信息安全等级保护工作历程

信息安全等级保护工作流程一、定级一、等级划分计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定，分为五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

二、定级程序信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》(下载专区附)确定信息系统的安全保护等级。

有主管部门的，应当经主管部门审核批准。

跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

三、定级注意事项第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。

第二级信息系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。

例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统，地市级以上国家机关、企事业单位网站等第三级信息系统：一般适用于地市级以上国家机关、企事业单位内部重要的信息系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省门户网站和重要网站；跨省连接的网络系统等。

例如网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。

等级保护的时间历程及事项等级保护是一种保护机密信息的措施，它将信息分为不同的等级，根据等级的不同采取不同的保护措施。

下面将以等级保护的时间历程及事项为标题，来介绍等级保护的相关内容。

一、等级保护的起源等级保护最早起源于军事领域，用于保护军事机密。

随着社会的发展，等级保护逐渐应用于政府、企事业单位等领域，成为一种重要的信息保护措施。

二、等级保护的等级划分等级保护根据信息的重要程度和保密性质，将信息分为不同的等级，通常分为绝密、机密、秘密、内部和公开等五个等级。

不同等级的信息需要采取不同的保护措施，以确保信息的安全。

三、等级保护的实施等级保护的实施需要遵循一定的程序和规定。

首先，需要对信息进行分类和等级划分，确定信息的保密等级。

其次，需要制定相应的保密制度和管理办法，明确保密责任和保密措施。

最后，需要对保密人员进行培训和考核，确保他们能够正确地执行保密制度和措施。

四、等级保护的管理等级保护的管理是保证信息安全的关键。

管理人员需要对保密制度和措施进行监督和检查，发现问题及时处理。

同时，需要对保密人员进行定期的安全教育和培训，提高他们的保密意识和技能。

此外，还需要建立健全的保密档案和安全审计制度，确保信息的安全。

五、等级保护的应用等级保护广泛应用于政府、军队、企事业单位等领域。

在政府领域，等级保护用于保护国家机密和重要信息；在军队领域，等级保护用于保护军事机密和作战计划；在企事业单位领域，等级保护用于保护商业机密和技术秘密。

等级保护是一种重要的信息保护措施，它能够有效地保护机密信息的安全。

在实施等级保护时，需要遵循一定的程序和规定，建立健全的保密制度和管理办法，加强保密人员的培训和管理，确保信息的安全。

我国信息系统安全等级保护工作环节信息系统安全等级保护是指根据信息系统的重要性和风险等级，对其进行分类和分级管理，采取相应的安全措施，确保信息系统的安全性、可靠性和可用性。

我国信息系统安全等级保护工作按照一定的流程和环节进行，下面将从需求分析、安全评估、安全设计、安全建设、安全监控和安全评估验证六个环节对我国信息系统安全等级保护工作进行详细介绍。

