感谢大会给我这次机会做一个我们近期工作的通报,我把有关信息安全保护规范的内容做一个介绍,我今天主要讲三方面内容。
第一个要理解掌握国家有关信息安全等级保护的政策要求。第二个明确把握开展信息安全等级保护的关键环节。第三在现有工作成果的基础上继续推进等级保护工作。
第一个就是国家有关信息安全等级保护的政策要求。相信大家会经常提到中办发的2003 27号文件,全称是《国家信息化领导小组关于加强信息安全保障工作的意见》这里面明确提出三个方面的要求,要从实际出发,优化信息安全资源的配置,建立信息安全等级保护制度,重点保护信息基础网络和关系国家安全经济命脉社会稳定的的信息系统,这就是提到的关键技术。 第二个要重视安全信息覆盖评估工作,对网络与信息系统,对信息安全等级因素进行相应的建设,落脚点还是信息安全方面。第三个明确提出对涉及国家秘密的信息系统要按照国家要求进行保护。
第二个是2004 66号文件,《关于信息安全等级保护工作的实施意见》里面也明确了信息安全等级保护制度的基本内容,这主要包括三方面的内容。第一个要根据信息系统在国家安全社会秩序,公共利益,社会生活中的重要程度,另外遭到破坏对国家安全、公共利益的危害程度。国家通过制订统一的标准,根据信息系统不同重要程度,有针对性开展保护工作,分等级对信息系统进行保护,国家对不同等级的信息系统实行不同强度的监督管理。第三方面国家对信息安全产品的使用实行分等级管理。这是比较强调从国家对基础信息网络和重要信息系统保护的角度对产品的使用提出新的管理政策使用方向。国家对信息安全事件实行分等级响应和处理的制度,这落实对信息安全等级保护制度内容的核心解决。
第三方面就是今年年初下发的2006 7号文件,就是《信息安全等级保护办法》。这里面更进一步明确规定的系统安全保护划分。在这个办法里面明确说明了,联合会签四家单位的各自职责。非常明确表明信息系统等级保护与设密的保护之间的关系。国家将会对信息安全等级保护的测评机构进行资质管理。由这三方面的政策要求可以很明确表示国家在信息安全等级保护政策体系方面,涉及保密管理,风险管理,应急响应等众多重大管理。另外这里面提到产品分级管理以及测评单位的管理资质,目前政策没有出来。首要的一点是要对现有的政策进行认真地研究和分析,另外也是对国家明确规定的文件要进行学习和贯彻,只有这样才能确保等级保护工作的顺利开展。
第二方面开展信息安全等级保护几个关键环节的具体要求,这是在今年年初7号文件管理办法中对开展等级保护的关键环节做了具体要求,这主要在以下四方面,第一方面就是信息系统要确定安全保护等级。大家可能非常关心,作为信息系统如何确定安全保护等级,在办法中已经明确了。具体来讲信息系统如何来确定,除了在政策法规,还有标准方面明确的要求之外,最主要是要把握两个基本的原则,一个要明确安全保护责任的原则,要便于实施安全保护措施的职责,这一定要明确,等级确定以后安全保护的需求应该非常明确,而且便于实施,这是一个最基本的两个要求。作为纵向的各个运营单位如何确定安全保护等级,如果纵向的全国性的行业系统每一级运营审计单位都具有保护责任,建议每一级都要确定为一个系统,而不是全国一个系统,这样体现不出等级保护的核心,国家要保护关键技术设施,这里面如果不把信息系统进行分级就无法突出重点无法达到等级保护的要求。现在强调一个大集中,大平台,在大的网络平台运行的多个应用系统,我们建议将每一个具体的业务系统独自确立为一个系统,分别确立保护等级。在定级过程中,同一个平台各个信息系统,定义要素一定不相同的,一个行业纵向信息系统在国家省、地、市、县各个级别,它的定义要素也不相同。这是系统等级方面需要强调的。
