等級保護(hù)政策、流程、內(nèi)容、定級介紹

信息安全等級保護(hù)基本介紹

信息安全系統(tǒng)等級保護(hù)信息安全等級保護(hù)發(fā)展歷程1等級保護(hù)的基本概念和含義2等級保護(hù)和測評的作用3等級保護(hù)主要工作內(nèi)容4等級保護(hù)主要工作流程5等級保護(hù)定級工作流程62021/6/272信息安全系統(tǒng)等級保護(hù)等級保護(hù)測評工作流程7等級保護(hù)安全建設(shè)內(nèi)容8等級保護(hù)監(jiān)督檢查內(nèi)容9測評具體工作過程10建設(shè)整改工作指南112021/6/273

1等級保護(hù)發(fā)展歷程1994年，國務(wù)院147號令——《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》2003年，中央辦公廳、國務(wù)院（中辦發(fā)[2003]27號）——《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》2004年，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室（公通字[2004]66號）——《關(guān)于信息安全等級保護(hù)工作的實施意見》2006年，公安部開展信息安全等級保護(hù)試點工作，制定《計算機(jī)信息安全等級劃分準(zhǔn)則》（GB17859-1999）2021/6/274

1等級保護(hù)發(fā)展歷程2007年，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室（公通字[2007]43號）——《信息安全等級保護(hù)管理辦法》，（公信[2007]861號）——《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》，開始在全國范圍內(nèi)開展信息安全等級保護(hù)工作。2010年10月15日，第十七屆中央委員會第五次全體會議中提出的十二五規(guī)劃中要求“健全網(wǎng)絡(luò)與信息安全法律法規(guī)，完善信息安全標(biāo)準(zhǔn)體系和認(rèn)證認(rèn)可體系，實施信息安全等級保護(hù)、風(fēng)險評估等制度”。2012年7月17日，國務(wù)院辦公廳（國發(fā)[2012]23號）——《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》，要求“落實信息安全等級保護(hù)制度，開展相應(yīng)等級的安全建設(shè)和管理，做好信息系統(tǒng)定級備案、整改和監(jiān)督檢查”。2021/6/275

2

基本概念和含義信息安全等級保護(hù)是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)（五級），詳細(xì)分級依據(jù)請見《GBT22240-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》中描述；對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理；對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置.2021/6/276

2

基本概念和含義等級保護(hù)遵循的原則：自主保護(hù)原則重點保護(hù)原則同步建設(shè)原則動態(tài)調(diào)整原則2021/6/277

2

基本概念和含義工作實施過程中涉及到的角色和職責(zé)：國家管理部門信息系統(tǒng)主管部門信息系統(tǒng)運營、使用單位信息安全服務(wù)機(jī)構(gòu)信息安全等級測評機(jī)構(gòu)信息安全產(chǎn)品供應(yīng)商2021/6/278

3等保測評作用工作實施過程中涉及到的角色和職責(zé)：在信息系統(tǒng)建設(shè)、整改時，信息系統(tǒng)運營使用單位通過等級測評進(jìn)行安全需求分析，確定系統(tǒng)的特殊安全需求。信息系統(tǒng)等級保護(hù)基本安全要求與確定的特殊安全需求共同確定了該系統(tǒng)的安全需求。在系統(tǒng)運維過程中，定期委托測評機(jī)構(gòu)開展等級測評，對信息系統(tǒng)安全等級保護(hù)狀況、安全保障性能進(jìn)行安全測試，對信息安全管控能力進(jìn)行考察和評價，從而判定是否具備《信息系統(tǒng)安全等級保護(hù)基本要求》中相應(yīng)等級安全保護(hù)能力。等級測評報告是信息系統(tǒng)后期開展整改加固的重要指導(dǎo)性文件，也是信息系統(tǒng)備案的重要附件材料。等級測評結(jié)論是信息系統(tǒng)滿足要求程度的證明文件。2021/6/279

4主要工作內(nèi)容工作實施過程中涉及到的角色和職責(zé)：系統(tǒng)定級系統(tǒng)備案安全建設(shè)等級測評監(jiān)督檢查2021/6/2710

