资讯

历史

科技

环境与自然

成长

游戏

财经

文学与艺术

美食

健康

家居

文化

情感

汽车

三农

军事

旅行

运动

教育

生活

星座命理

等级保护政策、流程、内容、定级介绍

创作时间:

作者:

@小白创作中心

等级保护政策、流程、内容、定级介绍

引用

来源

https://m.renrendoc.com/paper/378011649.html

信息安全等级保护制度是我国信息安全保障体系的重要组成部分，旨在通过科学、规范的管理方法和技术手段，提高信息系统的安全防护能力。本文详细介绍了信息安全等级保护的基本概念、发展历程、测评工作流程、安全建设内容、监督检查要求等关键内容，为信息系统运营和使用单位提供了全面的指导和参考。

信息安全等级保护基本介绍

信息安全系统等级保护发展历程

1994年：国务院发布第147号令《中华人民共和国计算机信息系统安全保护条例》
2003年：中央办公厅、国务院发布《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）
2004年：公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发布《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）
2006年：公安部开展信息安全等级保护试点工作，制定《计算机信息安全等级划分准则》（GB17859-1999）
2007年：公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发布《信息安全等级保护管理办法》（公通字[2007]43号）和《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信[2007]861号），开始在全国范围内开展信息安全等级保护工作。
2010年：第十七届中央委员会第五次全体会议中提出的十二五规划中要求“健全网络与信息安全法律法规，完善信息安全标准体系和认证认可体系，实施信息安全等级保护、风险评估等制度”。
2012年：国务院办公厅发布《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发[2012]23号），要求“落实信息安全等级保护制度，开展相应等级的安全建设和管理，做好信息系统定级备案、整改和监督检查”。

基本概念和含义

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护（五级），详细分级依据请见《GBT22240-2008信息安全技术信息系统安全等级保护定级指南》中描述；对信息系统中使用的信息安全产品实行按等级管理；对信息系统中发生的信息安全事件分等级响应、处置。

等级保护遵循的原则

自主保护原则
重点保护原则
同步建设原则
动态调整原则

工作实施过程中涉及到的角色和职责

国家管理部门
信息系统主管部门
信息系统运营、使用单位
信息安全服务机构
信息安全等级测评机构
信息安全产品供应商

等级保护测评作用

在信息系统建设、整改时，信息系统运营使用单位通过等级测评进行安全需求分析，确定系统的特殊安全需求。信息系统等级保护基本安全要求与确定的特殊安全需求共同确定了该系统的安全需求。在系统运维过程中，定期委托测评机构开展等级测评，对信息系统安全等级保护状况、安全保障性能进行安全测试，对信息安全管控能力进行考察和评价，从而判定是否具备《信息系统安全等级保护基本要求》中相应等级安全保护能力。等级测评报告是信息系统后期开展整改加固的重要指导性文件，也是信息系统备案的重要附件材料。等级测评结论是信息系统满足要求程度的证明文件。

主要工作内容

系统定级
系统备案
安全建设
等级测评
监督检查

等级保护主要工作流程

业务流程：备案测评申请测评测评准备不合格项整改整改后测评信息系统

等级保护定级工作流程

定级流程

自评：客户自行选定系统相应的保护等级
申报：报当地公安或信息化行政部门进行审定
评审：公安或信息化行政部门组织评审
定级备案：报公安部门定级备案

定级原则

信息系统定级是整个信息系统安全等级保护工作的第一个重要环节，是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。信息系统定级工作的主体是信息系统运营和使用单位，坚持“自主定级、自主保护”原则，因此定级工作应当由信息系统的运营和使用单位来完成。

定级受理备案审核材料

管理办法规定第二级以上信息系统应当在安全保护等级确定后30日内，由其运营、使用单位到所在地区的市级以上公安机关办理系统备案手续。办理备案手续时，应填写《信息系统安全等级保护备案表》，《信息系统安全等级保护定级报告》、《系统定级评审意见》（或上级主管部门定级审核意见）、相关电子数据等。

