內容簡介
《信息安全等級保護政策培訓教程(2016版)》共7章,主要介紹我國網路安全面臨的形勢、存在的突出問題和重點工作等,包括網路安全與信息安全等級保護制度概述、信息安全等級保護政策體系和標準體系、信息系統定級與備案工作、信息安全等級保護安全建設整改工作、信息安全等級保護等級測評工作、網路安全自查和監督檢查及網路安全重點專項工作。
《信息安全等級保護政策培訓教程(2016版)》對國家網路安全工作進行了分析,對信息安全等級保護工作的有關政策、標準進行了解讀,並對主要工作環節進行了解釋說明,供有關部門在網路安全和信息安全等級保護培訓中使用。
編輯推薦
近年來,國家對信息安全和網路安全的重視程度日益提高,公安機關、行業主管部門和信息系統運營使用單位將繼續組織開展等級保護培訓工作。本書對國家網路安全形勢進行了分析,特別對開展信息安全等級保護工作的主要內容、方法、流程及政策、標準等內容進行了解讀,對信息系統定級備案、安全建設整改、等級測評、安全檢查等工作進行了詳細的解釋說明,並對智慧城市網路安全管理、重點網站安全整治專項行動等網路安全重點工作進行了說明。
內容提要
《信息安全等級保護政策培訓教程(2016版)》共7章,主要介紹我國網路安全面臨的形勢、存在的突出問題和重點工作等,包括網路安全與信息安全等級保護制度概述、信息安全等級保護政策體系和標準體系、信息系統定級與備案工作、信息安全等級保護安全建設整改工作、信息安全等級保護等級測評工作、網路安全自查和監督檢查及網路安全重點專項工作。
《信息安全等級保護政策培訓教程(2016版)》對國家網路安全工作進行了分析,對信息安全等級保護工作的有關政策、標準進行了解讀,並對主要工作環節進行了解釋說明,供有關部門在網路安全和信息安全等級保護培訓中使用。
目錄
第1章 網路安全與信息安全等級保護制度概述 1
1.1 我國網路安全面臨的形勢 1
1.1.1 我國網路安全發展面臨的重大機遇 1
1.1.2 我國網路安全面臨的威脅、風險和挑戰 4
1.1.3 我國網路安全存在的突出問題 9
1.1.4 美、俄、日、英等國的經驗和做法值得借鑑 13
1.2 我國網路安全工作的指導思想和主要任務 16
1.2.1 我國網路安全工作的基本遵循 16
1.2.2 網路安全的基本屬性 17
1.2.3 我國網路安全工作的確立 18
1.2.4 網路安全工作的主要內容 23
1.2.5 保障網路安全的主要措施 26
1.2.6 抗戰勝利70周年紀念活動網路安保帶給我們的啟示 29
1.2.7 重要行業應重點加強的網路安全工作 32
1.3 信息安全等級保護的基本含義 33
1.3.1 開展信息安全等級保護工作的法律依據 33
1.3.2 開展信息安全等級保護工作的政策依據 34
1.3.3 什麼是信息安全等級保護 36
1.3.4 貫徹落實信息安全等級保護制度的原則 38
1.3.5 信息系統安全保護等級的劃分與監管 39
1.4 實行信息安全等級保護制度的必要性和緊迫性 40
1.4.1 為什麼要強制實行信息安全等級保護制度 40
1.4.2 實施等級保護制度是落實習近平總書記指示的必然要求 41
1.4.3 實施信息安全等級保護制度能解決什麼問題 42
1.4.4 信息安全等級保護制度與關鍵信息基礎設施的關係 43
1.4.5 國外實施等級保護策略的經驗和做法 46
1.5 信息安全等級保護制度的主要內容 50
1.5.1 等級保護工作中有關部門的責任和義務 50
1.5.2 等級保護工作的主要環節和基本要求 51
1.6 健全完善信息安全等級保護制度的工作思路和措施 52
1.6.1 健全完善信息安全等級保護制度的重要性 52
1.6.2 健全完善等級保護制度的基本思路 53
1.6.3 健全完善等級保護制度的主要內容和任務 54
1.7 實施等級保護制度開展的工作情況 56
1.7.1 基礎調查 56
1.7.2 等級保護試點工作 56
1.7.3 組織開展信息系統定級備案工作 57
1.7.4 組織開展等級測評體系建設和測評工作 57
1.7.5 組織開展等級保護安全建設整改工作 57
1.7.6 組織開展等級保護執法檢查工作 58
1.7.7 信息安全等級保護工作協調(領導)機構和專家組建設 58
1.7.8 信息安全等級保護工作取得的主要成效 59
第2章 信息安全等級保護政策體系和標準體系 62
2.1 信息安全等級保護政策體系 62
2.1.1 總體方面的政策檔案 62
2.1.2 具體環節的政策檔案 64
2.2 信息安全等級保護標準體系 66
2.2.1 信息安全等級保護相關標準類別 67
2.2.2 相關標準與等級保護各工作環節的關係 70
2.2.3 在套用有關標準中需要注意的幾個問題 74
