1、主要內(nèi)容等級(jí)保護(hù)簡(jiǎn)介等級(jí)保護(hù)制度等級(jí)保護(hù)工作的主要內(nèi)容等級(jí)測(cè)評(píng)簡(jiǎn)介測(cè)評(píng)流程測(cè)評(píng)方法測(cè)評(píng)內(nèi)容不同安全等級(jí)的區(qū)別（二級(jí)和三級(jí)）安全保護(hù)能力要求區(qū)別在測(cè)評(píng)上的區(qū)別主要內(nèi)容等級(jí)保護(hù)簡(jiǎn)介等級(jí)保護(hù)制度等級(jí)保護(hù)工作的主要內(nèi)容等級(jí)測(cè)評(píng)簡(jiǎn)介測(cè)評(píng)流程測(cè)評(píng)方法測(cè)評(píng)內(nèi)容不同安全等級(jí)的區(qū)別（二級(jí)和三級(jí)）安全保護(hù)能力要求區(qū)別在測(cè)評(píng)上的區(qū)別國(guó)家對(duì)等級(jí)保護(hù)制度的要求中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（國(guó)務(wù)院147號(hào)令） 中明確指出：“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門(mén)制定。”國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中公辦發(fā)200327號(hào)）規(guī)定：“要

2、重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南。”等級(jí)保護(hù)制度的地位和作用是國(guó)家信息安全保障工作的基本制度、基本國(guó)策。是開(kāi)展信息安全工作的基本方法。是促進(jìn)信息化、維護(hù)國(guó)家信息安全的根本保障。主要內(nèi)容等級(jí)保護(hù)簡(jiǎn)介等級(jí)保護(hù)制度等級(jí)保護(hù)工作的主要內(nèi)容等級(jí)測(cè)評(píng)簡(jiǎn)介測(cè)評(píng)流程測(cè)評(píng)方法測(cè)評(píng)內(nèi)容不同安全等級(jí)的區(qū)別（二級(jí)和三級(jí)）安全保護(hù)能力要求區(qū)別在測(cè)評(píng)上的區(qū)別等級(jí)保護(hù)工作主要內(nèi)容信息系統(tǒng)分等級(jí)進(jìn)行安全保護(hù)和監(jiān)管。系統(tǒng)定級(jí)備案安全建設(shè)整改等級(jí)測(cè)評(píng)監(jiān)督檢查信息安全產(chǎn)品分等級(jí)使用和管理。信息安全事件分等級(jí)響應(yīng)和處置。

3、等保工作中各部門(mén)的職責(zé)和義務(wù)職能部門(mén)：制定管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，組織實(shí)施，開(kāi)展監(jiān)督、檢查、指導(dǎo)。行業(yè)主管部門(mén)：監(jiān)督、檢查和指導(dǎo)本行業(yè)開(kāi)展等保工作。經(jīng)營(yíng)使用單位：開(kāi)展系統(tǒng)定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)和自查等工作，落實(shí)制度各項(xiàng)要求。安全服務(wù)機(jī)構(gòu)：開(kāi)展技術(shù)支持、服務(wù)等工作，接受監(jiān)管部門(mén)監(jiān)督管理。信息系統(tǒng)分等級(jí)保護(hù)定級(jí)備案建設(shè)整改測(cè)評(píng)監(jiān)督檢查信息系統(tǒng)分等級(jí)保護(hù)定級(jí)備案建設(shè)整改測(cè)評(píng)監(jiān)督檢查信息系統(tǒng)定級(jí)從信息系統(tǒng)對(duì)國(guó)家安全、經(jīng)濟(jì)建設(shè)、公共利益等方面的重要性，以及信息系統(tǒng)被破壞后造成危害的嚴(yán)重性角度對(duì)信息系統(tǒng)確定的等級(jí)：重要性定級(jí)。信息系統(tǒng)定級(jí)定級(jí)原則：自主定級(jí)、專(zhuān)家評(píng)審、主管部門(mén)審批、公安機(jī)關(guān)審核。具體參

