2019年整理重要信息系统定级工作实施方案及说明-中国信息安全等级保护网资料

信息系统信息安全等级保护定级指南你想想，这些信息系统就像是一个个家门口的铁门，防得住小偷，挡得住坏人。

问题是，你的铁门到底得有多坚固？这就涉及到“定级”问题了。

简单来说，定级就是你得评估一下，你家的“铁门”值多少分，能防住多大的威胁。

为了确保信息不被人偷走，也不让重要的事情暴露出去，国家制定了这么一套标准，帮助企业和组织对自己的系统安全进行评级。

别看这玩意儿名字复杂，实际上说白了就是把信息系统分成几个等级，给它们穿上合适的“防护服”。

信息安全的定级到底有啥用呢？简单来说，它能告诉你：这个系统能抵挡的威胁有多大，万一被攻击了，损失能有多严重。

如果系统的等级高，那它的安全要求就高，你得做得更精细，花更多心思去防护。

反过来，如果系统级别低，那你也可以稍微放松点，但也不能完全掉以轻心——毕竟，低级别的防护不代表没风险，谁知道小偷什么时候打破门槛呢？举个例子，假设你的公司搞的是医疗数据管理，涉及到病人的隐私信息。

如果被黑客入侵，后果可就严重了。

因为一旦个人数据泄露，不仅会给公司带来巨大的经济损失，还可能涉及到法律责任。

那你觉得，这样的系统是不是得定个高级别？反过来，如果是一个小小的博客网站，涉及的只是一些无关紧要的内容，那可能就没那么高的安全需求了，定个低级别也行。

不过，说到这里，也不能以为定级就完事儿了。

定级只是个起点，真正的挑战在于如何把定下来的等级落实到实际的安全措施上。

你得根据自己的定级要求，做出相应的技术和管理措施。

比如高级别系统，得有强力的防火墙、入侵检测系统、加密技术等等，确保信息不被泄露。

别小看这些技术，它们可不是一两块钱就能解决的，得好好预算一番，才能搭建出一套符合定级要求的系统。

你还得定期检查、评估，看看自己系统的安全防护到底是不是“硬如铁”。

别到时候等黑客已经把门撞开了，你才发现自己“铁门”上那把锁其实是纸糊的。

这就像是你家门口的狗，如果它天天吃得不好，没力气守家了，那你怎么能放心让它看门呢？所以定级之后，得时刻维护，确保你的安全措施始终在线，不能掉以轻心。

编号：产品范围有关指标参数说明材料产品名称： 型号： 版本号： 申请方名称（盖章）： 申请日期：中国网络安全审查技术与认证中心制填表说明一、本文档适用于认证申请单位或者获证单位对安全认证产品的范围相关技术指标等情况进行说明。

其中，范围指标及参数要求根据《网络关键设备和网络安全专用产品目录（第一批）》拟定，具体要求参见本文档附件2。

二、申请方在填写申请书的时候，不能对申请书现有文字进行任何修改，如表格栏目填写空间不足，可自行添加附页。

三、封面中的“申请方名称”是指进行认证申请单位或获证单位的法人单位全称。

四、本表中有选择的地方请将选中的选项前的“ ”加黑或勾选。

五、“产品情况”表中“产品范围”项仅保留申请安全认证产品对应的类别所在行，其他行删除。

六、申请方需提交纸版资料1份，电子版1份。

七、申请方需提供本文档中填写的技术指标有关证明材料（如测试报告等）的复印件，并加盖公章。

注：产品未获得认证证书的申请方此页删除。

申请方声明我方遵守《中华人民共和国网络安全法》、《中华人民共和国认证认可条例》及相关法律法规的规定，严格履行认证过程中的各项要求，并承诺：1．遵守中国网络安全审查技术与认证中心的有关程序和规定。

2．为开展认证提供必要、及时的配合。

3．确保提交资料中所有内容的真实性、有效性和准确性。

法定代表人（签字）申请方公章年月日申请方基本情况产品情况附件1产品范围参数有关证明材料清单申请方代表：（签字）附件2网络关键设备和网络安全专用产品范围指标参数要求。

以我给的标题写文档，最低1503字，要求以Markdown文本格式输出，不要带图片，标题为：信息安全等级保护实施方案# 信息安全等级保护实施方案## 1. 简介信息安全等级保护是指根据信息系统存在的风险和威胁，以及信息系统中保存、处理、传输的信息的重要程度，采取一系列技术措施和管理措施，保障信息系统的安全性、完整性和可用性。