一、需求分析需求分析是信息系统安全等级保护工作的第一环节，主要目的是明确信息系统的安全需求和等级划分。

在这一环节中，需要对信息系统的功能、数据、用户和业务流程进行全面分析和调研，确定信息系统的安全等级，并明确安全保护的目标和要求。

同时，还需要对相关法律法规和政策要求进行了解和分析，为后续的安全评估和安全设计提供依据。

二、安全评估安全评估是信息系统安全等级保护工作的核心环节，主要通过对信息系统的安全性进行全面评估和分析，确定其安全等级和存在的安全风险。

在这一环节中，需要对信息系统的各个方面进行评估，包括系统的安全功能、安全策略、安全控制和安全性能等。

同时，还需要对系统的物理环境、网络环境和人员管理等方面进行评估，确保系统在各个环节都能达到相应的安全标准。

三、安全设计安全设计是信息系统安全等级保护工作的重要环节，主要目的是根据安全评估的结果，设计出符合信息系统安全等级要求的安全机制和安全措施。

在这一环节中，需要对系统的安全功能和安全策略进行详细设计，并确定相应的安全控制措施和安全性能指标。

同时，还需要对系统的物理环境和网络环境进行设计，确保系统的安全性能和可用性。

四、安全建设安全建设是信息系统安全等级保护工作的实施环节，主要是根据安全设计的要求，对信息系统进行安全性能的建设和实施。

在这一环节中，需要对系统进行安全功能和安全策略的配置，部署相应的安全控制措施和安全设备，确保系统能够按照设计要求达到相应的安全等级。

同时，还需要对系统进行安全测试和漏洞修复，确保系统的安全性能和可用性。

随着信息技术的飞速发展，网络安全问题日益突出，数据泄露、网络攻击等安全事件频发，严重威胁着国家安全、经济安全和人民群众的切身利益。

为了有效应对网络安全威胁，我国逐步建立了安全等级保护制度，本文将从安全等级保护制度的起源、发展历程、现状及未来展望等方面进行阐述。

一、安全等级保护制度的起源安全等级保护制度起源于20世纪70年代的美国。

当时，美国国防部为了应对日益严重的计算机安全威胁，提出了“可信计算机系统评估准则”（Trusted Computer System Evaluation Criteria，TCSEC），即“橘皮书”。

该准则将计算机系统的安全等级分为A、B、C、D四个等级，为计算机系统的安全评估提供了理论依据。

二、安全等级保护制度的发展历程1. 我国安全等级保护制度的起步20世纪90年代，我国开始关注网络安全问题，并借鉴了美国的TCSEC。

1994年，我国发布了《计算机信息系统安全保护等级划分准则》（GB/T 17859-1999），将计算机系统的安全等级划分为A、B、C、D四个等级，为我国网络安全工作提供了基本准则。

2. 安全等级保护制度的完善进入21世纪，我国网络安全形势日益严峻，安全等级保护制度不断完善。

2003年，我国发布了《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008），明确了信息系统安全等级保护的基本要求。

2011年，我国发布了《信息安全技术信息系统安全等级保护管理办法》，对信息系统安全等级保护工作进行了规范。

3. 安全等级保护制度的深化近年来，我国网络安全战略地位不断提升，安全等级保护制度得到进一步深化。

2014年，我国发布了《国家安全法》，将网络安全纳入国家安全体系。

2016年，我国发布了《网络安全法》，明确了网络安全等级保护制度在国家法律体系中的地位。

三、安全等级保护制度的现状1. 安全等级保护制度已在我国全面实施目前，我国网络安全等级保护制度已在全国范围内全面实施。

信息安全等级保护工作简报第（2）期国家信息安全等级保护工作协调小组办公室2007年8月8日公安部举办中央和国家机关重要信息系统安全等级保护定级工作培训班为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合印发的《信息安全等级保护管理办法》（公通字[2007]43号）和《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）文件精神，按照7月20日召开的“全国重要信息系统安全等级保护定级工作电视电话会议”要求，公安部于7月31日在北京举办了中央和国家机关重要信息系统安全等级保护定级工作培训班。

在京的中央和国家机关各部委、国务院各直属机构、办事机构、事业单位（共93家单位）有关同志共计150余人参加了此次培训。

国家网络与信息安全信息通报中心赵林副主任代表公安部公共信息网络安全监察局对定级工作提出了明确要求，强调了开展定级工作的重要性和紧迫性，并对定级工作中的关键问题和重要环节进行了说明。

公安部公共信息网络安全监察局信息安全等级保护工作指导处郭启全处长就开展信息安全等级保护工作的政策规范、方法、流程进行了深入、详尽的讲解。

公安部信息安全等级保护评估中心同志对等级保护有关技术标准进行了详细介绍。

此次培训的主要内容有以下几个方面：一、强调了开展信息安全等级保护工作的意义信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法，开展信息安全等级保护工作是促进信息化发展，维护国家信息安全的根本保障。

