等級保護(hù)政策與標(biāo)準(zhǔn)體系

等級保護(hù)政策與標(biāo)準(zhǔn)體系胡斌1培訓(xùn)議程信息安全等級保護(hù)概述1等級保護(hù)政策和標(biāo)準(zhǔn)體系介紹2等級保護(hù)主要政策和標(biāo)準(zhǔn)介紹342什么是信息安全等級保護(hù)《信息安全等級保護(hù)管理辦法》指出信息安全等級保護(hù)是以信息為核心的、根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度；遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度；針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達(dá)到的基本的安全保護(hù)水平等因素，對最核心的信息和信息系統(tǒng)劃分為五個安全保護(hù)和監(jiān)管等級，實(shí)行分級保護(hù)。3為什么實(shí)行等級保護(hù)實(shí)施信息安全等級保護(hù)，可以有效地提高我國信息安全建設(shè)的整體水平；有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施，保障信息安全與信息化建設(shè)相協(xié)調(diào)；有利于加強(qiáng)對涉及國家安全、經(jīng)濟(jì)秩序、社會穩(wěn)定和公共利益的信息系統(tǒng)的安全保護(hù)和管理監(jiān)督；有利于明確國家、法人和其他組織、公民的安全責(zé)任，強(qiáng)化政府監(jiān)管職能，共同落實(shí)各項安全建設(shè)和安全管理措施；有利于提高安全保護(hù)的科學(xué)性、整體性、針對性，推動信息安全產(chǎn)業(yè)水平，逐步探索一條適應(yīng)社會主義市場經(jīng)濟(jì)發(fā)展的信息安全發(fā)展模式。4國家戰(zhàn)略國家強(qiáng)制實(shí)施信息安全等級保護(hù)制度的原因：維護(hù)國家安全的需要：基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)已經(jīng)成為國家的關(guān)鍵基礎(chǔ)設(shè)施；信息安全是國家安全的重要組成部分；信息安全形勢嚴(yán)峻：敵對勢力的入侵、攻擊、破壞；針對基礎(chǔ)信息網(wǎng)絡(luò)

和重要信息系統(tǒng)的

違法犯罪持續(xù)上升；

基礎(chǔ)信息網(wǎng)絡(luò)和重

要信息系統(tǒng)安全隱

患嚴(yán)重；5信息安全是國家安全的重要組成隨著信息化建設(shè)的深入發(fā)展，網(wǎng)絡(luò)和信息系統(tǒng)已成為承載國家運(yùn)轉(zhuǎn)、社會運(yùn)行的重要基礎(chǔ)設(shè)施；信息網(wǎng)絡(luò)已成為我們?nèi)粘９ぷ骱蜕钪斜夭豢缮俚闹匾M成部分；一些關(guān)乎國計民生的重點(diǎn)行業(yè)，如金融、證券、電力、水利、運(yùn)營商、民航、鐵路、黨政機(jī)關(guān)、企業(yè)等的生產(chǎn)經(jīng)營、指揮調(diào)度等工作已經(jīng)高度依賴信息網(wǎng)絡(luò)；6信息安全是國家安全的重要組成十八大報告指出“貫徹新時期積極防御軍事戰(zhàn)略方針，與時俱進(jìn)加強(qiáng)軍事戰(zhàn)略指導(dǎo)，高度關(guān)注海洋、太空、網(wǎng)絡(luò)空間安全......”。說明網(wǎng)絡(luò)空間安全已經(jīng)成為繼陸、海、空、太空之后的第五大國家安全；習(xí)近平總書記指出：“沒有網(wǎng)絡(luò)安全，就沒有國家安全”；我國信息網(wǎng)絡(luò)安全面臨的形勢非常嚴(yán)峻和復(fù)雜。

