鄭州市2015網(wǎng)絡(luò)安全員培訓(xùn)考試資料管理第三章

ー、信息安全等級(jí)保護(hù)概述(-)我國(guó)信息網(wǎng)絡(luò)安全面臨的嚴(yán)峻形勢(shì)隨著我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展信息化進(jìn)程的全面加快,我國(guó)信息化的程度越來越高,關(guān)系國(guó)計(jì)民生的重要領(lǐng)域信息系統(tǒng)已經(jīng)成為國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施。這些基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，已經(jīng)嚴(yán)重關(guān)系國(guó)家安全和社會(huì)穩(wěn)定,關(guān)系廣大人民群眾切身利益。當(dāng)前,我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全面臨的形勢(shì)十分嚴(yán)峻,既有外部威脅,又有自身脆弱性和薄弱環(huán)節(jié),維護(hù)國(guó)家信息安全的任務(wù)十分艱巨、繁重,所面臨的嚴(yán)峻形勢(shì)有:.針對(duì)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的違法犯罪持續(xù)上升不法分子利用ー些安全漏洞,使用病毒、木馬、網(wǎng)絡(luò)釣魚等技術(shù)進(jìn)行網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博等違法犯罪活動(dòng),對(duì)我國(guó)經(jīng)濟(jì)秩序、社會(huì)管理秩序和公民的合法權(quán)益造成嚴(yán)重侵害。.基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全隱患嚴(yán)重由于各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的核心設(shè)備、技術(shù)和高端服務(wù)主要依賴國(guó)外進(jìn)ロ,在操作系統(tǒng)、專用芯片和大型應(yīng)用軟件等方面不能自主可控,給我國(guó)的信息安全帶來了深層的技術(shù)隱患。.我國(guó)的信息安全保障工作基礎(chǔ)還很薄弱信息安全意識(shí)和安全防范能力薄弱,信息系統(tǒng)安全建設(shè)、監(jiān)管缺乏依據(jù)和標(biāo)準(zhǔn),安全保護(hù)措施和安全制度不落實(shí),監(jiān)管措施不到位。實(shí)施信息安全等級(jí)保護(hù),有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施,保障信息安全與信息化建設(shè)相協(xié)調(diào);有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù),有效控制信息安全建設(shè)成本:有利于明確國(guó)家、法人和其他組織、公民的信息安全責(zé)任,加強(qiáng)信息安全管理;（-）我國(guó)實(shí)行信息安全等級(jí)保護(hù)的意義信息安全等級(jí)保護(hù)是國(guó)家信息安全保障工作的基本制度、基本策略、基本方法。通過開展信息安全等級(jí)保護(hù)工作,可以有效解決我國(guó)信息安全面臨的威脅和存在的主要問題,充分體現(xiàn)“適度安全、保護(hù)重點(diǎn)”的目的（三）我國(guó)信息等級(jí)保護(hù)工作回顧1994年，《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147號(hào)令）規(guī)定,“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù),安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法,由公安部會(huì)同有關(guān)部門制定”。2003年,《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)［200312フ號(hào)）明確指出“實(shí)行信息安全等級(jí)保護(hù)”。"要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng),抓緊建立信息安全等級(jí)保護(hù)制度,制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”。2004年9月,公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息辦聯(lián)合出臺(tái)了《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字[2004]66號(hào)），2007年6月聯(lián)合出臺(tái)了《信息安全等級(jí)保護(hù)管理辦法》,明確了信息安全等級(jí)保護(hù)制度的基本內(nèi)容、流程及工作要求,明確了信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門、監(jiān)管部門在信息安全等級(jí)保護(hù)工作中的職責(zé)、任務(wù),為信息安全等級(jí)保護(hù)工作提供了規(guī)范保障。2005年底,公安部和國(guó)務(wù)院信息化工作辦公室聯(lián)合印發(fā)了《關(guān)于開展信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)調(diào)查工作的通知》（公信安[2005]1431號(hào)）。2006年上半年,公安部會(huì)同國(guó)信辦在全國(guó)范圍內(nèi)開展了信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)調(diào)查。有利于優(yōu)化信息安全資源的配置,對(duì)信息系統(tǒng)分級(jí)實(shí)施保護(hù),重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)的安全;有利于推動(dòng)信息安全產(chǎn)業(yè)的發(fā)展，逐步探索出一條適應(yīng)社會(huì)主義市場(chǎng)經(jīng)濟(jì)的信息安全模式。2006年6月,公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息辦聯(lián)合下發(fā)了《關(guān)于開展信息安全等級(jí)保護(hù)試點(diǎn)工作的通知》（公信安[2006]573號(hào)）。在13個(gè)省區(qū)市和3個(gè)部委聯(lián)合開展了信息安全等級(jí)保護(hù)試點(diǎn)工作。（四）信息等級(jí)保護(hù)標(biāo)準(zhǔn)體系信息安全等級(jí)保護(hù)工作是ー項(xiàng)復(fù)雜的系統(tǒng)工程,迫切需要制定一個(gè)科學(xué)、合理和完善的等級(jí)保護(hù)標(biāo)準(zhǔn)體系,根據(jù)2フ號(hào)和66號(hào)文件精神,公安部會(huì)同有關(guān)部門制定、完善了信息安全等級(jí)保護(hù)配套技術(shù)標(biāo)準(zhǔn)共60多個(gè)，有效地支持了信息安全等級(jí)保護(hù)的各項(xiàng)主要工作。