本文档旨在制定信息安全等级保护实施方案，以保障组织的信息系统安全。

## 2. 背景随着信息技术的迅猛发展，信息安全面临越来越多的威胁和风险。

信息泄露、数据丢失、系统瘫痪等问题对组织的业务运营和声誉造成重大影响。

因此，建立信息安全等级保护体系，成为组织确保信息系统安全的关键。

## 3. 目标本方案旨在确保信息系统的安全性和可用性，保护信息资产，防止信息泄露、篡改和破坏，降低信息系统遭受威胁和风险的可能性。

通过制定相应的技术和管理措施，使得信息系统能够有效应对各种威胁，并保持高水平的安全防护。

## 4. 信息安全等级划分根据信息的重要性和敏感程度，将信息分为不同等级，以便采取针对性的安全保护措施。

一般情况下，信息安全等级划分包括以下几个等级：- 高级别：对组织的运营和战略有重大影响的关键信息。

泄露或遭受破坏将会造成严重的损失和后果。

- 中级别：对组织运营有一定影响的重要信息。

泄露或遭受破坏将会对组织造成一定的损失和后果。

- 低级别：对组织运营影响较小的一般信息。

泄露或遭受破坏的损失和后果相对较小。

## 5. 实施方案### 5.1 资产分类与分级根据信息安全等级划分，对信息系统中的各类资产进行分类和分级。

考虑以下因素：- 信息的重要性和敏感程度；- 信息系统对业务运营的影响程度；- 信息的传输和处理风险；- 泄露或破坏后果的严重程度等。

### 5.2 安全需求分析针对不同等级的资产和信息，进行安全需求分析。

根据资产分类和分级结果，确定不同等级资产的安全要求，包括但不限于以下方面：- 访问控制：确保只有授权人员能够访问和处理信息；- 数据加密：对敏感信息进行加密保护，防止泄露和篡改；- 安全审计：记录和审计信息系统的使用情况，及时发现异常行为和安全事件；- 网络防护：采取防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）等技术手段，保护信息系统免受外部威胁。

等保实施方案一、概述信息安全等级保护（以下简称“等保”）是指对信息系统按照其安全等级的要求，采取相应的技术、管理和物理措施，保护信息系统安全的一种综合性保护措施。