等级保护测评工作流程

测评流程

等级测评的工作流程，依据《信息系统安全等级保护测评过程指南》，具体内容参见：等保测评工作流程图

测评内容

物理安全
网络安全
主机系统安全
应用安全
数据安全
安全管理机构
安全管理制度
人员安全
管理系统建设
管理系统运维

测评依据的相关标准体系

可以从多个角度来分析——
A、从基本分类角度来看，分为：基础类标准、技术类标准、管理类标准；
B、从等级保护生命周期看，分为：系统定级用标准、安全建设用标准、等级测评用标准、运行维护用标准、通用标准；
C、从对象角度看，分为：基础标准、系统标准、产品标准、安全服务标准、安全事件标准等。

测评依据的主要标准实施指南

《信息安全技术信息系统安全等级保护实施指南》（报批稿）
《GBT22240-2008信息安全技术信息系统安全等级保护定级指南》
《GB17859-1999计算机信息系统安全保护等级划分准则》

测评依据的基本要求

《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》
参照：《GB/T20271-2006信息安全技术信息系统通用安全技术要求》
《GB/T20270-2006信息安全技术网络基础安全技术要求》
《GB/T20272-2006信息安全技术操作系统安全技术要求》
《GB/T20273-2006信息安全技术数据库管理系统安全技术要求》
《GB/T21028-2007信息安全技术服务器安全技术要求》
《GA/T671-2006信息安全技术终端计算机系统安全等级技术要求》

测评依据的测评要求

《信息安全技术信息系统安全等级保护测评要求》

测评方法

访谈
文档审查
配置检查
工具测试

测评后续要求

信息系统建设完成后，运营、使用单位选择符合规定条件的测评单位，依据《信息系统安全等级保护测评要求》等技术标准，定期开展等级测评服务；第三级系统每年至少进行一次等级测评，第四级系统每半年至少进行一次等级测评。

等级保护安全建设内容

在信息系统安全保护等级确定以后，系统运营单位和使用单位开展系统安全建设和改建工作，通常包括安全需求分析、总体安全设计、详细安全设计、安全设施实现和安全运行与维护等工作。

等级保护监督检查内容

公安机关负责信息安全等级保护工作的督促、检查、指导；受理备案的公安机关对第三级信息系统的运营、使用单位每年至少检查一次，对第四级每半年检查一次；公安机关检查发现不符合有关管理规范和技术标准的，发出整改通知并进行整改。

测评具体工作过程

准备过程

等级测评项目启动：组建等级测评项目组，从资料、人员、计划安排等方面为整个等级测评项目的实施做好准备。
信息收集和分析：查阅被测系统已有资料或使用调查表单的方式，了解整个系统的构成和保护情况，为编写测评方案和开展现场测评工作奠定基础。
工具和文档准备：确认测评工具，打印的各类文档：现场测评授权书、测评结果记录表格（含测评人员入场和离场确认）、文档交接单。

方案编制过程

测评对象确定：根据已经了解到的被测系统信息，分析整个被测系统和各测评业务系统，确定出本次测评的测评对象。
测评指标确定：根据已经了解到的被测系统定级结果，确定出本次测评的测评指标。
测评内容确定：确定现场测评的具体实施内容，包括单元测评和系统测评。
测评实施手册开发：测评实施手册制定，包括指导测评人员如何进行测评活动，及现场测评的工具、方法和操作步骤等的详细描述。
测评方案编制：完成测评方案编制，方案包括：项目概述、测评对象、测评指标、测评工具的接入点、单元测评实施、系统测评实施以及配套的测评实施手册。

测评实施过程

测评实施准备：实施现场测评的启动过程，确认更新后的测评计划和测评程序，确认授权委托书。
现场测评和结果记录：通过访谈、文档审查、配置检查、工具测试和实地察看，对技术安全和管理安全测评的测评结果记录。
结果确认和资料归还：测评结果记录。

分析与报告编制过程

系统整体测评分析：从安全控制间、层面间和区域间出发考虑，给出系统整体测评的具体结果和结论，并对系统结构进行整体安全测评。
测评报告编制：经过评审和确认的被测系统等级测评报告。

