等级保护标准介绍.docVIP

等级保护标准介绍 ■ 文档编号 ■ 密级 内部使用 ■ 版本编号 1.0 ■ 日期 2007-10-23 ? 2008 绿盟科技  ■ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 ■ 版本变更记录 时间 版本 说明 修改人 2007/10/23 1.0 孙铁 ■ 适用性声明 本模板用于撰写绿盟科技内外各种正式文件，包括技术手册、标书、白皮书、会议通知、公司制度等文档使用。 目录 一. 概述 4 二. 43号文件解读 5 2.1 总则 5 2.2 等级划分与保护 7 2.2.1 定级原则 7 2.2.2 定级所要考虑的因素 7 2.2.3 等级定义 8 2.3 等级保护的实施与管理 11 2.3.1 实施与管理工作及要求 12 2.3.2 参照标准文件 17 2.3.3 对测评机构的要求 17 三. 相关技术标准 18 3.1 概述 18 3.2 《计算机信息系统安全保护等级划分准则》（GB17859-1999） 18 3.3 《信息系统安全等级保护基本要求》（报批稿） 19 3.4 《信息系统安全保护等级定级指南》（国标征求意见稿） 21 3.5 《信息系统安全等级保护实施指南》（报批稿） 27 3.6 《信息系统安全等级保护测评准则》 (送审稿) 28  概述 在43号文中，列出了一系列等级保护工作需要参考的标准，在实际的项目实施中应了解各个标准所涉及的内容和在标准中的地位，总的来说，GB17859-1999由于是公安部牵头的国家唯一一个信息安全强制性标准，也是第一个面向等级的技术标准，所以目前在谈到等级保护的时候都会讲到它，但它的实际参照意义已经不大了，其他像《信息安全技术?信息系统通用安全技术要求》（GB/T20271-2006）《信息安全技术?操作系统安全技术要求》（GB/T20272-2006）GB17859-1999） 基线标准 《信息系统安全等级保护基本要求》（报批稿） 辅助标准： 《信息安全等级保护实施指南》（报批稿） 《信息系统安全保护等级定级指南》（国标征求意见稿） 《信息系统安全等级保护 测评准则》（送审稿） 目标标准 《信息安全技术?信息系统通用安全技术要求》（GB/T20271-2006） 《信息安全技术?网络基础安全技术要求》（GB/T20270-2006） 《信息安全技术?操作系统安全技术要求》（GB/T20272-2006） 《信息安全技术?数据库管理系统安全技术要求》（GB/T20273-2006） 《信息安全技术?终端计算机系统安全等级技术要求》（GA/T671） 《信息系统安全安全管理要求》（GB/T20269） 《信息系统安全工程管理要求》（GB/T20282） 《信息安全技术?服务器技术要求》 下面首先介绍就几个主要的标准作一介绍： 43号文件解读 2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发了《信息安全等级保护管理办法》（公通字[2007]43号公通字[200]7号 总则 在总则部分主要对两个方面进行了描述：等级保护的工作思路和各方职责。 在总则中明确指出：“国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理 公安机关 负责信息安全等级保护工作的监督、检查、指导。 保密工作部门 负责等级保护工作中有关保密工作的监督、检查、指导。 密码管理部门 负责等级保护工作中有关密码工作的监督、检查、指导。 国信办及地方信息化领导小组办事机构 负责等级保护工作的部门间协调。 其他 涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。 信息系统主管部门 应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位 应当依照本办法及其相关 标准规范，履行信息安全等级保护的义务和责任。 在这里需要注意的是等级保护的主管部门是公安机关，涉密的信息系统或信息系统中涉密的部分应由保密机关负责，密码的产品应由密码管理部门负责，在等级保护工作中国信办和各地信息办只是负责部门间的协调作用，在我国目前情况是国信办在推行风险评估，