为了确保信息系统的安全性和稳定性，我们制定了本等保实施方案，旨在全面提升信息系统的安全等级，保障信息系统的正常运行和信息的安全性。

二、等保实施方案的基本原则1. 法律依据：严格按照国家相关法律法规和政策要求，确保等保工作合法合规。

2. 整体设计：根据信息系统的实际情况，制定整体的等保方案，确保全面覆盖和无遗漏。

3. 分级保护：根据信息系统的安全等级要求，采取相应的技术、管理和物理措施，实施分级保护。

4. 风险评估：开展全面的风险评估工作，识别和评估信息系统可能面临的各类安全风险。

5. 防护措施：采取有效的技术手段和管理措施，确保信息系统的安全性和可靠性。

6. 持续改进：建立健全的信息安全管理体系，加强对等保工作的监督和评估，不断改进和完善等保措施。

三、等保实施方案的具体措施1. 制定等保管理制度：建立健全信息安全管理制度，明确各级责任人的职责和权限，确保等保工作的顺利开展。

2. 加强网络安全防护：建立完善的网络安全防护体系，包括入侵检测系统、防火墙、安全网关等技术手段，确保网络的安全可靠。

3. 完善权限管理机制：建立严格的权限管理机制，包括用户身份认证、访问控制、操作审计等措施，确保信息系统的安全性和可控性。

4. 加强数据保护：采取加密、备份、灾难恢复等措施，保护重要数据的安全性和完整性。

5. 定期漏洞扫描与修复：定期对信息系统进行漏洞扫描，及时修复系统中存在的安全漏洞，确保系统的安全性。

6. 加强安全意识教育：开展针对员工的安全意识培训，提高员工对信息安全的重视和保护意识。

7. 强化安全监控：建立健全的安全监控体系，对信息系统的安全状态进行实时监控和预警，及时发现和应对安全威胁。

四、等保实施方案的监督与评估1. 建立等保工作的监督机制，由专门的信息安全管理部门负责对等保工作进行监督和检查。

信息系统安全保护等级定级指南摘要本文档旨在为企业和组织提供信息系统安全保护等级定级指南，帮助他们评估和确定信息系统的安全保护等级。

通过合理的等级定级，企业和组织可以根据其业务需求制定相应的安全防护策略，提高信息系统的安全性。

1. 引言信息系统安全是当今数字化时代的重要议题。

随着互联网技术的发展和普及，企业和组织正面临着越来越多的安全威胁。

为了保护信息系统免受恶意攻击和非法访问，以及确保敏感信息的保密性、完整性和可用性，确定信息系统的安全保护等级至关重要。

等级定级是一个评估过程，通过评估信息系统在保密性、完整性和可用性方面的需求和风险来确定其安全保护等级。

本指南提供了一套可行的等级定级方法和准则，以帮助企业和组织评估其信息系统的安全需求，并建立相应的安全措施。

2. 安全保护等级安全保护等级是对信息系统在保密性、完整性和可用性方面的要求和风险进行划分的等级。

本指南采用了三级安全保护等级：•一级安全保护等级：对信息系统的安全需求要求最高，适用于处理高度敏感信息的系统，如核心业务系统、国家安全信息系统等；•二级安全保护等级：对信息系统的安全需求要求较高，适用于处理敏感信息的系统，如金融业务系统、医疗保健系统等；•三级安全保护等级：对信息系统的安全需求要求较低，适用于处理一般信息的系统，如企业内部协同系统、电子邮件系统等。

每个等级都对保密性、完整性和可用性进行了明确的要求和评估准则，以帮助企业和组织确定其信息系统所需的安全保护等级。

3. 等级定级过程等级定级是一个系统的、有步骤的过程，以确定信息系统的安全保护等级。

以下是等级定级过程的主要步骤：3.1 识别信息系统首先，需要明确要定级的信息系统，包括系统的角色、功能、业务流程等。

这有助于更好地理解系统的需求和风险。

3.2 确定安全目标根据信息系统的角色和功能，确定安全目标，包括保密性、完整性和可用性。

例如，对于一级安全保护等级的信息系统，保密性要求可能非常高，而可用性要求相对较低。

信息安全等级保护工作实施方案一、概述随着互联网和信息技术的迅猛发展，信息安全问题日益突出。

为了确保国家和组织的信息资产安全，信息安全等级保护工作应该得到高度重视和实施。

本文旨在提出一套实施信息安全等级保护工作的方案，以帮助企业和组织有效保护信息资产不受威胁。

二、工作目标1. 建立完善的信息安全管理体系，确保信息安全工作可持续进行。

2. 防范各类信息安全威胁，保护信息资产不受未经授权的访问、窃取、损毁和篡改。

3. 有效应对各种安全事件和危机，减少信息资产损失和运营中断。

三、工作内容1. 制定和完善信息安全政策和制度建立信息安全管理体系，明确信息安全的基本原则和要求，明确各个职责部门的安全责任和义务，制定相关的信息安全政策和制度。

2. 建立信息资产清单和分类按照信息资产的重要程度和敏感程度，对信息资产进行分类，制定相应的安全保护措施。

建立信息资产清单，对每个资产进行详细的描述和记录，包括所有者、责任人、敏感程度、存储位置等信息。

3. 风险评估和管理对信息系统进行风险评估和管理，确定信息安全风险的发生概率和影响程度，制定相应的治理措施。

建立风险评估和管理的流程和规范，对各种风险进行及时评估和管理。

4. 安全防护措施建立和完善各种安全防护措施，包括网络安全、物理安全、应用系统安全等方面的措施。

实施安全防护设备和技术的部署，确保网络和系统的安全性。

5. 员工意识培训加强员工的信息安全意识培训，提高员工的信息安全意识和技能。

定期组织安全教育培训，指导员工学习和掌握信息安全的基本知识和技术。

6. 安全事件响应建立安全事件响应机制，针对各类安全事件和危机进行及时响应和处理。

建立安全事件的报告、记录和分析机制，总结和研究安全事件的原因和处理经验。

7. 审计和检查定期进行信息安全的审计和检查，发现和解决存在的安全问题。

建立信息安全管理评估和审计的规范和方法，对信息安全工作进行定期检查和评估。

四、组织架构和职责划分1. 信息安全管理委员会负责制定信息安全政策和制度，指导和监督信息安全工作的实施。

内部明电发往：签发：责的原则，对其信息系统分等级进行保护，履行信息安全等级保护职责。

第六条信息系统安全保护等级分为五级：（一）第一级为自主保护级，信息系统运营、使用单位可以依据相关管理规范和技术标准进行保护。

（二）第二级为指导保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护。

必要时，相关职能部门可以对其信息安全等级保护工作进行指导。

（三）第三级为监督保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护，相关职能部门对其信息安全等级保护工作进行监督、管理、检查、指导。

