公安部網路安全保衛局總工程師郭啟全

Ⅱ 信息安全等級保護的圖書信息

書名：信息安全等級保護政策培訓教程
作者：公安部信息安全等級保護評估中心編著
ISBN 978-7-121-10885-3
出版日期：2010年6月
定價：45.00元
開本：16開
頁碼：292 頁 本教程共6章，主要介紹開展信息安全等級保護工作的主要內容、信息安全等級保護政策體系和標准體系、信息系統定級與備案工作、信息安全等級保護安全建設整改工作、信息安全等級保護等級測評工作、安全自查和監督檢查。
本教程對信息安全等級保護工作的有關政策、標准進行解讀，對主要工作環節進行解釋說明，可供有關部門在開展信息安全等級保護培訓中使用。 信息安全等級保護制度是國家信息安全保障工作的基本制度、基本策略和基本方法，是促進信息化健康發展，維護國家安全、社會秩序和公共利益的根本保障。國務院法規和中央文件明確規定，要實行信息安全等級保護，重點保護基礎信息網路和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統，抓緊建立信息安全等級保護制度。信息安全等級保護是當今發達國家保護關鍵信息基礎設施、保障信息安全的通行做法，也是我國多年來信息安全工作經驗的總結。開展信息安全等級保護工作不僅是保障重要信息系統安全的重大措施，也是一項事關國家安全、社會穩定、國家利益的重要任務。
近幾年，為組織各單位、各部門開展信息安全等級保護工作，公安部根據法律授權，會同國家保密局、國家密碼管理局和原國務院信息辦組織開展了基礎調查、等級保護試點、信息系統定級備案、安全建設整改等重要工作，出台了一系列政策文件，構成了信息安全等級保護政策體系，為指導各地區、各部門開展等級保護工作提供了政策保障。同時，在國內有關部門、專家、企業的共同努力下，公安部和標准化工作部門組織制訂了信息安全等級保護工作需要的一系列標准，形成了信息安全等級保護標准體系，為開展信息安全等級保護工作提供了標準保障。
今後一段時期，公安機關、行業主管部門和信息系統運營使用單位將組織開展等級保護培訓工作。我們結合近些年的工作實踐，在公安部網路安全保衛局的指導下，編寫了這本教程，對開展信息安全等級保護工作的主要內容、方法、流程、政策和標准等內容進行解讀，對信息系統定級備案、安全建設整改、等級測評、安全檢查等工作進行詳細解釋說明，供讀者參考、借鑒。由於水平所限，書中難免有不足之處，敬請讀者指正。
本書由公安部信息安全等級保護評估中心組織編寫，在編寫過程中得到國家網路與信息安全信息通報中心趙林副主任的大力支持和指導，在此表示由衷地感謝。參加編寫的有周左鷹、郭啟全、朱建平、畢馬寧、景乾元、劉偉、張秀東、祝國邦、馬力、任衛紅、李升、劉靜等。
讀者可以登錄中國信息安全等級保護網，了解最新情況。
作 者
2010年5月 第1章 信息安全等級保護制度的主要內容 1
1.1 信息安全保障工作概述 1
1.1.1 加強信息安全工作的必要性和緊迫性 1
1.1.2 信息安全基本屬性 2
1.1.3 我國信息安全保障工作的確立 2
1.1.4 信息安全保障工作的主要內容 3
1.1.5 保障信息安全的主要措施 3
1.1.6 北京奧運會網路安全保衛成功經驗給信息安全工作帶來的啟示 4
1.2 信息安全等級保護的基本含義 5
1.2.1 信息安全等級保護的法律和政策依據 5
1.2.2 什麼是信息安全等級保護 6
1.2.3 公安機關組織開展等級保護工作的法律、政策依據 8
1.2.4 貫徹落實信息安全等級保護制度的原則 9
1.2.5 信息系統安全保護等級的劃分與監管 10
1.3 實行信息安全等級保護制度的必要性和緊迫性 11
1.3.1 為什麼要強制實行信息安全等級保護制度 11
1.3.2 實施信息安全等級保護制度能解決什麼問題 14
1.3.3 國外實施等級保護的經驗和做法 15
1.4 信息安全等級保護制度的主要內容 17
1.4.1 等級保護工作中有關部門的責任和義務 17
1.4.2 等級保護工作的主要環節和基本要求 18
1.5 實施等級保護制度的工作情況 20
1.5.1 基礎調查 20
1.5.2 等級保護試點工作 20
1.5.3 部署定級備案工作 20
1.5.4 等級測評體系建設試點工作 21
1.5.5 等級保護協調（領導）機構和專家組建設 22
第2章 信息安全等級保護政策體系和標准體系 24
2.1 信息安全等級保護政策體系 24
2.1.1 總體方面的政策文件 24
2.1.2 具體環節的政策文件 26
2.2 信息安全等級保護標准體系 28
2.2.1 信息安全等級保護相關標准類別 28
2.2.2 相關標准與等級保護各工作環節關系 32
2.2.3 在應用有關標准中需要注意的幾個問題 35
