应当根据测评报告的建议,完善计算机信息系统安全建设,并重新提出安全测评委托。
(2)测评监督
测评机构对计算机信息系统进行使用前安全测评,应当预先报告地级以上市公安机关网安部门。安全测评报告由计算机信息系统运营、使用单位报地级以上市公安机关网安部门。
(3)日常测评
计算机信息系统投入使用后,存在下列情形之一的,应当进行安全自查,同时委托安全测评机构进行安全测评:
(一)变更关键部件;
(二)安全测评时间满一年;
(三)发生危害计算机信系统安全的案件或安全事故;
(四)公安机关网安部门根据应急处置工作的需要认为应当进行安全测评;
(五)其他应当进行安全自查和安全测评的情形。
计算机信息系统确定为第二级保护等级的,应当每两年至少进行一次系统安全等级测评,第三级计算机信息系统应当每年至少进行一次安全自查和安全测评,第四级计算机信息系统应当每半年至少进行一次安全自查和安全测评,第五级计算机信息系统应当依据特殊安全要求进行安全自查和安全测评。