5等級保護(hù)主要工作流程業(yè)務(wù)流程備案測評申請測評測評準(zhǔn)備不合格項整改整改后測評信息系統(tǒng)2021/6/2711

6等級保護(hù)定級工作流程定級流程4定級備案報公安部門定級備案3評審

公安或信息化行政部門組織評審定級2申報

報當(dāng)?shù)毓不蛐畔⒒姓块T進(jìn)行審定1自評

客戶自行選定系統(tǒng)相應(yīng)的保護(hù)等級注：各地公安根據(jù)實際情況的不同有不同的備案形式要求，請根據(jù)當(dāng)?shù)毓惨筮f交所需文件2021/6/2712

6等級保護(hù)定級工作流程定級原則

信息系統(tǒng)定級是整個信息系統(tǒng)安全等級保護(hù)工作的第一個重要環(huán)節(jié)，是開展信息系統(tǒng)建設(shè)、整改、測評、備案、監(jiān)督檢查等后續(xù)工作的重要基礎(chǔ)。

信息系統(tǒng)定級工作的主體是信息系統(tǒng)運營和使用單位，堅持“自主定級、自主保護(hù)”原則，因此定級工作應(yīng)當(dāng)由信息系統(tǒng)的運營和使用單位來完成。2021/6/2713

6等級保護(hù)定級工作流程定級受理備案審核材料

管理辦法規(guī)定第二級以上信息系統(tǒng)應(yīng)當(dāng)在安全保護(hù)等級確定后30日內(nèi)，由其運營、使用單位到所在地區(qū)的市級以上公安機(jī)關(guān)辦理系統(tǒng)備案手續(xù)。

辦理備案手續(xù)時，應(yīng)填寫《信息系統(tǒng)安全等級保護(hù)備案表》，《信息系統(tǒng)安全等級保護(hù)定級報告》、《系統(tǒng)定級評審意見》（或上級主管部門定級審核意見）、相關(guān)電子數(shù)據(jù)等。2021/6/2714

7

等級保護(hù)測評工作流程測評流程

等級測評的工作流程，依據(jù)《信息系統(tǒng)安全等級保護(hù)測評過程指南》，具體內(nèi)容參見：等保測評工作流程圖2021/6/2715

7

等級保護(hù)測評工作流程測評內(nèi)容

物理安全網(wǎng)絡(luò)安全主機(jī)系統(tǒng)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運維管理信息系統(tǒng)綜合測評2021/6/2716

7

等級保護(hù)測評工作流程測評依據(jù)的相關(guān)標(biāo)準(zhǔn)體系

可以從多個角度來分析—— A、從基本分類角度來看，分為：基礎(chǔ)類標(biāo)準(zhǔn)、技術(shù)類標(biāo)準(zhǔn)、管理類標(biāo)準(zhǔn)；

B、從等級保護(hù)生命周期看，分為：系統(tǒng)定級用標(biāo)準(zhǔn)、安全建設(shè)用標(biāo)準(zhǔn)、等級測評用標(biāo)準(zhǔn)、運行維護(hù)用標(biāo)準(zhǔn)、通用標(biāo)準(zhǔn)；

C、從對象角度看，分為：基礎(chǔ)標(biāo)準(zhǔn)、系統(tǒng)標(biāo)準(zhǔn)、產(chǎn)品標(biāo)準(zhǔn)、安全服務(wù)標(biāo)準(zhǔn)、安全事件標(biāo)準(zhǔn)等。2021/6/2717

7

等級保護(hù)測評工作流程測評依據(jù)的主要標(biāo)準(zhǔn)實施指南

《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實施指南》（報批稿）定級指南

《GBT22240-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》劃分準(zhǔn)則

《GB17859-1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》

2021/6/2718

7

等級保護(hù)測評工作流程測評依據(jù)的基本要求

《GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》參照：《GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》《GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》《GB/T20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》《GB/T20273-2006信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》《GB/T21028-2007信息安全技術(shù)服務(wù)器安全技術(shù)要求》《GA/T671-2006信息安全技術(shù)終端計算機(jī)系統(tǒng)安全等級技術(shù)要求》測評依據(jù)的測評要求《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》2021/6/2719

7

等級保護(hù)測評工作流程測評方法訪談文檔審查配置檢查工具測試2021/6/2720

7

等級保護(hù)測評工作流程測評后續(xù)要求

信息系統(tǒng)建設(shè)完成后，運營、使用單位選擇符合規(guī)定條件的測評單位，依據(jù)《信息系統(tǒng)安全等級保護(hù)測評要求》等技術(shù)標(biāo)準(zhǔn)，定期開展等級測評服務(wù)； 第三級系統(tǒng)每年至少進(jìn)行一次等級測評，第四級系統(tǒng)每半年至少進(jìn)行一次等級測評；2021/6/2721

