计算机信息系统安全服务等级评定实施规则

GB17859-1999计算机信息系统安全系统保护等级划分准则本标准规定了计算机信息系统安全保护能力的五个等级，分别为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。

这些等级是根据安全保护能力的不同而划分的。

随着安全保护等级的提高，计算机信息系统安全保护能力也会逐渐增强。

本标准引用了GB/T 5271数据处理词汇等标准。

在使用本标准时，应尽可能使用这些标准的最新版本。

除本章定义外，其他未列出的定义可参考GB/T 5271.计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

可信计算基是计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。

客体是信息的载体，主体是引起信息在客体之间流动的人、进程或设备等。

敏感标记是表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制决策的依据。

安全策略是有关管理、保护和发布敏感信息的法律、规定和实施细则。

信道是系统内的信息传输路径，而隐蔽信道则允许进程以危害系统安全策略的方式传输信息的通信信道。

访问监控器是监控主体和客体之间授权访问关系的部件。

第一级是用户自主保护级，属于计算机信息系统安全保护等级的最低级别。

在这个级别下，用户需要自主采取措施来保护系统的安全。

本文介绍了计算机信息系统可信计算基的两个保护级别，即自主保护级和系统审计保护级。

自主保护级通过访问控制、身份鉴别和数据完整性等机制，使用户具备自主安全保护的能力。

系统审计保护级实施了更细粒度的自主访问控制，通过登录规程、审计安全性相关事件和隔离资源等方式，使用户对自己的行为负责。

具体来说，自主访问控制机制可以根据用户指定方式或默认方式，阻止非授权用户访问客体。

身份鉴别机制要求用户标识自己的身份，并使用保护机制（例如：口令）来鉴别用户的身份。

GB17859-1999计算机信息系统安全保护等级划分准则1 范围本标准规定了计算机系统安全保护能力的五个等级，即：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。

本标准适用计算机信息系统安全保护技术能力等级的划分。

计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。

2 引用标准下列标准所包含的条文，通过在本标准中引用而构成本标准的条文。

本标准出版时，所示版本均为有效。

所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。

GB/T 5271 数据处理词汇3 定义除本章定义外，其他未列出的定义见GB/T 5271。

3.1 计算机信息系统computer information system计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

3.2 计算机信息系统可信计算基trusted computing base of computer information system计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。

它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。

3.3 客体object信息的载体。

3.4 主体subject引起信息在客体之间流动的人、进程或设备等。

3.5 敏感标记sensitivity label表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制决策的依据。

3.6 安全策略security policy有关管理、保护和发布敏感信息的法律、规定和实施细则。

3.7 信道channel系统内的信息传输路径。

3.8 隐蔽信道covert channel允许进程以危害系统安全策略的方式传输信息的通信信道。

3.9 访问监控器reference monitor监控主体和客体之间授权访问关系的部件。

计算机信息系统安全服务等级评定实施规则2013-8-15发布2013-10-15实施广东省信息网络服务协会目录第一章总则 (1)第二章评定标准 (1)第三章评定程序 (4)第一条评定模式 (4)第二条评定的基本环节 (4)第三条申请及受理 (4)第四条文档审核 (4)第五条现场审核 (4)第六条颁证决定 (5)第七条对评定决定的申诉 (5)第八条获证后监督 (5)第九条再评定 (7)第十条证书升级 (7)第四章证书管理 (7)第一章总则第一条实施计算机信息系统服务资质（以下简称服务资质）评定，客观公正地评价信息安全服务机构提供信息安全服务的综合能力，有利于规范市场秩序，提升企业诚信度，促进信息服务行业的健康发展。

第二条《计算机信息系统安全服务等级证》的评定，依据《广东省计算机信息系统安全保护条例》、《广东省计算机信息系统安全保护管理规定》，参照国家工业和信息化部发布的行业标准《网络与信息安全应急处理服务资质评估方法》、《网络与信息安全风险评估服务能力评估方法》等法规和规定，由业内权威专家、资深学者及中高级工程技术人员组成评审委员会，严格按照评审程序进行评定。

第二章评定标准第一条广东省信息网络服务协会颁布的《计算机信息系统安全服务等级评定标准》，适用于在中华人民共和国境内从事计算机信息系统（包括计算机机房）安全设计、建设、检测、维护、监理等业务的信息服务机构资质评定。