7西方大國的戰(zhàn)略威脅美國等西方國家不斷推出網(wǎng)絡(luò)空間國際戰(zhàn)略和行動戰(zhàn)略，并將其作為在網(wǎng)絡(luò)空間的行動指南和國際宣言，謀求網(wǎng)絡(luò)空間主導(dǎo)權(quán)、控制權(quán)、話語權(quán)甚至霸權(quán)，全面加強(qiáng)對我網(wǎng)絡(luò)遏制策略，對未來網(wǎng)絡(luò)空間的戰(zhàn)略格局影響深遠(yuǎn)；美國加緊網(wǎng)絡(luò)備戰(zhàn)，將分批組建40支網(wǎng)絡(luò)作戰(zhàn)部隊，公布了包括電腦病毒在內(nèi)的網(wǎng)絡(luò)武器和工具清單。美從指揮體系、作戰(zhàn)隊伍以及網(wǎng)絡(luò)戰(zhàn)武器等方面已構(gòu)建完備，隨時可以發(fā)動網(wǎng)絡(luò)戰(zhàn)；8西方大國的戰(zhàn)略威脅炒作中國黑客攻擊，起訴中國61398部隊5名軍人，為對其實(shí)施攻擊尋找借口，成為我國網(wǎng)絡(luò)安全最主要的威脅；目前全球已有46個國家組建了網(wǎng)絡(luò)戰(zhàn)部隊：英國已研發(fā)了用于網(wǎng)絡(luò)戰(zhàn)的武器并加入武器庫；俄羅斯組建網(wǎng)絡(luò)作戰(zhàn)隊伍、研發(fā)進(jìn)攻性網(wǎng)絡(luò)武器、在全球構(gòu)建大規(guī)模僵尸網(wǎng)絡(luò)，以色列-批準(zhǔn)耗資3.2億美元的網(wǎng)絡(luò)戰(zhàn)計劃...；美國政府、軍方、智庫、安全企業(yè)和媒體將美受到的網(wǎng)絡(luò)攻擊、入侵竊密等強(qiáng)加至中國黑客，將中國塑造為美國網(wǎng)絡(luò)安全面臨的頭號敵人；9西方大國的戰(zhàn)略威脅日本、越南、菲律賓等國與我國存在領(lǐng)土、領(lǐng)海爭端，美不斷助長日、越、菲等國與我制造緊張局面，一旦發(fā)生突發(fā)事件，極易發(fā)生大規(guī)模網(wǎng)絡(luò)攻擊；從媒體連續(xù)披露的“棱鏡”項目等多個政府情報監(jiān)聽計劃中，可以看到中國已經(jīng)成為美網(wǎng)絡(luò)監(jiān)聽和攻擊的主要目標(biāo)。10敵對勢力和黑客組織的威脅近年來藏獨(dú)、疆獨(dú)、法輪功等敵對勢力、敵對組織，通過互聯(lián)網(wǎng)對我政府網(wǎng)站、基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)和國家網(wǎng)絡(luò)關(guān)防等進(jìn)行入侵攻擊、控制和突破?！胺垂埠诳吐?lián)盟”自2012年5月起，每3天攻擊一個我政府網(wǎng)站，篡改網(wǎng)頁張貼反共標(biāo)語，謾罵和組織“推翻”我黨。11敵對勢力和黑客組織的威脅今年2月土耳其極端組織連續(xù)攻擊了我國10個網(wǎng)站，并上傳了大量涉及新疆“7.5”事件的恐怖視頻和照片。昆明“3.01”暴恐事件發(fā)生后，該組織在其網(wǎng)站登載了相關(guān)新聞并表示支持恐怖活動，3月2日攻擊了我596個網(wǎng)站?！澳涿摺焙诳徒M織在全球擁有60萬成員，該組織號召力極強(qiáng)，具備實(shí)施大規(guī)模網(wǎng)絡(luò)攻擊的能力，曾多次攻擊我政府網(wǎng)站和重要系統(tǒng)。12省內(nèi)多家重要網(wǎng)站遭攻擊、篡改13互聯(lián)網(wǎng)的快速發(fā)展帶來的挑戰(zhàn)2013年，我國互聯(lián)網(wǎng)飛速發(fā)展，網(wǎng)站總數(shù)370萬個，網(wǎng)民規(guī)模突破6億，手機(jī)網(wǎng)民占80%，手機(jī)用戶超過12億，信息消費(fèi)達(dá)到2.2萬億，電子商務(wù)交易規(guī)模突破10萬億。病毒、木馬等惡意程序激增，危害范圍更廣、速度更快：2013年二季度比一季度，發(fā)現(xiàn)新增惡意程序樣本就達(dá)到5.27億個,同比增長12.5%,環(huán)比增長32.4%，惡意程序樣本量的快速增長態(tài)勢令人擔(dān)憂。同時，利用“火焰、高斯、紅色十號病毒等實(shí)施的高級、可持續(xù)攻擊活動更為頻繁。14互聯(lián)網(wǎng)的快速發(fā)展帶來的挑戰(zhàn)境外約有7.3萬個木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器控制了我國境內(nèi)1400余萬臺主機(jī)，新增安全漏洞應(yīng)接不暇，安全隱患嚴(yán)重：2012年，國家信息安全漏洞共享平臺共收集安全漏洞6824個，較2011年增長了23%，每月新增漏洞數(shù)量平均超過550個，其中高危漏洞2440個，較2011年增長了12.8%。15網(wǎng)絡(luò)違法犯罪活動帶來的影響一些傳統(tǒng)的犯罪類型也更多地利用和針對互聯(lián)網(wǎng)實(shí)施，網(wǎng)絡(luò)竊密、網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)詐騙、網(wǎng)上盜竊等違法犯罪活動日益猖獗。不法分子利用各種手段竊取、販賣公民個人信息，從事各種違法犯罪活動，被竊取販賣或泄漏的信息涉及金融、電信、公安、交通、教育、醫(yī)療、國土、工商、房產(chǎn)、物業(yè)、保險、快遞等重要部門和行業(yè)。