4、照關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知（公通字2007861號(hào)）參考標(biāo)準(zhǔn)：定級(jí)指南定級(jí)流程：確定對(duì)象、確定安全保護(hù)等級(jí)、專(zhuān)家評(píng)審、主管部門(mén)審批、公安機(jī)關(guān)審核。分級(jí)保護(hù)：損害程度的解釋一般損害：是指對(duì)客體造成一定損害和影響，經(jīng)采取恢復(fù)或彌補(bǔ)措施，可消除部分影響。嚴(yán)重?fù)p害：是指對(duì)客體造成嚴(yán)重?fù)p害，經(jīng)采取恢復(fù)或彌補(bǔ)措施，仍產(chǎn)生較大影響。 造成特別嚴(yán)重?fù)p害：是指對(duì)客體造成特別嚴(yán)重?fù)p害，后果特別嚴(yán)重，影響重大且無(wú)法彌補(bǔ)。信息系統(tǒng)分等級(jí)保護(hù)定級(jí)備案建設(shè)整改測(cè)評(píng)監(jiān)督檢查信息系統(tǒng)備案第二級(jí)以上信息系統(tǒng)，由信息系統(tǒng)運(yùn)營(yíng)使用單位到所在地設(shè)區(qū)的市級(jí)以上公安機(jī)關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門(mén)辦理備案手續(xù)，填寫(xiě)信息系統(tǒng)

5、安全等級(jí)保護(hù)備案表。信息系統(tǒng)分等級(jí)保護(hù)定級(jí)備案建設(shè)整改測(cè)評(píng)監(jiān)督檢查安全建設(shè)整改第二級(jí)信息系統(tǒng)：經(jīng)過(guò)安全建設(shè)整改工作，信息系統(tǒng)具有抵御小規(guī)模、較弱強(qiáng)度惡意攻擊的能力，抵抗一般的自然災(zāi)害的能力，防范一般性計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測(cè)常見(jiàn)的攻擊行為，并對(duì)安全事件進(jìn)行記錄的能力；系統(tǒng)遭到損害后，具有恢復(fù)系統(tǒng)正常運(yùn)行狀態(tài)的能力。第三級(jí)信息系統(tǒng)：經(jīng)過(guò)安全建設(shè)整改工作，信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御大規(guī)模、較強(qiáng)惡意攻擊的能力，抵抗較為嚴(yán)重的自然災(zāi)害的能力，防范計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測(cè)、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力；具有對(duì)安全事件進(jìn)行響應(yīng)處置，并能夠追蹤安全責(zé)任的能力；在

6、系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力；對(duì)于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能立即恢復(fù)正常運(yùn)行狀態(tài)；具有對(duì)系統(tǒng)資源、用戶(hù)、安全機(jī)制等進(jìn)行集中控管的能力。信息系統(tǒng)分等級(jí)保護(hù)定級(jí)備案建設(shè)整改測(cè)評(píng)監(jiān)督檢查主要內(nèi)容等級(jí)保護(hù)簡(jiǎn)介等級(jí)保護(hù)制度等級(jí)保護(hù)工作的主要內(nèi)容等級(jí)測(cè)評(píng)簡(jiǎn)介測(cè)評(píng)流程測(cè)評(píng)方法測(cè)評(píng)內(nèi)容不同安全等級(jí)的區(qū)別（二級(jí)和三級(jí)）安全保護(hù)能力要求區(qū)別在測(cè)評(píng)上的區(qū)別等級(jí)測(cè)評(píng)流程四個(gè)階段：準(zhǔn)備階段方案編制階段現(xiàn)場(chǎng)測(cè)評(píng)階段報(bào)告編制階段準(zhǔn)備階段方案編制階段現(xiàn)場(chǎng)測(cè)評(píng)階段報(bào)告編制階段主要內(nèi)容等級(jí)保護(hù)簡(jiǎn)介等級(jí)保護(hù)制度等級(jí)保護(hù)工作的主要內(nèi)容等級(jí)測(cè)評(píng)簡(jiǎn)介測(cè)評(píng)流程測(cè)評(píng)方法測(cè)評(píng)內(nèi)容不同安全等級(jí)的區(qū)別（二級(jí)和三級(jí)）安全保護(hù)