申请资质评定的信息服务机构，须经中国工商行政管理部门登记注册、具有独立法人资格；遵守国家现行法律、法规的规定；有一支稳定的信息（安全）服务团队，完成一定数量的信息安全服务项目且通过验收；具有组织管理制度、质量保证体系和客户服务体系；没违法犯罪记录证明材料及工商部门或银行出具的诚信证明。

第二条依据《广东省计算机信息系统安全保护条例》、《广东省计算机信息系统安全服务管理办法》等规定，将安全服务机构的服务能力划分为四个等级，四级为基础级，依次递升，一级为最高等级。

附件2信息系统安全保护等级定级指南（试用稿）公安部二〇〇五年十二月第 9 页目次1范围 (11)2术语和定义 (11)2.1 业务信息（Business Information） (11)2.2 业务信息安全性（Security of Business Information） (11)2.3 业务服务保证性（Assurance of Business Service） (11)2.4 信息系统（Information System） (11)2.5 业务子系统（Business Subsystem） (11)3定级对象 (11)3.1 信息系统的划分 (12)3.2 信息系统和业务子系统 (12)4决定信息系统安全保护等级的要素 (12)4.1 决定信息系统重要性的要素 (13)4.2 定级要素赋值 (13)5确定信息系统安全保护等级的步骤 (15)6信息系统安全保护等级的确定方法 (16)6.1 确定业务信息安全性等级 (16)6.2 确定业务服务保证性等级 (16)6.3 确定信息系统安全保护等级 (18)7信息系统安全保护等级的调整 (18)8附录 (19)8.1 实例1 (19)8.2 实例2 (20)第 10 页信息系统安全保护等级定级指南1范围本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。

有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统，该系统的安全保护等级定为5级，不再使用本指南的方法定级。

各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。

2术语和定义下列术语和定义适用于本指南。

2.1 业务信息（Business Information）为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。

2.2 业务信息安全性（Security of Business Information）保证业务信息机密性、完整性和可用性程度的表征。

前言本标准由公安部和全国信息安全标准化技术委员会提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位：公安部信息安全等级保护评估中心。

本标准主要起草人：任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。

引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T BBBBB-BBBB信息系统安全等级保护基本要求；——GB/T CCCCC-CCCC信息系统安全等级保护实施指南；——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。

本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。

信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。

2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分：安全GB17859-1999 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。

3.1等级保护对象 target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。

GB17859-1999计算机信息系统安全保护等级划分准则1 范围本标准规定了计算机系统安全保护能力的五个等级，即：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。

本标准适用计算机信息系统安全保护技术能力等级的划分。

计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。

2 引用标准下列标准所包含的条文，通过在本标准中引用而构成本标准的条文。

本标准出版时，所示版本均为有效。

所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。

GB/T 5271 数据处理词汇3 定义除本章定义外，其他未列出的定义见GB/T 5271。

3.1 计算机信息系统 computer information system计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

3.2 计算机信息系统可信计算基trusted computing base of computer information system计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。

它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。

3.3 客体 object信息的载体。

3.4 主体 subject引起信息在客体之间流动的人、进程或设备等。

3.5 敏感标记 sensitivity label表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制决策的依据。

3.6 安全策略 security policy有关管理、保护和发布敏感信息的法律、规定和实施细则。

3.7 信道 channel系统内的信息传输路径。

3.8 隐蔽信道 covert channel允许进程以危害系统安全策略的方式传输信息的通信信道。

《信息安全等级保护管理办法》规定，国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为以下五级，一至五级等级逐级增高：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

