国家等级保护政策标准解读

国家等级保护政策标准解读

（一）概述

信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法，是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。国务院147号令及中办发[2003] 27号文等文件明确规定，要实行信息安全等级保护，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。

建立和落实信息安全等级保护制度是形势所迫、国情所需。我国信息安全保障工作要求坚持“积极防御、综合防范”的方针，全面提高信息安全防护能力。等级保护工作的具体环节分为“定级、备案、系统建设整改、开展等级测评、信息安全监管部门定期开展监督检查”五步骤。

等级保护工作中各环节用到的主要标准包括：《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护实施指南》、《信息系统安全保护等级定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评过程指南》。

等级保护相关标准与等级保护各工作环节的关系如下：

（二）信息安全等级保护实施指南

《信息系统安全等级保护实施指南》（GB/T25058-2010）介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动，通过对过程和活动的介绍，使大家了解对信息系统实施等级保护的流程方法，以及不同的角色在不同阶段的作用等。

信息系统全生命周期分为“信息系统定级、总体安全规划、安全设计与实施、安全运行维护、信息系统终止”等五个阶段。

在安全运行与维护阶段，信息系统因需求变化等原因导致局部调整，而系统的安全保护等级并未改变，应从安全运行与维护阶段进入安全设计与实施阶段，重新设计、调整和实施安全措施，确保满足等级保护的要求。但是信息系统发生重大变更导致信息系统等级变化是，应从安全运行维护阶段进入信息系统定级阶段，重新开始一轮信息安全等级保护的实施过程。

2.1 信息系统定级

定级备案是信息安全等级保护的首要环节。信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。在等级保护工

作中，信息系统运营使用单位和主管部门按照“谁主管谁负责，谁运营谁负责”的原则开展工作，并接受信息安全监管部门对开展等级保护工作的监管。

2.1.1 定级

定级工作的主要内容包括：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核，具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》要求执行。

等级的确定是不依赖于安全保护措施的，具有一定的“客观性”，即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级，而非由“后天”的安全保护措施决定。不同级别的信息系统应具备相应级别的安全保护能力。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级，从第一级到第五级逐级增高。

定级方法包括：确定定级对象、确定业务信息安全受到破坏时所侵害的客体、综合评定业务信息安全被破坏对客体的侵害程度等。

信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T 22240-2008，确定信息系统的安全保护等级，信息系统运营、使用单位有主管部门的，应当经主管部门审核批准。

2.1.2 备案

信息安全等级保护备案工作包括信息系统备案、受理、审核和备案信息管理等工作。信息系统运营使用单位和受理备案的公安机关应按照《信息安全等级保护备案实施细则》的要求办理信息系统备案工作。

第二级以上信息系统，在安全保护等级确定后30天内，由其运营、使用单位或其主管部门到所在地设区的市级以上公安机关办理备案手续。办理备案手续时，应当首先到公安机关指定的网址下载并填写备案表，准备好备案文件，然后到指定的地点备案。

2.2 总体安全规划

总体安全规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况，通过分析明确信息系统安全需求，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施计划，以指导后续的信息系统安全建设工程实施。对于已运营（运行）的信息系统，需求分析应当首先分析判断信息系统的安全保护现状与等级保护要求之间的差距。

2.3 安全设计与实施

安全设计与实施阶段的目标是按照信息系统安全总体方案的要求，结合信息系统安全建设项目计划，分期分步落实安全措施。

2.4 安全运行与维护

安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节，涉及的内容较多，包括安全运行与维护机构和安全运行与维护机制的建立，环境、资产、设备、介质的管理，网络、系统的管理，密码、密钥的管理，运行、变更的管理，安全状态监控和安全事件处置，安全审计和安全检查等内容。本标准并不对上述所有的管理过程进行描述，希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其它标准或指南。

2.4.1 信息系统建设整改

建设整改是等级保护工作落实的关键所在。确定了各等级信息系统能够达到相应等级的基本保护水平和满足自身需求的安全保护能力。

安全建设整改基本流程工作分为五步进行。

（1）落实负责安全建设整改工作的责任部门，由责任部门牵头制定本单位和本行业信息系统安全建设整改工作计划，对安全建设整改工作进行总体部署。（2）开展信息系统安全保护现状分析，从管理和技术两个方面确定信息系统安全建设整改需求。

（3）确定安全保护策略，制定信息系统安全建设整改方案。

（4）按照信息系统安全建设整改方案，实施安全建设整改工程，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全设施。

（5）开展安全自查和等级测评。

按照国家有关规定，依据《基本要求》，参照《信息系统安全管理要求》等标准规范要求，开展信息系统等级保护安全管理制度建设工作。工作流程包括：（1）落实信息安全责任制；（2）信息系统安全管理现状分析；（3）制定安全管理策略和制度；（4）落实安全管理措施；（5）安全自查与调整。