7、能力要求區(qū)別在測(cè)評(píng)上的區(qū)別測(cè)評(píng)方法訪談訪談是指測(cè)評(píng)人員通過(guò)與信息系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)以表明信息系統(tǒng)安全保護(hù)措施是否有效落實(shí)的一種方法。在訪談范圍上，應(yīng)基本覆蓋所有的安全相關(guān)人員類(lèi)型，在數(shù)量上可以抽樣。檢查檢查是指測(cè)評(píng)人員通過(guò)對(duì)測(cè)評(píng)對(duì)象進(jìn)行觀察、查驗(yàn)、分析等活動(dòng)，獲取相關(guān)證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效實(shí)施的一種方法。在檢查范圍上，應(yīng)基本覆蓋所有的對(duì)象種類(lèi)（設(shè)備、文檔、機(jī)制等），數(shù)量上可以抽樣。測(cè)試測(cè)試是指測(cè)評(píng)人員針對(duì)測(cè)評(píng)對(duì)象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)，通過(guò)查看和分析響應(yīng)的輸出結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否得以有效實(shí)施的一種

8、方法。在測(cè)試范圍上，應(yīng)基本覆蓋不同類(lèi)型的機(jī)制，在數(shù)量上可以抽樣。主要內(nèi)容等級(jí)保護(hù)簡(jiǎn)介等級(jí)保護(hù)制度等級(jí)保護(hù)工作的主要內(nèi)容等級(jí)測(cè)評(píng)簡(jiǎn)介測(cè)評(píng)流程測(cè)評(píng)方法測(cè)評(píng)內(nèi)容不同安全等級(jí)的區(qū)別（二級(jí)和三級(jí)）安全保護(hù)能力要求區(qū)別在測(cè)評(píng)上的區(qū)別測(cè)評(píng)內(nèi)容技術(shù)要求：物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全管理要求：管理制度管理機(jī)構(gòu)人員管理系統(tǒng)建設(shè)系統(tǒng)運(yùn)維主要內(nèi)容等級(jí)保護(hù)簡(jiǎn)介等級(jí)保護(hù)制度等級(jí)保護(hù)工作的主要內(nèi)容等級(jí)測(cè)評(píng)簡(jiǎn)介測(cè)評(píng)流程測(cè)評(píng)方法測(cè)評(píng)內(nèi)容不同安全等級(jí)的區(qū)別（二級(jí)和三級(jí)）安全保護(hù)能力要求區(qū)別在測(cè)評(píng)上的區(qū)別安全保護(hù)能力的區(qū)別第二級(jí)信息系統(tǒng)：經(jīng)過(guò)安全建設(shè)整改工作，信息系統(tǒng)具有抵御小規(guī)模、較弱強(qiáng)度惡意攻擊的能力，抵抗一般的自

9、然災(zāi)害的能力，防范一般性計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測(cè)常見(jiàn)的攻擊行為，并對(duì)安全事件進(jìn)行記錄的能力；系統(tǒng)遭到損害后，具有恢復(fù)系統(tǒng)正常運(yùn)行狀態(tài)的能力。第三級(jí)信息系統(tǒng)：經(jīng)過(guò)安全建設(shè)整改工作，信息系統(tǒng)在統(tǒng)一的安全保護(hù)策略下具有抵御大規(guī)模、較強(qiáng)惡意攻擊的能力，抵抗較為嚴(yán)重的自然災(zāi)害的能力，防范計(jì)算機(jī)病毒和惡意代碼危害的能力；具有檢測(cè)、發(fā)現(xiàn)、報(bào)警、記錄入侵行為的能力；具有對(duì)安全事件進(jìn)行響應(yīng)處置，并能夠追蹤安全責(zé)任的能力；在系統(tǒng)遭到損害后，具有能夠較快恢復(fù)正常運(yùn)行狀態(tài)的能力；對(duì)于服務(wù)保障性要求高的系統(tǒng)，應(yīng)能立即恢復(fù)正常運(yùn)行狀態(tài)；具有對(duì)系統(tǒng)資源、用戶(hù)、安全機(jī)制等進(jìn)行集中控管的能力。主要內(nèi)容等級(jí)保護(hù)簡(jiǎn)

