国家等级保护政策标准-解读

国家等级保护政策标准解读

2.1.2 备案

信息安全等级保护备案工作包括信息系统备案、受理、审核和备案信息管理等工作。信息系统运营使用单位和受理备案的公安机关应按照《信息安全等级保护备案实施细则》的要求办理信息系统备案工作。

第二级以上信息系统，在安全保护等级确定后30天内，由其运营、使用单位或其主管部门到所在地设区的市级以上公安机关办理备案手续。办理备案手续时，应当首先到公安机关指定的网址下载并填写备案表，准备好备案文件，然后到指定的地点备案。

安全设计与实施阶段的目标是按照信息系统安全总体方案的要求，结合信息系统安全建设项目计划，分期分步落实安全措施。

2.4 安全运行与维护

安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节，涉及的内容较多，包括安全运行与维护机构和安全运行与维护机制的建立，环境、资产、设备、介质的管理，网络、系统的管理，密码、密钥的管理，运行、变更的管理，安全状态监控和安全事件处置，安全审计和安全检查等内容。本标准并不对上述所有的管理过程进行描述，希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其它标准或指南。

2.4.1 信息系统建设整改

建设整改是等级保护工作落实的关键所在。确定了各等级信息系统能够达到相应等级的基本保护水平和满足自身需求的安全保护能力。

要求。参与角色包括：信息系统主管部门、信息系统运营使用单位以及信息安全等级测评机构。

等级测评主要参照的标准包括：《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》。

信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。

信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。

经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。

测评机构及其测评人员应严格执行有关管理规范和技术标准，开展客观、公正、公平的等级保护测评服务，并依据《信息安全测评联盟等级测评项目收费指导意见》进行收费。

2.4.3 监督检查

监督检查的目标是通过国家管理部门对信息系统定级、规划设计、建设实施和运行管理等过程进行监督检查，确保其符合信息系统安全保护相应等级的要求。参与角色包括：信息系统主管部门、信息系统运营使用单位以及国家管理部门。

2.5 信息系统终止

信息系统终止阶段是等级保护实施过程中的最后环节。当信息系统被转移、终止或废弃时，正确处理系统内的敏感信息对于确保机构信息资产的安全是至关重要的。在信息系统生命周期中，有些系统并不是真正意义上的废弃，而是改进技术或转变业务到新的信息系统，对于这些信息系统在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的安全。

《信息系统安全等级保护实施指南》（GB/T25058-2010）在信息系统终止阶段关注信息转移、暂存和清除，设备迁移或废弃，存储介质的清除或销毁等活动。

3. 小结

本文主要介绍了国家信息安全等级保护制度的有关法律、政策，信息安全等级保护工作的主要环节、流程等，围绕《信息系统安全等级保护实施指南》（GB/T25058-2010）对信息系统定级、总体安全规划、安全设计与实施、安全运行与维护等方面展开阐述，使读者对国家信息安全等级保护政策标准有一个概括性的了解。