信息安全等级保护概念与标准

[2007]861
实︽ 施信 细息 则安 ︾全 号︵等 ︶公级 信保 安护 备 案
《信息安全等级保护管理办法》（公通字[2007] 43 号）
《关于信息安全等级保护工作的实施意见》（公通字[2004]66号 ） 《国家信息化领导小组关于加强信息安全保障 工作的意见》（中办发[2003]27号 ）
2007]1360
第二章第六条第十二款规定，公安机关人民警察依法履行“监督管理计算机信息
系统的安全保护工作”。 信息安全等级保护是“强制性国家标准”
1999年 GB 17859《计算机信息系统安全保护等级划分准则》
为信息安全等级保护提供了基础的标准依据。
概念回顾
信息系统安全等级保护 − 指对国家秘密信息、法人和其他组织及公民的专有 信息以及公开信息和存储、传输、处理这些信息的 信息系统分等级实行安全保护； − 对信息系统中使用的信息安全产品实行按等级管理； − 对信息系统中发生的信息安全事件分等级响应、处 置
信息系统受到破坏后，会对公民、法人和其他 组织的合法权益造成损害，但不损害国家安全、 社会秩序和公共利益。
第一级
等级保护是基本制度
定级 备案 安全建设整改 等级测评 监督检查
作系︽ 的统关 通安于 知全开 ︾等展 号︵级全 ︶公保国 信护重 安定要 级信 工息
国务院第147号令《中华人民共和国计算机信 息系统安全保护条例》（1994年2月18日）
[2009]1487
公级护关 信测测于 安评评推 工体动 作系信 的建息 通设安 知和全 号 开等 展级 等保 [2010]303
信保︽ 安护公 检安 查机 工关 作信 规息 号范安 ︶︾全 ︵等 公级 [2008]736
主要政策回顾
序号 1 2 3 4 5 6 7 8 9 10 11 文 号 发文单位 国务院 中央办公厅 公安部/4部委 中央办公厅 公安部/4部委 公安部 公安部/4部委 公安部 发改委 公安部 公安部 名称 中华人民共和国计算机信息系统安全保护条例 规定“计算机信息 系统实行安全等级保护” 国家信息化领导小组关于加强信息安全保障工作的意见 关于信息安全等级保护工作的实施意见 转发《国家信息化领导小组关于推进国家电子政务网络建设的意 见》的通知 信息安全等级保护管理办法 《信息安全等级保护备案实施细则》 关于开展全国重要信息系统安全等级保护定级工作的通知 《公安机关信息安全等级保护检查工作规范（试行）》 《关于加强国家电子政务工程建设项目信息安全风险评估工作的 通知》 关于印送《关于开展信息安全等级保护安全建设整改工作的指导 意见》的函 《关于推动信息安全等级保护测评体系建设和开展等级测评工作 的通知》 国务院令【1994】１ ４７号 中办发[2003]27号 公通字[2004]66号 中办 [2006]18号 公通字[2007]43号 公信安[2007]1360 号 公信安[2007]861号 公信安[2008]736号 发改高技 [2008]2071号 公信安[2009]1429 号 公信安[2010]303号


等级保护的重要地位
信息安全等级保护是“令”---国家意志的体现
国务院令【1994】147号《中华人民共和国计算机信息系统安全保护条例 》 规定“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护
的具体办法，由公安部会同有关部门制定”。
信息安全等级保护由执法机构负责 1995年2月18日人大12次会议通过并实施的《中华人民共和国警察法》
指保︽ 导护关 意安于 见全开 ︾建展 设信 号公整息 信 安改安 工全 作等 的级 )
( [2009]1429
︵安子︽ 发全政︵ 改风务七 高险工︶ 技评程关 估建于 工设加 作项强 的目国 通信家 知息电 号︾ ︶ [2008]2071
Biblioteka Baidu
行等关 ︶级于 ︾测印 的评发 通报︽ 知 信 号 告息 公模 信版系 安︵统 试安 全
国家高度重视信息安全
国家先后出台了一系列信息安全文件和举措

2012年国务院以国发〔2012〕23号文件：《国务院关于大力推进信息化发展 和 切实保障信息安全的若干意见》，涉及安全提到提升网络与信息安全保障水 平等六个方面的任务：
健全安全防护和管理，保障重点领域信息安全 一、确保重要信息系统和基础信息网络安全。 二、加强政府和涉密信息系统安全管理。 三、保障工业控制系统安全。 四、强化信息资源和个人信息保护。 加快能力建设，提升网络与信息安全保障水平 一、夯实网络与信息安全基础。 二、加强网络信任体系建设和密码保障。 三、提升网络与信息安全监管能力。 四、加快技术攻关和产业发展。 五、加强宣传教育和人才培养。 六、加快法规制度和标准建设。
（摘自“《关于信息安全等级保护工作的实施意见》 （公通字[2004]66号 ）文件）
概念回顾
三类基本要求
S类—业务信息安全保护类—关注的是保护 数据在存储、传输、处理过程中不被泄漏、 破坏和免受未授权的修改。 A类—系统服务安全保护类—关注的是保 护系统连续正常的运行，避免因对系统的 未授权修改、破坏而导致系统不可用。 G类—通用安全保护类—既关注保护业务 信息的安全性，同时也关注保护系统的连 续可用性。
信息系统安全保护等级
第五级
信息系统受到破坏后，会对国家安全造成特别 严重损害。 信息系统受到破坏后，会对社会秩序和公共利 益造成特别严重损害，或者对国家安全造成严 重损害。 信息系统受到破坏后，会对社会秩序和公共利 益造成严重损害，或者对国家安全造成损害。
第四级
第三级
第二级
信息系统受到破坏后，会对公民、法人和其他 组织的合法权益产生严重损害，或者对社会秩 序和公共利益造成损害，但不损害国家安全。
信息安全等级保护概念与标准
做等级保护 铸信息安全
国家高度重视信息安全
国家先后出台了一系列信息安全文件和举措

2003年，中办发 [2003]27号文件：《国家信息化领导小组关于 加强信息安全保障工作的意见》，中国信息安全建设的里程碑：
一、加强信息安全保障工作的总体要求和主要原则． 二、实行信息安全等级保护，重视信息安全风险评估 三、加强以密码技术为基础的信息保护和网络信任体系建设 四、建设和完善信息安全监控体系 五、重视信息安全应急处理工作 六、加强信息安全技术研究开发，推进信息安全产业发展 七、加强信息安全法制建设和标准化建设 八、加快信息安全人才培养，增强全民信息安全意识 九、保证信息安全资金 十、加强对信息安全保障工作的领导，建立健全信息安全管理责任制