16網(wǎng)絡(luò)新技術(shù)新應(yīng)用帶來新挑戰(zhàn)基于IPv6下一代互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)等新技術(shù)正在加快應(yīng)用到電力、石油、交通等重要行業(yè)，逐步實(shí)現(xiàn)“智能電網(wǎng)”、“智能油田”和“智慧城市”，推動著我國技術(shù)進(jìn)步和經(jīng)濟(jì)發(fā)展。與此同時，隨著新技術(shù)新應(yīng)用的到來，關(guān)系國計民生的信息網(wǎng)絡(luò)以及大數(shù)據(jù)更易成為網(wǎng)絡(luò)攻擊的目標(biāo)。17國家領(lǐng)導(dǎo)高度重視信息網(wǎng)絡(luò)安全十八大報告：建設(shè)下一代信息基礎(chǔ)設(shè)施，發(fā)展現(xiàn)代信息技術(shù)產(chǎn)業(yè)體系，健全信息安全保障體系，推進(jìn)信息網(wǎng)絡(luò)技術(shù)廣泛運(yùn)用；高度關(guān)注海洋、太空、網(wǎng)絡(luò)空間安全，積極運(yùn)籌和平時期軍事力量運(yùn)用，不斷拓展和深化軍事斗爭準(zhǔn)備，提高以打贏信息化條件下局部戰(zhàn)爭能力為核心的完成多樣化軍事任務(wù)能力。

18國家領(lǐng)導(dǎo)高度重視信息網(wǎng)絡(luò)安全新一屆領(lǐng)導(dǎo)：習(xí)近平訪美關(guān)注網(wǎng)絡(luò)安全與頁巖氣兩大焦點(diǎn)：/2013-05-31/154720620.html；習(xí)近平見美國特使就朝鮮形勢網(wǎng)絡(luò)安全交換意見；/13/0319/16/8QBFDHD10001124J.html習(xí)近平同奧巴馬通話談網(wǎng)絡(luò)安全：/o/2013-03-16/101926549804.shtml；習(xí)近平主席闡述了中方原則立場,表示當(dāng)前網(wǎng)絡(luò)安全問題日益突出,已成為各國普遍關(guān)切的綜合安全挑戰(zhàn)。維護(hù)網(wǎng)絡(luò)空間的和平、安全、開放、合作,符合中美在內(nèi)的國際社會共同利益。中方堅決反對任何形式的黑客活動。中方愿同美方以建設(shè)性方式就網(wǎng)絡(luò)安全問題保持溝通。國家成立網(wǎng)信辦、網(wǎng)絡(luò)安全立法……19等級保護(hù)工作的地位等級保護(hù)是國家在信息安全領(lǐng)域強(qiáng)制實(shí)施的一項基本制度、基本國策，是開展信息安全工作的基本方法，是促進(jìn)信息化、維護(hù)國家信息安全的根本保障；等級保護(hù)工作的性質(zhì)：信息

安全等級保護(hù)工作是國家信

息安全保障工作中的一項保

障性、基礎(chǔ)性、制度性和長

效性工作，是提升國家信息

安全保障水平和能力的重要

舉措；其核心是“明確重點(diǎn)、突出

重點(diǎn)、保護(hù)重點(diǎn)”,提高重要

信息系統(tǒng)的安全防護(hù)水平和

管理水平。20培訓(xùn)議程等級保護(hù)政策和標(biāo)準(zhǔn)體系介紹2信息安全等級保護(hù)概述1等級保護(hù)主要政策和標(biāo)準(zhǔn)介紹3421信息安全等級保護(hù)的提出信息安全等級保護(hù)制度的提出：國家對等級保護(hù)制度的要求從法律、政策等方面明確了實(shí)行等級保護(hù)制度是我國信息安全保障工作的一項基本、重要制度和措施；《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》國務(wù)院[1994]147號《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》中辦發(fā)[2003]27號2008年國務(wù)院“三定”方案中，增加了公安機(jī)關(guān)的職能：監(jiān)督、檢查、指導(dǎo)信息安全等級保護(hù)工作。22政策推進(jìn)過程2003年9月中辦國辦頒發(fā)《關(guān)于加強(qiáng)信息安全保障工作的意見》中辦發(fā)[2003]27號2004年11月四部委會簽《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》公通字[2004]66號2006年1月四部委會簽《信息安全等級保護(hù)管理辦法（試行）》（公通字[2006]7號）

