信息安全等级保护操作指南和操作流程DOC

信息安全技术信息系统安全保护等级定级指南ICS35.020L 09中华人民共和国国家标准GB 17859-1999信息安全技术信息系统安全等级保护定级指南Information security technology-Classification guide for classified protection of information system2008-11-01实施__________________________________2008-06-19发布中国国家标准化管理委员会中华人民共和国国家质量监督检验检疫总局发布引言依据国家信息安全等级保护管理规定制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T 22239—2008《信息系统安全等级保护基本要求》；——国家标准《信息系统安全等级保护实施指南》；——国家标准《信息系统安全等级保护测评准则》。

本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。

信息安全技术信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。

2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分：安全（GB/T 5271.8—2001，idt ISO/IEC 2382-8：1998）GB17859 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。

信息安全等级保护操作流程1信息系统定级1.1定级工作实施范围“关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下：（一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

（二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

（三）市（地）级以上党政机关的重要网站和办公信息系统。

（四）涉及国家秘密的信息系统（以下简称“涉密信息系统”）。

注：跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

1.2定级依据标准《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发【2003】27 号文件）《关于信息安全等级保护工作的实施意见》（公通字【2004】66号文件）《电子政务信息系统安全等级保护实施指南（试行）》（国信办【2005】25 号文件）《信息安全等级保护管理办法》（公通字【2007】43 号文件）《计算机信息系统安全保护等级划分准则》《电子政务信息安全等级保护实施指南》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评指南》1.3定级工作流程信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案• 网络拓扑调查• 资产信息调查• 服务信息调查• 系统边界调查• ……• 管理机构分析• 业务类型分析• 物理位置分析• 运行环境分析• ……• 业务信息分析• 系统服务分析• 综合分析• 确定等级• ……• 编写定级报告• ……• 协助评审审批• 形成最终报告• 协助定级备案图 1-1信息系统定级工作流程1.3.1信息系统调查信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查，全面掌握信息系统的数量、分布、业务类型、应用、服务范围、系统结构、管理组织和管理方式等基本情况。

信息系统安全等级保护实施指南信息系统安全等级保护实施指南是指在信息系统使用过程中，根据信息系统的重要性和敏感性，确定信息系统的安全等级，并对不同安全等级的信息系统实施相应的安全措施和保护措施的指南。

该指南能够帮助组织确定信息系统的保护要求，并指导组织在实施信息系统的过程中进行安全控制和风险管理。

下面将具体介绍信息系统安全等级保护实施指南的主要内容。

1.引言通过介绍信息系统安全等级保护实施指南的背景和目的，使读者了解指南的重要性和适用范围。

同时，还可以对信息系统的安全等级划分方法进行简要说明。

2.术语和定义陈述信息系统安全等级保护实施指南中所使用的术语和定义，明确读者在阅读指南时所需理解的基本概念。

3.安全等级划分原则对信息系统的安全等级划分原则进行详细描述，包括安全需求分析、安全威胁评估、风险评估和风险分级等，以帮助组织科学合理地确定信息系统的安全等级。

4.安全等级保护要求根据信息系统的安全等级，对各个安全等级的系统分别列出各自的安全保护要求。

这些保护要求包括技术措施、管理措施和物理措施等，旨在保障信息系统的安全性。

5.安全防护措施对不同安全等级的信息系统，通过列出安全防护措施的具体内容，帮助组织在信息系统实施过程中采取相应的安全控制措施，保障信息的机密性、完整性和可用性。

6.安全保护实施流程根据信息系统安全等级保护的实施指南，给出了详细的安全保护实施流程，包括安全等级备案申请、安全需求分析、安全设计评审和安全验收等。

这些流程可以帮助组织在实施信息系统时有序地进行各项安全控制工作。

7.安全评估和安全检查指导组织对已经实施的信息系统进行定期的安全评估和安全检查，以验证安全控制的有效性，及时发现和解决潜在的安全风险。

8.附录信息系统安全等级保护实施指南对信息系统的安全保护提供了一套科学、系统的操作指南，通过合理的划分安全等级和实施相应的安全措施，帮助组织保护信息系统的安全和合法性。

