1、等級保護工作開展參考資料

1、等級保護工作開展參考資料文檔說明1)目標對象：客戶單位的信息主管/計算機信息系統(tǒng)運維管理人員2)文檔功能：與客戶一起探討“信息安全等級保護工作”開展工作方法等級保護重要性我們國家信息安全，當前的主要任務(wù)之一是要貫徹落實等級保護。等級保護對于我們國家所用的信息系統(tǒng)，按照它的重要性、等級的要求進行保護。這是非常重要的信息安全保障的基本制度。執(zhí)行標準速查表序號工作內(nèi)容執(zhí)行標準標準代號1指導思想信息安全等級保護工作信息安全等級保護管理辦法(公通字200743號)2基礎(chǔ)計算機信息系統(tǒng)安全保護等級劃分準則(GB17859-1999)3信息系統(tǒng)安全等級保護實施指南(GB/T25058-2010)4定級信息系

2、統(tǒng)安全等級保護定級指南(GB/T22240-2008)5信息系統(tǒng)安全等級保護基本要求(GB/T22239-2008)6建設(shè)信息系統(tǒng)通用安全技術(shù)要求(GB/T20271-2006)7信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求(GB/T25070-2010)8測評信息系統(tǒng)安全等級保護測評要求(GB/T28448-2012)9信息系統(tǒng)安全等級保護測評過程指南(GB/T28449-2012)10運維信息安全技術(shù)信息系統(tǒng)安全管理要求(GB/T20269-2006)11信息系統(tǒng)安全工程管理要求(GB/T20282-2006)等保工作流程信息安全等級保護是國家信息安全保障的基本制度，等級保護的整體實施工作包括等級保護

3、定級與備案、等級保護差距分析、系統(tǒng)安全建設(shè)與整改、等級測評和監(jiān)督檢查等幾個階段。信息安全等級保護工作流程其中定級/備案是信息安全等級保護的首要環(huán)節(jié)，可以梳理各行業(yè)、各部門、各單位的信息系統(tǒng)類型、重要程度和數(shù)量等，確定信息安全保護的重點。是進行相應(yīng)等級安全建設(shè)的依據(jù)。而安全建設(shè)整改是信息安全等級保護工作落實的關(guān)鍵，通過建設(shè)整改使具有不同等級的信息系統(tǒng)達到相應(yīng)等級的基本保護能力，從而提高我國基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)整體防護能力。用戶完成定級工作之后，更主要的是依據(jù)等級保護整改的相關(guān)要求，通過一套規(guī)范的等保整改過程，進行風險評估和等級保護差距分析，制定完整的安全整改建議方案，進行等級化安全體系的設(shè)計與

4、建設(shè)，最終符合國家等級保護建設(shè)要求。用戶必須在深入理解定級的根本要求、充分調(diào)查評估信息資產(chǎn)價值和安全風險的基礎(chǔ)上才能完成形成合理的整改建議方案。等級測評工作的主體是第三方測評中心，工作目的是檢驗和評價信息系統(tǒng)的安全建設(shè)整改工作的成效，判斷安全保護能力是否達到相關(guān)要求。監(jiān)督檢查工作的主體是信息安全職能管理部門，通過定期的監(jiān)督、檢查和指導，保障重要信息系統(tǒng)安全保護能力不斷提高。參考-“沈昌祥院士對等保工作的意見”關(guān)于重要信息系統(tǒng)安全等級保護定級的幾點意見國家信息安全保護等級專家評審委員會主任沈昌祥院士在調(diào)研、定級評審過程中，也發(fā)現(xiàn)當前定級工作還存在少數(shù)部門信息系統(tǒng)定級不合理、不準確問題。結(jié)合工作中

5、掌握的一些具體情況，我認為主要有以下幾方面原因：一是有些部門未能站在國家安全、社會穩(wěn)定的高度統(tǒng)籌考慮信息系統(tǒng)等級，而僅從行業(yè)和信息系統(tǒng)自身安全角度考慮。二是有些部門認為信息系統(tǒng)級別定高，要花費更多的資金，單位負擔加重。三是有些部門對本行業(yè)下級單位定級指導不力，同類信息系統(tǒng)下級部門定級偏低，特別是一些重要行業(yè)地市級單位的系統(tǒng)級別偏低。四是少數(shù)部門領(lǐng)導對定級工作重視不夠，還有些部門以信息系統(tǒng)運維單位為主進行定級，業(yè)務(wù)單位參與定級不夠。信息安全等級保護制度是國家信息安全保障的基本制度，而定級是等級保護工作的首要環(huán)節(jié)和關(guān)鍵環(huán)節(jié)，定級不準，系統(tǒng)備案、建設(shè)、整改、等級測評等后續(xù)工作都會失去意義，信息系統(tǒng)安

6、全就沒有保證。定級時應(yīng)主要考慮信息系統(tǒng)破壞后對國家安全、社會穩(wěn)定的影響。確定為三級以上的信息系統(tǒng)，均屬于國家的重要信息系統(tǒng)，是國家要保護的重點，國家財政、有關(guān)部門要投入財力、物力、人力，保證其安全。重要信息系統(tǒng)屬于國家關(guān)鍵基礎(chǔ)設(shè)施，需要運營使用單位、主管部門真正承擔起安全責任，同時，信息安全監(jiān)管部門代表國家對重要信息系統(tǒng)的安全進行監(jiān)督、檢查、指導。在重要信息系統(tǒng)安全方面，運營使用單位和主管部門是第一責任部門，負主要責任，信息安全監(jiān)管部門是第二責任部門，負監(jiān)管責任。運營使用單位、主管部門和信息安全監(jiān)管部門密切配合，共同承擔責任，才能保護好國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。結(jié)合有些單位在定級工

