1、信息安全等級保護信息安全等級保護是對信息和信息載體按照重要性分級別進行保護的一種工作，在中 國、美國等很多國家都存在的一種安全的工作。基本信息中文名稱信息安全等級保護外文名稱Information Security Protection第一級用戶自主保護級第二級系統審計保護級工作內容信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息 安全檢查五個階段，作為公安部授權的第三方測評機構，為企事業單位提供免費專業的信 息安全等級測評咨詢服務。信息系統安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程。信息 安全等級保護要求不同安全等級的信息系統應具有不同的安全保護能

2、力，一方面通過在安 全技術和安全管理上選用與安全等級相適應的安全控制來實現；另一方面分布在信息系統中的安全技術和安全管理上不同的安全控制，通過連接、交互、依賴、協調、協同等相互關 聯關系，共同作用于信息系統的安全功能，使信息系統的整體安全功能與信息系統的結構 以及安全控制間、層面間和區域間的相互關聯關系密切相關。因此，信息系統安全等級測 評在安全控制測評的基礎上，還要包括系統整體測評。等級劃分信息安全等級保護信息安全等級保護管理辦法規定，國家信息安全等級保護堅持 自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經 濟建設、社會生活中的重要程度，信息系統遭到破壞后對國

3、家安全、社會秩序、公共利益 以及公民、法人和其他組織的合法權益的危害程度等因素確定。信息系統的安全保護等級分為以下五級第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但 不損害國家安全、社會秩序和公共利益。第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害, 或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家 安全造成損害。第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對 國家安全造成嚴重損害。第五級，信息系統受到破壞后，會對國家安全造成特別嚴重

4、損害。實施原則根據信息系統安全等級保護實施指南精神，山東省軟件測評中心信息系統安全等 級保護實施過程中，在工作手冊上明確了以下基本原則：自主保護原則：信息系統運營、使用單位及其主管部門按照國家相關法規和標準，自 主確定信息系統的安全保護等級，自行組織實施安全保護。重點保護原則：根據信息系統的重要程度、業務特點，通過劃分不同安全保護等級的 信息系統，實現不同強度的安全保護，集中資源優先保護涉及核心業務或關鍵信息資產的 信息系統。同步建設原則：信息系統在新建、改建、擴建時應當同步規劃和設計安全方案，投入 一定比例的資金建設信息安全設施，保障信息安全與信息化建設相適應。動態調整原則：要跟蹤信息系統的

5、變化情況，調整安全保護措施。由于信息系統的應 用類型、范圍等條件的變化及其他原因，安全保護等級需要變更的，應當根據等級保護的 管理規范和技術標準的要求，重新確定信息系統的安全保護等級，根據信息系統安全保護 等級的調整情況，重新實施安全保護。政策標準政策法規（1994年國務院147號令）（第九條 計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定）（）（第一級：用戶自主保護級；第二級：系統審計保護級；第三級：安全標記保護級；第四級：結構化保護級；第五級：訪問驗證保護級）國家信息化領導小組關于加強信息安全保障工作的意見（中辦發200327號）關于信

6、息安全等級保護工作的實施意見（公通字200466號）（公通字200743號）關于開展全國重要信息系統安全等級保護定級工作的通知（公信安2007861號）關于開展信息安全等級保護安全建設整改工作的指導意見（公信安20091429號）地方及行業范例關于加強國家電子政務工程建設項目工作的通知（發改高技20082071號）關于進一步推進中央企業信息安全等級保護工作的通知水利網絡與信息安全體系建設基本技術要求（2010年3月）證券期貨業信息系統安全等級保護基本要求（試行）（JR/T 0060-2010）（2009 年 1 月）（2008 年 4 月）寧夏回族自治區計算機信息系統安全保護條例（2009年1

7、0月）（2009 年 1 月）標準規范十大重要標準計算機信息系統安全等級保護劃分準則(GB 17859-1999)(基礎類標準)信息系統安全等級保護實施指南(GB/T 25058-2010)(基礎類標準)信息系統安全保護等級定級指南(GB/T 22240-2008)(應用類定級標準)信息系統安全等級保護基本要求(GB/T 22239-2008)(應用類建設標準)信息系統通用安全技術要求(GB/T 20271-2006)(應用類建設標準)信息系統等級保護安全設計技術要求(GB/T 25070-2010)(應用類建設標準)信息系統安全等級保護測評要求(GB/T 28448-2012)(應用類測評標