第二个在信息系统确定等级以后要开展等级保护的建设、整改和管理。根据管理办法和随后要出台的国家信息系统安全等级保护的基本要求,以及信息安全等级保护的诸多国家标准都会对这项工作做具体的细化,在技术层面会有明确的指引,在具体的建设过程中要结合国家规范的管理技术标准要求,来制订整个系统的整改方案,在方案的指引下开展等级保护的具体建设,并且在随后的运营过程中,逐步完善各项数据,在这里面需要强调的是信息系统首要要明确单位内部有关等级保护具体责任机构和责任人,要制订具体的等级保护工作中对人员机构管理的制度,这是等级保护目前需要强调最重要的。第二个要根据确定的保护等级参考国家的标准,对已有系统进行安全现状的分析和评估,根据报告来明确具体安全需求并制订相关的制度和方案。在制订方案的时候一定要首先确定系统的总体安全策略,而且这个总体安全策略的制订一定要符合国家信息安全等级保护的标准要求,只有符合标准要求的基础上再进行安全框架,技术框架,管理框架的具体细化,并且根据具体的实施计划,才能符合国家等级保护的要求。 第三方面运营审计单位要根据制订的办法,进行安全的备份,产品采购等等一系列方面具体的制度,这也是我们管理规范和技术标准的要求,在这一点需要指出的是,刚才已经提到,国家对信息技术产品分析使用管理政策目前没有明确出台,因此如果现在按照管理办法的要求大家要开展信息系统的等级建设过程中,应该参照现有的国标和行标进行产品的选择和建设。
在建设完成以后要进行系统的测评,要指出选择测评单位对系统进行测评,长期以来首先要进行内部的验收,根据国家的要求,信息系统安全测评是信息系统单位在开展等级保护中必须履行的安全等级保护的职责,而且是今后公安机关重点监督的内容之一,通过等级测评,信息系统运营单位可以和国家管理办法要求的差距,在管理办法中明确要求在系统投入使用之前,必须经过等级测评,今后在系统定期运维过程中,这些内容是重点监督的管理内容之一。在开展信息安全保护测评鉴于目前明确的资质和其他方面标准管理的要求下,我们建议可以采用以下三种方式开展,第一个系统运营审计单位可以为了履行自己安全保护等级职责,自己可以等级开展等级测评,但是这种等级测评的结果不能作为向公安机关备案的材料,只能作为日常管理,如果行业内部已经具有运营审计的资质,就可以作为运行。第三个运营审计单位委托行业外具有国家相关资质的第三方机构进行测评,这个结果也可以作为向公安安全材料备案之一。管理办法明确要求从事测评的单位一定要具有国家相关的技术资质,同时还要遵守国家有关法律法规和技术标准的要求,同时还要保守测评中的国家秘密,商业秘密和安全隐私,这些要求都是以后等级保护监督管理工作中,是公安机关重点审查的内容。
第四个接受公安机关监督检查。要到公安机关指定的受理机构办理各种各样的程序,在进行备案过程中要填写信息安全等级保护的备案等级表,要提交详细的材料,这都是我们今后的基础内容之一,公安机关会依照管理办法13条的要求建立备案管理的数据库和工作备案的制度,公安机关接受备案以后会根据管理办法和其他的要求,对涉及系统定级,制度建设安全测评等相关的内容进行审核,如果发现不符合管理办法要求,会要求运营室单位进一步提交。作为国家对等级保护强制性要求体现,要求对三、四级保护系统进行定期检查,对三级系统每年检查频度不少于一次。四级系统每半年不少于一次,检查的重点不是要对履行安全保护职责的情况,你是不是进行了定期的安全测评,是不是进行了定期的风险评估,是不是建立相应的培训管理制度,是不是有安全的应急方案等等,你这方案是不是进行了定期的预警,这不是为了公安机关的要求,是为了督促运营单位对系统保护工作加大各方面的投入,要确保系统安全保护工作在人财物各方面有一个明确的保障内容。另外公安机关会根据监督检查的内容向中央和国务院提交具体的建议,国家财政部门对信息系统的安全保护提供必要的资金方面保障,这是公安机关监督检查最重要达到的核心内容。