8等級保護(hù)安全建設(shè)內(nèi)容安全建設(shè)

在信息系統(tǒng)安全保護(hù)等級確定以后，系統(tǒng)運營單位和使用單位開展系統(tǒng)安全建設(shè)和改建工作，通常包括安全需求分析、總體安全設(shè)計、詳細(xì)安全設(shè)計、安全設(shè)施實現(xiàn)和安全運行與維護(hù)等工作。2021/6/2722

9等級保護(hù)監(jiān)督檢查內(nèi)容監(jiān)督檢查

公安機(jī)關(guān)負(fù)責(zé)信息安全等級保護(hù)工作的督促、檢查、指導(dǎo)； 受理備案的公安機(jī)關(guān)對第三級信息系統(tǒng)的運營、使用單位每年至少檢查一次，對第四級每半年檢查一次； 公安機(jī)關(guān)檢查發(fā)現(xiàn)不符合有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，發(fā)出整改通知并進(jìn)行整改。2021/6/272310測評具體工作過程準(zhǔn)備過程等級測評項目啟動：組建等級測評項目組，從資料、人員、計劃安排等方面為整個等級測評項目的實施做好準(zhǔn)備。信息收集和分析：查閱被測系統(tǒng)已有資料或使用調(diào)查表單的方式，了解整個系統(tǒng)的構(gòu)成和保護(hù)情況，為編寫測評方案和開展現(xiàn)場測評工作奠定基礎(chǔ)。工具和文檔準(zhǔn)備：確認(rèn)測評工具，打印的各類文檔：現(xiàn)場測評授權(quán)書、測評結(jié)果記錄表格（含測評人員入場和離場確認(rèn)）、文檔交接單。2021/6/2724

10測評具體工作過程方案編制過程測評對象確定：根據(jù)已經(jīng)了解到的被測系統(tǒng)信息，分析整個被測系統(tǒng)和各測評業(yè)務(wù)系統(tǒng)，確定出本次測評的測評對象。測評指標(biāo)確定：根據(jù)已經(jīng)了解到的被測系統(tǒng)定級結(jié)果，確定出本次測評的測評指標(biāo)。測評內(nèi)容確定：確定現(xiàn)場測評的具體實施內(nèi)容，包括單元測評和系統(tǒng)測評。測評實施手冊開發(fā)：測評實施手冊制定，包括指導(dǎo)測評人員如何進(jìn)行測評活動，及現(xiàn)場測評的工具、方法和操作步驟等的詳細(xì)描述。測評方案編制：完成測評方案編制，方案包括：項目概述、測評對象、測評指標(biāo)、測評工具的接入點、單元測評實施、系統(tǒng)測評實施以及配套的測評實施手冊。

2021/6/2725

10測評具體工作過程測評實施過程測評實施準(zhǔn)備：實施現(xiàn)場測評的啟動過程，確認(rèn)更新后的測評計劃和測評程序，確認(rèn)授權(quán)委托書?，F(xiàn)場測評和結(jié)果記錄：通過訪談、文檔審查、配置檢查、工具測試和實地察看，對技術(shù)安全和管理安全測評的測評結(jié)果記錄。結(jié)果確認(rèn)和資料歸還：測評結(jié)果記錄。

2021/6/2726

10測評具體工作過程分析與報告編制過程系統(tǒng)整體測評分析：從安全控制間、層面間和區(qū)域間出發(fā)考慮，給出系統(tǒng)整體測評的具體結(jié)果和結(jié)論，并對系統(tǒng)結(jié)構(gòu)進(jìn)行整體安全測評。測評報告編制：經(jīng)過評審和確認(rèn)的被測系統(tǒng)等級測評報告。

2021/6/2727

10測評具體工作過程整改后測評和殘余風(fēng)險評估首次測評完成后，需將發(fā)現(xiàn)問題及整改意見回饋給被測評方。得到確認(rèn)后，需給被測評方預(yù)留一段整改時間，進(jìn)行整改。被測評方整改完成后，本公司測評人員對被測系統(tǒng)進(jìn)行整改后測評，主要針對首次測評中發(fā)現(xiàn)問題的整改情況測評。如果有些問題不能進(jìn)行整改或整改后會造成較大的損失，針對此問題被測評方可不進(jìn)行整改，本公司測評人員為被測評方提供此類問題的殘余風(fēng)險評估，將在測評報告中體現(xiàn)最終整改后的測評結(jié)果和殘余風(fēng)險評估等信息。

