信息安全等级保护.docx

信息安全等级保护 This manuscript was revised by JIEK MA on December 15th. 2012. 信息安全等级保护 信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作， 在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护 广义上为涉及到该匸作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭 义上称为的一般指信息系统安全等级保护，是指对国家安全、法人和其他组织及公民的专 有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信 息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级 响应、处置的综合性工作。 国家通过制定统?的信息安全等级保护管理规范和技术标准.蛆织公民、法人和其他组织对信息系统分 等级实行安全保护，对等级保护匸作的实施进行监督、管理。 公安机关负责信息安全等级保护工作的监督、检査、指导。国家必威体育官网网址工作部门负责等 级保护工作中有关必威体育官网网址工作的监督、检查、指导。国家密码管理部门负责等级保护工作中 有关密码工作的监督、检査、指导。涉及其他职能部门管辖范围的事项，由有关职能部门 依照国家法律法规的规定进行管理。国务院信息化」:作办公室及地方信息化领导小组办事 机构负责等级保护工作的部门间协调。 信息安全等级保护工作内容 信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息 安全检査五个阶段。如图1所示为具体流程。 系统定级。信息系统运营使用单位按照《信 皂痣纬信息方令箸猊便护中奶指南》.确定 系统备案。已运行的系统在安全保护等级确 定后30日蚪皿所在地 颁发证书。公安机关颁发系统等级保护备案 分析安全需求。对照等作有关规企和标淮分析系饪々全律讶括改需求.可委托安全服务机构、 等保技术支持单位分析C建设整改。根据需求制订建设整改方案，按 S风险评佔等方法分  提交报告。系统运营、使用单位向地级以上市公安机关报测评报告。项目验收文档中也 国家安全、经济建信息安全保护国家信息安全合*公民、法人和其他组织的合法权益的危害程度溯素确定。不合格 国家安全、经济建 信息安全保护 国家信息安全 合* 公民、法人和其他组织的合法权益的危害程度溯素确定。 不合格 统的安全保护等级应当根据信息系统在 到破坏后对国家安全、社会秩序、公共利益以及 《信息安全等级保护信息安全等级保护管理办法》规定：信息系统的安全保护等级分为以下五 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但 不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损 害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家 安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对 国家安全造成严車损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 计算机信息系统安全保护等级划分： 第一级：用户自主保护级 第二级：系统审计保护级 第三级：安全标记保护级 第四级：结构化保护级 第五级：访问验证保护级 信息安全等级保护测评基本概念 信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。 等级测评工作 等级测评工作是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范 和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检測评估的活动。 通过信息安全等级评测机构对已完成的等级保护建设的信息系统定期进行等级测评， 确保信息系统的安全保护措施符合相应等级的安全要求。 等级测评机构 等级测评机构是指具备本规范的基本条件，经能力评佔和审核，由省级以上信息安全 等级保护工作协调小组办公室（等保办）推荐，从事等级测评工作的机构。 等级保护测评的执行主体应当是具有相关资质的、独立的测评服务机构。 只有独立的第三方，才能保证测评工作的客观性和公正性。 开展等级保护测评机构通常符合GB/T15481,通过计量认证和实验室认可。 通过检査机构认可。 等级保护测评流程 1） 资料审査阶段：对被测用戸提交的申请，进行文档的形式化审査，确认符合测评要求。 2） 核查测试阶段：用户进行充分沟通，指定测评计划和测试方案，并实施现场测评，形成 测评记录。 3） 综合评估阶段：整理测评数据，对用户资料和测评结果进行综合分析，形成测评报告。 召开专家委员会，对测评报告进行评审，最后由测评中心领导批准，出具等级保护测评报 告。 具体流程如图2所示。 图2 测评准备活动 測评准备活动的主要任务包括：项廿启动、信息收集和分