等级保护简介

信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法，是促进信息化健康发展，维护、社会秩序和公共利益的根本保障。法规和文件明确规定，要实行信息安全等级保护，重点保护基础信息网络和关系、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度。信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法，也是我国多年来信息安全工作经验的总结。开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施，也是一项事关、社会稳定、国家利益的重要任务。

信息安全等级保护工作分为以下五个流程。

一是自主定级与审批。信息系统运营使用单位按照等级保护管理办法和定级指南，自主确定信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。

二是备案。第二级以上信息系统定级单位到所在地所在地设区的市级以上机关办理备案手续。

三是系统安全建设。信息系统安全保护等级确定后，运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。

四是等级测评。信息系统建设完成后，运营使用单位选择符合管理办法要求的检测机构，对信息系统安全等级状况开展等级测评。

五是监督检查。机关依据信息安全等级保护管理规范，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。运营使用单位应当接受机关的安全监督、检查、指导，如实向机关提供有关材料。

信息安全等级保护测评是等级保护工作的核心，是由认可的等级保护测评机构对信息系统进行综合性测评评估，以确认系统的安全方面是否符合国家标准。是测评机构依据《信息系统安全等级保护测评要求》等管理规范和技术标准，检测评估信息系统安全等级保护状况是否达到相应等级基本要求的过程，是落实信息安全等级保护制度的重要环节。在信息系统建设、整改时，信息系统运营、使用单位通过等级测评进行现状分析，确定系统的安全保护现状和存在的安全问题，并在此基础上确定系统的整改安全需求。

等保测评中使用到以下相关标准：

GB/T 5271.8 《信息技术词汇》 第8部分：安全

GB 17859-1999 《计算机信息系统安全保护等级划分准则》

GB/T 22240-2008 《信息安全技术信息系统安全等级保护定级指南》

GB/T 22239-2008 《信息安全技术信息系统安全等级保护基本要求》

《信息安全技术信息系统安全等级保护实施指南》

《信息安全技术信息系统安全等级保护测评要求》

《信息安全等级保护管理办法》（公通字[2007]43号）

等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。

测评准备活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况，准备测试工具，为编制测评方案做好准备。

方案编制活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等，并根据需要重用或开发测评指导书测评指导书，形成测评方案。

现场测评活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求，严格执行测评指导书测评指导书，分步实施所有测评项目，包括单元测评和整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。

分析及报告编制活动是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和国家标准的有关要求，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测系统面临的风险，从而给出等级测评结论，形成测评报告文本。