1、內(nèi)部資料信息系統(tǒng)安全等級(jí)保護(hù)法規(guī)及依據(jù)在信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)備案、信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)等方面測(cè)評(píng)依據(jù)如下：1、中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（國務(wù)院147號(hào)令）2、信息安全等級(jí)保護(hù)管理辦法（公通字200743號(hào)）3、GB/T 17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 4、GB/T 20274信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架 5、GB/T 22081-2008信息技術(shù) 安全技術(shù)信息安全管理實(shí)用規(guī)則 6、GB/T 20271-2006信息系統(tǒng)通用安全技術(shù)要求 7、GB/T 18336-2008信息技術(shù)

2、 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 8、GB 17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 9、GB/T 22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求 10、GB/T 22240-2008信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南 11、信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 12、信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 13、信息安全等級(jí)保護(hù)管理辦法 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)備案流程1、定級(jí)原理信息系統(tǒng)安全保護(hù)等級(jí)根據(jù)等級(jí)保護(hù)相關(guān)管理文件，信息系統(tǒng)的安全保護(hù)等級(jí)分為以

3、下五級(jí)： 第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會(huì)秩序和公共利益。 第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國家安全。 第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國家安全造成損害。 第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國家安全造成嚴(yán)重?fù)p害。 第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國家安全造成特別嚴(yán)重?fù)p害。 信息系統(tǒng)安全保護(hù)等級(jí)的定級(jí)要素 信息系統(tǒng)的安全保護(hù)等級(jí)由兩個(gè)定級(jí)要素決定：等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵

4、害的客體和對(duì)客體造成侵害的程度。 受侵害的客體 等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體包括以下三個(gè)方面： a) 公民、法人和其他組織的合法權(quán)益； b) 社會(huì)秩序、公共利益； c) 國家安全。 對(duì)客體的侵害程度 對(duì)客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對(duì)客體的侵害是通過對(duì)等級(jí)保護(hù)對(duì)象的破壞實(shí)現(xiàn)的，因此，對(duì)客體的侵害外在表現(xiàn)為對(duì)等級(jí)保護(hù)對(duì)象的破壞，通過危害方式、危害后果和危害程度加以描述。 等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為以下三種： a) 造成一般損害； b) 造成嚴(yán)重?fù)p害； c) 造成特別嚴(yán)重?fù)p害。 定級(jí)要素與等級(jí)的關(guān)系 定級(jí)要素與信息系統(tǒng)安全保護(hù)等級(jí)的關(guān)系如下表所示。

5、 受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國家安全第三級(jí)第四級(jí)第五級(jí)2、定級(jí)流程信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對(duì)客體的侵害程度可能不同，因此，信息系統(tǒng)定級(jí)也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。 從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱業(yè)務(wù)信息安全保護(hù)等級(jí)。 從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級(jí)稱系統(tǒng)服務(wù)安全保護(hù)等級(jí)。 確定信息系統(tǒng)安全保護(hù)等級(jí)的一般流程如下： a) 確定作為定級(jí)對(duì)象的信息系統(tǒng)； b) 確定業(yè)務(wù)信息安全受到破壞時(shí)所侵害的客體；

6、 c) 根據(jù)不同的受侵害客體，從多個(gè)方面綜合評(píng)定業(yè)務(wù)信息安全被破壞對(duì)客體的侵害程度； d) 依據(jù)“業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表”，得到業(yè)務(wù)信息安全保護(hù)等級(jí)； e) 確定系統(tǒng)服務(wù)安全受到破壞時(shí)所侵害的客體； f) 根據(jù)不同的受侵害客體，從多個(gè)方面綜合評(píng)定系統(tǒng)服務(wù)安全被破壞對(duì)客體的侵害程度； g) 依據(jù)“系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表”，得到系統(tǒng)服務(wù)安全保護(hù)等級(jí)； h) 將業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者確定為定級(jí)對(duì)象的安全保護(hù)等級(jí)。業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)

7、社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國家安全第三級(jí)第四級(jí)第五級(jí)系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表系統(tǒng)服務(wù)被破壞時(shí)所侵害的客體對(duì)相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序、公共利益第二級(jí)第三級(jí)第四級(jí)國家安全第三級(jí)第四級(jí)第五級(jí)3、備案流程備案 管理辦法第十五條規(guī)定，已運(yùn)營（運(yùn)行）的第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級(jí)確定后30日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。 新建第二級(jí)以上信息系統(tǒng)，應(yīng)當(dāng)在投入運(yùn)行后30日內(nèi)，由其運(yùn)營、使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一