2007年6月四部委會簽《信息安全等級保護(hù)管理辦法》公通字[2007]43號1994年國務(wù)院頒布《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》國務(wù)院[1994]147號《信息系統(tǒng)安全等級保護(hù)定級指南》《信息系統(tǒng)安全等級保護(hù)基本要求》《信息系統(tǒng)安全等級保護(hù)實(shí)施指南

》《信息系統(tǒng)安全等級保護(hù)測評要求》《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）。。。。。。GB17859-1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則23等級保護(hù)工作的職責(zé)分工等級保護(hù)協(xié)調(diào)（領(lǐng)導(dǎo)）小組：國家層面、各省、各地市成立了以公安機(jī)關(guān)牽頭的協(xié)調(diào)（領(lǐng)導(dǎo)）小組：負(fù)責(zé)信息安全等級保護(hù)工作的組織領(lǐng)導(dǎo)，制定本地區(qū)、本行業(yè)開展信息安全等級保護(hù)的工作部署和實(shí)施方案；督促有關(guān)單位落實(shí)、研究、協(xié)調(diào)解決等級保護(hù)工作中的重要工作事項，及時通報或報告等級保護(hù)實(shí)施工作的有關(guān)情況；24等級保護(hù)工作的職責(zé)分工信息安全職能部門：公安機(jī)關(guān)負(fù)責(zé)等級保護(hù)工作的監(jiān)督、檢查、指導(dǎo)，是等保工作的牽頭部門；國家保密部門負(fù)責(zé)等保工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)；國家密碼管理部門負(fù)責(zé)等保工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)；工業(yè)和信息化部門負(fù)責(zé)等級保護(hù)工作中的部門間協(xié)調(diào)。25等級保護(hù)工作的職責(zé)分工涉及國家秘密的信息系統(tǒng)，由國家保密局負(fù)責(zé)-分級保護(hù)；其他信息系統(tǒng)，由公安機(jī)關(guān)統(tǒng)一進(jìn)行監(jiān)督、管理；信息系統(tǒng)運(yùn)營使用單位及其業(yè)務(wù)主管部門：信息系統(tǒng)運(yùn)營使用單位按照等級保護(hù)工作的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，開展信息系統(tǒng)定級、備案、等級測評、安全建設(shè)整改、自查等工作，并接受公安機(jī)關(guān)等部門的監(jiān)督、指導(dǎo)；26等級保護(hù)工作的職責(zé)分工有業(yè)務(wù)主管部門的，主管部門要督促、檢查、指導(dǎo)本行業(yè)、本部門信息系統(tǒng)運(yùn)營使用單位開展信息安全等級保護(hù)工作；安全服務(wù)企業(yè)：信息安全企業(yè)、信息系統(tǒng)安全集成商等安全服務(wù)機(jī)構(gòu)，依據(jù)國家有關(guān)管理規(guī)定和技術(shù)標(biāo)準(zhǔn)，開展技術(shù)支持、服務(wù)等工作，并接受監(jiān)管部門的監(jiān)督管理；專家組：配合公安機(jī)關(guān)開展等級保護(hù)工作，對各單位等級保護(hù)工作中具體環(huán)節(jié)、內(nèi)容提供技術(shù)支持、指導(dǎo)。27信息安全等級保護(hù)政策體系信息安全等級保護(hù)的法律和政策依據(jù)：1994年頒布《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號令）；《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號）；總體方面的政策文件：《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》（公通字[2004]66號）；《信息安全等級保護(hù)管理辦法》（公通字[2007]43號）；28信息安全等級保護(hù)政策體系具體環(huán)節(jié)的政策文件：定級環(huán)節(jié)：《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》(公通字[2007]861號；備案環(huán)節(jié)：《信息安全等級保護(hù)備案實(shí)施細(xì)則》(公信安[2007]1360號)安全建設(shè)整改環(huán)節(jié)：《關(guān)于開展信息系統(tǒng)等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》(公信安12009)1429號)；《關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》(發(fā)改高技[2008]207l號)。