8、準)信息系統安全等級保護測評過程指南(GB/T 28449-2012)(應用類測評標準)信息系統安全管理要求(GB/T 20269-2006)(應用類管理標準)信息系統安全工程管理要求(GB/T 20282-2006)(應用類管理標準)其它相關標準GB/T 21052-2007信息安全技術GB/T 20270-2006信息安全技術GB/T 20271-2006信息安全技術GB/T 20272-2006信息安全技術GB/T 20273-2006信息安全技術GB/T 20984-2007信息安全技術GB/T 20985-2007信息安全技術GB/Z 20986-2007信息安全技術GB/T 209

9、88-2007信息安全技術信息系統物理安全技術要求網絡基礎安全技術要求信息系統通用安全技術要求操作系統安全技術要求數據庫管理系統安全技術要求信息安全風險評估規范信息安全事件管理指南信息安全事件分類分級指南信息系統災難恢復規范圖書信息基本信息書名：作者:公安部信息安全等級保護評估中心編著ISBN 978-7-出版日期:2010年6月定價:元開本:16開頁碼:292頁內容簡介本教程共6章，主要介紹開展信息安全等級保護工作的主要內容、信息安全等級保護 政策體系和標準體系、信息系統定級與備案工作、信息安全等級保護安全建設整改工作、 信息安全等級保護等級測評工作、安全自查和監督檢查。本教程對信息安全等級

10、保護工作的有關政策、標準進行解讀，對主要工作環節進行解 釋說明，可供有關部門在開展信息安全等級保護培訓中使用。前言信息安全等級保護制度是國家信息安全保障工作的基本制度、基本策略和基本方法, 是促進信息化健康發展，、社會秩序和公共利益的根本保障。國務院法規和中央文件明確 規定，要實行信息安全等級保護，重點保護基礎信息網絡和關系國家安全、經濟命脈、社 會穩定等方面的重要信息系統，抓緊建立信息安全等級保護制度。信息安全等級保護是當 今發達國家保護關鍵、保障信息安全的通行做法，也是我國多年來信息安全工作經驗的總 結。開展信息安全等級保護工作不僅是保障重要信息系統安全的重大措施，也是一項事關 國家安全、

11、社會穩定、國家利益的重要任務。近幾年，為組織各單位、各部門開展信息安全等級保護工作，公安部根據法律授權, 會同、和原國務院信息辦組織開展了基礎調查、等級保護試點、信息系統定級備案、安全 建設整改等重要工作，出臺了一系列政策文件，構成了信息安全等級保護政策體系，為指 導各地區、各部門開展等級保護工作提供了政策保障。同時，在國內有關部門、專家、企 業的共同努力下，公安部和標準化工作部門組織制訂了信息安全等級保護工作需要的一系 列標準，形成了信息安全等級保護標準體系，為開展信息安全等級保護工作提供了標準保 障。今后一段時期，公安機關、行業主管部門和信息系統運營使用單位將組織開展等級保 護培訓工作。我

12、們結合近些年的工作實踐，在公安部網絡安全保衛局的指導下，編寫了這 本教程，對開展信息安全等級保護工作的主要內容、方法、流程、政策和標準等內容進行 解讀，對信息系統定級備案、安全建設整改、等級測評、安全檢查等工作進行詳細解釋說 明，供讀者參考、借鑒。由于水平所限，書中難免有不足之處，敬請讀者指正。本書由公安部信息安全等級保護評估中心組織編寫，在編寫過程中得到國家網絡與信 息安全信息通報中心趙林副主任的大力支持和指導，在此表示由衷地感謝。參加編寫的有 周左鷹、郭啟全、朱建平、畢馬寧、景乾元、劉偉、祝國邦、馬力、任衛紅、李升、劉 靜等。讀者可以登錄中國信息安全等級保護網，了解最新情況。作者2010年