8、聯(lián)網(wǎng)運(yùn)行并由主管部門統(tǒng)一定級(jí)的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)備案。省直或省級(jí)單位信息系統(tǒng)向省公安廳備案。跨地區(qū)、跨省或者全省、全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，向地級(jí)以上市公安局備案。 管理辦法第十六條規(guī)定，辦理信息系統(tǒng)安全保護(hù)等級(jí)備案手續(xù)時(shí)，應(yīng)當(dāng)填寫信息系統(tǒng)安全等級(jí)保護(hù)備案表，第三級(jí)以上信息系統(tǒng)應(yīng)當(dāng)同時(shí)提供以下材料： 1系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明（說明可以是對(duì)系統(tǒng)結(jié)構(gòu)的簡(jiǎn)要說明）； 2系統(tǒng)安全組織機(jī)構(gòu)和管理制度（安全組織機(jī)構(gòu)包括機(jī)構(gòu)名稱、負(fù)責(zé)人、成員、職責(zé)分工等。管理制度包括

9、安全管理規(guī)范、章程等）； 3系統(tǒng)安全保護(hù)設(shè)施設(shè)計(jì)實(shí)施方案或者改建實(shí)施方案（簡(jiǎn)要的安全建設(shè)、整改方案）； 4系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明（主要信息安全產(chǎn)品的清單，確認(rèn)有認(rèn)證、銷售許可標(biāo)記）； 5測(cè)評(píng)后符合系統(tǒng)安全保護(hù)等級(jí)的技術(shù)檢測(cè)評(píng)估報(bào)告（最近一次測(cè)評(píng)的簡(jiǎn)要的等級(jí)測(cè)評(píng)報(bào)告）； 6信息系統(tǒng)安全保護(hù)等級(jí)專家評(píng)審意見（評(píng)審意見表，附專家名單）； 7主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級(jí)的意見（審批表，領(lǐng)導(dǎo)審 批簽字、蓋章）。備案審核 管理辦法第十七條規(guī)定，信息系統(tǒng)備案后，公安機(jī)關(guān)應(yīng)當(dāng)對(duì)信息系統(tǒng)的備案情況進(jìn)行審核，對(duì)符合等級(jí)保護(hù)要求的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)頒發(fā)信息系

10、統(tǒng)安全等級(jí)保護(hù)備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級(jí)不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個(gè)工作日內(nèi)通知備案單位重新審核確定。運(yùn)營、使用單位或者主管部門重新確定信息系統(tǒng)等級(jí)后，應(yīng)當(dāng)按照本辦法向公安機(jī)關(guān)重新備案。信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)簡(jiǎn)要流程1、等級(jí)測(cè)評(píng)過程等級(jí)測(cè)評(píng)過程分為測(cè)評(píng)準(zhǔn)備、方案編制、現(xiàn)場(chǎng)測(cè)評(píng)、報(bào)告編制、安全整改五個(gè)階段。測(cè)評(píng)雙方之間的溝通與洽談將貫穿整個(gè)等級(jí)測(cè)評(píng)過程。2、階段性實(shí)施計(jì)劃2.1、測(cè)評(píng)準(zhǔn)備：項(xiàng)目啟動(dòng)：l 確定測(cè)評(píng)機(jī)構(gòu)（四川省信息系統(tǒng)工程測(cè)評(píng)中心 聯(lián)系人：馮 李俊 13982114

11、746）；l 簽訂測(cè)評(píng)合同和測(cè)評(píng)保密協(xié)議；l 填報(bào)信息系統(tǒng)基本情況調(diào)查表格；l 準(zhǔn)備測(cè)評(píng)所需資料：總體描述文件、詳細(xì)描述文件、定級(jí)報(bào)告、自查報(bào)告和等級(jí)測(cè)評(píng)報(bào)告（如果曾做過的話），以及安全需求分析報(bào)告、安全總體方案、系統(tǒng)驗(yàn)收?qǐng)?bào)告等信息系統(tǒng)設(shè)計(jì)和建設(shè)過程的文檔。2.2、方案編制（測(cè)評(píng)機(jī)構(gòu)實(shí)施）： 1) 測(cè)評(píng)對(duì)象及測(cè)評(píng)指標(biāo)確定測(cè)評(píng)對(duì)象確定：l 識(shí)別被測(cè)系統(tǒng)等級(jí)；l 識(shí)別被測(cè)系統(tǒng)的整體結(jié)構(gòu)；l 識(shí)別被測(cè)系統(tǒng)的邊界；l 識(shí)別被測(cè)系統(tǒng)的網(wǎng)絡(luò)區(qū)域；l 識(shí)別被測(cè)系統(tǒng)的重點(diǎn)節(jié)點(diǎn)和業(yè)務(wù)應(yīng)用；l 確定測(cè)評(píng)對(duì)象。測(cè)評(píng)指標(biāo)確定：l 識(shí)別被測(cè)系統(tǒng)業(yè)務(wù)信息和系統(tǒng)服務(wù)安全保護(hù)等級(jí)；l 選擇對(duì)應(yīng)等級(jí)的ASG三類安全要求作為測(cè)評(píng)