整改后测评和残余风险评估

首次测评完成后，需将发现问题及整改意见回馈给被测评方。得到确认后，需给被测评方预留一段整改时间，进行整改。被测评方整改完成后，本公司测评人员对被测系统进行整改后测评，主要针对首次测评中发现问题的整改情况测评。如果有些问题不能进行整改或整改后会造成较大的损失，针对此问题被测评方可不进行整改，本公司测评人员为被测评方提供此类问题的残余风险评估，将在测评报告中体现最终整改后的测评结果和残余风险评估等信息。

测评报告备案

将最终的测评报告和首次测评后的整改问题汇总的纸版文档一并提交给之前定级备案的公安机关（省公安厅或各市公安局）进行最终备案。

配合工作内容

测评小组指导下填写信息系统基本情况调查表；
确定项目协调人员、项目配合人员；
根据需要安排会议场地，组织项目会议所需参加的会议人员；
提供测评小组临时办公场地；
明确项目授权签字、测评记录结果确认签字资格和工具扫描与渗透测试授权签字权利资格；
在测评期间如果需要查看相关制度记录，请确认授予相关资料查询权限；
提供测评小组进出相关检测场地的出入权限；
如果因测评项目具体需要，请准予提供相关服务，例如在工具扫描时需要分配网线接口，临时分配合法IP等；
其他相关事宜。

建设整改工作指南

总则

工作目标：通过落实安全责任制，开展管理制度建设、技术措施建设，落实等级保护制度的各项要求，使信息系统安全管理水平明显提高，安全保护能力明显增强，安全隐患和安全事故明显减少，有效保障信息化健康发展，维护国家安全、社会秩序和公共利益。
工作内容：落实信息安全责任制，建立并落实各类安全管理制度，开展人员安全管理、系统建设管理和系统运维管理等工作，落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。需要说明的是：不同级别信息系统安全建设整改的具体内容应根据信息系统定级时的业务信息安全等级和系统服务安全等级，以及信息系统安全保护现状确定。信息系统安全建设整改工作具体实施可以根据实际情况，将安全管理和安全技术整改内容一并实施，或分步实施。
工作流程：
1. 制定信息系统安全建设整改工作规划，对信息系统安全建设整改工作进行总体部署；
2. 开展信息系统安全保护现状分析，从管理和技术两个方面确定信息系统安全建设整改需求；
3. 确定安全保护策略，制定信息系统安全建设整改方案；
4. 开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施；
5. 开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作。
标准应用：信息系统安全建设整改工作应依据《基本要求》，并在不同阶段、针对不同技术活动参照相应的标准规范进行。需要说明的是：《计算机信息系统安全保护等级划分准则》及配套标准是《基本要求》的基础；《基本要求》是信息系统安全建设整改的依据；《定级指南》为定级工作提供指导；《测评要求》等标准规范等级测评活动；《实施指南》等标准指导等级保护建设；
安全保护能力目标：第二级信息系统：经过安全建设整改，信息系统具有抵御小规模、较弱强度恶意攻击的能力，抵抗一般的自然灾害的能力，防范一般性计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对安全事件进行记录的能力；系统遭到损害后，具有恢复系统正常运行状态的能力。

安全管理制度建设

按照国家有关规定，依据《基本要求》，参照《信息系统安全管理要求》等标准规范要求，开展信息系统等级保护安全管理制度建设工作。

安全技术措施建设

按照国家有关规定，依据《基本要求》，参照《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》等标准规范要求，开展信息系统安全技术建设整改工作。

等保过程中的常见问题

问：公安部门要求什么时间完成等保测评？我们还没有定级，预算经费也没有报，如何开展工作？

答：根据公安文件要求的时间开展测评工作。如果还没有定级，则根据定级要求和流程，先向公安递交定级备案文件，预算纳入下一年度工作计划，在经费未落实前，可以先行进行系统了解、系统加固配合工作。定级专家评审时间：每季度或每半年（或不定期），由公安组织专家评审。

问：定级对象范围是什么？一般是以什么界限来划分？是不是所有的系统都要申报？

答：定级对象范围：

起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统），网络要合理划分区域；
用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统，跨省或者全国联网运行信息系统的分支系统也要单独定级；
各单位网站。

问：实际操作中如何定级？区别？

答：第二级信息系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
第三级信息系统：一般适用于地市级以上国家机关、企事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络系统等。
在实际操作中，可参考备案单位自主定级分类指南。