国家等级保护政策标准-解读.pdf

国家等级保护政策标准-解读--第1页

国家等级保护政策标准解读

（一）概述

信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和

基本方法，是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本

保障。国务院147号令及中办发[2003]27号文等文件明确规定，要实行信息

安全等级保护，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等

方面的重要信息系统。

国家等级保护政策标准-解读--第1页

国家等级保护政策标准-解读--第2页

建立和落实信息安全等级保护制度是形势所迫、国情所需。我国信息安全

保障工作要求坚持“积极防御、综合防范”的方针，全面提高信息安全防护能力。

等级保护工作的具体环节分为“定级、备案、系统建设整改、开展等级测评、信

息安全监管部门定期开展监督检查”五步骤。

国家等级保护政策标准-解读--第2页

国家等级保护政策标准-解读--第3页

等级保护工作中各环节用到的主要标准包括：《计算机信息系统安全保护

等级划分准则》、《信息系统安全等级保护实施指南》、《信息系统安全保护等

级定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护

测评过程指南》。

国家等级保护政策标准-解读--第3页

国家等级保护政策标准-解读--第4页

等级保护相关标准与等级保护各工作环节的关系如下：

国家等级保护政策标准-解读--第4页

国家等级保护政策标准-解读--第5页

（二）信息安全等级保护实施指南

《信息系统安全等级保护实施指南》（GB/T25058-2010）介绍和描述了

实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动，通过对过程

和活动的介绍，使大家了解对信息系统实施等级保护的流程方法，以及不同的角

色在不同阶段的作用等。

国家等级保护政策标准-解读--第5页

国家等级保护政策标准-解读--第6页

信息系统全生命周期分为“信息系统定级、总体安全规划、安全设计与实

施、安全运行维护、信息系统终止”等五个阶段。

在安全运行与维护阶段，信息系统因需求变化等原因导致局部调整，而系

统的安全保护等级并未改变，应从安全运行与维护阶段进入安全设计与实施阶

段，重新设计、调整和实施安全措施，确保满足等级保护的要求。但是信息系统

发生重大变更导致信息系统等级变化是，应从安全运行维护阶段进入信息系统定

级阶段，重新开始一轮信息安全等级保护的实施过程。

2.1信息系统定级

定级备案是信息安全等级保护的首要环节。信息系统定级工作应按照“自

主定级、专家评审、主管部门审批、公安机关审核”的原则进行。在等级保护工

国家等级保护政策标准-解读--第6页

国家等级保护政策标准-解读--第7页

作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”

的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。

2.1.1定级

定级工作的主要内容包括：确定定级对象、确定信息系统安全保护等级、

组织专家评审、主管部门审批、公安机关审核，具体可按照《关于开展全国重要

信息系统安全等级保护定级工作的通知》要求执行。

等级的确定是不依赖于安全保护措施的，具有一定的“客观性”，即该系

统在存在之初便由其自身所实现的使命决定了它的安全保护等级，而非由“后天”

的安全保护措施决定。不同级别的信息系统应具备相应级别的安全保护能力。

国家等级保护政策标准-解读--第7页

国家等级保护政策标准-解读--第8页

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生

活中的重要程度，遭到破坏后对国家安全、社会秩序