等級測評環(huán)節(jié)：《關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測訐工作的通知》(公信安[20101303號)；關(guān)于印發(fā)《信息系統(tǒng)安全等級測評報告模版(試行)》的通知(公信安[2009]1487號)。安全檢查環(huán)節(jié)：《公安機(jī)關(guān)信息安全等級保護(hù)檢查工作規(guī)范(試行)》(公信安[2008]736號)。29信息系統(tǒng)安全等級保護(hù)基本要求計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859）信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求技術(shù)類其他技術(shù)類標(biāo)準(zhǔn)信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求其他管理類標(biāo)準(zhǔn)信息系統(tǒng)安全等級保護(hù)定級指南信息系統(tǒng)安全等級保護(hù)基本要求的行業(yè)細(xì)則信息系統(tǒng)安全等級保護(hù)測評過程指南信息系統(tǒng)安全等級保護(hù)測評要求信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求管理類產(chǎn)品類數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求其他產(chǎn)品類標(biāo)準(zhǔn)信息系統(tǒng)安全等級保護(hù)行業(yè)定級細(xì)則操作系統(tǒng)安全技術(shù)要求信息系統(tǒng)安全等級保護(hù)建設(shè)整改網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求安全定級基本要求狀態(tài)分析方法指導(dǎo)信息系統(tǒng)安全等級保護(hù)實(shí)施指南30信息安全等級保護(hù)標(biāo)準(zhǔn)體系30等級保護(hù)標(biāo)準(zhǔn)體系-主要標(biāo)準(zhǔn)（一）基礎(chǔ)《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》GB17859-1999《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》GB/T25058-2010（二）系統(tǒng)定級環(huán)節(jié)《信息系統(tǒng)安全保護(hù)等級定級指南》GB/T22240-2008（三）建設(shè)整改環(huán)節(jié)《信息系統(tǒng)安全等級保護(hù)基本要求》GB/T22239-2008（四）等級測評環(huán)節(jié)《信息系統(tǒng)安全等級保護(hù)測評要求》GB/T28448-2012《信息系統(tǒng)安全等級保護(hù)測評過程指南》GB/T28449-201231培訓(xùn)議程等級保護(hù)主要政策和標(biāo)準(zhǔn)介紹3信息安全等級保護(hù)概述1等級保護(hù)政策和標(biāo)準(zhǔn)體系介紹232管理辦法（簡稱43號文）《管理辦法》第八條:信息系統(tǒng)運(yùn)營、使用單位依據(jù)本辦法和相關(guān)技術(shù)標(biāo)準(zhǔn)對信息系統(tǒng)進(jìn)行保護(hù)，國家有關(guān)信息安全職能部門對其信息安全等級保護(hù)工作進(jìn)行監(jiān)督管理。33管理辦法（簡稱43號文）《管理辦法》第九條:信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》具體實(shí)施等級保護(hù)工作。34管理辦法（簡稱43號文）《管理辦法》第十條:信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級保護(hù)定級指南》確定信息系統(tǒng)的安全保護(hù)等級。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。35管理辦法（簡稱43號文）《管理辦法》第十二條:在信息系統(tǒng)建設(shè)過程中，運(yùn)營、使用單位應(yīng)當(dāng)按照《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，參照……等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。36管理辦法（簡稱43號文）《管理辦法》第十三條:運(yùn)營、使用單位應(yīng)當(dāng)參照《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2006）、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）、《信息系統(tǒng)安全等級保護(hù)基本要求》等管理規(guī)范，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級要求的安全管理制度。