2021/6/2728

10測評具體工作過程測評報告?zhèn)浒笇⒆罱K的測評報告和首次測評后的整改問題匯總的紙版文檔一并提交給之前定級備案的公安機(jī)關(guān)（省公安廳或各市公安局）進(jìn)行最終備案。

2021/6/2729

10測評具體工作過程配合工作內(nèi)容測評小組指導(dǎo)下填寫信息系統(tǒng)基本情況調(diào)查表；確定項目協(xié)調(diào)人員、項目配合人員；根據(jù)需要安排會議場地，組織項目會議所需參加的會議人員；提供測評小組臨時辦公場地；明確項目授權(quán)簽字、測評記錄結(jié)果確認(rèn)簽字資格和工具掃描與滲透測試授權(quán)簽字權(quán)利資格；在測評期間如果需要查看相關(guān)制度記錄，請確認(rèn)授予相關(guān)資料查詢權(quán)限；提供測評小組進(jìn)出相關(guān)檢測場地的出入權(quán)限；如果因測評項目具體需要，請準(zhǔn)予提供相關(guān)服務(wù)，例如在工具掃描時需要分配網(wǎng)線接口，臨時分配合法IP等；其他相關(guān)事宜。2021/6/2730

11建設(shè)整改工作指南總則安全管理制度建設(shè)安全技術(shù)措施建設(shè)

2021/6/2731總則工作目標(biāo)通過落實安全責(zé)任制，開展管理制度建設(shè)、技術(shù)措施建設(shè)，落實等級保護(hù)制度的各項要求，使信息系統(tǒng)安全管理水平明顯提高，安全保護(hù)能力明顯增強(qiáng)，安全隱患和安全事故明顯減少，有效保障信息化健康發(fā)展，維護(hù)國家安全、社會秩序和公共利益。2021/6/2732總則工作內(nèi)容落實信息安全責(zé)任制，建立并落實各類安全管理制度，開展人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等工作，落實物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)措施需要說明的是：不同級別信息系統(tǒng)安全建設(shè)整改的具體內(nèi)容應(yīng)根據(jù)信息系統(tǒng)定級時的業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級，以及信息系統(tǒng)安全保護(hù)現(xiàn)狀確定。信息系統(tǒng)安全建設(shè)整改工作具體實施可以根據(jù)實際情況，將安全管理和安全技術(shù)整改內(nèi)容一并實施，或分步實施2021/6/2733總則工作流程第一步：制定信息系統(tǒng)安全建設(shè)整改工作規(guī)劃，對信息系統(tǒng)安全建設(shè)整改工作進(jìn)行總體部署；第二步：開展信息系統(tǒng)安全保護(hù)現(xiàn)狀分析，從管理和技術(shù)兩個方面確定信息系統(tǒng)安全建設(shè)整改需求；第三步：確定安全保護(hù)策略，制定信息系統(tǒng)安全建設(shè)整改方案；第四步：開展信息系統(tǒng)安全建設(shè)整改工作，建立并落實安全管理制度，落實安全責(zé)任制，建設(shè)安全設(shè)施，落實安全措施；第五步：開展安全自查和等級測評，及時發(fā)現(xiàn)信息系統(tǒng)中存在安全隱患和威脅，進(jìn)一步開展安全建設(shè)整改工作。2021/6/2734總則標(biāo)準(zhǔn)應(yīng)用信息系統(tǒng)安全建設(shè)整改工作應(yīng)依據(jù)《基本要求》，并在不同階段、針對不同技術(shù)活動參照相應(yīng)的標(biāo)準(zhǔn)規(guī)范進(jìn)行。需要說明的是：《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》及配套標(biāo)準(zhǔn)是《基本要求》的基礎(chǔ)；《基本要求》是信息系統(tǒng)安全建設(shè)整改的依據(jù)；《定級指南》為定級工作提供指導(dǎo)；《測評要求》等標(biāo)準(zhǔn)規(guī)范等級測評活動；《實施指南》等標(biāo)準(zhǔn)指導(dǎo)等級保護(hù)建設(shè)；2021/6/2735總則安全保護(hù)能力目標(biāo)第二級信息系統(tǒng)：經(jīng)過安全建設(shè)整改，信息系統(tǒng)具有抵御小規(guī)模、較弱強(qiáng)度惡意攻擊的能力，抵抗一般的自然災(zāi)害的能力，防范一般性計算機(jī)病毒和惡意代碼危害的能力；具有檢測常見的攻擊行為，并對安全事件進(jìn)行記錄的能力；系統(tǒng)遭到損害后，具有恢復(fù)系統(tǒng)正常運行狀態(tài)的能力。2021/6/2736安全管理制度建設(shè)按照國家有關(guān)規(guī)定，依據(jù)《基本要求》，參照《信息系統(tǒng)安全管理要求》等標(biāo)準(zhǔn)規(guī)范要求，開展信息系統(tǒng)等級保護(hù)安全管理制度建設(shè)工作。2021/6/2737安全技術(shù)措施建設(shè)按照國家有關(guān)規(guī)定，依據(jù)《基本要求》，參照《信息系統(tǒng)通用安全技術(shù)要求》、《信息系統(tǒng)等級保護(hù)安全設(shè)計技術(shù)要求》等標(biāo)準(zhǔn)規(guī)范要求，開展信息系統(tǒng)安全技術(shù)建設(shè)整改工作2021/6/2738等保過程中的常見問題問：公安部門要求什么時間完成等保測評？我們還沒有定級，預(yù)算經(jīng)費也沒有報，如何開展工作？答：根據(jù)公安文件要求的時間開展測評工作。如果還沒有定級，則根據(jù)定級要求和流程，先向公安遞交定級備案文件，預(yù)算納入下一年度工作計劃，在經(jīng)費未落實前，可以先行進(jìn)行系統(tǒng)了解、系統(tǒng)加固配合工作。 定級專家評審時間：每季度或每半年（或不定期），由公安組織專家評審。2021/6/2739等保過程中的常見問題問：定級對象范圍是什么？一般是以什么界限來劃分？是不是所有的系統(tǒng)都要申報？答：定級對象范圍：