標(biāo)準(zhǔn)體系遵循了以下原則:1）全面性2）系統(tǒng)性3）先進(jìn)性4）實(shí)用性。信息等級(jí)保護(hù)標(biāo)準(zhǔn)體系由等級(jí)保護(hù)工作過程中所需的所有標(biāo)準(zhǔn)組成,整個(gè)體系可以從多個(gè)角度分析。從基本分類角度,分為以下類別標(biāo)準(zhǔn):.基礎(chǔ)類信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南信息安全等級(jí)保護(hù)基本模型信息安全等級(jí)保護(hù)基本配置信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南.技術(shù)類計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則信息安全技術(shù)信息安全等級(jí)保護(hù)基本要求網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求操作系統(tǒng)技術(shù)要求數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法3,管理類信息安全技術(shù)信息安全事件管理指南信息安全事件分類分級(jí)指南信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范信息系統(tǒng)安全管理要求信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)資源等級(jí)劃分準(zhǔn)則二、信息等級(jí)保護(hù)主要內(nèi)容(一)基本含義信息安全等級(jí)保護(hù)是指對(duì)國(guó)家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行等級(jí)管理,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。1.信息和信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)根據(jù)信息和信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度;遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度,針對(duì)信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達(dá)到的基本的安全保護(hù)水平等因素,對(duì)信息和信息系統(tǒng)劃分以下五個(gè)安全保護(hù)和監(jiān)管等級(jí):(1)第一級(jí):自主保護(hù)級(jí),適用于一般的信息和信息系統(tǒng),其受到破壞后,會(huì)對(duì)公民、法人和其他組織的權(quán)益有一定影響,但不危害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益。依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。ー級(jí)系統(tǒng):公民個(gè)人的單機(jī)系統(tǒng),小型集體、民營(yíng)企業(yè)所屬的信息系統(tǒng),中、小學(xué)校的信息系統(tǒng),鄉(xiāng)鎮(zhèn)級(jí)黨政機(jī)關(guān)、事業(yè)單位的信息系統(tǒng),其他小型組織的信息系統(tǒng)。(2)第二級(jí):指導(dǎo)保護(hù)級(jí),適用于一定程度上涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的一般信息和信息系統(tǒng),其受到破壞后,會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成一定損害。在信息安全監(jiān)管職能部門指導(dǎo)下依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。二級(jí)系統(tǒng):縣級(jí)、地市級(jí)電信、廣電、銀行、鐵道、公安等行業(yè)所屬獨(dú)立的信息系統(tǒng),中型集體、民營(yíng)企業(yè)、小型國(guó)有企業(yè)所屬的信息系統(tǒng),縣級(jí)黨政機(jī)關(guān)、事業(yè)單位的信息系統(tǒng),普通高等院安全性是指不會(huì)因使用該信息安全產(chǎn)品而給信息系統(tǒng)引入安全隱患。安全性的主要內(nèi)容包括;信息安全產(chǎn)品是否有漏洞、后門,遠(yuǎn)程控制功能用戶是否可知可控等?？杀O(jiān)督性是指產(chǎn)品的研發(fā)生產(chǎn)和檢測(cè)過程可監(jiān)督?？杀O(jiān)督性的內(nèi)容主要包括:產(chǎn)品的研發(fā)生產(chǎn)和檢測(cè)過程各環(huán)節(jié)的方式、結(jié)果的真實(shí)性可驗(yàn)證,產(chǎn)品的源代碼可托管等。3.信息安全事件實(shí)行分等級(jí)響應(yīng)、處理依據(jù)信息安全事件對(duì)信息和信息系統(tǒng)的破壞程度、所造成的社會(huì)影響以及涉及的范圍,確定事件等級(jí),根據(jù)不同安全保護(hù)等級(jí)的信息系統(tǒng)中發(fā)生的不同等級(jí)事件制定相應(yīng)的預(yù)案,確定事件響應(yīng)相處置的范圍、程度以及適用的管理制度等。信息安全事件發(fā)生后,分等級(jí)按照預(yù)案進(jìn)行響應(yīng)處置。ー是根據(jù)信息安全事件的不同危害程度和所發(fā)生的系統(tǒng)的安全級(jí)別,事先劃定信息安全事件的等級(jí):二是根據(jù)不同等級(jí)的安全事件,制定相應(yīng)的響應(yīng)和處置預(yù)案;三是一旦發(fā)生信息安全事件,根據(jù)其危害和發(fā)生的部位,迅速確定事件等級(jí),啟動(dòng)相應(yīng)的響應(yīng)和處置預(yù)案。1995年2月18日人大12次會(huì)議通過并實(shí)施的《中華人民共和國(guó)警察法》第二章第六條第十二款規(guī)定，公安機(jī)關(guān)人民警察依法履行“監(jiān)督管理計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作”。200フ年7月20日,公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息辦在北京聯(lián)合召開了“全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作電視電話會(huì)議”,部署在全國(guó)范圍內(nèi)開展重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作。