计算机信息系统安全等级保护白皮书讲解.docxVIP

信息安全等级保护白皮书 内蒙古信元信息安全评测有限责任公司 目录 一、背景 . 3 二、计算机信息系统安全等级保护是什么 . 3 2.1 计算机信息系统 3 2.2 信息安全等级保护 4 三、等级保护内容 . 4 3.1 为什么要做等级保护 . 4 3.2 等级保护内容 6 3.3 相关政策及法律依据 6 3.4 等级保护工作意义 8 四、信息系统安全保护等级的划分与保护 . 10 4.1 “自主定级、自主保护”与国家监管 . 10 4.2 信息系统安全保护等级 10 4.3 信息系统安全保护等级的定级要素 11 4.4 五级保护和监管 11 五、等级保护具体内容和要求 . 12 5.1 信息安全等级保护定级工作 12 5.2 信息安全等级保护备案工作 . 17 5.3 安全建设整改工作 19 5.4 等级保护测评工作 . 34 5.5 信息安全等级保护监督检查 . 42 六、内蒙古信息安全等级保护测评中心 . 43 6.1 团队组成 . 43 一、背景 随着我国信息化建设程度越来越高， 关系国计民生的重要领域信息系统已成为国家的关 键基础设施， 信息资源已成为重要的战略资源之一。 当前， 我国基础信息网络和重要信息系 统安全面临的形势十分严峻， 既有外部威胁， 又有自身脆弱性和薄弱环节。 信息安全滞后于 信息化发展； 信息系统安全建设和管理的目标不明确； 信息安全保障工作的重点不突出； 信 息安全监督管理缺乏依据和标准；监管措施有待到位，监管体系尚待完善。 1994 年经党中央和国务院批准，国家信息化领导小组决定加强信息安全保 障工作，实行信息安全等级保护，重点保护基础信息网络和重要信息系统安全， 要抓紧安全等级保护制度建设。这一重大决定， 明确落实了 《中华人民共和国计 算机信息系统安全保护条例》 （国务院令 147 号）中关于实行信息安全等级保护 制度的有关规定，提出了从整体上根本上解决国家信息安全问题的办法 , 进一步 确定了信息安全的发展主线、 中心任务，提出了总要求。对信息系统实行等级保护是国家法定制度和基本国策， 是开展信息安全保护工作的有效办法， 是信息安全保护工作的发展方向。 实行信息安全等级保护的决定具有重大的现实和战略意义。 同时为了更好的维护重要领域信息系统的安全，使安全保护工作走上法制化、规范化、制度化管理轨道。 为进一步贯彻落实 《中华人民共和国计算机信息系统安全保护条例》 （国务院 令 147 号），国家相关主管部门相继颁布了一系列等级保护制度。 《国家信息化领 导小组关于加强信息安全保障工作的意见》 ( 中办发 [2003]27 号 ) 、《信息安全等 级保护管理办法》（公通字 [2007]43 号) 、《关于信息安全等级保护工作的实施 意见》（公通字 [2004]66 号） 、《关于开展全国重要信息系统安全等级保护定级 工作的通知》（公信安 [2007]861 号）。自 2007 年开始，为了提高我国基础信息 网络和重要信息系统的信息安全保护能力和水平， 从国家层面开始推动我国的政 府、金融、电力、通信、交通灯基础行业在全国范围内组织开展重要信息系统安 全等级保护工作。 二、计算机信息系统安全等级保护是什么 2.1 计算机信息系统 计算机信息系统是指以计算机或计算机网络为主体， 按照一定的应用目标和 规则对信息进行采集、加工、存储、传输、检索等处理的人机系统，即信息管理 与信息系统。 信息的定义： 信息是对事物运动状态和特征的描述， 而数据是载荷信息的物 理符号。信息管理过程就是信息的收集、传递、加工。判断、决策的过程，管理 活动中流动的是信息。 2.2 信息安全等级保护 信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、 系统、信息等均依据等级保护思想 的安全工作；狭义上称为的一般指信息系统安全等级保护，是指对国家安全、 法人和其他组织及公民的专有信息以及公开信息和存储、 传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。 对涉及国计民生的基础信息网络和重要信息系统按其重要程度及实际安全需求，合理投入，分级进行保护，分类指导，分阶段实施，保障信息系统安全正 常运行和信息安全，提高信息安全综合防护能力，保障国家安全， 维护社会秩序和稳定，保障并促进信息化建设健康发展， 拉动信息安全和基础信息科学技术发展与产业化，进而牵动经济发展，提高综合国力。 三、等级保护内容 3.1 为什么要做等级保护 当前，我国信息安全面临的形势仍然十分严峻， 维护国家信息安全的任务