1、起支撐、傳輸作用的信息網(wǎng)絡(luò)（包括專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)、網(wǎng)管系統(tǒng)），網(wǎng)絡(luò)要合理劃分區(qū)域；

2、用于生產(chǎn)、調(diào)度、管理、作業(yè)、指揮、辦公等目的的各類業(yè)務(wù)系統(tǒng)，跨省或者全國聯(lián)網(wǎng)運行信息系統(tǒng)的分支系統(tǒng)也要單獨定級；

3、各單位網(wǎng)站。2021/6/2740等保過程中的常見問題問：實際操作中如何定級？區(qū)別？答：第二級信息系統(tǒng)：適用于縣級某些單位中的重要信息系統(tǒng)；地市級以上國家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。 第三級信息系統(tǒng)：一般適用于地市級以上國家機(jī)關(guān)、企事業(yè)單位內(nèi)部重要的信息系統(tǒng)，例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)；跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)；中央各部委、省（區(qū)、市）門戶網(wǎng)站和重要網(wǎng)站；跨省聯(lián)接的網(wǎng)絡(luò)系統(tǒng)等。 在實際操作中，可參考備案單位自主定級分類指南。2021/6/2741等保過程中的常見問題問：遞交的備案資料都包括哪些內(nèi)容？答：1、《信息系統(tǒng)安全等級保護(hù)備案表》（一式兩份）

2、《信息系統(tǒng)安全等級保護(hù)定級報告》（一個系統(tǒng)一份）

3、《系統(tǒng)定級評審意見》（或上級主管部門定級審核意見）

4、相關(guān)電子數(shù)據(jù)等2021/6/2742等保過程中的常見問題問：《定級報告》一般都包括哪些部分？答：1、定級依據(jù) 包括與本次信息系統(tǒng)定級相關(guān)的法規(guī)、標(biāo)準(zhǔn)、規(guī)范和文件等，例如《管理辦法》、《定級指南》、本行業(yè)的安全管理規(guī)定等確定信息系統(tǒng)安全保護(hù)等級所需依據(jù)的文件。

2、信息系統(tǒng)劃分 詳細(xì)描述信息系統(tǒng)的管理機(jī)構(gòu)和管理職責(zé)、網(wǎng)絡(luò)結(jié)構(gòu)和對外邊界、承載業(yè)務(wù)種類、處理的主要信息等。如