计算机信息系统安全等级保护基础知.识.doc

信息安全等级保护基础知识目录 一、背景 3 二、计算机信息系统安全等级保护是什么 3 2.1计算机信息系统 3 2.2信息安全等级保护 3 三、等级保护内容 4 3.1 为什么要做等级保护 4 3.2等级保护内容 5 3.3相关政策及法律依据 5 3.4等级保护工作意义 7 四、信息系统安全保护等级的划分与保护 8 4.1“自主定级、自主保护”与国家监管 8 4.2信息系统安全保护等级 8 4.3信息系统安全保护等级的定级要素 9 4.4五级保护和监管 9 五、等级保护具体内容和要求 10 5.1信息安全等级保护定级工作 10 5.2 信息安全等级保护备案工作 15 5.3安全建设整改工作 17 5.4 等级保护测评工作 32 5.5 信息安全等级保护监督检查 40 六、内蒙古信息安全等级保护测评中心 41 6.1 团队组成 41 一、背景 随着我国信息化建设程度越来越高，关系国计民生的重要领域信息系统已成为国家的关键基础设施，信息资源已成为重要的战略资源之一信息安全滞后于信息化发展；信息系统安全建设和管理的目标不明确；信息安全保障工作的重点不突出；信息安全监督管理缺乏依据和标准；监管措施有待到位，监管体系尚待完善。管理活动中流动的是信息。 信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上称为的一般指信息系统安全等级保护，是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。对涉及国计民生的基础信息网络和重要信息系统按其重要程度及实际安全需求，合理投入，分级进行保护，分类指导，分阶段实施，保障信息系统安全正常运行和信息安全，提高信息安全综合防护能力，保障国家安全，维护社会秩序和稳定，保障并促进信息化建设健康发展，拉动信息安全和基础信息科学技术发展与产业化，进而牵动经济发展，提高综合国力。 满足国家信息安全等级保护相关政策与标准要求 实现信息系统等级化保护和等级化管理。 帮助客户了解自身系统的安全性，了解信息安全现状和所面临的威胁，从而获得从业务面到技术面的整合需求。 帮助客户了解自身系统的安全要求底线，避免盲目的整改系统及采购设备，造成资金与资源的浪费。 建立有效的信息安全体系、完善信息安全架构，保障客户的业务数据安全与连续性。 通过完善管理制度增强客户的安全意识，减少和避免人为因素造成的安全事件的发生。 3.2等级保护内容 对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护；对信息系统按业务安全应用域和区实行分级保护。 对系统中使用的信息安全产品实行按分级管理。 对等级系统的安全服务资质分级管理。 对信息系统中发生的信息安全事件分等级响应、处置 3.3相关政策及法律依据 3.3.1相关政策 1994年国务院发布了中华人民共和国国务院令（147号）《中华人民共和国计算机信息系统安全保护条例》。自此，国家相关主管部门陆续发布了多项政策及标准，等级保护作为国家信息安全保障整改建设的标准，逐步进入落地阶段： 2003年中办、国办联合发布的中办发[2003]27号文件，关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知； 2004年公安部、保密局、国密办以及国信办联合发布的公通字[2004]66号文件《关于信息安全等级保护工作的实施意见》； 2007年公安部、保密局、国密办和国信办联合发布的公通字[2007]43 号文件《信息安全等级保护管理办法》。 2007年公安部、保密局、国密办和国信办联合发布的公信安[2007]861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》。 2007年公安部发布的公信安[2007]1360号信息安全等级保护备案实施细则公信安[2008]736号公安机关信息安全等级保护检查工作规范发改高技[2008]2071号关于加强国家电子政务工程建设项目信息安全风险评估工作的通知公信安[2009]1429号关于开展信息安全等级保护安全建设整改工作的指导意见3.3.2国家相关政策在计算机信息系统安全等级保护工作中的作用： 3.3.3地区性政策及其他行业指导性文件 内蒙古自治区相关文件 2011年内蒙古自治区人民政府发布第183号政府令《内蒙古自治区计算机信息系统安全保护办法》，自2012年2月1日期施行，计算机系统信息安全等级保护工作在内蒙古自治区进入落地阶段 2012年内蒙古自治区发改委、财政厅、公安厅、保密局、内网办