同时，该指南还可以作为组织内部安全培训和管理的参考依据，提高组织在信息系统安全保护方面的能力和水平。

等保操作指南1. 引言本文档旨在提供一份等保操作指南，以帮助组织有效管理和保护其信息系统的安全。

等保操作是确保信息系统得到安全保护的重要步骤，它有助于预防和应对潜在的安全威胁，确保组织的信息资产得到适当的保护。

2. 等级保护等级定义等保操作的第一步是了解和确定适用于组织的等保等级。

等级保护等级定义了信息系统的安全保护级别，它根据信息系统的重要性和敏感程度进行分类。

根据等级保护等级，组织可以优先分配资源和采取相应的安全措施。

等保等级常见分为一级、二级和三级，具体的等级定义如下：- 一级：关键信息系统，安全保护级别最高，严格控制访问和保护措施；- 二级：重要信息系统，安全保护级别适中，采取必要的安全措施；- 三级：一般信息系统，安全保护级别较低，采取基本的安全措施。

3. 等保操作措施为了确保信息系统的安全，组织应采取一系列的等保操作措施。

以下是一些建议的操作措施：- 访问控制：根据职责和权限划分用户角色，并进行严格的访问控制管理，包括身份验证、授权和审计等；- 加密保护：对重要数据或网络通信进行加密处理，以防止信息泄漏和未授权访问；- 安全审计：建立日志记录和监控机制，对系统活动和事件进行实时监测和审计；- 恶意软件防护：安装和更新恶意软件防护软件，以保护系统不受恶意软件的侵害；- 物理安全措施：保护服务器和网络设备的物理安全，限制未经授权的物理访问；- 安全培训：对组织成员进行定期的安全培训和意识提高，提升他们的安全意识；- 灾备备份：建立数据备份和灾难恢复机制，以防止意外数据丢失和灾难发生。

4. 等保操作计划组织应制定适当的等保操作计划，确保等保操作措施的有效实施和管理。

等保操作计划应包括以下内容：- 等保操作目标和范围的明确定义；- 等保操作措施的详细描述和要求；- 等保操作的时间表和逐步实施计划；- 负责等保操作的责任人和团队的角色和责任；- 监测和评估等保操作执行情况的机制和方法。