13、5月目錄 TOC o 1-5 h z 第1章信息安全等級保護制度的主要內容1信息安全保障工作概述 1加強信息安全工作的必要性和緊迫性1信息安全基本屬性2我國信息安全保障工作的確立2信息安全保障工作的主要內容3保障信息安全的主要措施 3北京奧運會網絡安全保衛成功經驗給信息安全工作帶來的啟示4信息安全等級保護的基本含義5信息安全等級保護的法律和政策依據5什么是信息安全等級保護 6公安機關組織開展等級保護工作的法律、政策依據 TOC o 1-5 h z 貫徹落實信息安全等級保護制度的原則9信息系統安全保護等級的劃分與監管10實行信息安全等級保護制度的必要性和緊迫性11為什么要強制實行信息安全等級保護

14、制度11實施信息安全等級保護制度能解決什么問題14國外實施等級保護的經驗和做法15信息安全等級保護制度的主要內容17等級保護工作中有關部門的責任和義務17等級保護工作的主要環節和基本要求18實施等級保護制度的工作情況20基礎調查20等級保護試點工作 20部署定級備案工作 20等級測評體系建設試點工作21等級保護協調（領導）機構和專家組建設 22第2章信息安全等級保護政策體系和標準體系24信息安全等級保護政策體系24總體方面的政策文件24具體環節的政策文件26信息安全等級保護標準體系28信息安全等級保護相關標準類別28相關標準與等級保護各工作環節關系32在應用有關標準中需要注意的幾個問題35信息

15、安全等級保護主要標準簡要說明36第3章信息系統定級與備案工作60信息系統安全保護等級的劃分與保護60信息系統定級工作原則 60信息系統安全保護等級 61信息系統安全保護等級的定級要素61五級保護和監管62定級工作的主要步驟 62開展摸底調查62確定定級對象63初步確定信息系統等級 64信息系統等級評審64信息系統等級的審批 64 TOC o 1-5 h z 如何確定信息系統安全保護等級65如何理解信息系統的五個安全保護等級65定級的一般流程66信息系統備案工作的內容和要求71信息系統備案與受理 71公安機關受理備案要求 72對定級不準以及不備案情況的處理73第4章信息安全等級保護安全建設整改工

16、作74工作目標和工作內容 74工作目標74工作范圍和工作特點 75工作內容76信息系統安全保護能力目標78基本要求的主要內容 81工作方法和工作流程 85工作方法85工作流程86安全建設87落實信息安全責任制 87信息系統安全管理現狀分析89制定安全管理策略和制度89落實安全管理措施90安全自查與調整 93建設93信息系統現狀分析93 TOC o 1-5 h z 信息系統安全技術建設整改方案設計95安全建設整改工程實施和管理99信息系統安全建設整改方案要素100信息安全產品的選擇使用102選擇獲得銷售許可證的信息安全產品102產品分等級檢測和使用102第三級以上信息系統使用信息安全產品問題10

17、3第5章信息安全等級保護等級測評工作104等級測評工作概述 104等級測評的基本含義 104等級測評的目的104開展等級測評時機105 TOC o 1-5 h z 錯就錯等級測評機構的選擇105等級測評依據的標準 106等級測評機構及測評人員的管理與監督107為什么要開展等級測評體系建設工作107對測評機構和測評人員的管理108等級測評機構應當具備的基本條件108測評機構的業務范圍和工作要求109測評機構的的禁止行為110測評機構的申請、受理、審核、推薦流程110對測評機構的監督管理113等級測評的工作流程和工作內容113基本工作流程和工作方法113系統信息收集115編制測評方案118現場測評122測評結果判斷126測評報告編制128等級測評工作中的風險控制129存在的風險129風險的規避129等級測評報告的主要內容131等級測評報告的構成 131等級測評報告的主要內容說明131第6章 安全自查和監督檢查 134定期自查與督導檢查 134備案單位的定期自查 134行業主管部門的督導檢查135公安機關的監督檢查 135檢查的原則和方法 135檢查的主要內容 135檢查整改要求 136檢查工作要求 136 TOC o 1-5 h z 附錄A關于信息安全等級保護工作的實施意見138附