將有限的財(cái)カ、物力、人力投入到重要信息系統(tǒng)安全保護(hù)中,按標(biāo)準(zhǔn)建設(shè)安全保護(hù)措施,建立安全保護(hù)制度,落實(shí)安全責(zé)任,有效保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的重要信息系統(tǒng)的安全。校和科研機(jī)構(gòu)的信息系統(tǒng)。(3)第三級(jí):監(jiān)督保護(hù)級(jí),適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息系統(tǒng),其受到破壞后,會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù),信息安全監(jiān)管職能部門對(duì)其進(jìn)行監(jiān)督、檢查。三級(jí)系統(tǒng):省級(jí)和副省級(jí)電信、廣電、銀行、鐵道、公安等行業(yè)所屬獨(dú)立的重要信息系統(tǒng),大型集體、民營(yíng)企業(yè)、大中型國(guó)有企業(yè)所屬的重要信息系統(tǒng),地市級(jí)黨政機(jī)關(guān)、事業(yè)單位的重要信息系統(tǒng),重點(diǎn)高等院校和科研機(jī)構(gòu)的重要信息系統(tǒng)。(4)第四級(jí):強(qiáng)制保護(hù)級(jí),適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息和信息系統(tǒng),其受到破壞后,會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重?fù)p害。依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù),信息安全監(jiān)管職能部門對(duì)其進(jìn)行強(qiáng)制監(jiān)督、檢查。四級(jí)系統(tǒng):國(guó)家級(jí)電信、廣電、銀行、鐵道、公安等行業(yè)所屬全程全網(wǎng)的特大型信息系統(tǒng),特大型國(guó)有企業(yè)所屬全程全網(wǎng)的特大型信息系統(tǒng),省級(jí)黨政機(jī)關(guān)、事業(yè)單位所屬的重要信息系統(tǒng)。(5)第五級(jí):?？乇Ｗo(hù)級(jí),適用于涉及國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的重要信息系統(tǒng)的核心子系統(tǒng),其受到破壞后,會(huì)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害。依照國(guó)家管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行自主保護(hù),國(guó)家指定專門部門、專門機(jī)構(gòu)進(jìn)行專門監(jiān)督。五級(jí)系統(tǒng):國(guó)家級(jí)電信、廣電、銀行、鐵道、海關(guān)、稅務(wù)、民航、證券、電カ、保險(xiǎn)等重要信息系統(tǒng)中的核心子系統(tǒng)，涉及國(guó)防、重大外交、航天航空、核能源、尖端科學(xué)技術(shù)等重要信息系統(tǒng)中的核心子系統(tǒng),國(guó)家級(jí)黨政機(jī)關(guān)重要信息系統(tǒng)中的核心子系統(tǒng)。2.國(guó)家對(duì)信息安全產(chǎn)品的使用實(shí)行分等級(jí)管理按照信息安全產(chǎn)品的可控性、可靠性、安全性和可監(jiān)督性的要求確定相應(yīng)等級(jí)進(jìn)行管理?？煽匦允侵竾?guó)家或用戶對(duì)產(chǎn)品的技術(shù)可控?？煽匦缘闹饕獌?nèi)容包括:產(chǎn)品具有我國(guó)自主知識(shí)產(chǎn)權(quán)、產(chǎn)品源代碼可由國(guó)家或用戶掌握、用戶是否可控制產(chǎn)品的配置等?？煽啃允侵干a(chǎn)信息安全產(chǎn)品的單位和人員穩(wěn)定可靠?？煽啃缘闹饕獌?nèi)容包括:生產(chǎn)信息安全產(chǎn)品單位和人員的背景、規(guī)模、流動(dòng)性、社會(huì)關(guān)系、經(jīng)濟(jì)狀況、法律能力、特許授權(quán)、專業(yè)能力和有關(guān)資質(zhì)認(rèn)證等。為了保證信息安全等級(jí)保護(hù)工作的科學(xué)性、合理性,在等級(jí)保護(hù)實(shí)施過程中應(yīng)當(dāng)遵循以下原則：.自主保護(hù)原則信息系統(tǒng)的安全責(zé)任主體是信息系統(tǒng)運(yùn)營(yíng)使用單位及其主管部門,“自主”體現(xiàn)在運(yùn)營(yíng)使用單位及其主管部門按照相關(guān)標(biāo)準(zhǔn)自主定級(jí)、自主保護(hù)。在等級(jí)保護(hù)工作中，信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門按照“誰主管誰負(fù)責(zé),誰運(yùn)營(yíng)誰負(fù)責(zé)”的原則開展工作。.重點(diǎn)保護(hù)原則重點(diǎn)保護(hù)就是要解決我國(guó)信息安全面臨的主要威脅和存在的主要問題,實(shí)行國(guó)家對(duì)重要信息系統(tǒng)進(jìn)行重點(diǎn)安全保障的重大措施,有效體現(xiàn)“適度安全,保護(hù)重點(diǎn)”的目的,優(yōu)化信息安全資源配置,將有限的財(cái)カ、物力、人力投入到重要信息系統(tǒng)安全保護(hù)中。.同步建設(shè)原則信息安全建設(shè)的特點(diǎn)要求在信息化建設(shè)中必須同步規(guī)劃、同步實(shí)施,信息系統(tǒng)在新建、改建、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案,投入一定比例的資金建設(shè)信息安全設(shè)施,保障信息安全與信息化建設(shè)相適應(yīng),避免重復(fù)建設(shè)而帶來的資源浪費(fèi)。.動(dòng)態(tài)調(diào)整原則跟蹤信息的變化、調(diào)整安全保護(hù)措施。信息系統(tǒng)的應(yīng)用類型、數(shù)量、范圍等會(huì)根據(jù)實(shí)際需要而發(fā)生相應(yīng)調(diào)整,當(dāng)調(diào)整和變更的內(nèi)容發(fā)生較大變化時(shí)，應(yīng)當(dāng)根據(jù)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求,重新確定信息系統(tǒng)安全保護(hù)等級(jí),根據(jù)信息系統(tǒng)安全保護(hù)等級(jí)的情況,重新實(shí)施安全保護(hù)。三）信息安全等級(jí)保護(hù)工作責(zé)任.國(guó)家的責(zé)任:國(guó)家通過制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。.信息安全監(jiān)管部門:信息安全監(jiān)管部門（包括公安機(jī)關(guān)、保密部門、國(guó)家密碼工作部門）組織制定等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),組織公民、法人和其他組織對(duì)信息系統(tǒng)實(shí)行分等級(jí)安全保護(hù),對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。