2.2.4 信息安全等級保護主要標準簡要說明 74
第3章 信息系統定級與備案工作 97
3.1 信息系統安全保護等級的劃分與保護 97
3.1.1 信息系統定級工作原則 97
3.1.2 信息系統安全保護等級 98
3.1.3 信息系統安全保護等級的定級要素 98
3.1.4 五級保護和監管 99
3.2 定級工作的主要步驟 99
3.2.1 開展摸底調查 100
3.2.2 確定定級對象 100
3.2.3 初步確定信息系統安全保護等級 101
3.2.4 信息系統安全保護等級專家評審 102
3.2.5 信息系統安全保護等級的審批 102
3.2.6 公安機關審核信息系統安全保護等級 103
3.3 如何確定信息系統安全保護等級 103
3.3.1 如何理解信息系統的5個安全保護等級 103
3.3.2 信息系統定級的一般流程 104
3.4 信息系統備案工作的內容和要求 109
3.4.1 信息系統備案與受理 109
3.4.2 公安機關受理信息系統備案要求 110
3.4.3 對信息系統定級不準及不備案情況的處理 111
3.4.4 公安機關對信息系統定級備案工作的指導 112
第4章 信息安全等級保護安全建設整改工作 113
4.1 工作目標和工作內容 113
4.1.1 工作目標 113
4.1.2 工作範圍和工作特點 114
4.1.3 工作內容 115
4.1.4 信息系統安全保護能力目標 117
4.1.5 《信息系統安全等級保護基本要求》的主要內容 119
4.2 工作方法和工作流程 123
4.2.1 工作方法 123
4.2.2 工作流程 124
4.3 安全管理制度建設 125
4.3.1 落實信息安全責任制 126
4.3.2 信息系統安全管理現狀分析 127
4.3.3 制定安全管理策略和制度 127
4.3.4 落實安全管理措施 128
4.3.5 安全自查與調整 131
4.4 安全技術措施建設 131
4.4.1 信息系統安全保護技術現狀分析 131
4.4.2 信息系統安全技術建設整改方案設計 133
4.4.3 安全建設整改工程實施和管理 137
4.4.4 信息系統安全建設整改方案要素 138
4.5 網路安全防範的新策略和新技術 139
4.6 信息安全產品的選擇使用 141
4.6.1 選擇獲得銷售許可證的信息安全產品 141
4.6.2 產品分等級檢測和使用 141
4.6.3 第三級以上信息系統使用信息安全產品的相關問題 141
第5章 信息安全等級保護測評工作 143
5.1 等級測評工作概述 143
5.1.1 等級測評的基本含義 143
5.1.2 等級測評的目的 144
5.1.3 開展等級測評的時機 144
5.1.4 等級測評機構的業務範圍 145
5.1.5 等級測評依據的標準 146
5.1.6 等級測評工作的開展 147
5.2 等級測評機構及測評人員的管理與監督 149
5.2.1 為什麼要開展等級測評體系建設工作 149
5.2.2 對測評機構和測評人員的管理 149
5.2.3 等級測評機構應當具備的基本條件 150
5.2.4 測評機構的業務範圍和工作要求 151
5.2.5 測評機構的禁止行為和整改事項 152
5.2.6 測評機構的申請、受理、審核、推薦流程 153
5.2.7 對測評機構的監督管理 154
5.3 等級測評的工作流程和工作內容 155
5.3.1 基本工作流程和工作方法 155
5.3.2 收集系統信息 157
5.3.3 編制測評方案 160
5.3.4 現場測評 163
5.3.5 判斷測評結果 167
5.3.6 編制測評報告 170
5.4 等級測評工作中的風險控制 170
5.4.1 存在的風險 170
5.4.2 風險的規避 171
5.5 等級測評報告的主要內容 172
5.5.1 等級測評報告的構成 172
5.5.2 等級測評報告的主要內容說明 172
第6章 網路安全自查和監督檢查 175
6.1 定期自查與督導檢查 175
6.1.1 備案單位的定期自查 175
6.1.2 行業主管部門的督導檢查 175
6.2 公安機關的監督檢查 176
6.2.1 檢查的原則和方法 176
6.2.2 檢查的主要內容 176
6.2.3 檢查整改要求 177
6.2.4 檢查工作要求 178
第7章 網路安全重點專項工作 179
7.1 智慧城市網路安全管理 179
7.1.1 加強智慧城市網路安全管理工作的主要依據 179
7.1.2 智慧城市網路安全管理的總體要求 180
7.1.3 智慧城市網路安全管理的重點工作 181
7.1.4 智慧城市網路安全管理的保障措施 182
7.2 重點網站安全專項整治 185
7.2.1 開展網站安全專項整治的目的 185