中华人民共和国计算机信息系统安全保护条例（1994年国务院147号令）（“第九条计算机信息系统实行安全等级保护。

安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”）计算机信息系统安全保护等级划分准则（GB 17859-1999）（“第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级”）国家信息化领导小组关于加强信息安全保障工作的意见（中办发[2003]27号）关于信息安全等级保护工作的实施意见（公通字[2004]66号）信息安全等级保护管理办法（公通字[2007]43号）关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861号）关于开展信息安全等级保护安全建设整改工作的指导意见（公信安[2009]1429号）中华人民共和国网络安全法（2017年6月1日发布）十大重要标准计算机信息系统安全等级保护划分准则（GB 17859-1999）（基础类标准）信息系统安全等级保护实施指南（GB/T 25058-2010）（基础类标准）信息系统安全保护等级定级指南（GB/T 22240-2008）（应用类定级标准）信息系统安全等级保护基本要求（GB/T 22239-2008）（应用类建设标准）信息系统通用安全技术要求（GB/T 20271-2006）（应用类建设标准）信息系统等级保护安全设计技术要求（GB/T 25070-2010）（应用类建设标准）信息系统安全等级保护测评要求（GB/T 28448-2012）（应用类测评标准）信息系统安全等级保护测评过程指南（GB/T 28449-2012）（应用类测评标准）信息系统安全管理要求（GB/T 20269-2006）（应用类管理标准）信息系统安全工程管理要求（GB/T 20282-2006）（应用类管理标准）其它相关标准GB/T 21052-2007 信息安全技术信息系统物理安全技术要求GB/T 20270-2006 信息安全技术网络基础安全技术要求GB/T 20271-2006 信息安全技术信息系统通用安全技术要求GB/T 20272-2006 信息安全技术操作系统安全技术要求GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求GB/T 20984-2007 信息安全技术信息安全风险评估规范GB/T 20985-2007 信息安全技术信息安全事件管理指南GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南GB/T 20988-2007 信息安全技术信息系统灾难恢复规范信息系统安全等级保护三、二级评测内容等级保护自上而下分别为：类、控制点和项。

计算机信息系统安全保护等级划分准则》GB17859-1999《计算机信息系统安全保护等级划分准则》发布时间：2009-07-23作者：XXX1、范围本标准规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级;本标准适用于计算机信息系统安全保护技术能力等级的划分.计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强.2、引用标准下列标准所包含的条文,通过在标准中引用而构成本标准的条文.本标准出版时,所示版本均为有效.所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性.GB/T5271数据处理词汇3、定义出本章定义外,其他未列出的定义见GB/T5271.puter n system计算机信息系统是由计算机及其相干的和配套的设备、设施(含网络)组成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统.3.2计算机信息系统可信计算基trusted computing base of computer n system计算机系统内保护装置的总体，包孕硬件、固件、软件和负责履行安全策略的组合体。

它建立了一个基体的保护环境并提供一个可信计算系统所要求的附加用户服务。

3.3客体object信息的载体。

3.4主体subject引起信息在客体之间流动的人、进程或设备等。

3.5敏感标记sensitivity label表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制决策的依据。

3.6安全策略security policy有关办理、保护和发布敏感信息的法律、规定和实施细则。

3.7信道channel系统内的信息传输路径。

3.8隐蔽信道covert channel允许进程以危害系统安全策略的方式传输信息的通信信道/3.9访问监控器reference monitor监控器主体和客体之间授权访问关系的部件。

信息安全技术信息系统安全等级保护测评要求信息安全技术是当今社会不可或缺的重要组成部分，随着信息技术的不断发展和普及，信息系统安全等级保护测评要求也变得愈发重要。

在本文中，我将从深度和广度两个方面对信息安全技术和信息系统安全等级保护测评要求进行全面评估，并据此撰写一篇有价值的文章，希望能为您带来深刻的理解和灵活的思考。

一、信息安全技术1.1 信息安全技术的基本概念信息安全技术是指为了保护信息系统中的信息和数据不受未经授权的访问、使用、披露、破坏、修改、干扰等威胁而采取的一系列技术手段和管理措施。

在当今数字化时代，信息安全技术已经成为企业和个人不可或缺的保障，涉及到网络安全、数据安全、身份认证、加密技术等多个方面。

1.2 信息安全技术的发展历程从最早的密码学和防火墙技术到如今的人工智能和区块链技术，信息安全技术经历了长足的发展和进步。

在不断演进的过程中，信息安全技术不断融合和创新，以适应日益增长的信息安全威胁和挑战，保障信息系统的安全运行。

1.3 信息安全技术的应用领域信息安全技术的应用领域涵盖了各行各业，包括金融、医疗、教育、政府等多个领域。

在互联网、大数据、物联网等新兴技术的推动下，信息安全技术已经成为数字化社会发展的基石，其重要性不言而喻。

二、信息系统安全等级保护测评要求2.1 信息系统安全等级保护的概念和重要性信息系统安全等级保护是指根据信息系统的重要性和安全性需求，对信息系统进行分类和分级，然后制定相应的安全保护措施和措施要求。