在信息安全等級(jí)保護(hù)工作中,堅(jiān)持“分エ負(fù)責(zé)、密切配合”的原則。公安機(jī)關(guān)牽頭,負(fù)責(zé)全面工作的監(jiān)督、檢查、指導(dǎo),國(guó)家保密工作部門、國(guó)家密碼管理部門配合,國(guó)務(wù)院信息化工作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)協(xié)調(diào):涉及國(guó)家秘密的信息系統(tǒng),主要由國(guó)家保密工作部門負(fù)責(zé),其他部門參與、配合。.信息系統(tǒng)主管部門:依照《信息安全等級(jí)保護(hù)管理辦法》及相關(guān)標(biāo)準(zhǔn)規(guī)范,督促、檢查、指導(dǎo)本行業(yè)、本部門或者本地區(qū)信息系統(tǒng)運(yùn)營(yíng)、使用單位的信息安全等級(jí)保護(hù).運(yùn)營(yíng)使用單位:按照國(guó)家有關(guān)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)開展等級(jí)保護(hù)工作,建設(shè)安全設(shè)施、建立安全制度、落實(shí)安全責(zé)任,接受公安機(jī)關(guān)、保密部門、國(guó)家密碼工作部門對(duì)信息安全等級(jí)保護(hù)工作的監(jiān)督、指導(dǎo),保障信息系統(tǒng)安全。.信息安全服務(wù)機(jī)構(gòu):負(fù)責(zé)根據(jù)信息運(yùn)營(yíng)、使用單位的委托,依照國(guó)家信息安全等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn),協(xié)助信息系統(tǒng)運(yùn)營(yíng)、使用單位完成等級(jí)保護(hù)相關(guān)工作,包括確定其信息系統(tǒng)的安全保護(hù)等級(jí)、進(jìn)行安全需求分析、安全總體規(guī)劃、實(shí)施安全建設(shè)和安全改造等。.信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu):測(cè)評(píng)機(jī)構(gòu)根據(jù)國(guó)家管理部門的授權(quán),協(xié)助信息系統(tǒng)運(yùn)營(yíng)、使用單位或國(guó)家管理部門,按照國(guó)家信息安全等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)已經(jīng)完成等級(jí)保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng);對(duì)信息安全產(chǎn)品供應(yīng)商提供的信息安全產(chǎn)品進(jìn)行安全測(cè)評(píng)。.信息安全產(chǎn)品供應(yīng)商負(fù)責(zé)按照國(guó)家信息安全等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn),開發(fā)符合等級(jí)保護(hù)相關(guān)要求的安全產(chǎn)品,接受安全測(cè)評(píng),安裝等級(jí)保護(hù)相關(guān)要求銷售信息安全產(chǎn)品并提供相關(guān)服務(wù)。.公民、法人和其他組織應(yīng)當(dāng)按照國(guó)家有關(guān)等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)開展等級(jí)保護(hù)工作,服從國(guó)家對(duì)信息安全等級(jí)保護(hù)工作的監(jiān)督、指導(dǎo),保障信息系統(tǒng)安全。信息安全產(chǎn)品的研制、生產(chǎn)單位,信息系統(tǒng)的集成、等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估等安全服務(wù)機(jī)構(gòu),依據(jù)國(guó)家有關(guān)管理規(guī)定和技術(shù)標(biāo)準(zhǔn),開展技術(shù)服務(wù)、技術(shù)支持等工作,并接受信息安全監(jiān)管部門的監(jiān)督管理。（四）開展等級(jí)保護(hù)工作的總體要求各個(gè)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng),要按照“準(zhǔn)確定級(jí)、嚴(yán)格審批、及時(shí)備案、認(rèn)真整改、科學(xué)測(cè)評(píng)”的要求完成等級(jí)保護(hù)的定級(jí)、備案、整改、測(cè)評(píng)等工作。公安機(jī)關(guān)和保密、密碼工作部門要及時(shí)開展監(jiān)督檢查,嚴(yán)格審查信息系統(tǒng)所定級(jí)別,嚴(yán)格檢查信息系統(tǒng)開展備案、整改、測(cè)評(píng)等工作。（五）信息安全等級(jí)保護(hù)工作的主要流程等級(jí)保護(hù)的主要流程包括六項(xiàng)內(nèi)容:.自主定級(jí)與審批:信息系統(tǒng)運(yùn)營(yíng)使用單位按照等級(jí)保護(hù)管理辦法和定級(jí)指南,自主確定信息系統(tǒng)的安全保護(hù)等級(jí)。有上級(jí)主管部門的,應(yīng)當(dāng)經(jīng)上級(jí)主管部門審批?？缡』蛉珖?guó)統(tǒng)ー聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由其主管部門統(tǒng)ー確定安全保護(hù)等級(jí)。.評(píng)審:在信息系統(tǒng)確定安全保護(hù)等級(jí)過程中,可以組織專家進(jìn)行評(píng)審。對(duì)于確定為第四級(jí)以上信息系統(tǒng)的,運(yùn)營(yíng)使用單位或主管部門應(yīng)當(dāng)邀請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專家評(píng)審委員會(huì)評(píng)審。.備案:第二級(jí)以上信息系統(tǒng)定級(jí)單位到所在地市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。.系統(tǒng)安全建設(shè):信息系統(tǒng)安全保護(hù)等級(jí)確定后,運(yùn)營(yíng)使用單位按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn),選擇管理辦法要求的信息安全產(chǎn)品,建設(shè)符合等級(jí)要求的信息安全設(shè)施,建立安全組織,制定并落實(shí)安全管理制度。.等級(jí)測(cè)評(píng):信息系統(tǒng)建設(shè)完成后,運(yùn)營(yíng)使用單位選擇符合管理辦法要求的測(cè)評(píng)機(jī)構(gòu),對(duì)信息系統(tǒng)安全等級(jí)狀況開展等級(jí)測(cè)評(píng)。.