5. 结论等保操作是保护信息系统安全的重要手段，组织应根据其等级保护等级制定适合的等保操作措施和计划。

信息系统安全等级保护实施指南为了确保信息系统的安全性，保护敏感数据和减少安全风险，组织需要制定相应的信息系统安全等级保护实施指南。

以下是一些实施指南的建议：1. 确定信息系统的安全等级首先，组织需要对其信息系统进行评估，以确定其安全等级。

安全等级的确定通常基于系统中所存储、处理和传输的信息的敏感程度和重要性。

根据不同的安全等级，组织可以制定相应的安全控制措施。

2. 制定安全策略和流程建立信息系统安全策略和流程是保障信息系统安全的关键。

这些策略和流程应该包括对安全等级的定义、安全控制措施的实施、事件管理、恢复计划等方面的规定。

3. 实施访问控制访问控制是信息系统安全的重要组成部分。

组织应该实施身份验证和授权措施，以确保只有经过授权的用户才能访问敏感信息。

4. 加密敏感数据对于高安全等级的信息系统，组织应该考虑对敏感数据进行加密。

加密可以有效地保护数据，防止其在传输或存储过程中被窃取或篡改。

5. 实施安全审计和监控定期对信息系统进行安全审计和监控，及时发现和应对安全事件。

这些活动可以帮助组织发现系统中可能存在的漏洞和威胁，并采取相应的措施加以应对。

6. 培训员工组织应该定期为员工提供关于信息系统安全的培训，加强员工对安全意识的培养，确保他们能够遵守安全策略和流程，避免因为操作失误造成安全风险。

总之，信息系统安全等级保护实施指南是确保信息系统安全的重要工具。

通过制定相应的安全策略和流程，实施适当的安全控制措施，加强对安全事件的监控和应对，组织可以有效地保护其信息系统的安全。

7. 实施安全漏洞管理及时修补安全漏洞是保护信息系统安全的重要步骤。

组织应该建立漏洞管理流程，对系统中发现的漏洞进行跟踪、分析和修补，以保障系统的安全性。

8. 建立数据备份和恢复机制数据备份是防范信息系统风险的重要手段。

组织应该制定详细的数据备份策略，并确保备份数据的安全性和可靠性。

同时，组织还需要建立完善的数据恢复机制，以应对系统遭受攻击或故障时能够及时恢复。

信息安全等级保护工作流程一、定级一、等级划分计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定，分为五级:第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益.第二级，信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

二、定级程序信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》（下载专区附）确定信息系统的安全保护等级.有主管部门的，应当经主管部门审核批准。

跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

三、定级注意事项第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。

第二级信息系统:适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。

例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统，地市级以上国家机关、企事业单位网站等第三级信息系统：一般适用于地市级以上国家机关、企事业单位内部重要的信息系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省门户网站和重要网站；跨省连接的网络系统等。

例如网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统.第四级信息系统：一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统.例如电信骨干传输网、电力能量管理系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等第五级信息系统:适用于国家特殊领域的极端重要系统。

1信息系统安全等级保护定级指南为宣贯《信息系统安全等级保护定级指南》（以下简称《定级指南》）国家标准，由标准起草人介绍标准制、修订过程，讲解标准的主要内容,解答标准执行中可能遇到的问题。

1.1定级指南标准制修订过程1.1.1制定背景本标准是公安部落实66号文件，满足开展等级保护工作所需要的重要规范性文件之一，是其他标准规范文件的基础。

本标准依据66号文件与“信息安全等级保护管理办法”的精神与原则，从信息系统对国家安全、经济建设、社会生活重要作用，信息系统承载业务的重要性、业务对信息系统的依赖程度与信息系统的安全需求等方面的因素，确定信息系统的安全保护等级，提出了分级的原则与方法。

本任务来自全国信息系统安全标准化技术委员会，由全国信息安全标准化技术委员会WG5工作组负责管理。

1.1.2国外相关资料分析本标准编制前，编制人员收集与信息系统确定等级相关的国外资料，其中主要是来自美国的标准或文献资料，例如：●FIPS 199 Standards for Security Categorization of Federal Information and InformationSystems（美国国家标准与技术研究所）●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certificationand Accreditation Process Application Manual（美国国防部）●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation（美国国防部）●Information Assurance Technology Framework3.1（美国国家安全局）这些资料表明，美国政府及军方也在积极进行信息系统分等级保护的尝试，从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家，也适用于信息化发达国家。

信息安全技术信息系统安全保护等级定级指南ICS35.020L 09中华人民共和国国家标准GB 17859-1999信息安全技术信息系统安全等级保护定级指南Information security technology-Classification guide for classified protection of information system2008-11-01实施__________________________________2008-06-19发布中国国家标准化管理委员会中华人民共和国国家质量监督检验检疫总局发布引言依据国家信息安全等级保护管理规定制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T 22239—2008《信息系统安全等级保护基本要求》；——国家标准《信息系统安全等级保护实施指南》；——国家标准《信息系统安全等级保护测评准则》。

本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。

信息安全技术信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。

2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分：安全（GB/T 5271.8—2001，idt ISO/IEC 2382-8：1998）GB17859 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。

信息系统安全等级保护定级指南信息系统安全等级保护定级指南是根据我国《信息安全等级保护管理办法》（以下简称《办法》）以及相关法律法规，结合信息系统的重要性和需要保护的信息的安全程度，对信息系统进行等级划分和保护要求的指南。