37管理辦法（簡稱43號文）《管理辦法》第十四條:信息系統(tǒng)建設(shè)完成后，運(yùn)營、使用單位或者其主管部門應(yīng)當(dāng)選擇符合本辦法規(guī)定條件的測評單位，依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn)，定期對信息系統(tǒng)安全等級狀況開展等級測評。第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評，第五級信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級測評。38實(shí)施指南（GB/T25058-2010）介紹和描述了實(shí)施信息系統(tǒng)等級保護(hù)過程中涉及的階段、過程和需要完成的活動，通過對過程和活動的介紹，使大家了解對信息系統(tǒng)實(shí)施等級保護(hù)的流程方法，以及不同的角色在不同階段的作用等。39實(shí)施指南（GB/T25058-2010）等級變更局部調(diào)整信息系統(tǒng)定級總體安全規(guī)劃安全設(shè)計與實(shí)施安全運(yùn)行維護(hù)信息系統(tǒng)終止40實(shí)施指南的主要思路以信息系統(tǒng)安全等級保護(hù)建設(shè)為主要線索，定義信息系統(tǒng)等級保護(hù)實(shí)施的主要階段和過程對每個階段介紹和描述主要的過程和實(shí)施活動對每個活動說明實(shí)施主體、主要活動內(nèi)容和輸入輸出等41實(shí)施指南標(biāo)準(zhǔn)的結(jié)構(gòu)正文由9個章節(jié)1個附錄構(gòu)成1.范圍2.規(guī)范性引用文件3.術(shù)語定義4.等級保護(hù)實(shí)施概述5.信息系統(tǒng)定級6.總體安全規(guī)劃7.安全設(shè)計/實(shí)施8.安全運(yùn)行維護(hù)9.信息系統(tǒng)終止附錄A主要過程及其輸出42實(shí)施指南特點(diǎn)階段過程活動子活動例如:信息系統(tǒng)定級信息系統(tǒng)分析系統(tǒng)識別和描繪識別信息系統(tǒng)的基本信息識別信息系統(tǒng)的管理框架…信息系統(tǒng)劃分43系統(tǒng)定級階段-實(shí)施流程主要輸入主要輸出過程系統(tǒng)立項文檔系統(tǒng)建設(shè)文檔系統(tǒng)管理文檔信息系統(tǒng)分析系統(tǒng)總體描述文件系統(tǒng)詳細(xì)描述文件安全保護(hù)等級確定系統(tǒng)總體描述文件系統(tǒng)詳細(xì)描述文件系統(tǒng)安全保護(hù)等級定級建議書44定級指南（GB/T22240-2008）安全保護(hù)等級等級的確定是不依賴于安全保護(hù)措施的，具有一定的“客觀性”，即該系統(tǒng)在存在之初便由其自身所實(shí)現(xiàn)的使命決定了它的安全保護(hù)等級，而非由“后天”的安全保護(hù)措施決定。45為什么首先要定級？46<定級指南>-定級三條件具有唯一確定的安全責(zé)任單位一般是使用或運(yùn)營單位滿足信息系統(tǒng)的基本要素單機(jī)和純局域網(wǎng)不定級承載相對獨(dú)立的業(yè)務(wù)應(yīng)用含多個業(yè)務(wù)應(yīng)用的綜合系統(tǒng)盡量劃分47<定級指南>標(biāo)準(zhǔn)的結(jié)構(gòu)正文由6個章節(jié)構(gòu)成1.范圍2.規(guī)范性引用文件3.術(shù)語定義4.定級原理5.定級方法6.級別變更48等級與侵害客體、侵害程度關(guān)系49<定級指南>-定級原理50<定級指南>-定級維度等級保護(hù)對象受到破壞時所侵害的客體對客體造成侵害的程度51兩類信息安全等級信息系統(tǒng)中保存的信息保密性、完整性一般簡稱為S級信息系統(tǒng)服務(wù)連續(xù)性一般簡稱為A級52<定級指南>-可能的系統(tǒng)級別第一級S1A1G1第二級S1A2G2，S2A2G2，S2A1G2第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G453<定級指南>-定級流程54<定級指南>-定級的時機(jī)新建信息系統(tǒng)等級保護(hù)實(shí)施流程已建信息系統(tǒng)等級保護(hù)實(shí)施流程不通過不通過等級保護(hù)定級是實(shí)施等級保護(hù)工作的第一步！55常見等級保護(hù)定級誤區(qū)信息系統(tǒng)是上級部門部署的，不需要定級56常見等級保護(hù)定級誤區(qū)信息系統(tǒng)是上級部門部署的，不需要定級由系統(tǒng)運(yùn)營使用維護(hù)單位負(fù)責(zé)定級跨省跨市信息系統(tǒng)，只要在本地有分支服務(wù)器提供業(yè)務(wù)服務(wù)同樣需要定級備案57常見等級保護(hù)定級誤區(qū)信息系統(tǒng)等級根據(jù)《等級保護(hù)基本要求》確定，現(xiàn)在安全措施沒有就是一級58常見等級保護(hù)定級誤區(qū)信息系統(tǒng)等級根據(jù)《等級保護(hù)基本要求》確定，現(xiàn)在安全措施沒有就是一級根據(jù)《定級指南》和《行業(yè)定級細(xì)則》確定等級以業(yè)務(wù)信息和系統(tǒng)服務(wù)確定等級《基本要求》確定每個級別需要達(dá)到什么保護(hù)措施59基本要求（GB/T22239-2008）信息系統(tǒng)安全等級保護(hù)基本要求60<基本要求>-標(biāo)準(zhǔn)背景03年，27號文件進(jìn)一步明確信息安全等級保護(hù)制度04年，66號文件要求“盡快制定、完善法律法規(guī)和標(biāo)準(zhǔn)體系”編制歷程04年10月，接受公安部的標(biāo)準(zhǔn)編制任務(wù)05年6月，完成初稿，廣泛征求安全領(lǐng)域?qū)＜液托袠I(yè)用戶意見；05年10月，征求意見稿第一稿，國信辦、安標(biāo)委評審05年11月，征求意見稿第三稿06年6月，試點(diǎn)工作07年04月，征求意見稿第四稿，安標(biāo)委專家評審07年05月，形成報批稿08年6月19日，正式發(fā)布，08年11月1日正式實(shí)施。