信息安全等级保护是当今发达国家保护关键信息基础设施安全，从而保障信息安全的通行做法，也是我国多年来信息安全工作的经验总结。

开展信息安全等级保护工作，就是要解决我国信息安全面临的威胁和存在的主要问题，实行国家对重要信息系统进行重点安全保障的重大措施，有效体现“适度安全、保护重点”的目的，将有限的财力、物力、人力投入到重要信息系统安全保护中，按标准建设安全保护措施，建立安全保护制度，落实安全责任，加强监督检查，有效提高我国信息和信息系统安全建设的整体水平。

我国等级保护发展历程1994年，国务院颁布《中华人民共和国计算机信息系统安全保护条例》，规定计算机信息系统实行安全等级保护。

1999年9月13日,由国家公安部提出并组织制定,国家质量技术监督局发布了《计算机信息系统安全保护等级划分准则》,并定于2001年1月1日实施其中把计算机信息安全划分为了5个等级。

2003年，中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。

2004-2006年，公安部联合四部委开展涉及65117家单位，共115319个信息系统的等级保护基础调查和等级保护试点工作，为全面开展等级保护工作奠基。

2007年6月，四部门联合出台《信息安全等级保护管理办法》。

明确了信息安全等级保护制度的基本内容、流程及工作要求，明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务，为开展信息安全等级保护工作提供了规范保障。

2007年7月，四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。

2007年7月20日，召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议，标志着信息安全等级保护制度正式开始实施。

2009年10月，公安部出台了《关于开展信息安全等级保护建设整改工作的指导意见》（公信安[2009]1429号），并对中央和国家机关九十多个部委和直属机构等进行了等级保护建设整改工作培训，评估中心对建设整改工作的技术方法和流程进行了培训。

同年，公安部以（公信安[2009]1487号）文件的形式下发了由评估中心编写的《信息系统安全等级保护测评报告模板（试行）》。

2010年4月，公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》，提出等级保护工作的阶段性目标。

2010年12月，公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》，要求中央企业贯彻执行等级保护工作。

了解网络安全等级保护发展历程解读网络安全等级保护2.0背景及变化一、首先跟大家讲讲什么是网络安全等级保护？网络安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

二、了解网络安全等级保护发展历程●1994-2007 网络安全等级保护起步与探索1994年2月18日《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令）2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）2004年9月15日《关于信息安全等级保护工作的实施意见》2007年6月22日《信息安全等级保护管理办法》（公通字［2007］43号）2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）●2007-2016 网络安全等级保护标准化与发展GB/T 22239—2008 基本要求；22240、25070、28448、28449等保国标系列标准。

●2016-2019 网络安全等级保护行业深耕落地2017年6月1日《中华人民共和国网络安全法》2018年6月27日《网络安全等级保护管理条例（征求意见稿）》●2019——进入网络安全等级保护2.0时代2019年5月13日《信息安全技术网络安全等级保护基本要求》2020年7月22日《贯彻落实网络安全等保制度和关保制度的指导意见》（公安部1960号）2020年11月1日《信息安全技术网络安全等级保护定级指南GB/T22240-2020》正式实施三、了解网络安全等级保护2.0的背景自1994年第“147号令”，我国开始实施信息系统等级保护。

十几年来，在金融、能源、电信、医疗卫生等多个行业都已深耕落地，但是随着云计算、大数据、物联网、移动互联以及人工智能等新技术的发展，等级保护1.0已无法有效的应对新技术带来的信息安全风险，为了满足新的技术挑战，有效防范和管理各种信息技术风险，提升国家层面的安全水平，等级保护2.0应时而生。

186 / CHINA MANAGEMENT INFORMATIONIZATION2017年1月第20卷第2期中国管理信息化China Management InformationizationJan.,2017Vol.20,No.20 引　言随着全球信息技术的快速发展，我国国民经济的繁荣和社会信息化水平的日益提升，信息安全已上升为国家层面的重要内容。