本指南的目的是为了帮助各类信息系统的管理者和相关人员，建立起科学的信息安全等级保护体系，为国家和组织的信息系统安全保护工作提供指导。

1、信息系统安全等级划分信息系统安全等级划分是按照信息系统的功能和保护需求，将信息系统划分为四个等级，分别是一级、二级、三级和四级。

根据《办法》规定，一级是最高级别，四级是最低级别。

不同等级的信息系统对于安全的要求和措施也不同。

一级信息系统是对国家的重要信息系统进行保护的最高级别，需要具备较高的安全性能和控制特性。

二级信息系统对于国家的战略重点部门、重要行业和大型企事业单位进行保护。

三级信息系统主要是对于一般型企事业单位和中小学、医院等部门进行保护。

四级信息系统适用于中小企业、普通学校、个人等。

2、信息系统保护要求信息系统保护要求是根据不同等级的信息系统的特点和需求，确定对信息系统的安全性能和控制特性的具体要求。

在保护要求方面，主要包括以下几个方面的内容：（1）信息系统的可用性要求：指信息系统必须具备较高的稳定性和可靠性，保证信息系统的正常运行和服务的连续性。

（2）信息系统的机密性要求：指对于信息系统内部的重要信息和敏感数据，需要能够进行有效的保护，避免泄露和非法获取。

（3）信息系统的完整性要求：指信息系统在数据的传输和存储过程中，要保证数据不被篡改或者损坏，确保数据的真实性和完整性。

（4）信息系统的审计要求：指信息系统必须具备较高的审计能力，记录和监控系统的操作行为，以便发现和追查安全事件。

（5）信息系统的事故应急要求：指信息系统在发生安全事件或事故时，需要能够及时采取相应的措施，减少损失，并迅速恢复系统的正常工作。

3、实施等级保护的程序和要求需要对信息系统进行等级保护的单位，首先应进行需求分析，明确对信息系统安全的要求和目标，并确定所需保护的信息等级。

目次前言 (III)引言 (IV)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 等级保护实施概述 (1)4.1 基本原则 (1)4.2 角色和职责 (1)4.3 实施的基本流程 (2)5 信息系统定级 (4)5.1 信息系统定级阶段的工作流程 (4)5.2 信息系统分析 (4)5.2.1 系统识别和描述 (4)5.2.2 信息系统划分 (5)5.3 安全保护等级确定 (6)5.3.1 定级、审核和批准 (6)5.3.2 形成定级报告 (6)6 总体安全规划 (7)6.1 总体安全规划阶段的工作流程 (7)6.2 安全需求分析 (8)6.2.1 基本安全需求的确定 (8)6.2.2 额外/特殊安全需求的确定 (9)6.2.3 形成安全需求分析报告 (9)6.3 总体安全设计 (10)6.3.1 总体安全策略设计 (10)6.3.2 安全技术体系结构设计 (10)6.3.3 整体安全管理体系结构设计 (11)6.3.4 设计结果文档化 (12)6.4 安全建设项目规划 (12)6.4.1 安全建设目标确定 (12)6.4.2 安全建设内容规划 (13)6.4.3 形成安全建设项目计划 (13)7 安全设计与实施 (15)7.1 安全设计与实施阶段的工作流程 (15)7.2 安全方案详细设计 (16)7.2.1 技术措施实现内容设计 (16)7.2.2 管理措施实现内容设计 (16)7.2.3 设计结果文档化 (17)7.3 管理措施实现 (17)7.3.1 管理机构和人员的设置 (17)7.3.2 管理制度的建设和修订 (17)7.3.3 人员安全技能培训 (18)7.3.4 安全实施过程管理 (18)7.4 技术措施实现 (19)7.4.1 信息安全产品采购 (19)7.4.2 安全控制开发 (19)7.4.3 安全控制集成 (20)7.4.4 系统验收 (21)8 安全运行与维护 (22)8.1 安全运行与维护阶段的工作流程 (22)8.2 运行管理和控制 (23)8.2.1 运行管理职责确定 (23)8.2.2 运行管理过程控制 (24)8.3 变更管理和控制 (24)8.3.1 变更需求和影响分析 (24)8.3.2 变更过程控制 (25)8.4 安全状态监控 (25)8.4.1 监控对象确定 (25)8.4.2 监控对象状态信息收集 (26)8.4.3 监控状态分析和报告 (26)8.5 安全事件处置和应急预案 (26)8.5.1 安全事件分级 (26)8.5.2 应急预案制定 (27)8.5.3 安全事件处置 (27)8.6 安全检查和持续改进 (28)8.6.1 安全状态检查 (28)8.6.2 改进方案制定 (28)8.6.3 安全改进实施 (29)8.7 等级测评 (29)8.8 系统备案 (29)8.9 监督检查 (30)9 信息系统终止 (30)9.1 信息系统终止阶段的工作流程 (30)9.2 信息转移、暂存和清除 (31)9.3 设备迁移或废弃 (31)9.4 存储介质的清除或销毁 (32)附录A（规范性附录）主要过程及其活动输出 (33)前言本标准的附录A是规范性附录。

