TopSec可信等级体系 天融信等级保护方案-金融证券解决方案.doc
TopSec 可信等级体系 天融信等级保护方案 -金融证券解决方案 1.等级保护概述 1.1 为什么要实行等级保护? 信息系统与社会组织体系是具有对应关系的,而这些组织体系是分层次和级别的,因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求,这就需要对信息系统进行分级、分区域、分阶段进行保护,这是做好国家信息安全的必要条件。 1.2 等级保护的政策文件 信息安全等级保护工作非常重要,为此从 2003 年开始国家发布了一系列政策文件,具体如下: 2003 年 9 月,中办国办颁发《关于加强信息安全保障工作的意见》(中办发 [2003]27 号),这是我国第一个信息安全保障工作的纲领性文件,战略目标为经过五年努力,基本形成国家信息安全保障体系,实行等级保护制度。 2004 年 11 月,四部委会签《关于信息安全等级保护工作的实施意见》(公通字 [2004]66 号):等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意 义、原则、基本内容、工作职责分工、工作要求和实施计划。 2005 年 9 月,国信办文件,《关于转发《电子政务信息安全等级保护实施指南》的通知》(国信办 [2004]25 号):基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。 2005 年,公安部标准:《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。 2006 年 1 月,四部委会签《关于印发《信息安全等级保护管理办法的通知》(公通字 [2006]7 号)。 1.3 等级保护的管理 结构-北京为例 等级保护的实施和落实离不开各级管理机构的指导和监督,这在等级保护的相关文件中已经得到了规定,下面以北京市为例来说明管理机构的组成和职责,具体如下图所示: 1.4 等级保护理论的技术演进 在等级保护理论被提出以后,经过相关部门的努力工作,逐渐提出了一系列原则、技术和框架,已经具备实施等级保护工作的基础条件了,其具体演进过程如下图所示: 1.5 等 级保护的基本需求 一个机构要实施等级保护,需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度,因此各级组