信息安全等級保護咨詢(xún)及測評

信息安全等級保護，是對信息和信息載體按照重要性等級分級別進(jìn)行保護的一種工作，在中國、美國等很多國家都存在的一種信息安全領(lǐng)域的工作。

在中國，信息安全等級保護廣義上為涉及到該工作的標準、產(chǎn)品、系統、信息等均依據等級保護思想的安全工作;狹義上一般指信息系統安全等級保護。

信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個(gè)階段。

信息系統安全等級測評是驗證信息系統是否滿(mǎn)足相應安全保護等級的評估過(guò)程。信息安全等級保護要求不同安全等級的信息系統應具有不同的安全保護能力，一方面通過(guò)在安全技術(shù)和安全管理上選用與安全等級相適應的安全控制來(lái)實(shí)現;另一方面分布在信息系統中的安全技術(shù)和安全管理上不同的安全控制，通過(guò)連接、交互、依賴(lài)、協(xié)調、協(xié)同等相互關(guān)聯(lián)關(guān)系，共同作用于信息系統的安全功能，使信息系統的整體安全功能與信息系統的結構以及安全控制間、層面間和區域間的相互關(guān)聯(lián)關(guān)系密切相關(guān)。因此，信息系統安全等級測評在安全控制測評的基礎上，還要包括系統整體測評。

等級劃分

《信息安全等級保護管理辦法》規定，國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經(jīng)濟建設、社會(huì )生活中的重要程度，信息系統遭到破壞后對國家安全、社會(huì )秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。

信息系統的安全保護等級分為以下五級，一至五級等級逐級增高:

第一級，信息系統受到破壞后，會(huì )對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會(huì )秩序和公共利益。第一級信息系統運營(yíng)、使用單位應當依據國家有關(guān)管理規范和技術(shù)標準進(jìn)行保護。

第二級，信息系統受到破壞后，會(huì )對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會(huì )秩序和公共利益造成損害，但不損害國家安全。國家信息安全監管部門(mén)對該級信息系統安全等級保護工作進(jìn)行指導。

第三級，信息系統受到破壞后，會(huì )對社會(huì )秩序和公共利益造成嚴重損害，或者對國家安全造成損害。國家信息安全監管部門(mén)對該級信息系統安全等級保護工作進(jìn)行監督、檢查。

第四級，信息系統受到破壞后，會(huì )對社會(huì )秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。國家信息安全監管部門(mén)對該級信息系統安全等級保護工作進(jìn)行強制監督、檢查。

第五級，信息系統受到破壞后，會(huì )對國家安全造成特別嚴重損害。國家信息安全監管部門(mén)對該級信息系統安全等級保護工作進(jìn)行專(zhuān)門(mén)監督、檢查。

實(shí)施原則

根據《信息系統安全等級保護實(shí)施指南》精神，明確了以下基本原則:

自主保護原則:信息系統運營(yíng)、使用單位及其主管部門(mén)按照國家相關(guān)法規和標準，自主確定信息系統的安全保護等級，自行組織實(shí)施安全保護。

重點(diǎn)保護原則:根據信息系統的重要程度、業(yè)務(wù)特點(diǎn)，通過(guò)劃分不同安全保護等級的信息系統，實(shí)現不同強度的安全保護，集中資源優(yōu)先保護涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統。

同步建設原則:信息系統在新建、改建、擴建時(shí)應當同步規劃和設計安全方案，投入一定比例的資金建設信息安全設施，保障信息安全與信息化建設相適應。

動(dòng)態(tài)調整原則:要跟蹤信息系統的變化情況，調整安全保護措施。由于信息系統的應用類(lèi)型、范圍等條件的變化及其他原因，安全保護等級需要變更的，應當根據等級保護的管理規范和技術(shù)標準的要求，重新確定信息系統的安全保護等級，根據信息系統安全保護等級的調整情況，重新實(shí)施安全保護。

政策標準

折疊政策法規

中華人民共和國計算機信息系統安全保護條例 (1994年國務(wù)院147號令)

("第九條 計算機信息系統實(shí)行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會(huì )同有關(guān)部門(mén)制定")

計算機信息系統安全保護等級劃分準則 (GB 17859-1999)

("第一級:用戶(hù)自主保護級;第二級:系統審計保護級;第三級:安全標記保護級;第四級:結構化保護級;第五級:訪(fǎng)問(wèn)驗證保護級")

國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見(jiàn) (中辦發(fā)[2003]27號)

關(guān)于信息安全等級保護工作的實(shí)施意見(jiàn) (公通字[2004]66號)

信息安全等級保護管理辦法 (公通字[2007]43號)

關(guān)于開(kāi)展全國重要信息系統安全等級保護定級工作的通知 (公信安[2007]861號)

關(guān)于開(kāi)展信息安全等級保護安全建設整改工作的指導意見(jiàn) (公信安[2009]1429號)

中華人民共和國網(wǎng)絡(luò )安全法(2017年6月1日發(fā)布)

折疊地方及行業(yè)范例

關(guān)于加強國家電子政務(wù)工程建設項目信息安全風(fēng)險評估工作的通知 (發(fā)改高技[2008]2071號)

關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級保護工作的通知

水利網(wǎng)絡(luò )與信息安全體系建設基本技術(shù)要求 (2010年3月)

證券期貨業(yè)信息系統安全等級保護基本要求(試行) (JR/T 0060-2010)

山西省計算機信息系統安全保護條例 (2009年1月) 廣東省計算機信息系統安全保護條例 (2008年4月)

寧夏回族自治區計算機信息系統安全保護條例 (2009年10月)

徐州市計算機信息系統安全保護條例 (2009年1月)

標準規范

折疊十三大重要標準

計算機信息系統安全等級保護劃分準則 (GB 17859-1999) (基礎類(lèi)標準)

信息系統安全等級保護實(shí)施指南 (GB/T 25058-2010) (基礎類(lèi)標準)

信息系統安全保護等級定級指南 (GB/T 22240-2008) (應用類(lèi)定級標準)

信息系統安全等級保護基本要求 (GB/T 22239-2008) (應用類(lèi)建設標準)

信息系統通用安全技術(shù)要求 (GB/T 20271-2006) (應用類(lèi)建設標準)

信息系統等級保護安全設計技術(shù)要求 (GB/T 25070-2010) (應用類(lèi)建設標準)

信息系統安全等級保護測評要求 (GB/T 28448-2012)(應用類(lèi)測評標準)

信息系統安全等級保護測評過(guò)程指南 (GB/T 28449-2012)(應用類(lèi)測評標準)

信息系統安全管理要求 (GB/T 20269-2006) (應用類(lèi)管理標準)

信息系統安全工程管理要求 (GB/T 20282-2006) (應用類(lèi)管理標準)

信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求(GB/T 22239-2019)(基礎類(lèi)標準)

信息安全技術(shù)網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求(GB/T 25070-2019)(應用類(lèi)建設標準)

信息安全技術(shù)網(wǎng)絡(luò )安全等級保護測評要求(GB/T 28448-2019)(應用類(lèi)測評標準)