信息系统安全等级保护实施指南信息系统安全等级保护是指按照国家有关规定，为了保护信息系统的安全性，对信息系统进行等级划分，并采取相应的安全保护措施。

信息系统安全等级保护实施指南旨在指导信息系统的管理者和运维人员，全面了解信息系统安全等级保护的相关要求，合理规划和实施安全措施，确保信息系统的安全可靠运行。

一、信息系统安全等级划分。

根据《信息安全等级保护管理办法》，信息系统安全等级划分分为五个等级，分别为一级、二级、三级、四级、五级，其中五级为最高等级。

不同等级的信息系统需要采取不同的安全保护措施，确保系统的安全性。

二、信息系统安全等级保护的基本要求。

1. 信息系统安全保护责任，信息系统的管理者应当明确安全保护的责任，建立健全的安全管理机制，明确各级管理人员和相关人员的安全保护职责。

2. 安全保护措施，根据信息系统的安全等级划分，采取相应的安全保护措施，包括物理安全、网络安全、数据安全、应用安全等方面的措施。

3. 安全管理制度，建立健全信息系统安全管理制度，包括安全策略、安全规章制度、安全管理流程等，确保安全管理的规范性和有效性。

4. 安全技术保障措施，采用先进的安全技术手段，包括防火墙、入侵检测系统、安全审计系统等，提高信息系统的安全性能。

5. 安全保护培训，对信息系统管理者和相关人员进行安全保护培训，提高其安全意识和应急处置能力。

三、信息系统安全等级保护的实施指南。

1. 制定安全保护方案，根据信息系统的安全等级划分，制定相应的安全保护方案，明确安全保护的目标和措施。

2. 安全保护技术选型，选择符合信息系统安全等级保护要求的安全技术产品，包括防火墙、入侵检测系统、安全审计系统等。

3. 安全保护措施实施，按照安全保护方案，逐步实施安全保护措施，包括物理安全、网络安全、数据安全、应用安全等方面的措施。

4. 安全管理流程优化，优化信息系统安全管理流程，确保安全管理的规范性和有效性，及时发现和处置安全事件。

信息系统安全等级保护备案操作规范一、项目名称、性质（一）名称：信息系统安全等级保护备案（二）性质：非行政许可二、设定依据二ＯＯ七年六月二十二日公安部、国家保密局、国家密码管理局、国务院信息化工作办公室公通字[2007]43号印发《信息安全等级保护管理办法》第十五条规定：已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。

跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。

三、实施权限和实施主体根据《信息安全等级保护管理办法》第十五条规定，实施主体和权限为：隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续；跨省或者全国统一联网运行的信息系统在自治区一级运行、应用的分支系统及各区直单位运营、使用的信息系统，应当向自治区公安厅网络警察总队备案。

跨省或者全国统一联网运行的信息系统在各市运行、应用的分支系统及各市直单位运营、使用的信息系统，应当向市级公安机关网络警察支队备案。

四、行政审批条件无。

五、实施对象和范围根据《信息安全等级保护管理办法》第十五条的规定，实施对象和范围是：不涉及国家涉密信息系统的运营使用单位、信息系统主管部门。

六、申请材料（一）、《信息系统安全等级保护备案表》；（二）、《信息系统安全等级保护定级报告》；（三）根据《信息安全等级保护管理办法》第十六条的规定，第三级以上信息系统应当同时提供以下材料：（1）系统拓扑结构及说明；（2）系统安全组织机构和管理制度；（3）系统安全保护设施设计实施方案或者改建实施方案；（4）系统使用的信息安全产品清单及其认证、销售许可证明；（5）测评后符合系统安全保护等级的技术检测评估报告；（6）信息系统安全保护等级专家评审意见；（七）主管部门审核批准信息系统安全保护等级的意见。