为进一步提高信息安全保障工作的能力和水平，2016年国家网络安全宣传周首次在全国范围内统一举办，并首次在地方城市举行开幕式等重要活动。

由此信息安全等级保护制度也越来越成为信息社会必不可少的一项制度，等级测评工作也将随之逐步成为一项常规化工作，对保障国家网络安全具有重要意义。

下文对信息安全等级保护的概念及发展状况进行梳理。

1 信息安全等级保护的概念信息安全等级保护是对信息及信息载体按照重要性等级分别进行保护的一种工作，是国际上很多国家都实施的一项信息安全工作。

在中国，信息安全等级保护广义上是为涉及信息安全工作的标准、产品、系统、信息等依据等级保护思想确立的安全工作；狭义上一般指信息系统安全等级保护。

2 信息安全等级保护的发展历程全球化网络快速发展的同时其脆弱性和安全性也日益彰显，西方发达国家制定了一系列强化网络信息安全建设的政策和标准，其核心就是将不同重要程度的信息系统划分为不同的安全等级，以便于对不同领域的信息安全工作进行指导。

鉴于此，我国相关部门和专家结合我国信息领域的实际情况经过多年的研究，于1994年由国务院下发了《中华人民共和国计算机信息系统安全保护条例》，首次提出了信息安全等级保护的概念，用于解决我国信息安全问题。

之后经过了十几年的摸索和探究出台了一系列从中央到地方的政策法规，并实施工程。

从计算机系统的定级到等级保护测评，信息安全工作逐步完善。

详情见表1。

随着国家对信息安全工作的重视以及各类等级保护规范标准的出台，各行业及监管部门迅速发文响应并落实行业内信息系统安全等级保护工作。

信息安全等级保护工作流程图信息安全等级保护（以下简称保护）是指建立的信息安全保护制度，对具有不同敏感程度的信息进行分类管理、技术防范以及安全评估等一系列工作。

保护工作流程包括三个部分：信息分类及保护等级确定、保护措施实施、保护效果监督评估。

一、信息分类及保护等级确定1、信息分类根据《信息安全等级保护管理办法》（以下简称《办法》）规定，信息分类包括5个级别：核心、重要、一般、非密和公开。

具体细则如下：核心：涉及国家安全、重大国家利益、核武器、大型军事装备、国防基础设施等领域的信息；重要：涉及重要领域的信息，如外交、军事、科技、财经、人事、公共安全等；一般：涉及政务信息化建设、电子政务、位置信息、公共互联网网站等领域的信息；非密：不属于前三种级别的信息，且未被公开的；公开：经过审查批准可以公开的信息。

2、保护等级的确定根据信息的重要性和敏感程度，将信息分类等级和保护级别确定。

按照《办法》规定，保护等级包括三个级别：基本、重要、关键。

具体细则如下：基本：指对一般、非密和公开信息实施的最低级别的保护措施；重要：指对重要信息实施的中级别保护措施；关键：指对核心信息实施的最高级别的保护措施。

由此确定保护等级应当结合实际情况，按照信息的价值、保密需要、依赖程度等因素综合分析确定。

二、保护措施实施1、基本保护基本保护主要是通过加强管理、技术措施和人员行为等方面的控制来保护以一般、非密和公开等级的信息。

包括以下关键步骤：（1）建立信息保护制度，如统一的信息安全管理规范、管理制度等；（2）确保系统、网络和设备安全，如加装防火墙、入侵检测系统等；（3）颁布相关的管理规定和标准，如制定业务切换管理规则、安全监控规则等；（4）加强人员管理，如定期招聘、培训和考核员工的安全意识等；（5）加强出入库管理，保证信息不被泄漏。

2、重要保护对于重要级别的信息，应当实施更为严格的保护措施，主要包括以下步骤：（1）分类控制，对不同级别的信息进行分类控制，并进行严格的安全策略制定和应用；（2）针对特定需求，采用特定安全措施，如密钥管理、隔离网络等；（3）加强安全审计，确保把安全管理制度落实到位，避免人员行为造成严重的安全事件。