61<基本要求>-標(biāo)準(zhǔn)定位GB17859-1999的細(xì)化和發(fā)展吸收安全機(jī)制并擴(kuò)展到不同層面增加安全管理方面的內(nèi)容借鑒PDR、CMM、17799關(guān)注可操作性最佳實(shí)踐當(dāng)前技術(shù)的發(fā)展機(jī)制要求（目標(biāo)/要求）62信息系統(tǒng)安全等級保護(hù)基本要求計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859）信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求技術(shù)類其他技術(shù)類標(biāo)準(zhǔn)信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求其他管理類標(biāo)準(zhǔn)信息系統(tǒng)安全等級保護(hù)定級指南信息系統(tǒng)安全等級保護(hù)基本要求的行業(yè)細(xì)則信息系統(tǒng)安全等級保護(hù)測評過程指南信息系統(tǒng)安全等級保護(hù)測評要求信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求管理類產(chǎn)品類數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求其他產(chǎn)品類標(biāo)準(zhǔn)信息系統(tǒng)安全等級保護(hù)行業(yè)定級細(xì)則操作系統(tǒng)安全技術(shù)要求信息系統(tǒng)安全等級保護(hù)建設(shè)整改網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求安全定級基本要求狀態(tài)分析方法指導(dǎo)信息系統(tǒng)安全等級保護(hù)實(shí)施指南63基本要求地位63<基本要求>-與其他標(biāo)準(zhǔn)的關(guān)系GB17859-1999是基礎(chǔ)性標(biāo)準(zhǔn)，《基本要求》17859基礎(chǔ)上的進(jìn)一步細(xì)化和擴(kuò)展?！抖壷改稀反_定出系統(tǒng)等級以及業(yè)務(wù)信息安全性等級和業(yè)務(wù)服務(wù)保證性等級后，需要按照相應(yīng)等級，根據(jù)《基本要求》選擇相應(yīng)等級的安全保護(hù)要求進(jìn)行系統(tǒng)建設(shè)實(shí)施?！稖y評要求》是依據(jù)《基本要求》檢驗系統(tǒng)的各項保護(hù)措施是否達(dá)到相應(yīng)等級的基本要求所規(guī)定的保護(hù)能力。64<基本要求>-標(biāo)準(zhǔn)適用范圍用戶范圍信息系統(tǒng)的主管部門及運(yùn)營使用單位測評機(jī)構(gòu)安全服務(wù)機(jī)構(gòu)（系統(tǒng)集成商，軟件開發(fā)商）信息安全監(jiān)管職能部門適用環(huán)節(jié)需求分析方案設(shè)計、系統(tǒng)建設(shè)與驗收運(yùn)行維護(hù)、等級測評、自查65<基本要求>-標(biāo)準(zhǔn)的編制思路門檻合理對每個級別的信息系統(tǒng)安全要求設(shè)置合理，按照基本要求建設(shè)后，確實(shí)達(dá)到期望的安全保護(hù)能力內(nèi)容完整綜合技術(shù)、管理各個方面的要求，安全要求內(nèi)容考慮全面、完整，覆蓋信息系統(tǒng)生命周期便于使用安全要求分類方式合理，便于安全保護(hù)、檢測評估、監(jiān)督檢查實(shí)施各方的靈活使用66<基本要求>-描述模型67不同級別信息系統(tǒng)不同級別安全威脅不同級別能力目標(biāo)不同級別基本要求系統(tǒng)重要程度不同應(yīng)對67<基本要求>-基本安全保護(hù)能力對抗能力和恢復(fù)能力共同構(gòu)成了信息系統(tǒng)的安全保護(hù)能力。安全保護(hù)能力主要表現(xiàn)為信息系統(tǒng)應(yīng)對威脅的能力，稱為對抗能力，但當(dāng)信息系統(tǒng)無法阻擋威脅對自身的破壞時，信息系統(tǒng)的恢復(fù)能力使系統(tǒng)在一定時間內(nèi)恢復(fù)到原有狀態(tài)，從而降低負(fù)面影響。68<基本要求>-能力目標(biāo)第一級安全保護(hù)能力應(yīng)具有能夠?qū)箒碜詡€人的、擁有很少資源（如利用公開可獲取的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度弱、持續(xù)時間很短、系統(tǒng)局部范圍等）、以及其他相當(dāng)危害程度的威脅所造成的關(guān)鍵資源損害，并在威脅發(fā)生后，能夠恢復(fù)部分功能。