信息安全等级保护.pdfVIP

信息安全等级保护 1.定义 （百度百科）信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在 中国、美国等很多国家都存在的一种信息安全领域的工作。 （百度文库）信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织 公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息 安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护 国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。 2. 工作内容 信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶 段。 3. 核心 信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。 4.分级 第一级为自主保护级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损 害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术 标准进行保护。 第二级为指导保护级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或 者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等 级保护工作进行指导。 第三级为监督保护级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全 造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。 第四级为强制保护级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家 安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。 第五级专控保护级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对 该级信息系统安全等级保护工作进行专门监督、检查。 5. 体系结构 （1）技术部分 包括物理安全，网络安全，主机安全，应用安全，数据安全。 （2）管理部分 包括安全管理机构，安全管理制度，人员安全管理，系统建设管理，系统运维管理。（PS.补充内容） 6.信息安全等级保护制度的原则 信息安全等级保护制度遵循以下基本原则： （一）明确责任，共同保护。通过等级保护，组织和动员国家、法人和其他组织、公民 共同参与信息安全保护工作；各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护责 任。 （二）依照标准，自行保护。国家运用强制性的规范及标准，要求信息和信息系统按照相应的建设和管 理要求，自行定级、自行保护。 （三）同步建设，动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施，保障信息安 全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级 需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级。等 级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。 （四）指导监督，重点保护。国家指定信息安全监管职能部门通过备案、指导、检查、督促整改等方 式，对重要信息和信息系统的信息安全保护工作进行指导监督。国家重点保护涉及国家安全、经济命 脉、社会稳定的基础信息网络和重要信息系统，主要包括：国家事务处理信息系统（党政机关办公系 统）；财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民 生的信息系统；教育、国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信息 系统；网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。 7.信息安全等级保护工作主要环节 （一）组织开展调查摸底。各信息系统主管部门、运营使用单位组织开展对所属信息系统的摸底调查， 全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构以及系统建设规划等基本情 况，为开展信息安全等级保护工作打下基础。 （二）合理确定保护等级。各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全 等级保护定级指南》，确定定级对象的安全保护等级。涉密信息系统的等级确定按照国家保密局的有关 规定和标准执行。对拟确定为第四级以上信息系统的，由运营使用单位或主管部门请国家信息安全保护 等级专家评审委员会评审。 （三）开展安全建设整改。各信息系统主管部门和运营使用单位应当根据确定的安全保护等级，对已有 的信息系统按照等级保护的管理规范和技术标准，采购和使用相应等级要求的信息安全产品，落实安全 技术措施，完成系统整改。对新建、改建、扩建的信