信息系统安全等级保护的实施可以有效保护信息系统中的重要信息和数据，提升信息系统的整体安全性，是信息安全管理的基础。

2.2 信息系统安全等级保护测评要求的内容和原则信息系统安全等级保护测评要求包括系统安全等级的确定、安全保护措施的制定、安全评估和认证等多个方面。

在具体实施中，需要遵循科学、客观、公正、公开的原则，确保评估结果的可靠性和权威性。

2.3 信息系统安全等级保护测评要求的实施和挑战在实际实施中，信息系统安全等级保护测评要求面临着一些挑战和问题，包括技术实现的复杂性、安全标准的多样性、评估标准的更新和变化等。

信息安全等级保护测评要求信息安全是当今社会中至关重要的一个领域，随着信息技术的不断发展，信息安全问题也日益突出。

为了保护信息系统的安全，各国纷纷制定了信息安全等级保护测评要求，以确保信息系统的安全性和可靠性。

本文将就信息安全等级保护测评要求进行详细介绍。

信息安全等级保护测评要求是指为了满足国家信息安全管理的需要，对信息系统的安全等级进行测评和认证的一系列要求。

这些要求通常由国家相关部门或权威机构制定，并具有法律效力。

信息安全等级保护测评要求的制定旨在保护国家的重要信息基础设施和关键信息系统，防范和抵御各种网络攻击和威胁，确保信息系统的安全和稳定运行。

信息安全等级保护测评要求通常包括以下几个方面：1. 安全等级划分：根据信息系统的重要性和敏感程度，将其划分为不同的安全等级，通常包括一级、二级、三级等。

不同安全等级的信息系统对安全性和可靠性的要求也不同。

2. 安全测评标准：针对不同安全等级的信息系统，制定相应的安全测评标准和技术要求，包括系统结构、安全防护措施、安全管理制度等方面的要求。

3. 测评程序和方法：规定信息系统的安全测评程序和方法，包括测评的流程、方法、技术手段和工具等，以确保测评结果的客观和准确。

4. 测评要求和指标：明确信息系统安全测评的要求和指标，包括安全性能指标、安全防护能力指标、安全管理水平指标等，以便对信息系统的安全性能进行评估。

5. 测评报告和认证：规定信息系统安全测评报告的内容和格式，以及认证的程序和要求，确保测评结果的可信度和权威性。

信息安全等级保护测评要求的制定和执行对于保障国家信息安全具有重要意义。

首先，它有助于提高信息系统的安全性和可靠性，有效防范和抵御各种网络攻击和威胁，保护国家的重要信息基础设施和关键信息系统。

其次，它有助于提升信息系统的管理水平和技术水平，推动信息安全技术的创新和发展，推动信息化建设的健康发展。

最后，它有助于提升国家的信息安全管理水平和国际声誉，增强国家在国际社会中的话语权和影响力。

信息系统安全保护等级定级指南摘要本文档旨在为企业和组织提供信息系统安全保护等级定级指南，帮助他们评估和确定信息系统的安全保护等级。

通过合理的等级定级，企业和组织可以根据其业务需求制定相应的安全防护策略，提高信息系统的安全性。

1. 引言信息系统安全是当今数字化时代的重要议题。

随着互联网技术的发展和普及，企业和组织正面临着越来越多的安全威胁。

为了保护信息系统免受恶意攻击和非法访问，以及确保敏感信息的保密性、完整性和可用性，确定信息系统的安全保护等级至关重要。

等级定级是一个评估过程，通过评估信息系统在保密性、完整性和可用性方面的需求和风险来确定其安全保护等级。

本指南提供了一套可行的等级定级方法和准则，以帮助企业和组织评估其信息系统的安全需求，并建立相应的安全措施。

2. 安全保护等级安全保护等级是对信息系统在保密性、完整性和可用性方面的要求和风险进行划分的等级。

本指南采用了三级安全保护等级：•一级安全保护等级：对信息系统的安全需求要求最高，适用于处理高度敏感信息的系统，如核心业务系统、国家安全信息系统等；•二级安全保护等级：对信息系统的安全需求要求较高，适用于处理敏感信息的系统，如金融业务系统、医疗保健系统等；•三级安全保护等级：对信息系统的安全需求要求较低，适用于处理一般信息的系统，如企业内部协同系统、电子邮件系统等。