監(jiān)督檢查:公安機(jī)關(guān)依據(jù)信息安全等級(jí)保護(hù)管理規(guī)范,監(jiān)督檢查運(yùn)營(yíng)使用單位開展等級(jí)保護(hù)工作,定期對(duì)第三級(jí)以上的信息系統(tǒng)進(jìn)行安全檢查。運(yùn)營(yíng)使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)的安全監(jiān)督、檢查、指導(dǎo),如實(shí)向公安機(jī)關(guān)提供有關(guān)材料。三、系統(tǒng)定級(jí)系統(tǒng)定級(jí)是等級(jí)保護(hù)工作的首要環(huán)節(jié),是開展信息系統(tǒng)建設(shè)、整改、測(cè)評(píng)、備案、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。定級(jí)要從國(guó)家、人民群眾的根本利益出發(fā),考慮信息系統(tǒng)受到損害后的最大風(fēng)險(xiǎn)。定級(jí)依據(jù)是《信息安全技術(shù)信息等級(jí)安全等級(jí)保護(hù)定級(jí)指南》(-)等級(jí)確定原則.滿足管理要求原則:定級(jí)指南所確定的信息系統(tǒng)安全保護(hù)等級(jí)不是信息系統(tǒng)安全保障程度等級(jí),也不是信息系統(tǒng)的技術(shù)能力等級(jí),而是從國(guó)家管理的需要出發(fā),從信息系統(tǒng)對(duì)國(guó)家安全、經(jīng)濟(jì)建設(shè)、公共利益等方面的重要性,以及信息或信息系統(tǒng)被破壞后造成的嚴(yán)重性角度對(duì)信息系統(tǒng)確定的等級(jí)。.全局性原則:信息系統(tǒng)安全等級(jí)保護(hù)是針對(duì)全國(guó)范圍內(nèi)、涵蓋各個(gè)行業(yè)信息系統(tǒng)的管理制度,定級(jí)必須從國(guó)家層面考慮,體現(xiàn)全局性。.業(yè)務(wù)核心原則:信息系統(tǒng)是為業(yè)務(wù)應(yīng)用服務(wù)的,信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)反映信息系統(tǒng)承載業(yè)務(wù)的重要性,以業(yè)務(wù)為出發(fā)點(diǎn),將信息重要性納入業(yè)務(wù)重要性統(tǒng)籌考慮。.合理性原則:充分反映出信息系統(tǒng)的主要安全特征,優(yōu)化結(jié)構(gòu)、降低投資、突出重點(diǎn),有效保護(hù)。(-)定級(jí)要素信息系統(tǒng)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)要素決定:1、受侵害的客體。等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括以下三個(gè)方面:ー是公民、法人和其他組織的合法權(quán)益;二是社會(huì)秩序、公共利益;三是國(guó)家安全。2、對(duì)客體的侵害程度。對(duì)客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對(duì)客體的侵害是通過對(duì)等級(jí)保護(hù)對(duì)象的破壞實(shí)現(xiàn)的,因此,對(duì)客體的侵害外在表現(xiàn)為對(duì)等級(jí)保護(hù)對(duì)象的破壞,通過危害方式、危害后果和危害程度加以描述。等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度為三種:(1)一般損害:工作職能受到局部影響,業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行,出現(xiàn)較輕的法律問題,較低的資產(chǎn)損失,有限的社會(huì)不良影響,對(duì)其他組織和個(gè)人造成較低損害。(2)嚴(yán)重?fù)p害:工作職能受到嚴(yán)重影響,業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行,出現(xiàn)較嚴(yán)重的法律問題,較高的資產(chǎn)損失,較大范圍的社會(huì)不良影響,對(duì)其他組織和個(gè)人造成較嚴(yán)重?fù)p害。(3)特別嚴(yán)重?fù)p害:工作職能受到特別嚴(yán)重影響或喪失行使能力,業(yè)務(wù)能力嚴(yán)重下降且或功能無法執(zhí)行,出現(xiàn)極其嚴(yán)重的法律問題,極高的資產(chǎn)損失，大范圍的社會(huì)不良影響,對(duì)其他組織和個(gè)人造成非常嚴(yán)重?fù)p害。(三)定級(jí)方法.定級(jí)的一般流程信息系統(tǒng)重要程度可以從信息系統(tǒng)所處理的信息和所提供的服務(wù)兩方面體現(xiàn),因此將安全分解為業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全。這樣區(qū)分有利于區(qū)別兩類信息系統(tǒng):以信息處理為主的信息系統(tǒng)和以業(yè)務(wù)流程為主的信息系統(tǒng)。確定信息系統(tǒng)安全保護(hù)等級(jí)的一般流程如下:(1)確定作為定級(jí)對(duì)象的信息系統(tǒng);(2)確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體;(3)根據(jù)不同的受侵害客體,從多個(gè)方面綜合評(píng)定業(yè)務(wù)信息安全被破壞對(duì)客體的侵害程度;(4)得到業(yè)務(wù)信息安全等級(jí);（5）確定系統(tǒng)服務(wù)安全受到破壞所侵害的客體:（6）根據(jù)不同的受侵害客體,從多個(gè)方面綜合評(píng)定系統(tǒng)服務(wù)安全被破壞對(duì)客體的侵害程度;（7）得到系統(tǒng)服務(wù)安全等級(jí):（8）由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)的較高者確定定級(jí)對(duì)象的安全保護(hù)等級(jí)。.確定定級(jí)對(duì)象信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門按如下原則確定定級(jí)對(duì)象:（1）應(yīng)用系統(tǒng)應(yīng)按照不同業(yè)務(wù)類別單獨(dú)確定為定級(jí)對(duì)象,不以系統(tǒng)是否進(jìn)行數(shù)據(jù)交換、是否獨(dú)享設(shè)備為確定定級(jí)對(duì)象條件。起傳輸作用的基礎(chǔ)網(wǎng)絡(luò)要作為單獨(dú)的定級(jí)對(duì)象。（2）確認(rèn)負(fù)責(zé)定級(jí)的單位是否對(duì)所定級(jí)系統(tǒng)具有安全管理責(zé)任。（3）具有信息系統(tǒng)的基本要素。作為定級(jí)對(duì)象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標(biāo)和規(guī)則組合而成的有形實(shí)體。應(yīng)該避免將某個(gè)單一的系統(tǒng)組件作為定級(jí)對(duì)象。.