7.2.2 網站安全專項整治的指導思想和工作目標 186
7.2.3 網站安全專項整治的工作任務和具體措施 186
7.2.4 網站安全專項整治的工作要求 188
7.2.5 公安機關在網站安全專項整治行動中的工作要求 189
附錄A 關於信息安全等級保護工作的實施意見 193
附錄B 信息安全等級保護管理辦法 203
附錄C 關於開展全國重要信息系統安全等級保護定級工作的通知 217
附錄D 信息安全等級保護備案實施細則(試行) 232
附錄E 公安機關信息安全等級保護檢查工作規範(試行) 241
附錄F 關於加強國家電子政務工程建設項目信息安全風險評估工作的通知 256
附錄G 關於開展信息安全等級保護安全建設整改工作的指導意見 277
附錄H 信息系統安全等級測評報告模版(2015年版) 282
附錄I 關於推動信息安全等級保護測評體系建設和開展等級測評工作的通知 336
附錄J 信息安全等級保護測評機構管理辦法 339
附錄K 信息安全等級保護安全專家委員會專家名單 385
附錄L 關於加強智慧城市網路安全管理工作的若干意見 387
附錄M 關於印發《黨政機關、事業單位和國有企業網際網路網站安全專項整治
行動方案》的通知 392
附錄N 教育部、公安部關於全面推進教育行業信息安全等級保護工作的通知 397
前言
近年來,我國綜合國力明顯上升,信息化發展迅速,網路安全建設取得了很大的成效和進步,網路安全發展面臨著新的、最有利的戰略機遇。與此同時,世界主要國家將網路作為謀求戰略優勢的新抓手,對內不斷加強頂層設計和能力建設,對外搶抓網路空間控制權、規則制定權和話語權,世界大國網路空間博弈加劇,網路問題已成為大國互動的新焦點、大國戰略關係走向的重大課題。我國的網路安全形勢異常嚴峻,面臨著前所未有的威脅、風險和挑戰,並存在著許多突出的問題和困難。為此,我們要深刻學習領會習近平總書記的重要指示精神,充分認識網路安全工作的極端重要性,以“建設網路強國”為戰略目標,以需求為牽引,以問題為導向,採取綜合手段和強有力的措施,堅定不移地維護網路空間的國家安全和國家關鍵信息基礎設施安全。
信息安全等級保護制度是國家網路安全保障工作的基本制度、基本策略和基本方法,是促進信息化健康發展,維護國家安全、社會秩序和公共利益的根本保障。國務院法規和中央一系列檔案明確規定,要實行信息安全等級保護,重點保護基礎信息網路和關係國家安全、經濟命脈、社會穩定等方面的重要信息系統,抓緊建立信息安全等級保護制度。信息安全等級保護是當今已開發國家保護關鍵信息基礎設施、保障信息安全的通行做法,也是我國多年來網路安全工作實踐和經驗的總結。開展信息安全等級保護工作的主要目的就是要保護國家關鍵信息基礎設施安全、維護國家安全,這是一項事關國家安全、社會穩定、國家利益的重要任務。
多年來,在黨中央的堅強領導下,在有關部門、專家、企業的大力支持下,公安部根據法律授權,會同國家保密局、國家密碼管理局和原國務院信息辦在全國範圍內組織開展了基礎調查、等級保護試點、信息系統定級備案、安全建設整改、等級測評、網路安全大檢查等信息安全等級保護工作,創造性地構建並實施了信息安全等級保護制度,確立了具有中國特色的國家網路安全基本制度和基本國策,全面促進了國家網路安全工作體系化,有力促進了我國網路安全工作法制化、規範化和標準化,全力提升了國家關鍵信息基礎設施安全保護能力,為保衛國家網路空間安全和關鍵信息基礎設施安全發揮了關鍵作用。公安部會同網信辦、工信部、國家保密局、國家密碼管理局、國資委、國家發改委、財政部、教育部等部門出台了一系列政策檔案,構成了信息安全等級保護工作的政策體系,組織制定了信息安全等級保護工作需要的一系列標準,形成了信息安全等級保護標準體系,為指導各地區、各部門開展等級保護工作提供了政策保障和標準保障。
加強培訓是開展信息安全等級保護工作的重要保障。近年來,公安機關、行業主管部門和信息系統運營使用單位組織開展了大規模的等級保護業務培訓工作,取得了良好的成效。為深化開展信息安全等級保護工作,完善信息安全等級保護制度,深入開展培訓工作,應有關單位、部門開展培訓的迫切需要,結合近些年的工作實踐,在有關領導和專家的指導下,我們在原有教程的基礎上組織編寫了本書,增加了許多內容。本書主要對國家網路安全形勢進行了分析,對國家網路安全工作提出了一些思路和建議,特別是對開展信息安全等級保護工作的主要內容、方法、流程及政策、標準等內容進行了解讀,對信息系統定級備案、安全建設整改、等級測評、安全檢查等工作進行了詳細的解釋說明,對如何完善信息安全等級保護制度進行了闡述,對智慧城市網路安全管理、重點網站安全整治專項行動等網路安全重點工作進行了說明,供讀者參考借鑑。由於水平所限,書中難免有不足之處,敬請讀者指正。