7、作中存在的問題，我就信息系統(tǒng)定級談幾點意見。（一）準確確定定級對象。在定級工作中，如何科學、合理地確定定級對象是最關(guān)鍵的問題。這里首先要明確一個概念，信息系統(tǒng)包括起支撐、傳輸作用的基礎(chǔ)信息網(wǎng)絡(luò)和各類應(yīng)用系統(tǒng)。具體工作中，應(yīng)按如下原則確定定級對象：一是起支撐、傳輸作用的基礎(chǔ)信息網(wǎng)絡(luò)要作為定級對象。但不是將整個網(wǎng)絡(luò)作為一個定級對象，而是要從安全管理和安全責任的角度將基礎(chǔ)信息網(wǎng)絡(luò)劃分成若干個最小安全域或最小單元去定級。二是專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)等網(wǎng)絡(luò)系統(tǒng)（包括網(wǎng)管系統(tǒng)）要作為定級對象。同基礎(chǔ)信息網(wǎng)絡(luò)一樣，也不能將整個網(wǎng)絡(luò)系統(tǒng)作為一個定級對象，而是要從安全管理和安全責任的角度將網(wǎng)絡(luò)系統(tǒng)劃分成若干個最小安全域

8、或最小單元去定級。三是各單位網(wǎng)站要作為獨立的定級對象。如果網(wǎng)站的后臺數(shù)據(jù)庫管理系統(tǒng)安全級別高，也要作為獨立的定級對象。網(wǎng)站上運行的信息系統(tǒng)（例如對社會服務(wù)的報名考試系統(tǒng)）也要作為獨立的定級對象。四是用于生產(chǎn)、調(diào)度、管理、作業(yè)、指揮、辦公等目的的各類應(yīng)用系統(tǒng)，要按照不同業(yè)務(wù)類別單獨確定為定級對象，不以系統(tǒng)是否進行數(shù)據(jù)交換、是否獨享設(shè)備為確定定級對象條件。不能將某一類信息系統(tǒng)作為一個定級對象去定級。五是確認負責定級的單位是否對所定級系統(tǒng)負有業(yè)務(wù)主管責任。也就是說，業(yè)務(wù)部門應(yīng)主導對業(yè)務(wù)信息系統(tǒng)定級，運維部門（例如信息中心、托管方）可以協(xié)助定級并按照業(yè)務(wù)部門的要求開展后續(xù)安全保護工作。六是具有信息系統(tǒng)

9、的基本要素。作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標和規(guī)則組合而成的有形實體。應(yīng)避免將某個單一的系統(tǒng)組件（如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等）作為定級對象。（二）科學、合理、準確確定信息系統(tǒng)安全保護等級。信息系統(tǒng)的安全保護等級是信息系統(tǒng)本身的客觀自然屬性，不應(yīng)以已采取或?qū)⒉扇∈裁窗踩Ｗo措施為依據(jù)，而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全、社會穩(wěn)定、人民群眾合法權(quán)益的危害程度為依據(jù)，確定信息系統(tǒng)的安全等級。針對不同的信息系統(tǒng)，建議參考以下原則定級。第一級信息系統(tǒng)：一般適用于鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級某些單位中一般的信息系統(tǒng)、小型私營、個體企業(yè)、中小學的信息系統(tǒng)。

10、第二級信息系統(tǒng)：一般適用于縣級某些單位中的重要信息系統(tǒng)，地市級以上國家機關(guān)、企業(yè)、事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。第三級信息系統(tǒng)：一般適用于地市級以上國家機關(guān)、重要企事業(yè)單位內(nèi)部重要的信息系統(tǒng)。例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)，重要領(lǐng)域、重要部門跨省、跨市或全國（?。┞?lián)網(wǎng)運行的用于生產(chǎn)、調(diào)度、管理、作業(yè)、指揮等方面的重要信息系統(tǒng)，跨省或全國聯(lián)網(wǎng)運行的重要信息系統(tǒng)在省、地市的分支系統(tǒng)，中央各部委、省（區(qū)、市）門戶網(wǎng)站和重要網(wǎng)站，跨省聯(lián)接的網(wǎng)絡(luò)系統(tǒng)等。第四級信息系統(tǒng)：一般適用于國家重要領(lǐng)域、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)。例如全國鐵路、民航、電力等部門的調(diào)度系統(tǒng)，銀行、證券、保險、稅務(wù)、海關(guān)等幾十個重要行業(yè)、部門中的涉及國計民生的核心系統(tǒng)。第五級信息系統(tǒng)：一般適用于國家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)。（三）系統(tǒng)等級的確定與審批?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)，可以由主管部門統(tǒng)一確定安全保護等級。其中：由各行業(yè)統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)、統(tǒng)一安全保護策略的全國聯(lián)網(wǎng)系統(tǒng)，應(yīng)由行業(yè)主管部門統(tǒng)一對下各級系統(tǒng)分別確定等級；由各行業(yè)統(tǒng)一規(guī)劃