每个等级都对保密性、完整性和可用性进行了明确的要求和评估准则，以帮助企业和组织确定其信息系统所需的安全保护等级。

3. 等级定级过程等级定级是一个系统的、有步骤的过程，以确定信息系统的安全保护等级。

以下是等级定级过程的主要步骤：3.1 识别信息系统首先，需要明确要定级的信息系统，包括系统的角色、功能、业务流程等。

这有助于更好地理解系统的需求和风险。

3.2 确定安全目标根据信息系统的角色和功能，确定安全目标，包括保密性、完整性和可用性。

例如，对于一级安全保护等级的信息系统，保密性要求可能非常高，而可用性要求相对较低。

GB17859-1999《计算机信息系统安全保护等级划分准则》发布时间：2009-07-23 作者：国家质量技术监督局1、范围本标准规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级;本标准适用于计算机信息系统安全保护技术能力等级的划分.计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强.2、引用标准下列标准所包含的条文,通过在标准中引用而构成本标准的条文.本标准出版时,所示版本均为有效.所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性.GB/T5271 数据处理词汇3、定义出本章定义外,其他未列出的定义见GB/T5271.3.1 计算机信息系统computer information system计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统.3.2计算机信息系统可信计算基trusted computing base of computer information system计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。

它建立了一个基体的保护环境并提供一个可信计算系统所要求的附加用户服务。

3.3 客体object信息的载体。

3.4 主体subject引起信息在客体之间流动的人、进程或设备等。

3.5 敏感标记sensitivity label表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制决策的依据。

3.6 安全策略security policy有关管理、保护和发布敏感信息的法律、规定和实施细则。

3.7 信道channel系统内的信息传输路径。

3.8 隐蔽信道covert channel允许进程以危害系统安全策略的方式传输信息的通信信道/3.9 访问监控器reference monitor监控器主体和客体之间授权访问关系的部件。

一、积极应对信息安全挑战随着信息技术的不断发展，信息安全问题已经成为各个行业不可忽视的重要议题。

在信息安全领域中，信息系统安全等级保护测评是保障信息系统安全的重要手段之一。

信息系统安全等级保护测评要求是针对信息系统的安全等级进行评估，以确保系统的安全性和稳定性。

在当前全球范围内，信息安全面临着日益猖獗的网络攻击和威胁，包括但不限于黑客攻击、病毒木马、网络钓鱼等。

加强信息系统安全等级保护测评工作，提高信息系统的安全水平，对于保护国家的重要信息资产和维护国家的网络安全和稳定具有重要意义。

二、信息系统安全等级保护测评要求的意义1. 保障国家安全信息系统安全等级保护测评要求的实施，可以有效保障国家的安全。

国家的重要信息资产经常受到来自国内外的网络攻击威胁，因此加强对信息系统安全等级保护测评的要求，可以提高信息系统的安全等级，从而保护国家的核心安全利益。

2. 维护社会稳定信息系统安全等级保护测评要求的严格实施，可以有效维护社会的稳定。

在信息时代，信息系统已经深入到社会的各个领域，一旦信息系统遭受到攻击或者破坏，就会给社会带来严重的影响，因此加强对信息系统安全等级保护测评的要求，可以保障社会的正常运行。

3. 促进信息技术创新信息系统安全等级保护测评要求的实施，有助于促进信息技术的创新发展。

由于信息系统安全等级保护测评要求注重提高信息系统的安全性和稳定性，这就需要信息技术相关行业加强技术创新，提高信息系统的安全技术水平，推动信息技术的发展。

三、信息系统安全等级保护测评要求的关键内容1. 等级划分信息系统安全等级保护测评要求首先需要对信息系统的安全等级进行划分。

信息系统的安全等级划分是基于国家秘密的保密等级，根据信息系统的特点和重要性确定其相对应的安全等级，以便进一步对信息系统的安全性进行测评和评估。

2. 安全风险评估信息系统安全等级保护测评要求需要对信息系统的安全风险进行评估。

安全风险评估是通过对信息系统的潜在威胁和漏洞进行分析和评估，以确定信息系统的安全隐患和风险，从而为制定安全防护措施提供依据。

1信息系统安全等级保护定级指南为宣贯《信息系统安全等级保护定级指南》（以下简称《定级指南》）国家标准，由标准起草人介绍标准制、修订过程，讲解标准的主要内容,解答标准执行中可能遇到的问题。