確定受侵害的客體定級(jí)對(duì)象受到破壞時(shí)所侵害的客體包括國(guó)家安全、社會(huì)秩序、公眾利益以及公民、法人和其他組織的合法權(quán)益。確定作為定級(jí)對(duì)象的信息系統(tǒng)受到破壞后所侵害的客體時(shí),應(yīng)首先判斷是否侵害國(guó)家安全,然后判斷是否侵害社會(huì)秩序或公眾利益,最后判斷是否侵害公民、法人和其他組織的合法權(quán)益。4,確定對(duì)客體的侵害程度侵害的客觀方面。在客觀方面,對(duì)客體的侵害外在表現(xiàn)為對(duì)定級(jí)對(duì)象的破壞,危害方式表現(xiàn)為對(duì)信息安全的破壞和對(duì)信息系統(tǒng)服務(wù)的破壞,其中信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等,系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時(shí)、有效地提供服務(wù),以完成預(yù)定的業(yè)務(wù)目標(biāo)。由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞后所侵害的客體和對(duì)客體的侵害程度可能會(huì)有所不同,在定級(jí)過程中,需要分別處理這兩種危害方式。信息安全和系統(tǒng)服務(wù)安全受到破壞后,可能產(chǎn)生以下危害后果:影響行使工作職能、導(dǎo)致業(yè)務(wù)能力下降、引起法律糾紛、導(dǎo)致財(cái)務(wù)損失、造成社會(huì)不良影響、對(duì)其他組織和個(gè)人造成損失、其他影響。.綜合判定侵害程度侵害程度是客觀方面的不同外在表現(xiàn)的綜合體現(xiàn),因此,應(yīng)首先根據(jù)不同的受侵害客體、不同危害后果分別確定其危害程度。對(duì)不同危害后果確定其危害程度所采取的方法和所考慮的角度可能不同,例如系統(tǒng)服務(wù)安全被破壞導(dǎo)致業(yè)務(wù)能力下降的程度可以從信息系統(tǒng)服務(wù)覆蓋的區(qū)域范圍、用戶人數(shù)或業(yè)務(wù)量等不同方面確定,業(yè)務(wù)信息安全被破壞導(dǎo)致的財(cái)物損失可以從直接的資金損失大小、間接的信息恢復(fù)費(fèi)用等方面進(jìn)行確定。在針對(duì)不同的受侵害客體進(jìn)行侵害程度的判斷時(shí),應(yīng)參照以下不同的判別基準(zhǔn):如果受侵害客體是公民、法人或其他組織的合法權(quán)益,則以本人或本單位的總體利益作為判斷侵害程度的基準(zhǔn);如果受侵害客體是社會(huì)秩序、公共利益或國(guó)家安全,則應(yīng)以整個(gè)行業(yè)或國(guó)家的總體利益作為判斷侵害程度的基準(zhǔn)。信息安全和系統(tǒng)服務(wù)安全被破壞后對(duì)客體的侵害程度,由對(duì)不同危害結(jié)果的危害程度進(jìn)行綜合評(píng)定得出。由于各行業(yè)信息系統(tǒng)所處理的信息種類和系統(tǒng)服務(wù)特點(diǎn)不相同,信息安全和系統(tǒng)服務(wù)安全受到破壞后關(guān)注的危害結(jié)果、危害程度的計(jì)算方式均可能不同,各行業(yè)可根據(jù)本行業(yè)信息特點(diǎn)和系統(tǒng)服務(wù)特點(diǎn),制定危害程度的綜合評(píng)定方法,并給出侵害不同客體造成損害、嚴(yán)重?fù)p害、特別嚴(yán)重?fù)p害的具體定義。.確定信息系統(tǒng)安全保護(hù)等級(jí)根據(jù)業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度,依據(jù)矩陣表,得到業(yè)務(wù)信息安全等級(jí)。根據(jù)系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度,依據(jù)矩陣表,得到系統(tǒng)服務(wù)安全等級(jí)。作為定級(jí)對(duì)象的信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)的較高者決定。定級(jí)對(duì)象等級(jí)確定后,參照《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)報(bào)告》模版起草定級(jí)報(bào)告。例如,假設(shè)ー個(gè)信息系統(tǒng)中，主要業(yè)務(wù)信息為A和B,主要服務(wù)有C和D,這四個(gè)對(duì)象受到損害后相關(guān)客體和對(duì)客體侵害程度如下表所示:最終確定:業(yè)務(wù)信息安全保護(hù)等級(jí)為3級(jí),系統(tǒng)服務(wù)安全保護(hù)等級(jí)為4級(jí),該定級(jí)對(duì)象信息系統(tǒng)的安全保護(hù)等級(jí)為4級(jí)。國(guó)泰專仝最終確定：業(yè)務(wù)信息安全保護(hù)等級(jí)為3級(jí),系統(tǒng)服務(wù)安全保護(hù)等級(jí)為4級(jí),ヤ信息系統(tǒng)的安全保護(hù)等級(jí)為4級(jí)。合法權(quán)益

特別嚴(yán)重?fù)p害2.等級(jí)變更信息系統(tǒng)是不斷變化的,例如信息系統(tǒng)內(nèi)所處理的業(yè)務(wù)信息有所增加和減少,業(yè)務(wù)覆蓋區(qū)域范圍擴(kuò)大或減少。如果這些變化因素影響到客體的改變或增多,或這些變化影響到對(duì)客體的侵害程度發(fā)生變化,則視為信息系統(tǒng)出現(xiàn)重大變更,需要重新核定信息系統(tǒng)的安全保護(hù)等級(jí)。等級(jí)變更過程與定級(jí)過程相同。（四）信息系統(tǒng)等級(jí)評(píng)審在信息系統(tǒng)安全保護(hù)等級(jí)確定過程中,等級(jí)保護(hù)工作組可以組織專家組對(duì)信息系統(tǒng)安全保護(hù)等級(jí)進(jìn)行評(píng)審。專家組對(duì)信息系統(tǒng)安全保護(hù)等級(jí)的確定進(jìn)行評(píng)審,國(guó)家專家評(píng)審委負(fù)責(zé)第四級(jí)以上信息系統(tǒng)等級(jí)評(píng)審。公安機(jī)關(guān)參加定級(jí)對(duì)象安全保護(hù)等級(jí)的評(píng)審。（五）信息系統(tǒng)等級(jí)的最終確定與審批信息系統(tǒng)運(yùn)營(yíng)使用單位應(yīng)參考專家定級(jí)評(píng)審意見,最終確定信息系統(tǒng)等級(jí)。如果意見不一致，由運(yùn)營(yíng)使用單位自主決定系統(tǒng)等級(jí);信息系統(tǒng)運(yùn)營(yíng)使用單位有上級(jí)主管部門的,應(yīng)當(dāng)經(jīng)上級(jí)主管部門對(duì)安全保護(hù)等級(jí)進(jìn)行審核批準(zhǔn)。社會(huì)秩序、公共利益