（四）第四级为强制保护级，信息系统运营、使用单位应当依据相关管理规范和技术标准进行保护，相关职能部门对其信息安全等级保护工作进行强制监督、管理、检查、指导。

第七条市局成立信息安全等级保护领导小组，负责市局信息安全等级保护工作的整体协调和指导。

市局信息安全等级保护领导小组下设办公室负责：（一）对市信息安全等级保护领导小组决定的有关信息安全等级保护工作的落实情况进行督办和检查；（二）对各区县、各相关职能单位的信息系统安全等级保护工作进行监督、协调和指导；（三）传达市信息安全等级保护领导小组工作指示，制定、下发相关文件；（四）推动制定市局信息安全等级保护相关法律法规和技术标准的细化；（五）汇总有关信息安全等级保护工作的信息，并报市信息安全等级保护领导小组审核后上报市委、市政府和公安部；（六）研究制定市局信息安全等级保护工作规划，编制信息安全等级保护工作简报。

第二章工作流程第八条各县区分局主管局长为信息系统安全等级保护工作第一责任人，负责本单位信息安全等级保护工作的组织实施，为开展信息安全等级保护工作提供必要的条件。

第九条信息系统运营、使用单位应当按照相关法律法规和技术标准的要求，评估和分析本单位信息系统安全状况，确定信息系统的安全保护等级。

属于重要信息系统的，运营使用单位及其主管部门在确定信息系统的安全保护等级时，应请市局信息安全保护等级专家评审委员会给予咨询评审。

信息安全等级保护工作方案一、工作内容一是开展信息系统定级备案工作。

1．开展政府网站定级备案。

根据去年重点单位调查摸底情况，全市尚有200余个各类信息系统未开展等级保护工作，其中包括大量政府网站（指党政机关门户网站），鉴于政府网站近年来网络安全事件频发，需及时落实各项安全技术措施。

全市党政机关必须在规定时间内开展门户网站定级备案工作，并于5月底前向公安网警部门提交《信息系统安全等级保护定级报告》（简称定级报告），《信息系统安全等级保护备案表》、《涉及国家秘密的信息系统分级保护备案表》（简称备案表）（模板见附件），定级报告、备案表完成后请单位盖章后一式二份送至市公安局网警大队。

2．开展其他信息系统定级备案。

除网站外，各单位其他信息系统也可一并开展定级备案工作，提交时间可适当放宽。

二是开展信息系统安全测评工作。

1．有政府网站且定二级以上的单位，必须在12月底前开展网站等级保护安全测评，并根据测评结果及时落实整改建设，切实保障网站安全运行。

2．各单位其他已定二级以上信息系统争取明年完成等级保护安全测评，若今年有条件的也可一并开展。

3．等级保护安全测评须由获得相关资质且在当地备案的专业测评机构开展。

目前，拟由市政府采购中心会同市等保办从已在备案的测评机构中通过法定方式选定若干家，确定后于5月底下发具体名单，各单位可直接从中选择开展测评工作。

三是开展等级保护安全培训（时间：半年一次）要依托等保小组定期邀请专业测评公司技术人员开展信息安全知识培训，进一步普及等保知识，提高信息系统使用单位各级责任人的安全意识和专业水平。

四是实行等保例会和通报制度（时间：每季一次）。

市等保小组成员单位要定期召开等保工作会议，分析总结当前工作开展情况及存在问题，特别是对上述工作开展进度情况定期在全市范围予以通报。

二、系统定级建议根据信息系统定级标准结合其他县市经验做法，对信息系统的分类定级作如下建议，供各信息系统使用单位参考，定级标准可查阅《信息系统安全保护等级定级指南》(GB/T2240-20**)。