1.1定级指南标准制修订过程1.1.1制定背景本标准是公安部落实66号文件，满足开展等级保护工作所需要的重要规范性文件之一，是其他标准规范文件的基础。

本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则，从信息系统对国家安全、经济建设、社会生活重要作用，信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素，确定信息系统的安全保护等级，提出了分级的原则和方法。

本任务来自全国信息系统安全标准化技术委员会，由全国信息安全标准化技术委员会WG5工作组负责管理。

1.1.2国外相关资料分析本标准编制前，编制人员收集与信息系统确定等级相关的国外资料，其中主要是来自美国的标准或文献资料，例如：●FIPS 199 Standards for Security Categorization ofFederal Information and Information Systems（美国国家标准和技术研究所）●DoD INSTRUCTION 8510.1-M DoD InformationTechnology Security Certification andAccreditation Process Application Manual（美国国防部）●DoD INSTRUCTION 8500.2 Information Assurance(IA) Implementation（美国国防部）●Information Assurance Technology Framework3.1（美国国家安全局）这些资料表明，美国政府及军方也在积极进行信息系统分等级保护的尝试，从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家，也适用于信息化发达国家。

计算机信息系统等级保护划分标准在信息化时代，计算机信息系统的安全问题备受关注。

为了保障国家信息安全和网络安全，我国制定了《信息安全等级保护管理规定》，并对计算机信息系统等级保护划分标准进行了详细的规定和要求。

1. 等级划分标准的概述计算机信息系统等级保护划分标准是指按照一定的等级要求，对计算机信息系统进行等级划分的标准和要求。

根据我国相关法律法规和国家标准，计算机信息系统等级保护划分标准主要包括四个等级，分别为一级、二级、三级和四级。

不同等级的计算机信息系统，在安全性、稳定性和保密性等方面都有着严格的要求和标准。

2. 等级划分标准的详细规定在我国的《信息安全等级保护管理规定》中，对计算机信息系统等级保护划分标准进行了详细的规定。

一级、二级、三级和四级的计算机信息系统在物理环境、网络环境、系统管理、信息安全管理等方面都有着具体的要求和标准。

在网络环境方面，一级和二级的计算机信息系统需要实现物理隔离，而三级和四级的计算机信息系统需要实现逻辑隔离；在信息安全管理方面，一级和二级的计算机信息系统需要实行严格的审查制度，而三级和四级的计算机信息系统需要实行严格的审批制度。

3. 个人观点和理解对于计算机信息系统等级保护划分标准，我认为这是一项非常重要的工作。

随着信息技术的飞速发展，各种信息系统都面临着安全性和稳定性的挑战。

而计算机信息系统等级保护划分标准的制定，可以帮助各单位更好地了解自身信息系统的安全等级，从而采取相应的安全防护措施，保障信息系统的安全和稳定运行。

总结回顾通过本文的分析，我们可以看出计算机信息系统等级保护划分标准是一项非常重要的工作，它对于保障信息系统的安全和稳定具有重要意义。

我们要严格按照国家标准和规定，对计算机信息系统进行等级划分，并根据不同等级的要求，采取相应的安全防护措施，确保信息系统的安全运行。

通过对文章的撰写，我深入了解了计算机信息系统等级保护划分标准的相关内容，并对其重要性有了更深刻的认识。

计算机信息系统安全保护等级划分准则中华人民共和国国家标准计算机信息系统安全保护等级划分准则GB 17859-1999Classified criteria for security1 范围本标准规定了计算机系统安全保护能力的五个等级，即：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。

本标准适用计算机信息系统安全保护技术能力等级的划分。

计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。

2 引用标准下列标准所包含的条文，通过在本标准中引用而构成为本标准的条文。

本标准出版时，所示版本均为有效。

所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。

GB/T 5271 数据处理词汇3 定义除本章定义外，其他未列出的定义见GB/T 5271。

3.1 计算机信息系统computer information system计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

3.2 计算机信息系统可信计算基trusted computing base of computer information system计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。

它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。

3.3 客体object信息的载体。

3.4 主体subject引起信息在客体之间流动的人、进程或设备等。

3.5 敏感标记sensitivity label表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访问控制决策的依据。

3.6 安全策略security policy有关管理、保护和发布敏感信息的法律、规定和实施细则。

3.7 信道channel系统内的信息传输路径。