特別嚴(yán)重?fù)p害4合法權(quán)益嚴(yán)重?fù)p害2四、系統(tǒng)備案（一）備案《管理辦法》第十五條規(guī)定,已運(yùn)營(yíng)（運(yùn)行）的第二級(jí)以上信息系統(tǒng),應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi),由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。新建第二級(jí)以上信息系統(tǒng),應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi),由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位,其跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng),由主管部門向公安部辦理備案手續(xù)。跨省或者全國(guó)統(tǒng)ー聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng),應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案?！?備茉審核1、依據(jù)受理備案規(guī)定,公安網(wǎng)監(jiān)部門首先確認(rèn)是否應(yīng)當(dāng)受理備案單位的備案。如果不屬于本部門受理范圍,應(yīng)告知備案單位須到何處備案;如果屬于本部門受理范圍,則需要對(duì)接收的備案材料進(jìn)行審核,具體審核內(nèi)容是:(1)備案符合性審查:是否按照備案要求填寫相應(yīng)的表格和文檔并提供相應(yīng)電子文檔。(2)備案表完整性審查:備案表中內(nèi)容是否填寫完整,所要求的附件內(nèi)容是否齊全。(3)定級(jí)準(zhǔn)確性審查:提交備案的各個(gè)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)是否準(zhǔn)確。2、經(jīng)審查,符合等級(jí)保護(hù)要求的第二級(jí)以上信息系統(tǒng),應(yīng)當(dāng)在收到備案材料起的1〇個(gè)工作日內(nèi)向備案單位頒發(fā)信息系統(tǒng)安全保護(hù)等級(jí)備案證明。不符合等級(jí)保護(hù)要求的應(yīng)當(dāng)在10個(gè)工作日內(nèi)通知備案單位進(jìn)行整改,同時(shí)發(fā)放《信息系統(tǒng)安全等級(jí)保護(hù)備案審核結(jié)果回執(zhí)》及其附件,詳細(xì)告知不符合的理由。超過10個(gè)工作日仍不能審查完結(jié)的,經(jīng)上級(jí)公安網(wǎng)監(jiān)部門批準(zhǔn),最多可以再延長(zhǎng)10個(gè)工作日,并要書面通知備案單位。3、定級(jí)單位對(duì)公安機(jī)關(guān)審核其定級(jí)不準(zhǔn)、提出整改意見后不服的,公安機(jī)關(guān)應(yīng)建議定級(jí)單位重新組織專家進(jìn)行評(píng)審,有主管部門的報(bào)其主管部門審批同意。4、受理備案的公安網(wǎng)監(jiān)部門要加強(qiáng)備案管理。對(duì)于拒不備案的,要向運(yùn)營(yíng)使用單位發(fā)限期備案通知,逾期不備案的,要給予書面警告,并向其上級(jí)主管部門發(fā)情況通報(bào),建議對(duì)有關(guān)責(zé)任單位和責(zé)任人進(jìn)行處理。五、安全建設(shè)《信息安全等級(jí)保護(hù)管理辦法》第十一條規(guī)定,信息系統(tǒng)的安全保護(hù)等級(jí)確定后,運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照國(guó)家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),使用符合國(guó)家有關(guān)規(guī)定,滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品,開展信息系統(tǒng)安全建設(shè)和改建工作。信息系統(tǒng)安全建設(shè)由五個(gè)基本安全技術(shù)措施和五個(gè)基本安全管理措施來實(shí)現(xiàn)和保證。技術(shù)措施包括:物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù);管理措施包括:安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理?；景踩夹g(shù)措施主要包括以下幾方面:物理安全——主要是使存在計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備的機(jī)房以及信息系統(tǒng)的設(shè)備和存儲(chǔ)數(shù)據(jù)的介質(zhì)免受物理環(huán)境、自然災(zāi)害以及人為操作失誤和惡意操作等各種威脅所產(chǎn)生的攻擊。具體包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫度濕度控制、電カ供應(yīng)和電磁防火等十個(gè)控制點(diǎn)。網(wǎng)絡(luò)安全方面確定網(wǎng)絡(luò)設(shè)備的安全運(yùn)行,提供有效的網(wǎng)絡(luò)服務(wù),另ー方面,確保網(wǎng)上傳輸數(shù)據(jù)的保密性、完整性和可用性等。具體包括：結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)等七個(gè)控制點(diǎn)。主機(jī)安全ーー包括服務(wù)器、終端/工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)層面的安全。具體包括:身份鑒別、安全標(biāo)記、訪問控制、可信途徑、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范和資源控制等九個(gè)控制點(diǎn)。應(yīng)用安全——對(duì)應(yīng)用系統(tǒng)的安全保

護(hù)最終就是如何保護(hù)系統(tǒng)的各種業(yè)務(wù)應(yīng)用程序安全運(yùn)行。具體包括:身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)、資源控制等十一個(gè)控制點(diǎn)。數(shù)據(jù)安全及備份恢復(fù)——保證數(shù)據(jù)安全和備份恢復(fù)主要從:數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)等三個(gè)控制點(diǎn)考慮?；景踩芾泶胧┲饕ㄒ韵聨追矫?安全管理制度——包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動(dòng)的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。主要包括:管理制度、制定和發(fā)布、評(píng)審和修訂三個(gè)控制點(diǎn)。安全管理機(jī)構(gòu)——主要工作內(nèi)容包括對(duì)機(jī)構(gòu)內(nèi)重要的信息安全工作進(jìn)行授權(quán)和審批、內(nèi)部相關(guān)業(yè)務(wù)部門和安全管理部門之間的溝通協(xié)調(diào)以及與機(jī)構(gòu)外部各類單位的合作、定期對(duì)系統(tǒng)的安全措施落實(shí)情況進(jìn)行檢查,以發(fā)現(xiàn)問題進(jìn)行改進(jìn)。主要包括:崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作以及審核和檢查等五個(gè)控制點(diǎn)。人員安全管理——對(duì)人員安全的管理,主要涉及兩個(gè)方面:對(duì)內(nèi)部人員的安全管理和對(duì)外部人員的安全管理。