12、指標(biāo)；l 就高原則調(diào)整多個(gè)定級(jí)對(duì)象共用的某些物理安全或管理安全測(cè)評(píng)指標(biāo)。2) 測(cè)評(píng)內(nèi)容確定l 識(shí)別每個(gè)測(cè)評(píng)對(duì)象對(duì)應(yīng)的測(cè)評(píng)指標(biāo)；l 識(shí)別每個(gè)測(cè)評(píng)對(duì)象對(duì)應(yīng)的每個(gè)測(cè)評(píng)指標(biāo)的測(cè)評(píng)方法。3) 工具測(cè)試方法確定l 確定工具測(cè)試的測(cè)評(píng)對(duì)象；l 選擇測(cè)試路徑；l 確定測(cè)試工具的接入點(diǎn)。4) 測(cè)評(píng)指導(dǎo)書開發(fā)l 從已有的測(cè)評(píng)指導(dǎo)書中選擇與測(cè)評(píng)對(duì)象對(duì)應(yīng)的手冊(cè)；l 針對(duì)沒有現(xiàn)成測(cè)評(píng)指導(dǎo)書的測(cè)評(píng)對(duì)象，開發(fā)新的測(cè)評(píng)指導(dǎo)書。5) 測(cè)評(píng)方案編制l 描述測(cè)評(píng)項(xiàng)目基本情況和工作依據(jù)；l 描述被測(cè)系統(tǒng)的整體結(jié)構(gòu)、邊界和網(wǎng)絡(luò)區(qū)域；l 描述被測(cè)系統(tǒng)重要節(jié)點(diǎn)和業(yè)務(wù)應(yīng)用；l 描述測(cè)評(píng)指標(biāo)；l 描述測(cè)評(píng)對(duì)象；l 描述測(cè)評(píng)內(nèi)容、方法和工具；l

13、 人員安排與進(jìn)度計(jì)劃。2.3、現(xiàn)場(chǎng)測(cè)評(píng)： 1) 現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備：l 現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書簽署；l 召開現(xiàn)場(chǎng)測(cè)評(píng)啟動(dòng)會(huì)；l 雙方確認(rèn)測(cè)評(píng)方案；l 雙方確認(rèn)配合人員、環(huán)境等資源；l 確認(rèn)信息系統(tǒng)已經(jīng)備份。2) 結(jié)果確認(rèn)和資料歸還l 召開現(xiàn)場(chǎng)測(cè)評(píng)結(jié)束會(huì)；l 確認(rèn)測(cè)評(píng)過程中獲取的證據(jù)和資料的正確性，并簽字認(rèn)可；l 測(cè)評(píng)人員歸還借閱的各種資料。2.4、報(bào)告編制（測(cè)評(píng)機(jī)構(gòu)實(shí)施）： 1）、單項(xiàng)測(cè)評(píng)結(jié)果判定分析測(cè)評(píng)項(xiàng)所對(duì)抗威脅的存在情況；分析單個(gè)測(cè)評(píng)項(xiàng)是否有多方面的要求內(nèi)容，依據(jù)“優(yōu)勢(shì)證據(jù)”法選擇優(yōu)勢(shì)證據(jù)，并將優(yōu)勢(shì)證據(jù)與預(yù)期測(cè)評(píng)結(jié)果相比較；綜合判定單個(gè)測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。2）、單元測(cè)評(píng)結(jié)果判定匯總每個(gè)測(cè)評(píng)對(duì)象在每個(gè)測(cè)評(píng)單元的單項(xiàng)測(cè)評(píng)結(jié)果；判定每個(gè)測(cè)評(píng)對(duì)象的單元測(cè)評(píng)結(jié)果。3）、整體測(cè)評(píng)分析不符合和部分符合的測(cè)評(píng)項(xiàng)與其他測(cè)評(píng)項(xiàng)（包括單元內(nèi)、層面間、區(qū)域間）之間的關(guān)聯(lián)關(guān)系及對(duì)結(jié)果的影響情況。4）、風(fēng)險(xiǎn)分析整體測(cè)評(píng)后的單元測(cè)評(píng)結(jié)果再次匯總；分析部分符合項(xiàng)或不符合項(xiàng)所產(chǎn)生的安全問題被威脅利用的可能性；分析威脅利用安全問題后造成的影響程度；按照測(cè)評(píng)單位選定的風(fēng)險(xiǎn)分析方法對(duì)被測(cè)