信息系統(tǒng)安全等級保護(hù)

信息系統(tǒng)安全等級保護(hù)內(nèi)容等級保護(hù)簡介等級保護(hù)定級與備案等級保護(hù)解決方案等級保護(hù)測評什么是等級保護(hù)信息安全等級保護(hù)是指：對國家秘密信息、法人和其他組織及公民的專有信息、公開信息分類分級進(jìn)行管理和保護(hù)；根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實(shí)際安全需求，實(shí)行分級、分類、分階段實(shí)施保護(hù)，保障信息安全和系統(tǒng)安全正常運(yùn)行，維護(hù)國家利益、公共利益和社會穩(wěn)定。等級保護(hù)的核心是對信息系統(tǒng)特別是對業(yè)務(wù)應(yīng)用系統(tǒng)安全分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。國家對信息安全等級保護(hù)工作運(yùn)用法律和技術(shù)規(guī)范逐級加強(qiáng)監(jiān)管力度。突出重點(diǎn)，保障重要信息資源和重要信息系統(tǒng)的安全。國家對信息安全保障的政策演變《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)（2003）27號文）等級保護(hù)系列標(biāo)準(zhǔn)規(guī)范《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作通知》（公信安【2007】861號）《信息系統(tǒng)安全保護(hù)等級保護(hù)定級指南》《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（200466號）《信息安全等級保護(hù)管理辦法》（200743號）《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》《信息系統(tǒng)安全等級保護(hù)基本要求》《信息系統(tǒng)安全等級保護(hù)測評要求》《信息系統(tǒng)安全等級保護(hù)監(jiān)督檢查要求》分級保護(hù)系列標(biāo)準(zhǔn)規(guī)范《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)分級保護(hù)技術(shù)要求》BMB17-2006《涉及國家秘密計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南》BMB23-2008《涉及國家秘密計(jì)算機(jī)信息系統(tǒng)分級保護(hù)管理規(guī)范》BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護(hù)測評指南》BMB22—2007《涉及國家秘密計(jì)算機(jī)信息系統(tǒng)分級保護(hù)管理辦法》國家保密局16號非涉密信息系統(tǒng)安全保障建設(shè)指南涉密信息系統(tǒng)安全保障建設(shè)指南等級保護(hù)標(biāo)準(zhǔn)規(guī)范等級保護(hù)的主要工作流程自主定級和審批評審備案系統(tǒng)建設(shè)等級測評監(jiān)督檢查信息系統(tǒng)運(yùn)營使用單位按照等級保護(hù)管理辦法和《信息系統(tǒng)安全等級保護(hù)定級指南》，確定信息系統(tǒng)的安全保護(hù)等級。有上級主管部門的，應(yīng)當(dāng)經(jīng)上級主管部門審核批準(zhǔn)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護(hù)等級。在信息系統(tǒng)確定安全保護(hù)等級過程中，可以進(jìn)行必要的業(yè)務(wù)和技術(shù)評估，組織專家進(jìn)行咨詢評審。對擬確定為第四級以上的信息系統(tǒng)的運(yùn)營、使用單位或主管部門應(yīng)當(dāng)邀請國家信息安全等級保護(hù)專家評審委員會評審。第二級以上信息系統(tǒng)由其運(yùn)營使用單位到所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機(jī)關(guān)備案。信息系統(tǒng)的安全保護(hù)等級確定后，運(yùn)營使用單位應(yīng)當(dāng)按照國家信息安全等級保護(hù)管理規(guī)范和劃分準(zhǔn)則、基本要求、操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)、服務(wù)器、終端等技術(shù)要求，使用符合本系統(tǒng)安全保護(hù)等級要求的信息安全產(chǎn)品，同步建設(shè)符合本系統(tǒng)安全保護(hù)等級要求的信息安全設(shè)施。運(yùn)營使用單位應(yīng)當(dāng)按照安全管理要求、安全工程管理要求等管理規(guī)范，建立安全組織，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級的安全管理制度。信息系統(tǒng)建設(shè)完成后，運(yùn)營使用單位應(yīng)當(dāng)選擇符合本系統(tǒng)安全保護(hù)等級要求的檢測機(jī)構(gòu)，依據(jù)《信息系統(tǒng)安全等級保護(hù)測評指南》等技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)安全等級狀況開展技術(shù)評測。三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評；四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評；五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對第三級、第四級信息系統(tǒng)的運(yùn)營、使用單位的信息安全等級保護(hù)工作情況進(jìn)行檢查。三級信息系統(tǒng)每年至少檢查一次，四級信息系統(tǒng)每半年至少檢查一次。對跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會同其主管部門進(jìn)行。內(nèi)容等級保護(hù)簡介等級保護(hù)定級與備案等級保護(hù)解決方案等級保護(hù)測評安全保護(hù)等級的劃分