具體包括:人員錄用、人員離崗、人員考核、安全意識(shí)教育和培訓(xùn)和外部人員訪問管理等五個(gè)控制點(diǎn)。系統(tǒng)建設(shè)管理——分別從工程實(shí)施建設(shè)前、建設(shè)過程以及建設(shè)完畢交付等三方面考慮,具體包括:系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)測(cè)評(píng)和安全服務(wù)商等十一個(gè)控制點(diǎn)。系統(tǒng)運(yùn)維管理ーー主要包括:環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等十三個(gè)控制點(diǎn)。信息安全產(chǎn)品分等級(jí)使用管理《管理辦法》規(guī)定了第三級(jí)以上信息系統(tǒng)選擇使用的信息安全產(chǎn)品條件,信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門按照所列條件,對(duì)安全產(chǎn)品的可信性、可靠性進(jìn)行把關(guān)。公安機(jī)關(guān)對(duì)信息安全產(chǎn)品使用是否符合要求進(jìn)行監(jiān)督、檢查。六、等級(jí)測(cè)評(píng)《管理辦法》第十四條規(guī)定,信息系統(tǒng)建設(shè)完成后,運(yùn)營(yíng)、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測(cè)評(píng)機(jī)構(gòu),依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn),定期對(duì)信息系統(tǒng)安全等級(jí)開展等級(jí)測(cè)評(píng)。三級(jí)系統(tǒng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng),四級(jí)系統(tǒng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng),五級(jí)系統(tǒng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)。(-)信息系統(tǒng)安全等級(jí)保護(hù)基本要求《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(以下簡(jiǎn)稱《基本要求》)針對(duì)每個(gè)等級(jí)的信息系統(tǒng)提出相應(yīng)安全保護(hù)要求,是針對(duì)該等級(jí)的信息系統(tǒng)達(dá)到基本保護(hù)能力而提出來的。它是信息系統(tǒng)運(yùn)營(yíng)、使用單位或?qū)ｉT的安全評(píng)估機(jī)構(gòu)進(jìn)行等級(jí)檢測(cè)評(píng)估的標(biāo)準(zhǔn)依據(jù)。.《基本要求》框架結(jié)構(gòu)《基本要求》整體以三種分類為支撐點(diǎn),自上而下分別是類、控制點(diǎn)、項(xiàng)。技術(shù)要求分為5大類:物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全;管理要求分5大類:安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理?？刂泣c(diǎn)是每類下的關(guān)鍵點(diǎn),如“物理安全”類中“物理訪問控制”作為一個(gè)控制點(diǎn)。項(xiàng)是控制點(diǎn)下的具體要求,比如“機(jī)房出入應(yīng)有專人負(fù)責(zé),進(jìn)行登記在案”。.不同等級(jí)的安全保護(hù)能力信息系統(tǒng)的安全保護(hù)能力包括對(duì)抗能力和恢復(fù)能カ。不同級(jí)別的信息系統(tǒng)應(yīng)具備相應(yīng)等級(jí)的安全保護(hù)能カ。不同等級(jí)信息系統(tǒng)所具有的保護(hù)能力如下:（1）ー級(jí)安全保護(hù)能力:應(yīng)具有能夠?qū)箒碜詡€(gè)人的、擁有很少資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度弱、持續(xù)時(shí)間很短、系統(tǒng)局部范圍等）以及其他相當(dāng)危害程度威脅的能力,并在威脅發(fā)生后,能夠恢復(fù)部分功能。（2）二級(jí)安全保護(hù)能力:應(yīng)具有能夠?qū)箒碜孕⌒徒M織的（如兩三人）、擁有少量資源的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難以及其他相當(dāng)危害程度（無意失誤、設(shè)備故障等）威脅的能力,并在威脅發(fā)生后,能夠在一段時(shí)間內(nèi)恢復(fù)部分功能。（3）三級(jí)安全保護(hù)能力:應(yīng)具有能夠?qū)箒碜源笮偷?、有組織的團(tuán)體（如一個(gè)商業(yè)情報(bào)組織）,擁有較為豐富資源（包括人員能力、計(jì)算能力）的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度較大、持續(xù)時(shí)間較長(zhǎng)、覆蓋范圍較廣等）以及其他相當(dāng)危害程度（內(nèi)部人員的惡意威脅、設(shè)備的較嚴(yán)重故障等）威脅的能力,并在威脅發(fā)生后,能夠較快恢復(fù)絕大部分功能。（4）四級(jí)安全保護(hù)能力:應(yīng)具有能夠?qū)箒碜詳硨?duì)組組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度大、持續(xù)時(shí)間長(zhǎng)、覆蓋范圍廣（多地區(qū)性）等）以及其他相當(dāng)危害程度（內(nèi)部人員的惡意威脅、設(shè)備的嚴(yán)重故障等）威脅的能力,并在威脅發(fā)生后,能夠迅速恢復(fù)所有功能。3.《基本要求》逐級(jí)增強(qiáng)的特點(diǎn)不同等級(jí)的信息系統(tǒng)安全保護(hù)能力不同,安全要求也不同,宏觀上看,各個(gè)級(jí)別的安全要求逐級(jí)增強(qiáng),主要體現(xiàn)在三個(gè)方面:控制點(diǎn)增加、控制點(diǎn)的要求項(xiàng)目增加、要求項(xiàng)的強(qiáng)度增加?？刂泣c(diǎn)增加:比如二級(jí)基本要求比ー級(jí)增加了安全審計(jì),三級(jí)要求增加強(qiáng)制訪問控制。要求項(xiàng)目增加:如二級(jí)要求身份鑒別要求標(biāo)識(shí)唯一性,密碼復(fù)雜性,三級(jí)則要求有兩種或以上組合鑒別技術(shù)進(jìn)行用戶身份鑒別。要求項(xiàng)強(qiáng)度增加:如物理安全防靜電,二級(jí)要求關(guān)鍵設(shè)備必須接地,三級(jí)要求主要設(shè)備都要進(jìn)行接地