LanSecS®信息安全等级保护综合管理系统使用说明书—用户指南北京圣博润高新技术股份有限公司目录1。

声明 (7)2。

欢迎使用 (8)2。

1。

LanSecS®信息安全等级保护综合管理系统概述 (8)2.2.阅读指南 (12)3。

入门 (12)3.1。

LanSecS®信息安全等级保护综合管理系统部署环境(服务端) (12)3。

nSecS®信息安全等级保护综合管理系统安装环境（客户端） (13)3。

3。

安装LanSecS®信息安全等级保护综合管理系统服务器安装过程 (14)3.4。

关于LanSecS®信息安全等级保护综合管理系统 (18)4.初次使用LanSecS®信息安全等级保护综合管理系统 (19)4.1.初次登陆 (19)4。

2。

创建第一个角色 (20)4.3.角色授权 (20)4。

4。

创建第一个用户 (21)4.5。

分配角色 (21)4.6。

登录 (22)4.7。

注销 (22)4.8.退出 (22)4.9.修改密码 (22)5。

使用LanSecS®信息安全等级保护综合管理系统 (23)5.1.定级备案 (23)5.1。

1.备案登记 (23)5.1。

2。

备案库265.2.建设整改 (28)5.2。

1。

建设整改285.2.2。

建设整改监控 (43)5.3。

等级测评 (46)5.3。

1。

测评机构的管理465.3.2。

等级测评 (46)5。

3。

3.等级测评监控555.4。

安全检查 (56)5。

4。

1.安全检查制度565。

4。

2。

安全自查管理575.4。

3。

上级部门检查615.4。

4。

公安机关检查685。

4。

5.安全检查监控755。

4。

6.自查基础数据795。

4。

7.自评估管理805.5。

风险评估 (82)5。

5.1.评估机构管理 (82)5。

5.2.风险评估 (82)5。

5.3。

风险评估监控905。

6.安全评价 (92)5.7.日常办公 (93)5.7.1.待办事项 (93)5.7.2。

信息系统安全等级保护实施指南随着信息技术的不断发展和应用，信息系统的安全问题日益受到关注。

为了保障信息系统的安全性，我国制定了《信息安全等级保护实施指南》（以下简称《指南》），旨在指导和规范信息系统安全等级保护工作的实施。

一、引言信息系统安全等级保护是指按照信息系统的重要性和安全需求，将其划分为不同的等级，并根据等级确定相应的安全保护措施。

《指南》的制定旨在提供一套完整的方法论和操作指南，帮助用户合理评估信息系统的安全等级，并制定相应的保护策略和技术措施。

二、等级划分根据《指南》，信息系统安全等级保护分为五个等级，分别为第一级（C1）、第二级（C2）、第三级（C3）、第四级（B1）和第五级（B2/A1）。

这五个等级依次递增，要求的安全保护程度也逐级提高。

三、安全保护要求《指南》中对各个等级的信息系统提出了相应的安全保护要求，包括物理环境安全、人员管理、系统管理、访问控制、数据保护、通信保护等方面。

这些要求是针对各个等级的特点和安全需求而提出的，旨在确保信息系统的完整性、可用性和保密性。

四、安全保护措施为了满足《指南》中的安全保护要求，用户需要采取相应的安全保护措施。

具体的措施包括但不限于：加密技术的应用、身份认证和访问控制的实施、安全审计和监控的建立、灾备和容灾措施的采取等。

这些措施旨在防范各类安全威胁和攻击，并及时发现和处置安全事件。

五、评估与认证为了保证信息系统的安全等级评估的客观性和权威性，《指南》规定了相关的评估方法和程序。

用户在实施信息系统安全等级保护前，需要进行安全评估，评估结果作为制定保护策略和措施的依据。

同时，用户需要通过国家认证机构的认证，以获得相应的安全等级认证证书。

六、实施流程为了指导用户正确实施信息系统安全等级保护，《指南》提供了详细的实施流程。

该流程包括：需求分析、等级评估、安全策略制定、安全保护措施设计、系统实施与运维等环节。

用户根据自身需求和实际情况，按照流程逐步实施，以确保信息系统安全等级保护的有效性和可持续性。

信息安全等级保护定级指南The document was finally revised on 2021附件2信息系统安全保护等级定级指南（试用稿）公安部二〇〇五年十二月目次信息系统安全保护等级定级指南1范围本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。

有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统，该系统的安全保护等级定为5级，不再使用本指南的方法定级。

各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。

2术语和定义下列术语和定义适用于本指南。

2.1 业务信息（Business Information）为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。

2.2 业务信息安全性（Security of Business Information）保证业务信息机密性、完整性和可用性程度的表征。

2.3 业务服务保证性（Assurance of Business Service）保证信息系统完成业务使命程度的表征。

业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。

2.4 信息系统（Information System）基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。

2.5 业务子系统（Business Subsystem）由信息系统的一部分组件构成，是信息系统中能够承载某项业务工作的子系统。

3定级对象如果信息系统只承载一项业务，可以直接为该信息系统确定等级，不必划分业务子系统。

如果信息系统承载多项业务，应根据各项业务的性质和特点，将信息系统分成若干业务子系统，分别为各业务子系统确定安全保护等级，信息系统的安全保护等级由各业务子系统的最高等级决定。

信息系统是进行等级确定和等级保护管理的最终对象。

3.1 信息系统的划分一个组织机构内可能运行一个或多个信息系统，这些信息系统的安全保护等级可以是相同的，也可以是不同的。

信息系统安全等级保护定级指南doc信息系统安全等级保护定级指南一、引言随着信息技术的飞速发展，信息系统的应用已经深入到政府、金融机构、教育机构、公用事业和各类企业中。

