信息安全等级保护基本概念

目  录

一 等级保护相关及基本概念    3

（一）信息安全等级保护制度的主要内容    3

1 实施信息安全等级保护制度工作的必要性：    3

2 国家对等级保护工作的要求：    3

3 等级保护工作的主要内容：    3

4 相关部门的责任和义务：    4

5 开展等级保护工作的基本要求：    4

（二）信息安全等级保护体系和标准体系    5

1 信息安全等级保护体系    5

2 信息安全等级保护标准体系    7

二 信息安全等级保护工作基本流程    8

（一）管理办法规定的五个等级    8

（二）定级工作流程    8

（三）信息系统备案工作流程    8

（四）信息系统安全建设整改工作流程    8

（五）信息安全等级保护测评工作流程    9

（六）安全自查和监督检查工作流程    10

一 等级保护相关及基本概念

（一）信息安全等级保护制度的主要内容

1 实施信息安全等级保护制度工作的必要性：

（1）信息安全形势严峻

（2）维护的需要

2 国家对等级保护工作的要求：

（1）《中华人民共和国计算机信息系统安全保护条例》（147号令） “计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由会同有关部门制定” 。

（2）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）规定：要重点保护基础信息网络和关系、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。

3 等级保护工作的主要内容：

（1）对信息系统分等级进行安全保护和监管。

五个规定动作：信息系统定级、备案、安全建设整改、等级测评、监督检查。

（2）信息安全产品分等级使用管理。

（3）信息安全事件分等级响应、处置。

4 相关部门的责任和义务：

（1）职能部门：制定管理规范和技术标准，组织实施，开展监督、检查、指导。

（2）行业主管部门：督促、检查、指导本行业、本部门开展等级保护工作。

（3）运营使用单位：开展信息系统定级、备案、建设整改、等级测评、自查等工作，落实等级保护制度的各项要求。

（4）安全服务机构：开展技术支持、服务等工作，并接受监管部门的监督管理。

5 开展等级保护工作的基本要求：

（1）各单位、各部门，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求开展等级保护的定级、备案、整改、测评等工作。

（2）机关要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。

（3）对故意将信息系统安全级别定低，逃避、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。

（二）信息安全等级保护体系和标准体系

1 信息安全等级保护体系

（1）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）

（2）《信息安全等级保护管理办法》公通字[2007]43号）

（3）《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）

（4）《信息安全等级保护备案实施细则》（公信安[2007]1360号）

（5）《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1429号）

（6）《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）

（7）《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）

（8）《机关信息安全等级保护检查工作规范》（公信安[2008]736号）

2 信息安全等级保护标准体系

基础标准：

《计算机信息系统安全保护等级划分准则》。

安全要求：

《信息系统安全等级保护基本要求》

信息系统安全等级保护的行业规范

系统等级：

《信息系统安全等级保护定级指南》

信息系统安全等级保护行业定级细则

方法指导：

《信息系统安全等级保护实施指南》

《信息系统等级保护安全设计技术要求》

现状分析：

《信息系统安全等级保护测评要求》

《信息系统安全等级保护测评过程指南》

二 信息安全等级保护工作基本流程

（一）管理办法规定的五个等级

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对造成严重损害。

第五级，信息系统受到破坏后，会对造成特别严重损害。

（二）定级工作流程    

确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、机关审核。

（三）信息系统备案工作流程

备案、受理备案与审核。

（四）信息系统安全建设整改工作流程

第一步：制定安全建设整改工作规划，对安全建设整改工作进行总体部署。

第二步：开展信息系统安全现状分析，从管理和技术两方面确定安全建设整改需求。

第三步：确定安全保护策略，制定信息系统安全建设整改方案。

第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施。

第五步：开展安全自查和等级测评，及时发现问题并进一步整改。

（五）信息安全等级保护测评工作流程

（六）安全自查和监督检查工作流程

备案单位的定期自查、行业主管部门的督导检查、机关的监督检查