信息安全等级保护v1..docVIP

. . 技术白皮书 信息安全等级保护 编 号 版 本 V1.0 编 制 谭伟伟 审 核 审 批 发布日期 2016.12.17 . . 文件更改记录 日期 版本号 修订说明 修订 审核 审批 2016.12.17 V1.0 创建。 谭伟伟 . 目 录 TOC \f \t 标题2,2,标题1,1,标题3,3,标题4,4 1 简介 1 2 分级 1 3 实施原则 1 4 备案 2 5 办理 2 6 定期测评 2 7 标准规范 3 7.1 十大重要标准 3 7.2 其他相关标准 3 8 相关书籍 4 8.1 《信息安全等级保护政策培训教程》 4 简介 信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程，信息安全等级保护简称等保。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。 两个层面：安全技术、安全管理。 相关法律法规 《信息安全等级保护管理办法》 分级 信息安全等级保护共划分为五个等级。 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 实施原则 根据《信息系统安全等级保护实施指南》精神，手册上明确了以下基本原则： 自主保护原则：信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。 重点保护原则：根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。 同步建设原则：信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。 动态调整原则：要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。 备案 第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 办理 ?办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料： （一）系统拓扑结构及说明； （二）系统安全组织机构和管理制度； （三）系统安全保护设施设计实施方案或者改建实施方案； （四）系统使用的信息安全产品清单及其认证、销售许可证明； （五）测评后符合系统安全保护等级的技术检测评估报告； （六）信息系统安全保护等级专家评审意见； （七）主管部门审核批准信息系统安全保护等级的意见。 定期测评 依据《信息安全等级保护管理办法》第十四条规定，第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。 标准规范 十大重要标准 计算机信息系统安全等级保护划分准则 （GB 17859-1999） （基础类标准） 信息系统安全等级保护实施指南 （GB/T 25058-2010） （基础类标准） 信息系统安全保护等级定级指南 （GB/T 22240-2008） （应用类定级标准） 信息系统安全等级保护基本要求 （GB/T 22239-2008） （应用类建设标准） 信息系统通用安全技术要求 （GB/T 20271-2006） （应用类建设标准） 信息系统等级保护安全设计技术要求 （GB/T 25070-2010） （应用类建设标准） 信息系统安全等级保护测评要求 （GB/T 28448-2012）（应用类测评标准） 信息系统安全等级保护测评过程指南 （GB/T 28449-2012）（应用类测评标准） 信息系统安全管理要求 （GB/T 20269-2006） （应用类管理标准） 信息系统安全工程管理要求 （GB/T 20282-2006） （应用类管理标准） 其他相关标准 GB/T 21052-2007 信息安全技术 信