与此同时，信息安全问题也日益突出。

为了保障国家关键信息基础设施的安全，防止未经授权的访问、数据泄露和破坏等行为，信息系统安全等级保护定级指南变得尤为重要。

二、信息系统安全等级保护概述信息系统安全等级保护是根据信息的重要性、类别和特征，将其划分为不同的安全等级，并采取相应的安全措施。

安全等级从一级到五级依次提高，代表着信息的重要性和敏感程度。

三、定级方法1、信息分类：根据信息的性质、内容、用途等，将其划分为机密、秘密、内部和公开等不同等级。

2、资产评估：对信息系统的硬件、软件、数据等资产进行评估，分析其价值、重要性以及对组织的影响。

3、威胁评估：分析可能对信息系统构成威胁的因素，包括外部攻击、内部恶意行为、自然灾害等。

4、安全措施评估：评估现有安全措施的有效性，包括防火墙、入侵检测系统、加密技术等。

四、定级步骤1、确定信息系统的业务范围和安全需求。

2、进行资产评估，确定信息系统的资产价值。

3、分析可能面临的威胁，评估安全风险。

4、根据评估结果，确定信息系统的安全等级。

5、采取相应的安全措施，确保信息系统安全等级与业务需求相匹配。

五、总结信息系统安全等级保护定级指南在信息安全工作中具有重要意义。

通过科学合理的定级方法，可以确保信息系统的安全等级与业务需求相匹配，有效降低信息安全风险。

各级政府部门、企事业单位等应加强对信息系统安全等级保护的重视，采取必要措施，确保信息安全。

同时，需要不断加强技术研发和管理制度的完善，提高信息安全保障水平，为信息社会的稳定发展做出贡献。

六、参考文献1、《中华人民共和国网络安全法》2、《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-20193、《信息安全技术信息系统安全等级保护定级指南》GB/T 28873-2012。

等级保护工作的正确工作流程
等级保护工作的正确工作流程包括以下几个步骤：
1. 系统识别与定级：根据《信息系统等级保护管理办法》和《信息系统等级保护定级指南》的要求，确定信息系统的安全等级，明确保护对象。

这个步骤涉及分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度，确定系统被破坏后受侵害的客体以及侵害对客体的侵害程度，综合判定侵害程度，从而初步确定系统的等级。

2. 专家评审：定级对象的运营、使用单位应组织信息安全专家和业务专家，对初步定级结果的合理性进行评审，出具专家评审意见。

3. 主管部门审核：完成专家评审后，应将初步定级结果上报行业主管部门或上级主管部门进行审核。

4. 公安机关审核：将初步定级结果提交公安机关进行备案审查。

如果审查不通过，其运营使用单位应组织重新定级；审查通过后最终确定定级对象的安全保护等级。

5. 备案：等级保护对象的运营、使用单位按照相关管理规定报送本地区公安机关备案。

6. 建设整改：根据已经确定的安全保护等级，按照等级保护的管理规范和技术标准，采购和使用相应的信息安全产品，落实安全技术措施和管理规范，完成系统整改。

对新建、改建、扩建的等级保护的管理规范和技术标准进行规划设计、建设施工。

7. 等级测评：对信息系统进行定期的等级测评，以确保其安全保护
等级与实际需求相符。

以上就是等级保护工作的基本流程，这个过程需要各个部门的密切合作，以确保信息系统的安全。

信息安全等级保护操作的指南和操作流程图信息安全等级保护操作流程1信息系统定级1.1定级工作实施围“关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的围规定如下：（一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

（二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

（三）市（地）级以上党政机关的重要和办公信息系统。

（四）涉及国家秘密的信息系统（以下简称“涉密信息系统”）。

注：跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

涉密信息系统的等级确定按照国家局的有关规定和标准执行。

1.2定级依据标准《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发【2003】27 号文件）《关于信息安全等级保护工作的实施意见》（公通字【2004】66号文件）《电子政务信息系统安全等级保护实施指南（试行）》（国信办【2005】25 号文件）《信息安全等级保护管理办法》（公通字【2007】43 号文件）《计算机信息系统安全保护等级划分准则》《电子政务信息安全等级保护实施指南》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评指南》1.3定级工作流程信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案? 网络拓扑调查? 资产信息调查? 服务信息调查? 系统边界调查? ……管理机构分析? 业务类型分析? 物理位置分析? 运行环境分析? ……业务信息分析? 系统服务分析? 综合分析? 确定等级? ……编写定级报告? ……协助评审审批? 形成最终报告? 协助定级备案图1-1信息系统定级工作流程1.3.1信息系统调查信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查，全面掌握信息系统的数量、分布、业务类型、应用、服务围、系统结构、管理组织和管理方式等基本情况。