信息安全等級保護v

1、技術(shù)白皮書信息安全等級保護編 號版 本V1.0編 制譚偉偉審 核審 批發(fā)布日期2016.12.17重慶揚訊軟件技術(shù)股份有限公司技術(shù)方案 文件更改記錄日期版本號修訂說明修訂審核審批2016.12.17V1.0創(chuàng)建。譚偉偉目 錄1 簡介12 分級13 實施原則14 備案25 辦理26 定期測評27 標(biāo)準(zhǔn)規(guī)范37.1 十大重要標(biāo)準(zhǔn)37.2 其他相關(guān)標(biāo)準(zhǔn)38 相關(guān)書籍48.1 信息安全等級保護政策培訓(xùn)教程4 4 1 簡介信息系統(tǒng)安全等級測評是驗證信息系統(tǒng)是否滿足相應(yīng)安全保護等級的評估過程，信息安全等級保護簡稱等保。信息安全等級保護工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查五個階

2、段。兩個層面：安全技術(shù)、安全管理。2 相關(guān)法律法規(guī)信息安全等級保護管理辦法3 分級信息安全等級保護共劃分為五個等級。第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。4

3、實施原則根據(jù)信息系統(tǒng)安全等級保護實施指南精神，手冊上明確了以下基本原則：自主保護原則：信息系統(tǒng)運營、使用單位及其主管部門按照國家相關(guān)法規(guī)和標(biāo)準(zhǔn)，自主確定信息系統(tǒng)的安全保護等級，自行組織實施安全保護。重點保護原則：根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點，通過劃分不同安全保護等級的信息系統(tǒng)，實現(xiàn)不同強度的安全保護，集中資源優(yōu)先保護涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。同步建設(shè)原則：信息系統(tǒng)在新建、改建、擴建時應(yīng)當(dāng)同步規(guī)劃和設(shè)計安全方案，投入一定比例的資金建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相適應(yīng)。動態(tài)調(diào)整原則：要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護措施。由于信息系統(tǒng)的應(yīng)用類型、范圍等條件的變化及其

4、他原因，安全保護等級需要變更的，應(yīng)當(dāng)根據(jù)等級保護的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的要求，重新確定信息系統(tǒng)的安全保護等級，根據(jù)信息系統(tǒng)安全保護等級的調(diào)整情況，重新實施安全保護。5 備案第二級以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護等級確定后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。新建第二級以上信息系統(tǒng)，應(yīng)當(dāng)在投入運行后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。6 辦理 辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應(yīng)當(dāng)填寫信息系統(tǒng)安全等級保護備案表，第三級以上信息系統(tǒng)應(yīng)當(dāng)同時提供以下材料：（一）系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明；（二）系統(tǒng)安全組織機構(gòu)和管理制度；（三）系統(tǒng)

5、安全保護設(shè)施設(shè)計實施方案或者改建實施方案；（四）系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明；（五）測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告；（六）信息系統(tǒng)安全保護等級專家評審意見；（七）主管部門審核批準(zhǔn)信息系統(tǒng)安全保護等級的意見。7 定期測評依據(jù)信息安全等級保護管理辦法第十四條規(guī)定，第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進行等級測評。8 標(biāo)準(zhǔn)規(guī)范8.1 十大重要標(biāo)準(zhǔn)計算機信息系統(tǒng)安全等級保護劃分準(zhǔn)則 （GB 17859-1999） （基礎(chǔ)類標(biāo)準(zhǔn)）信息系統(tǒng)安全等級保護實施指南 （GB/T 25058-

6、2010） （基礎(chǔ)類標(biāo)準(zhǔn)）信息系統(tǒng)安全保護等級定級指南 （GB/T 22240-2008） （應(yīng)用類定級標(biāo)準(zhǔn)）信息系統(tǒng)安全等級保護基本要求 （GB/T 22239-2008） （應(yīng)用類建設(shè)標(biāo)準(zhǔn)）信息系統(tǒng)通用安全技術(shù)要求 （GB/T 20271-2006） （應(yīng)用類建設(shè)標(biāo)準(zhǔn)）信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求 （GB/T 25070-2010） （應(yīng)用類建設(shè)標(biāo)準(zhǔn)）信息系統(tǒng)安全等級保護測評要求 （GB/T 28448-2012）（應(yīng)用類測評標(biāo)準(zhǔn)）信息系統(tǒng)安全等級保護測評過程指南 （GB/T 28449-2012）（應(yīng)用類測評標(biāo)準(zhǔn)）信息系統(tǒng)安全管理要求 （GB/T 20269-2006） （應(yīng)用類管理

7、標(biāo)準(zhǔn)）信息系統(tǒng)安全工程管理要求 （GB/T 20282-2006） （應(yīng)用類管理標(biāo)準(zhǔn)）8.2 其他相關(guān)標(biāo)準(zhǔn)GB/T 21052-2007 信息安全技術(shù) 信息系統(tǒng)物理安全技術(shù)要求GB/T 20270-2006 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求GB/T 20272-2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求GB/T 20273-2006 信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范GB/T 20985-2007 信息安全技術(shù) 信息安全事件管理指南GB/Z 20986-2007 信息安全技術(shù) 信息安全事件分類分級指南GB/T 20988-2007 信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范9 相關(guān)書