等级保护-政策要求和标准体系

等级保护政策流程内容定级介绍素材等级保护政策是指政府或相关机构根据特定的标准对一些信息、内容或活动进行分类和管理的制度。

其目的是保护公众免受有害或不适宜的信息和内容的影响，同时确保社会的稳定和秩序。

在不同的国家或地区，等级保护政策可能会有所不同，但其核心原则通常是相似的。

流程、内容和定级介绍是等级保护政策的重要组成部分，下面将重点介绍这方面的内容。

流程：1.确定等级标准：政府或相关机构会制定一系列的等级标准，根据其中的要求，对信息、内容或活动进行分类。

等级标准通常会考虑到不同年龄段的人群的需求和特点。

2.审查和评估：相关机构会对信息、内容或活动进行审查和评估，将其分类到相应的等级中。

这通常需要一定的专业知识和经验。

3.资质认证：对于一些需要特殊资质或执照的信息、内容或活动，相关机构会进行资质认证，并对其进行相应的等级分类。

4.标识和提示：对于经过等级分类的信息、内容或活动，政府或相关机构会给予相应的标识和提示，以便公众能够根据自己的需求和偏好进行选择和筛选。

内容：1.广告和宣传：政府或相关机构会对广告和宣传内容进行等级保护，限制有害、虚假或误导性信息的传播。

2.电影和电视节目：对于电影和电视节目，政府或相关机构会对其进行等级分类，以便家长和观众能够根据实际情况选择适合自己或孩子观看的内容。

3.游戏和娱乐活动：政府或相关机构会对游戏和娱乐活动进行等级分类，以保护未成年人免受不适宜或有害的游戏和娱乐内容的影响。

4.互联网和社交媒体：政府或相关机构会对互联网和社交媒体上的信息和内容进行等级保护，限制不适宜或有害信息的传播和访问。

定级介绍素材：以下是一些定级介绍素材的例子1.儿童级：适合所有年龄段的观众或用户，内容健康、安全，适合儿童观看、使用。

2.青少年级：适合年龄在13岁以上的观众或用户，内容可能包含轻微的暴力、恐怖、恶搞或性暗示等，但不涉及过于暴力或性暗示的内容。

3.成人级：适合成年观众或用户，内容可能包含较为详细的暴力、恐怖、性暗示和血腥场面等，但不涉及过于露骨或残酷的内容。

等级保护基本要求管理要求1.等级保护工作原则（1）安全原则：确保人员和财产安全。

（2）保密原则：确保涉密信息的机密性和完整性。

（3）有序原则：确保工作按照一定的流程和条例进行。

（4）综合原则：充分考虑各方面利益，做到协调发展。

2.等级保护工作的层次划分（2）商业秘密：确保市场竞争的公平性。

（3）个人隐私：确保公民的合法权益。

（4）其他机关、企事业单位的重要信息和资料。

3.等级保护责任的划分（1）上级主管部门：负责制定等级保护政策和法规，并组织实施。

（3）各部门、岗位的工作人员：负责具体的等级保护工作，包括信息的记录、存档和处理等。

4.等级保护工作的机构设置和人员要求（1）等级保护工作机构：设立等级保护办公室或委托专门机构负责等级保护工作。

（2）等级保护工作人员：具有相关专业知识和技能，经过相关培训合格，具备较强的保密意识和责任感。

5.等级保护工作的培训和教育要求（1）定期进行等级保护知识和技能培训，使工作人员掌握保密法律法规和保密技术，提高保密意识。

（2）对新员工进行保密教育，确保他们了解保密政策和规定。

（3）定期组织保密知识考核，对考核不合格的人员进行再培训。

6.等级保护工作的制度建设（1）建立健全等级保护管理制度，明确各级保密责任部门的职责和权限。

（2）建立等级保护档案，对重要信息和资料进行分类、归档和管理。