信息系统安全等级保护建设方案目录一、网络建设背景 (3)二、网络建设需求分析 (4)2.1现状分析 (4)2.2问题分析 (5)2.3建设目标 (9)三、网络设计原则 (10)四、网络建设规划 (12)4.1整体网络拓扑设计 (12)4.2基础网络设计 (12)4.3网络安全设计 (15)4.4网络安全设备清单 (23)五、机房物理安全 (25)六、方案价值 (35)七、客户案例 (36)一、网络建设背景位于号市政府综合办公大楼，是市政府主管全市统计和国民经济核算的职能部门，是《中华人民共和国统计法》及有关统计法律法规的执法部门，在改革开放的进程中统计工作越来越受到各级政府和社会各界的重视，统计局的工作职能也进一步扩大，在机构改革中，市统计局内设机构和人员都明显增加，职责也进一步扩充。

统计局内设9个职能处室站。

从事统计业务工作的专业部门有：局办公室、国民经济综合统计处、法规处、工业交通统计处、固定资产投资统计处、人口与社会发展统计处、财贸统计处、农业处及计算站。

市统计局网络由政务外网和统计局专网构成，其中专网用于连接下属各个区县路由器再到区县交换机，各级信息互联互通；外网通过发改光纤与政务外网互联对接。

内网之间通过专网互联，对外信息通过政务外网发布，通过实施统计信息工程将迅速扩大联网范围，充分利用现代技术，着力为市的社会经济发展服务。

二、网络建设需求分析2.1现状分析网络是我市统计信息工程的重要组成部分，是现代统计业务的重要支撑和保障。

经过多年的建设和发展，逐步形成了以市局网络为核心，连接7个区县城域网为基础的全市统计局专网。

通过发改光纤，建立安全加密的vpn隧道，连接到政务外网，实现信息资源的共享。

其中市局通过出口设备H3C-SR6608专网连接到各区县路由器，在下联到各区县交换机，市局出口设备H3C-SR6608下面仅有一台联想网御的防火墙来承担基本的安全防护。

统计局网络另一个出口为政务外网，通过发改光纤连接，链路中使用了安达通VPN进行数据通信的加密，出口设备为锐捷路由器，下面有一台联想UTM做基本的安全防护。

网络安全等级保护之信息系统定级备案工作方案网络安全等级保护之信息系统定级备案工作方案一、信息系统安全保护等级的划分与保护（一）信息系统定级工作原则信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。

定级工作的主要内容包括：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核，具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字〔2007〕861号）要求执行。

各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体，根据所属信息系统的重要程度和遭到破坏后的危害程度，确定信息系统的安全保护等级。

同时，按照所定等级，依照相应等级的管理规范和技术标准，建设信息安全保护设施，建立安全制度，落实安全责任，对信息系统进行保护。

在等级保护工作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。

运营使用单位和主管部门是信息系统安全的第一责任人，对所属信息系统安全负有直接责任；公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导，对重要信息系统安全负监管责任。

由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序，也会影响国家安全、社会稳定、公共利益，因此，国家必然要对重要信息系统的安全进行监管。

（二）信息系统安全保护等级信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的二、定级工作的主要步骤信息系统定级是等级保护工作的首要环节和关键环节，是开展信息系统备案、建设整改、等级测评、监督检查等工作的重要基础。

这里先明确一个概念，信息系统包括起支撑、传输作用的基础信息网络和各类应用系统。

信息系统安全级别定级不准，系统备案、建设整改、等级测评等后续工作都会失去基础，信息系统安全就没有保证。

附件1信息系统安全等级保护定级报告一、XXX信息系统描述简述确定该系统为定级对象的理由。

从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。

二、XXX信息系统安全保护等级确定（定级方法参见国家标准《信息系统安全等级保护定级指南》）（一）业务信息安全保护等级的确定。

1.业务信息描述。

描述信息系统处理的主要业务信息等。

2.业务信息受到破坏时所侵害客体的确定。

说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全，社会秩序和公众利益，公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3.信息受到破坏后对侵害客体的侵害程度的确定。

说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4.业务信息安全等级的确定。

依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。

（二）系统服务安全保护等级的确定。

1.系统服务描述。

描述信息系统的服务范围、服务对象等。

2.系统服务受到破坏时所侵害客体的确定。

说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全，社会秩序和公众利益，公民、法人和其他组织的合法权益）中的哪些客体造成侵害。

3.系统服务受到破坏后对侵害客体的侵害程度的确定。

说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。

4.系统服务安全等级的确定。

依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。

（三）安全保护等级的确定。

信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。

附件2：信息系统安全等级保护备案表备 案 单 位： （盖章） 备 案 日 期：受理备案单位： （盖章） 受 理 日 期：备案表编号：中华人民共和国公安部监制填表说明一、制表依据。