等级保护工作开展参考资料.docVIP

等级保护工作开展参考资料 文档说明 目标对象： 客户单位的信息主管/计算机信息系统运维管理人员 文档功能： 与客户一起探讨“信息安全等级保护工作”开展工作方法 等级保护重要性 ?我们国家信息安全，当前的主要任务之一是要贯彻落实等级保护。等级保护对于我们国家所用的信息系统，按照它的重要性、等级的要求进行保护。这是非常重要的信息安全保障的基本制度。 执行标准速查表 序号 工作内容 执行标准 标准代号 1 指导思想 信息安全等级保护工作 信息安全等级保护管理办法 (公通字[2007]43号) 2 基础 　 计算机信息系统安全保护等级划分准则 (GB 17859-1999） 3 　 信息系统安全等级保护实施指南 (GB/T 25058-2010） 4 定级 　 信息系统安全等级保护定级指南 (GB/T 22240-2008） 5 　 信息系统安全等级保护基本要求 (GB/T 22239-2008） 6 建设 　 信息系统通用安全技术要求 (GB/T 20271-2006） 7 　 信息系统等级保护安全设计技术要求 (GB/T 25070-2010） 8 测评 　 信息系统安全等级保护测评要求 (GB/T 28448-2012) 9 　 信息系统安全等级保护测评过程指南 (GB/T 28449-2012) 10 运维 　 信息安全技术信息系统安全管理要求 (GB/T 20269-2006) 11 　 信息系统安全工程管理要求 (GB/T 20282-2006) 等保工作流程 信息安全等级保护是国家信息安全保障的基本制度，等级保护的整体实施工作包括等级保护定级与备案、等级保护差距分析、系统安全建设与整改、等级测评和监督检查等几个阶段。 其中定级/备案是信息安全等级保护的首要环节，可以梳理各行业、各部门、各单位的信息系统类型、重要程度和数量等，确定信息安全保护的重点。是进行相应等级安全建设的依据。 而安全建设整改是信息安全等级保护工作落实的关键，通过建设整改使具有不同等级的信息系统达到相应等级的基本保护能力，从而提高我国基础网络和重要信息系统整体防护能力。 ?用户完成定级工作之后，更主要的是依据等级保护整改的相关要求，通过一套规范的等保整改过程，进行风险评估和等级保护差距分析，制定完整的安全整改建议方案，进行等级化安全体系的设计与建设，最终符合国家等级保护建设要求。用户必须在深入理解定级的根本要求、充分调查评估信息资产价值和安全风险的基础上才能完成形成合理的整改建议方案。 等级测评工作的主体是第三方测评中心，工作目的是检验和评价信息系统的安全建设整改工作的成效，判断安全保护能力是否达到相关要求。 监督检查工作的主体是信息安全职能管理部门，通过定期的监督、检查和指导，保障重要信息系统安全保护能力不断提高。 参考---“沈昌祥院士对等保工作的意见” 《关于重要信息系统安全等级保护定级的几点意见》 国家信息安全保护等级专家评审委员会主任 沈昌祥 院士 ?在调研、定级评审过程中，也发现当前定级工作还存在少数部门信息系统定级不合理、不准确问题。结合工作中掌握的一些具体情况，我认为主要有以下几方面原因：一是有些部门未能站在国家安全、社会稳定的高度统筹考虑信息系统等级，而仅从行业和信息系统自身安全角度考虑。二是有些部门认为信息系统级别定高，要花费更多的资金，单位负担加重。三是有些部门对本行业下级单位定级指导不力，同类信息系统下级部门定级偏低，特别是一些重要行业地市级单位的系统级别偏低。四是少数部门领导对定级工作重视不够，还有些部门以信息系统运维单位为主进行定级，业务单位参与定级不够。 信息安全等级保护制度是国家信息安全保障的基本制度，而定级是等级保护工作的首要环节和关键环节，定级不准，系统备案、建设、整改、等级测评等后续工作都会失去意义，信息系统安全就没有保证。定级时应主要考虑信息系统破坏后对国家安全、社会稳定的影响。确定为三级以上的信息系统，均属于国家的重要信息系统，是国家要保护的重点，国家财政、有关部门要投入财力、物力、人力，保证其安全。重要信息系统属于国家关键基础设施，需要运营使用单位、主管部门真正承担起安全责任，同时，信息安全监管部门代表国家对重要信息系统的安全进行监督、检查、指导。在重要信息系统安全方面，运营使用单位和主管部门是第一责任部门，负主要责任，信息安全监管部门是第二责任部门，负监管责任。运营使用单位、主管部门和信息安全监管部门密切配合，共同承担责任，才能保护好国家基础信息网络和重要信息系统的安全。 结合有些单位在定级工作中存在的问题，我就信息系统定级谈几点意见。 （一）准确确定定级对象。 在定级工作中，如何科学、合理地确定定级对象是最关键的问题。这里首先要明确一个概念，信息系统包括起支撑、传输作用的基础信息网络和各类应用系统