2.2.4 信息安全等級保護主要標准簡要說明 36
第3章 信息系統定級與備案工作 60
3.1 信息系統安全保護等級的劃分與保護 60
3.1.1 信息系統定級工作原則 60
3.1.2 信息系統安全保護等級 61
3.1.3 信息系統安全保護等級的定級要素 61
3.1.4 五級保護和監管 62
3.2 定級工作的主要步驟 62
3.2.1 開展摸底調查 62
3.2.2 確定定級對象 63
3.2.3 初步確定信息系統等級 64
3.2.4 信息系統等級評審 64
3.2.5 信息系統等級的審批 64
3.3 如何確定信息系統安全保護等級 65
3.3.1 如何理解信息系統的五個安全保護等級 65
3.3.2 定級的一般流程 66
3.4 信息系統備案工作的內容和要求 71
3.4.1 信息系統備案與受理 71
3.4.2 公安機關受理備案要求 72
3.4.3 對定級不準以及不備案情況的處理 73
第4章 信息安全等級保護安全建設整改工作 74
4.1 工作目標和工作內容 74
4.1.1 工作目標 74
4.1.2 工作范圍和工作特點 75
4.1.3 工作內容 76
4.1.4 信息系統安全保護能力目標 78
4.1.5 基本要求的主要內容 81
4.2 工作方法和工作流程 85
4.2.1 工作方法 85
4.2.2 工作流程 86
4.4 安全管理制度建設 87
4.4.1 落實信息安全責任制 87
4.4.2 信息系統安全管理現狀分析 89
4.4.3 制定安全管理策略和制度 89
4.4.4 落實安全管理措施 90
4.4.5 安全自查與調整 93
4.5 安全技術措施建設 93
4.5.1 信息系統安全保護技術現狀分析 93
4.5.2 信息系統安全技術建設整改方案設計 95
4.5.3 安全建設整改工程實施和管理 99
4.5.4 信息系統安全建設整改方案要素 100
4.6 信息安全產品的選擇使用 102
4.6.1 選擇獲得銷售許可證的信息安全產品 102
4.6.2 產品分等級檢測和使用 102
4.6.3 第三級以上信息系統使用信息安全產品問題 103
第5章 信息安全等級保護等級測評工作 104
5.1 等級測評工作概述 104
5.1.1 等級測評的基本含義 104
5.1.2 等級測評的目的 104
5.1.3 開展等級測評時機 105
5.1.4 錯就錯等級測評機構的選擇 105
5.1.5 等級測評依據的標准 106
5.2 等級測評機構及測評人員的管理與監督 107
5.2.1 為什麼要開展等級測評體系建設工作 107
5.2.2 對測評機構和測評人員的管理 108
5.2.3 等級測評機構應當具備的基本條件 108
5.2.4 測評機構的業務范圍和工作要求 109
5.2.5 測評機構的的禁止行為 110
5.2.6 測評機構的申請、受理、審核、推薦流程 110
5.2.7 對測評機構的監督管理 113
5.3 等級測評的工作流程和工作內容 113
5.3.1 基本工作流程和工作方法 113
5.3.2 系統信息收集 115
5.3.3 編制測評方案 118
5.3.4 現場測評 122
5.3.5 測評結果判斷 126
5.3.6 測評報告編制 128
5.4 等級測評工作中的風險控制 129
5.4.1 存在的風險 129
5.4.2 風險的規避 129
5.5 等級測評報告的主要內容 131
5.5.1 等級測評報告的構成 131
5.5.2 等級測評報告的主要內容說明 131
第6章 安全自查和監督檢查 134
6.1 定期自查與督導檢查 134
6.1.1 備案單位的定期自查 134
6.1.2 行業主管部門的督導檢查 135
6.2 公安機關的監督檢查 135
6.2.1 檢查的原則和方法 135
6.2.2 檢查的主要內容 135
6.2.3 檢查整改要求 136
6.2.4 檢查工作要求 136
附錄A 關於信息安全等級保護工作的實施意見 138
附錄B 信息安全等級保護管理辦法 148
附錄C 關於開展全國重要信息系統安全等級保護定級工作的通知 162
附錄D 信息安全等級保護備案實施細則（試行） 177
附錄E 公安機關信息安全等級保護檢查工作規范（試行） 187
附錄F 關於加強國家電子政務工程建設項目信息安全風險評估工作的通知 202
附錄G 關於開展信息安全等級保護安全建設整改工作的指導意見 223
附錄H 信息系統安全等級測評報告模版（試行） 228
附錄I 關於推動信息安全等級保護測評體系建設和開展等級測評工作的通知所屬 250
附錄J 信息安全等級保護測評工作管理規范（試行） 253
附錄K 信息安全等級保護安全建設指導委員會專家名單 277