（3）规范信息交流和传递渠道，明确人员准入制度，防止信息泄露。

7.等级保护工作的技术措施（1）建立信息系统安全防护体系，包括网络安全、物理安全等。

（2）加强对外来人员和设备的进出审查，确保信息不受到非法侵入。

（3）加密和备份重要信息，确保信息的完整性和可用性。

8.等级保护工作的监督和检查（1）建立等级保护工作督查制度，对各部门、岗位的工作人员进行定期检查和评估。

（2）加强对外部合作单位的审查，确保他们的保密制度和能力符合要求。

（3）建立举报奖励和处罚制度，鼓励人员报告违反保密规定的行为，坚决查处违法违规行为。

等级保护新标准（2.0）介绍1 2等级保护发展历程与展望等级保护2.0标准体系3等级保护2.0基本要求解析4等级保护2.0扩展要求解析等保1.0时代等保2.0工作展望1994-2003政策环境营造2004-2006工作开展准备2007-2010工作正式启动2010-2016工作规模推进•1994年，国务院颁布《中华人民共和国计算机信息系统安全保护条例》，规定计算机信息系统实行安全等级保护。

•2003年，中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。

•2004-2006年，公安部联合四部委开展涉及65117家单位，共115319个信息系统的等级保护基础调查和等级保护试点工作，为全面开展等级保护工作奠定基础。

•2007年6月，四部门联合出台《信息安全等级保护管理办法》。

•2007年7月，四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。

•2007年7月20日，召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议，标志着信息安全等级保护制度正式开始实施。

•2010年4月，公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》，提出等级保护工作的阶段性目标。

•2010年12月，公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》，要求中央企业贯彻执行等级保护工作。

等保1.0时代等保2.0工作展望•2016年10月10日，第五届全国信息安全等级保护技术大召开，公安部网络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提出了新的要求，等级保护制度已进入2.0时代”。

•2016年11月7日，《中华人民共和国网络安全法》正式颁布，第二十一条明确“国家实行网络安全等级保护制度……”•以《GB17859计算机信息系统安全保护等级划分准则》、《GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求》为代表的等级保护系列配套标准，习惯称为等保1.0标准。

等保分级基本要求
等级保护的基本要求主要包括以下几个方面：
1. 保障的等级应针对各类受困群体，从不同的维度提供社会保障，使受困者能够获得基本的生活保障。

2. 针对不同阶段的受困群体的特殊需求，可以分为三个等级：一级等级保护是针对受困群体的基本需求，提供基本的社会保障；二级等级保护是针对特殊需求的受困者，提供更多的社会保障；三级等级保护是针对极度贫困家庭，提供更多的帮扶性政策。