69<基本要求>-能力目標(biāo)第二級安全保護(hù)能力應(yīng)具有能夠?qū)箒碜孕⌒徒M織的（如自發(fā)的三兩人組成的黑客組織）、擁有少量資源（如個別人員能力、公開可獲或特定開發(fā)的工具等）的威脅源發(fā)起的惡意攻擊、一般的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度一般、持續(xù)時間短、覆蓋范圍?。ň植啃裕┑龋?、以及其他相當(dāng)危害程度（無意失誤、設(shè)備故障等）的威脅所造成的重要資源損害，能夠發(fā)現(xiàn)重要的安全漏洞和安全事件，在系統(tǒng)遭到損害后，能夠在一段時間內(nèi)恢復(fù)部分功能。70<基本要求>-能力目標(biāo)第三級安全保護(hù)能力應(yīng)具有能夠?qū)箒碜源笮偷摹⒂薪M織的團(tuán)體（如一個商業(yè)情報組織或犯罪組織等），擁有較為豐富資源（包括人員能力、計算能力等）的威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度較大、持續(xù)時間較長、覆蓋范圍較廣（地區(qū)性）等）以及其他相當(dāng)危害程度（內(nèi)部人員的惡意威脅、設(shè)備的較嚴(yán)重故障等）威脅的能力，并在威脅發(fā)生后，能夠較快恢復(fù)絕大部分功能。71<基本要求>-能力目標(biāo)第四級安全保護(hù)能力應(yīng)具有能夠?qū)箒碜試壹墑e的、敵對組織的、擁有豐富資源的威脅源發(fā)起的惡意攻擊、嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度大、持續(xù)時間長、覆蓋范圍廣（多地區(qū)性）等）以及其他相當(dāng)危害程度（內(nèi)部人員的惡意威脅、設(shè)備的嚴(yán)重故障等）威脅的能力，并在威脅發(fā)生后，能夠迅速恢復(fù)所有功能。72<基本要求>-描述模型一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)防護(hù)防護(hù)/檢測策略/防護(hù)/檢測/恢復(fù)策略/防護(hù)/檢測/恢復(fù)/響應(yīng)四級系統(tǒng)技術(shù)要求特點(diǎn)73<基本要求>-描述模型一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)管理要求特點(diǎn)一般執(zhí)行（部分活動建制度）計劃實(shí)施（主要過程建制度）統(tǒng)一策略（管理制度體系化）持續(xù)改進(jìn)（管理制度體系化/驗證/改進(jìn)）74<基本要求>-描述模型一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)覆蓋范圍特點(diǎn)通信/邊界（關(guān)鍵資源）通信/邊界/內(nèi)部（重要設(shè)備）通信/邊界/內(nèi)部（主要設(shè)備）通信/邊界/內(nèi)部/基礎(chǔ)設(shè)施（所有設(shè)備）75<基本要求>-描述結(jié)構(gòu)某級系統(tǒng)類技術(shù)要求管理要求基本要求類控制點(diǎn)要求項控制點(diǎn)要求項………………………………76<基本要求>-安全類物理安全技術(shù)要求管理要求基本要求網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全及備份恢復(fù)安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理類77<基本要求>-示例7第三級基本要求7.1技術(shù)要求7.1.1物理安全物理位置的選擇本項要求包括a)機(jī)房和辦公場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)b)機(jī)房場地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。。。。。。。類要求項控制點(diǎn)78<基本要求>-控制點(diǎn)標(biāo)注業(yè)務(wù)信息安全相關(guān)要求（標(biāo)記為S）系統(tǒng)服務(wù)保證相關(guān)要求（標(biāo)記為A）通用安全保護(hù)要求（標(biāo)記為G）技術(shù)要求（3種標(biāo)注）管理要求（統(tǒng)屬G）79<基本要求>-描述模型業(yè)務(wù)信息安全相關(guān)要求（S）電磁防護(hù)訪問控制數(shù)據(jù)完整性數(shù)據(jù)保密性系統(tǒng)服務(wù)保證相關(guān)要求（A）電力供應(yīng)軟件容錯備份與恢復(fù)資源控制通用安全保護(hù)要求（G）管理要求和大部分技術(shù)要求80<基本要求>-逐級增強(qiáng)的特點(diǎn)控制點(diǎn)增加要求項增加要求項增強(qiáng)范圍增大要求細(xì)化要求粒度細(xì)化81逐級增強(qiáng)的特點(diǎn)-控制點(diǎn)增加三級基本要求：在二級基本要求的基礎(chǔ)上，技術(shù)方面，在控制點(diǎn)上增加了網(wǎng)絡(luò)惡意代碼防范、剩余信息保護(hù)、軟件容錯、抗抵賴等。管理方面，增加了系統(tǒng)備案、安全測評、監(jiān)控管理和安全管理中心等控制點(diǎn)。四級基本要求：在三級基本要求的基礎(chǔ)上，技術(shù)方面，在系統(tǒng)和應(yīng)用層面控制點(diǎn)上增加了安全標(biāo)記、可信路徑，82不同級別系統(tǒng)控制點(diǎn)的差異匯總83逐級增強(qiáng)的特點(diǎn)-要求項增加要求項增多，如，對“身份鑒別”，一級要求“進(jìn)行身份標(biāo)識和鑒別”，二級增加要求“口令復(fù)雜度、登錄失敗保護(hù)等”；而三級則