信息安全等级保护介绍(银行培训).pdf

信息安全等级保护 信息安全等级保护概念 • 信息安全等级保护是指对国家秘密信息、法人和其他组织 及公民的专有信息及公开信以及存储、传输、处理这些信 息的信息系统分等级实行保护，对信息系统中使用的信息 安全产品实行按等级管理，对信息系统中发生的信息安全 事件分等级响应、处置。 • 信息系统安全等级保护是国家信息安全保障的基本制度、 基本策略、基本方法。 • 开展信息安全等级保护工作是保护信息化发展、维护国家 信息安全的根本保障，是信息安全保障工作中国家意志的 体现。 信息安全等级保护工作的主要内容 分等级保护、分等级监管： 将信息系统（包括网络）按照重要性和遭受损坏后的 危害性分成五个安全保护等级（从第一级到第五级， 逐级增高）； 等级确定后，第二级（含）以上信息系统到公安机关 备案，公安机关审核后颁发备案证明； 备案单位选择符合国家规定条件的测评机构开展等级 测评，根据信息系统安全等级，按照国家政策、标准 开展安全建设整改； 公安机关对第二级信息系统进行指导，对第三、四级 信息系统定期开展监督、检查。 等级保护主要环节 安全服务商 信息安全监管 主管部门 运营使用单位 安全评估机构 职能部门 定级、备案 建设整改 等级测评 监督检查 技术标准 管理规范 等级 保护 法律 政策 体系 等级保护法律政策体系 依据： 1. 《中华人民共和国计算机信息系统安全保护条例 》 （国务院147号令）：“计算机信息系统实行安全 等级保护，安全等级的划分标准和安全等级保护 的具体办法，由公安部会同有关部门制定” 。 2. 《国家信息化领导小组关于加强信息安全保障工 作的意见》 （中办发[2003]27号）：要重点保护 基础信息网络和关系国家安全、经济命脉、社会 稳定等方面的重要信息系统，抓紧建立信息安全 等级保护制度，制定信息安全等级保护的管理办 法和技术指南。” 等级保护法律政策体系 主要政策文件: 1、 《关于信息安全等级保护工作的实施意见》 （公通字 [2004]66号） 2、 《信息安全等级保护管理办法》 （公通字[2007]43号） 3、 《关于开展全国重要信息系统安全等级保护定级工作的 通知》 （公通字[2007]861号） 4、 《信息安全等级保护备案实施细则》 （公信安 [2007]1360号） 5、 《关于开展信息系统等级保护安全建设整改工作的指导 意见》 （公信安[2009]1429号） 6、 《关于做好信息安全等级保护测评机构审核推荐工作的 通知》 （公信安[2010]559号） 等级保护法律政策体系 7、 《关于加强国家电子政务工程建设项目信息安全风险评 估工作的通知》 （发改高技[2008]2071号） 8、 《关于推动信息安全等级保护测评体系建设和开展等级 测评工作的通知》 （公信安[2010]303号）。 9、 《关于印发 〈信息系统安全等级测评报告模版（试行）〉 的通知》 （公信安[2009]1487号） 10、 《公安机关信息安全等级保护检查工作规范》 （公信安 [2008]736号 ） 11、 《关于开展信息安全等级保护专项监督检查工作的通知》 （公信安[2010]1175号） 12、 《关于进一步推进中央企业信息安全等级保护工作的通 知》 （公通字[2010]70号） 等级保护基本原则 信息系统运营、使用单位及其主管部门按照国家相关