1）用戶自主保護(hù)級公民、法人和其它組織的合法權(quán)益：損害，國家安全、社會秩序和公共利益：不損害2）系統(tǒng)審計(jì)保護(hù)級公民、法人和其它組織的合法權(quán)益：損害，社會秩序和公共利益：損害，國家安全：不損害3）安全標(biāo)記保護(hù)級社會秩序和公共利益：嚴(yán)重?fù)p害，國家安全：損害4）結(jié)構(gòu)化保護(hù)級社會秩序和公共利益：特別嚴(yán)重?fù)p害，國家安全：嚴(yán)重?fù)p害5）訪問驗(yàn)證保護(hù)級國家安全：特別嚴(yán)重?fù)p害定級要素與等級的關(guān)系

受侵害的客體對客體的侵害程度一般損害

嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級確定等級流程

業(yè)務(wù)信息安全保護(hù)等級矩陣表系統(tǒng)服務(wù)安全保護(hù)等級矩陣表系統(tǒng)安全保護(hù)等級矩陣表確定定級對象：

具有唯一確定的安全責(zé)任單位；滿足信息系統(tǒng)的基本要素；承載相對獨(dú)立的業(yè)務(wù)應(yīng)用等級保護(hù)要求的組合安全保護(hù)等級定級參考

1）一級，小型私營、個體企業(yè)、中小學(xué)，鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)，縣級單位一般的信息系統(tǒng)2）二級，縣級某些單位重要信息系統(tǒng)；地市級以上國家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般信息系統(tǒng)（例如非涉及工作、商業(yè)秘密，敏感信息的辦公系統(tǒng)和管理系統(tǒng)）3）三級，地市級以上國家機(jī)關(guān)、企事業(yè)單位內(nèi)部重要信息系統(tǒng)（例如涉及工作、商業(yè)秘密，敏感信息的辦公系統(tǒng)和管理系統(tǒng)）?？缡』蛉珖?lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、控制等方面的重要系統(tǒng)及在省、地市的分支系統(tǒng)；中央各部委、?。▍^(qū)、市）門戶網(wǎng)站和重要網(wǎng)站4）四級，國家重要領(lǐng)域、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)，電力、電信、廣電、稅務(wù)等5）五級，國家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)系統(tǒng)定級和備案流程

系統(tǒng)定級定級報(bào)告?zhèn)浒副砥渌牧蠈＜以u審專家評審系統(tǒng)定級專家建議申報(bào)網(wǎng)安提交申報(bào)材料網(wǎng)安審核10工作日內(nèi)網(wǎng)安完成審核領(lǐng)取備案書領(lǐng)取備案書準(zhǔn)備等級測評系統(tǒng)備案

系統(tǒng)備案14需要準(zhǔn)備的材料2級《信息系統(tǒng)安全等級保護(hù)備案表》《信息系統(tǒng)安全等級保護(hù)定級報(bào)告》《網(wǎng)絡(luò)與信息安全承諾書》《XX單位信息系統(tǒng)等級保護(hù)聯(lián)系表》工商營業(yè)執(zhí)照(或執(zhí)業(yè)許可證、事業(yè)單位證書、非盈利性機(jī)構(gòu)證書等許可證明)+法人代表身份證+組織機(jī)構(gòu)代碼證（如三證合一，省略）3級《信息系統(tǒng)安全等級保護(hù)備案表》《信息系統(tǒng)安全等級保護(hù)定級報(bào)告》《網(wǎng)絡(luò)與信息安全承諾書》《XX單位信息系統(tǒng)等級保護(hù)聯(lián)系表》工商營業(yè)執(zhí)照+法人代表身份證+組織機(jī)構(gòu)代碼證（如三證合一，省略）《信息系統(tǒng)安全等級保護(hù)備案表》表四涉及的材料掃描件系統(tǒng)備案信息系統(tǒng)安全等級保護(hù)備案表》表四涉及的材料掃描件：系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明系統(tǒng)安全組織機(jī)構(gòu)及管理制度系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或改建實(shí)施方案系統(tǒng)使用的安全產(chǎn)品清單及認(rèn)證、銷售許可證明系統(tǒng)等級測評報(bào)告專家評審情況上級主管部門審批意見內(nèi)容等級保護(hù)簡介等級保護(hù)定級與備案等級保護(hù)解決方案等級保護(hù)測評安全保障體系模型安全等級保護(hù)技術(shù)安全要求管理安全要求差距分析