3. 保障的政策设计要求科学合理，有利于社会经济的可持续发展。

4. 针对不同类型的受困群体，提供性质、程度、形式不同的社会保障；政策的设计要科学合理，有利于社会经济的可持续发展；实施要有效、有力、有效。

5. 应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。

6. 根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大类。

如需更多关于“等保分级基本要求”的信息，建议查阅国家相关法律法规或咨询专业人士获取帮助。

2. 1983 美国政府发布《可信计算机系统评估准则》 (TCSEC , Trusted Computer Security Evaluation Criteria3. 1991年英、德、法、荷 4国淘汰(TCSEC ,制定《信息技术安全评定标准》(ITSEC4. 1999年 ISO/IEC 15408:2009 (俗称 CC 标准CC 取代了 TCSEC 和 ITSEC 成为信息技术安全评估领域的唯一国际标准2. 1994年国务院颁发《中华人民共和国计算机信息系统安全保护条例》 (国务院 147号令3. 1999年《计算机信息系统等级保护划分准则》 GB17859— 1999 为此、后续发布了超过 60个关于等级保护的指导性文件计算机信息系统安全保护等级划分准则(GB17859— 1999信息系统安全等级保护基本要求(GB/T 22239— 2008安全等级保护实施指南GB /T25058— 2010信息系统等级保护安全设计技术要求 GB/T25070— 2010信息系统安全等级保护测评要求GB /T28448—2012信息系统等级保护测评过程指南 GB/T284492— 2012①用户自主保护级②系统审计保护级③安全标记保护级④结构化保护级⑤访问验证保护级③标记④身份鉴别⑤客体重用⑥审计⑦数据完整性⑧隐蔽信道分析⑨可信路径⑩可信恢复问题:它强调是什么,缺乏什么?它对系统定级是如何判定的?①物理安全②网络完全③应用安全④数据安全⑤主机安全②安全管理机构③人员安全管理④系统建设管理⑤系统运维管理只是给出要求、并不是具体的最终方案或指导书认为:不是全面实现,而是采用其他安全有效的措施替代不能实施的基本要求,但①信息系统定级②总体安全规划③安全设计与实施④安全运行与维护⑤信息系统终止①等级保护技术的整改②新建等级保护技术的架构1. 对等级保护的技术安全设计提出要求①安全计算环境②安全区域边界③安全通信网络④安全管理中心1. 包含了测评的原则、内容、强度、结果重用、使用方法2. 规定等级测评的单元和整体安全测评、以及等级测评结论的产生方法3. 测评的访谈、检查、测试等三个关键要素(三级以上还需要做渗透测试三、解读信息系统安全等级保护测评过程指南 GB/T 28492—2012 本规范是主要指导组织机构如何开展信息系统的安全测评工作 1. 信息系统建设完成后、运营、使用单位以及主管部分需要对信息系统安全等级状况进行等级测评（测评过程、工作任务、分析方法、工作结果等） 2. 当中有4的环节：测评准备、方案编制、现场测评、分析和报告编制 16三、解读信息系统安全等级保护测评过程指南 GB/T 28492—2012 本规范是主要指导组织机构如何开展信息系统的安全测评工作 1. 2. 测评准备：项目启动、信息收集及分析、工具/表单准备方案编制：对象确定、测评指标、测试工具接入点、测评内容、测评实施手册、测评方案编制 3. 4. 现场测评：现场测评准备、现场测评、结果记录、结果确认、资料归还分析报告编著：单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成、测评报告编制 17。

等保2.0标准体系一、信息安全等级保护基本要求1.信息系统定级准确，满足等级保护基本要求。

2.信息系统安全保护等级符合国家信息安全等级保护政策要求。

3.信息系统安全保护等级与安全需求相适应。

4.信息系统安全保护措施合理有效，满足等级保护基本要求。

二、云计算安全扩展要求1.云计算平台应满足国家信息安全等级保护政策要求。

2.云计算平台应具备安全防护能力，包括虚拟化安全、存储安全、计算安全等方面。

3.云计算平台应具备数据保护能力，确保数据不被泄露或滥用。

4.云计算平台应具备安全审计能力，能够对云服务使用情况进行全面监控和审计。

三、大数据安全扩展要求1.大数据平台应满足国家信息安全等级保护政策要求。

2.大数据平台应具备数据安全防护能力，确保数据不被未经授权的访问、篡改或删除。

3.大数据平台应具备数据隐私保护能力，确保个人隐私和商业机密不被泄露。

4.大数据平台应具备安全审计能力，能够对大数据服务使用情况进行全面监控和审计。

四、物联网安全扩展要求1.物联网设备应满足国家信息安全等级保护政策要求。

2.物联网设备应具备网络安全防护能力，防止网络攻击和数据泄露。

3.物联网设备应具备数据隐私保护能力，确保个人隐私和商业机密不被泄露。

4.物联网设备应具备安全审计能力，能够对物联网服务使用情况进行全面监控和审计。

五、工业控制安全扩展要求1.工业控制系统应满足国家信息安全等级保护政策要求。

2.工业控制系统应具备网络安全防护能力，防止网络攻击和数据泄露。

3.工业控制系统应具备物理安全防护能力，防止未经授权的物理访问和数据泄露。

4.工业控制系统应具备安全审计能力，能够对工业控制服务使用情况进行全面监控和审计。

六、移动互联安全扩展要求1.移动应用应满足国家信息安全等级保护政策要求。

2.移动应用应具备网络安全防护能力，防止网络攻击和数据泄露。

3.移动应用应具备数据隐私保护能力，确保个人隐私和商业机密不被泄露。

4.移动应用应具备安全审计能力，能够对移动应用使用情况进行全面监控和审计。