Ⅲ 守護網路安全，360一直在行動！

隨著互聯網的飛速發展，給我們的生活帶來極大的便利， 購物、社交、通訊、支付、資訊瀏覽等等只需一個手機都能輕松搞定，但不可忽視的是，用戶的個人隱私暴露問題也越來越嚴重。

尤其近年來隨著大數據技術的應用普及，使得個人信息安全將更容易遭受威脅。網路詐騙、黑客或不法分子入侵事件層出不窮，大數據已將個人信息安全問題推至風口浪尖。

個人信息的泄露也就給了不法分子可乘之機，以盜取那些用戶數據來進行詐騙活動。 隨著信息化的高速發展，如今的詐騙團伙也已升級換代，與過去截然不同，他們甚至會非法對用戶畫像進行分析，批量篩選目標信息以及匹配程度，有目的性的發送相應詐騙簡訊。

據廈門網報道，僅上周，廈門市就有7名群眾報警稱遭遇到詐騙，涉案金額高達8.6萬余元。 詐騙者是通過偽裝銀行給用戶發送簡訊，稱因信用卡逾期未還，要被拉入徵信黑名單，想要恢復正常必須進行驗證。當受害者報出驗證碼後，就已經被騙子「套牢」了。

廈門報道的詐騙事件不是個例，當前中國網民規模已達數億人，大數據的匯集不可避免地加大了公民個人信息和隱私數據信息泄露的風險。 這個龐大的網路群體每天在網上買賣商品、繳費、發郵件、聊天、存取資料等等，這些私密信息一旦被採集，甚至關聯分析和挖掘出公民個人身份、賬戶、位置、軌跡等敏感或隱私信息，就對個人的人身財產安全構成威脅，嚴重者可能會殃及生命。

公安部網路安全保衛局總工程師郭啟全表示， 現階段大數據安全是網路安全問題中最為突出的，也是與公民個人關系最為緊密的。其不僅會影響國家安全、政治安全、軍事安全，還會影響企業商業利益、公民的生命安全。

在保護網路安全尤其是大數據安全方面，360一直在行動。

早在2013年，360就成立了用戶隱私審核部門，用戶信息保護策略滲透到用戶個人信息收集前中後的整個生命周期。 另外，即使在360公司內部也設有安全審計部門，對於用戶數據，先是通過軟硬體設置隔離，然後內外部再次進行隔離處理，即便公司同一個團隊，也設有數據隔離限制。

此外，360的產品和服務在設計之初也一直堅持「四不、三必須原則」，充分尊重用戶的知情權和選擇權。

守護網路安全歸根結底需要高素質、高技能水平的專業人員。在網路安全人才培養方面， 360發揮自身在網路安全領域的技術優勢和企業資源優勢成立360網路安全學院，並由360技術總裁、首席安全官譚曉生擔任360網路安全學院院長。

360網路安全學院已經打造出一套與企業用人需求相匹配的全方位人才培養體系 ，共計9個大類58門專業化課程打造的專業精品課程體系，講師團隊由360多個部門安全領域大咖領銜組成，通過4個月集中學習，使人才能力水平得到高效提升與進階。

繼360網路安全學院七月就業培訓班爆滿開班後，八月就業培訓班現已面向社會公眾正式開始招生，共計兩個課程方向：

1、 安全評估與審計： 對企業的安全狀況進行深度全面完整的評估。主要培養防禦型安全評估人才。

2、 安全運維與響應： 運維安全是企業安全保障的基礎，並為企業解決信息系統安全問題。主要培養防禦型安全運維人才。

除此之外，360網路安全學院還聯合眾多頂級網路安全專家組成認證委員會， 推出極具權威性的360網路安全認證，在全方面考核學員技術水平及能力水平時，將其打造成國家網路安全人才的評定標准， 也致力於使360網路安全認證成為信息安全市場採信的權威認證。

未來，360網路安全學院將繼續著力培養具備實戰能力的網路安全人才，打造網路安全人才的「黃埔軍校」，為推動國內網路安全人才培訓體系建設貢獻力量。

Ⅳ 公安部網路安全保衛局歷任局長名單

公安部網路安全保衛局副局長、一級巡視員郭啟全[4]。

Ⅳ 網路安全等級保護條例

網路安全等級保護分為五個級別：

① 第一級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益;

② 第二級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全;

③ 第三級，等級保護對象受到破壞後，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害;

④ 第四級，等級保護對象受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害;

⑤ 第五級，等級保護對象受到破壞後，會對國家安全造成特別嚴重損害。

證書案例

Ⅵ 什麼是等保2.0

等保2.0全稱網路安全等級保護2.0制度，是我國網路安全領域的基本國策、基本制度。

等級保護標准在1.0時代標準的基礎上，注重主動防禦，從被動防禦到事前、事中、事後全流程的安全可信、動態感知和全面審計，實現了對傳統信息系統、基礎信息網路、雲計算、大數據、物聯網、移動互聯網和工業控制信息系統等級保護對象的全覆蓋。

網路安全等級保護條例相關延伸：

2019年04月，「2019西湖論劍·網路安全大會」在浙江杭州舉行。會場上，有關網路安全的一系列討論已在進行中。公安部網路安全保衛局總工程師郭啟全在大會現場透露，《網路安全等級保護條例》有望4月底出台。

《等保條例》在國家支持、定級備案、密碼管理等多個方面進行了更新與完善，適應了現階段網路安全的新形勢、新變化以及新技術、新應用發展的要求，標志著等級保護正式邁入2.0時代。