等級保護(hù)差距分析以信息系統(tǒng)為單位以基本要求為依據(jù)業(yè)務(wù)信息與系統(tǒng)服務(wù)關(guān)聯(lián)分析根據(jù)系統(tǒng)所確定的安全等級從《基本要求》中選擇相應(yīng)等級的基本安全需求根據(jù)系統(tǒng)所面臨的威脅特點(diǎn)調(diào)整安全要求，去掉不適用項(xiàng)基本要求中某些地方的安全措施不能滿足本單位信息系統(tǒng)的保護(hù)要求；沒有提供所需要的保護(hù)措施對比信息系統(tǒng)現(xiàn)狀和安全要求之間的差距，確定不滿足要求的安全項(xiàng)1、確定信息系統(tǒng)的基本安全需求2、選擇調(diào)整基本安全需求3、明確特殊安全需求4、根據(jù)各項(xiàng)安全要求進(jìn)行逐項(xiàng)分析確定不符合安全項(xiàng)現(xiàn)狀梳理明確安全建設(shè)需求123等級保護(hù)設(shè)計(jì)方案安全技術(shù)體系設(shè)計(jì)物理安全設(shè)計(jì)網(wǎng)絡(luò)安全設(shè)計(jì)主機(jī)安全設(shè)計(jì)應(yīng)用安全設(shè)計(jì)數(shù)據(jù)安全設(shè)計(jì)安全管理設(shè)計(jì)安全管理體系設(shè)計(jì)安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理安全服務(wù)保障設(shè)計(jì)風(fēng)險(xiǎn)評估安全加固安全巡檢應(yīng)急響應(yīng)安全培訓(xùn)等級保護(hù)設(shè)計(jì)安全的網(wǎng)絡(luò)結(jié)構(gòu)安全的邊界防護(hù)安全的計(jì)算環(huán)境網(wǎng)絡(luò)和基礎(chǔ)設(shè)施保護(hù)1關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固2采用雙核心設(shè)計(jì)，確保網(wǎng)絡(luò)的容錯能力；并通過核心交換機(jī)執(zhí)行QOS，保障關(guān)鍵應(yīng)用的資源3配置網(wǎng)絡(luò)設(shè)備的日志審計(jì)，并通過統(tǒng)一的網(wǎng)絡(luò)日志審計(jì)平臺實(shí)現(xiàn)集中記錄，同時也作為安全管理平臺的分析依據(jù)。區(qū)域邊界保護(hù)區(qū)域邊界保護(hù)保護(hù)計(jì)算環(huán)境保護(hù)計(jì)算環(huán)境實(shí)現(xiàn)集中安全管理

落實(shí)安全管理措施三級系統(tǒng)安全管理措施建立全面的安全管理制度，并安排專人負(fù)責(zé)并監(jiān)控執(zhí)行情況；建立全面的人員管理體系，制定嚴(yán)格的考核標(biāo)準(zhǔn)建設(shè)過程的各項(xiàng)活動都要求進(jìn)行制度化規(guī)范，按照制度要求進(jìn)行活動的開展實(shí)現(xiàn)嚴(yán)格的保密性管理成立安全運(yùn)維小組，對安全維護(hù)的責(zé)任落實(shí)到具體的人引入第三方專業(yè)安全服務(wù)內(nèi)容等級保護(hù)簡介等級保護(hù)定級與備案等級保護(hù)解決方案等級保護(hù)測評測評依據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號令）《信息安全等級保護(hù)管理辦法》（公通字[2007]43號）GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》GB/T28448-2012《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》GB/T28449-2012《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南》《信息安全等級保護(hù)測評報(bào)告模版（2015年版）》（公信安[2014]2866號）《信息系統(tǒng)安全等級測評合同》測評方法測評過程測評準(zhǔn)備信息收集工具和表單方案編制確定對象和指標(biāo)開發(fā)指導(dǎo)書現(xiàn)場測評測評實(shí)施結(jié)果記錄問題確認(rèn)問題驗(yàn)證整改后驗(yàn)證報(bào)告編制整體測評風(fēng)險(xiǎn)分析需配合事項(xiàng)備份測評開始前請?zhí)崆皞浞葜匾獢?shù)據(jù)、程序、配置文件等，保證測評完成后能夠恢復(fù)系統(tǒng)的正常運(yùn)行測評過程測評過程中需要相應(yīng)方面的管理/技術(shù)人員全程配合，為避免不必要的風(fēng)險(xiǎn)，請配合人員親自操作，協(xié)助完成測評人員對設(shè)備相關(guān)安全配置的檢查和采集物理安全