信息安全等级保护工作流程介绍导语信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。

解读:信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。

根据信息系统等级保护相关标准，等级保护工作总共分五个阶段，分别为：一是定级。

信息系统运营使用单位按照等级保护管理办法和定级指南，自主确定信息系统的安全保护等级。

有上级主管部门的，应当经上级主管部门审批。

跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。

虽然说的是自主定级，但是也得根据系统实际情况去定级，有行业指导文件的根据指导文件来，没有文件的根据定级指南来，总之一句话合理定级，该是几级就是几级，不要定的高也不要定的低。

二是备案。

第二级以上信息系统定级单位到所在地所在地设区的市级以上公安机关办理备案手续。

省级单位到省公安厅网安总队备案，各地市单位一般直接到市级网安支队备案，也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的，具体根据各地市要求来。

备案的时候带上定级资料去网安部门，一般两份纸质文档，一份电子档，纸质的首页加盖单位公章。

三是系统安全建设。

信息系统安全保护等级确定后，运营使用单位按照管理规范和技术标准，选择管理办法要求的信息安全产品，建设符合等级要求的信息安全设施，建立安全组织，制定并落实安全管理制度。

四是等级测评。

信息系统建设完成后，运营使用单位选择符合管理办法要求的检测机构，对信息系统安全等级状况开展等级测评。

测评完成之后根据发现的安全问题及时进行整改，特别是高危风险。

测评的结论分为：不符合、基本符合、符合。

当然符合基本是不可能的，那是理想状态。

五是监督检查。

公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款，监督检查运营使用单位开展等级保护工作，定期对信息系统进行安全检查。

运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。

其中定级、备案工作原则上是由用户单位自己填写定级备案表交给公安网监部门去进行备案工作，但考虑到实际情况，绝大多数情况下都是用户单位在测评机构的协助下完成这些工作。

信息安全等级保护主要工作介绍根据国家制订的信息系统安全等级保护实施指南的相关要求，结合**单位医疗卫生行业的特性,我公司将医疗卫生机构的等级保护工作实施划分为以下流程：等级保护工作实施流程整个等级保护实施过程包括九个工作环节，具体为信息系统定级、信息系统备案、安全差距测评、安全整改、第三方等保测评、安全运维、信息系统终止7个基本流程和面向新建系统的安全规划/设计、安全建设实施2个附加流程。

在等级保护实施过程中，其中一些规定的工作环节由于涉及信息安全的专业技术，医疗卫生单位由于自身工作专长所限，一般由国家规定的建设、测评机构进行建设和测评指导。

我公司针对此情况，专为医疗卫生行业提供信息系统定级、信息系统定级信息系统备案安全规划/设计安全建设实施安全差距测评安全j 建设/整改安全运维信息系统终止重大变更局部调整是否新建系统第三方等保测评新建已建通过未通过信息系统备案、安全差距测评、安全整改和第三方等保测评（验收测评）等技术相关细节实施的安全服务。

本等级保护测评方案主要包括：信息系统定级、信息系统备案、安全差距测评、整改辅助和验收测评三个部分的内容。

2.1.信息系统定级信息系统定级是整个信息系统等级保护工作的第一个重要环节，是等级保护工作的首要环节，是展开信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。

在信息系统等级保护等级确定以后，信息系统运营和使用单位将根据国家信息安全等级保护管理规范和技术标准，开展信息系统安全建设和改建工作，因此，信息系统安全保护等级确定的准确与否非常关键。

我公司将配合医疗行业收集、整理、组织专家会研讨等多种方式，根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定安全保护等级。

由于同一行业内部的处理相同业务的信息系统之间具有相似性，这些信息系统对于国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的影响程度具有类比性，同时，行业主管部门一般比信息系统的运营、使用单位具有更高的站位、更宏观的视野，从而可以做出更准确地判断。