第三方面,目前我们前期等级保护工作已经取得了一些成绩。为了贯彻27号文件,公安部会同其他部门,目前取得了一定进展,对实施信息安全保护等级的目标建立了一定的基础。制订并下发了管理办法,推动了法律的保障,国信办共同确定等级划分,在系统等级保护和分级管理,密码分级管理方面,诸多重大的原则,而且经过了认证细致的研究,长期征求意见的过程,在今年1月份下发了办法。这个办法的颁布明确我国开展信息安全等级保护的思路,和信息安全职能部门在工作中的职责和关系,标志着纳入了管理化和规范化的轨道。
第二个为推广和实施信息安全等级保护提供了信息保障的公安部组织信息安全保护评估中心,业界的专家和诸多企业共同研究起草信息安全等级保护,等级的定级指南,信息安全系统保护的基本要求,系统安全保护的实施指南和评估职责。在这标准里细化技术标准体系和实施的具体措施,为管理技术的贯彻实施提供了技术的基础和保障。
第三个在全国范围开展信息系统的等级系统的调查,有一些单位到目前为止已经完成了这项工作,并且向公安机关提交了详细的数据。这项工作实际上去年年底和国信办联合部署和布置的,计划这个月底这项工作就算圆满完成,其实开展这项工作的核心,刚才吕司长也提到我们在区域分布和行业分布,原来的统计数据非常薄弱,我们能够掌握的情况不是很全面,这一次工作主要是为国家下一步制订有关信息安全政策和信息安全的总体规划提供一个基础性数据。
第四个方面,等级保护的试点工作基本上筹备工作已经完成,即将开展,这也是更好贯彻管理办法,探索开展等级保护的具体办法,公安部会同国家保护局,国家密码管理局等选择一些城市作为试点,目前试点方案已经制订完成,即将开展部署试点工作。
下一步的工作重点有以下四个方面。第一个要开展试点工作,主要是为了摸索落实管理办法的具体模式和经验。
第二方面要突出重点,切实加强对重要信息系统开展等级保护工作的指导。推动关系国计民生,开展等级保护工作,开展等级保护工作核心是要保护关键基础设施。今年将在基础调查和设施基础上,从信息系统定级工作入手,逐步完善一些指导性意见和适合行业特点的技术规范,力争早日实现我国提出的我国信息安全保障状况得到基本改善的宏伟目标。
第三方面加强宣传培训工作,正确引导等级保护工作的开展,我们针对信息安全的企业对及保护工作的政策措施不是很了解的突出问题,我们加强面向社会的保护培训,指导全社会开展信息安全保护工作,同时也会利用今天这样重要的会议,以及一些平面和网络媒体加强等级保护宣传力度,开展不同层次,不同力度的等级保护的宣传。作为公安部责无旁贷为大家提供这方面的指导和服务,作为各省和地市公安机关会在下一步工作中加大力度,为大家提供相应的辅导和支持。
第四方面积极探索推动信息安全测评和技术支持体系工作。重要的是信息系统运营使用单位要依据国家的标准要求开展信息系统保护工作。要定期进行系统的等级测评和其他安全保护建设,我们为了积极探索不同行业不同地区开展等级保护测评体系建设和开展评估工作的模式,要结合下一步工作进行研究和探索,而且希望大家给予大力地支持和配合,为信息系统运营审计单位正确开展工作,提供全方位社会化的安全,服务奠定实践的基础。
用这段时间给大家基本上把我们下一步准备做的工作做了简单的汇报,希望大家今后对我们工作能够提出宝贵的意见和建议,谢谢大家!