10、介等級(jí)保護(hù)制度等級(jí)保護(hù)工作的主要內(nèi)容等級(jí)測(cè)評(píng)簡(jiǎn)介測(cè)評(píng)流程測(cè)評(píng)方法測(cè)評(píng)內(nèi)容不同安全等級(jí)的區(qū)別（二級(jí)和三級(jí)）安全保護(hù)能力要求區(qū)別在測(cè)評(píng)上的區(qū)別具體體現(xiàn)逐級(jí)增強(qiáng)；控制點(diǎn)增加；要求項(xiàng)增加；控制強(qiáng)度增強(qiáng)。逐級(jí)增強(qiáng)三級(jí)基本要求：在二級(jí)基本要求的基礎(chǔ)上，技術(shù)方面，在控制點(diǎn)上增加了網(wǎng)絡(luò)惡意代碼防范、剩余信息保護(hù)、軟件容錯(cuò)、抗抵賴(lài)等。同時(shí)，對(duì)身份鑒別、安全審計(jì)、數(shù)據(jù)完整性、數(shù)據(jù)保密性等均有更進(jìn)一步的要求。管理方面，增加了系統(tǒng)備案、安全測(cè)評(píng)、監(jiān)控管理和安全管理中心等控制點(diǎn)，要求設(shè)置安全管理中心，對(duì)惡意代碼、補(bǔ)丁和審計(jì)等進(jìn)行集中管理。加強(qiáng)了安全管理制度的評(píng)審以及人員安全的管理，對(duì)系統(tǒng)建設(shè)過(guò)程加強(qiáng)了質(zhì)量管理。控制點(diǎn)增

11、加控制點(diǎn)增加，表明對(duì)系統(tǒng)的關(guān)注點(diǎn)增加，因而安全要求的級(jí)別差異就體現(xiàn)出來(lái)。比較突出的控制點(diǎn)增加，如，二級(jí)控制點(diǎn)增加了安全審計(jì)，三級(jí)控制點(diǎn)增加了強(qiáng)制訪問(wèn)控制。由于在二級(jí)的安全目標(biāo)中增加了對(duì)訪問(wèn)系統(tǒng)、網(wǎng)絡(luò)資源行為進(jìn)行記錄的能力，因此安全審計(jì)成為二級(jí)網(wǎng)絡(luò)安全和主機(jī)系統(tǒng)安全的新控制點(diǎn)。同樣，三級(jí)安全目標(biāo)增加了對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問(wèn)進(jìn)行嚴(yán)格控制的能力，故控制點(diǎn)在主機(jī)系統(tǒng)安全方面增加了強(qiáng)制訪問(wèn)控制。控制點(diǎn)增加安全要求類(lèi)層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)系統(tǒng)安全4679應(yīng)用安全47911數(shù)據(jù)安全2333管理要求安全管理機(jī)構(gòu)2333安全管理制度4555人員安全管理4555系

12、統(tǒng)建設(shè)管理991111系統(tǒng)運(yùn)維管理9121313合計(jì)/48667377級(jí)差/1874要求項(xiàng)增加同一控制點(diǎn)，具體的安全項(xiàng)目數(shù)量增加，表明對(duì)該控制點(diǎn)的要求更細(xì)化，更嚴(yán)格，從而表現(xiàn)為該控制點(diǎn)的強(qiáng)度增強(qiáng)。如，對(duì)于控制點(diǎn)身份鑒別，在二級(jí)只要求標(biāo)識(shí)唯一性、鑒別信息復(fù)雜性以及登錄失敗處理等要求；而在三級(jí)，對(duì)該控制點(diǎn)增加了采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶(hù)進(jìn)行身份鑒別的新要求，該控制點(diǎn)的強(qiáng)度得到增強(qiáng)。要求項(xiàng)增加安全要求類(lèi)層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全9193233網(wǎng)絡(luò)安全9183332主機(jī)系統(tǒng)安全6193236應(yīng)用安全7193136數(shù)據(jù)安全24811管理要求安全管理機(jī)構(gòu)371114安全管理制度492020人員安全管理7111618系統(tǒng)建設(shè)管理20284548系統(tǒng)運(yùn)維管理18416270合計(jì)/85175290318級(jí)差/9011528要求強(qiáng)度增強(qiáng)范圍增大：如，對(duì)物理安全的“防靜電”，二級(jí)只要求“關(guān)鍵設(shè)備應(yīng)采用必要的接地防靜電措施”；而三級(jí)則在對(duì)象的范圍上發(fā)生了變化，為“主要設(shè)備應(yīng)采用必要的接地防靜電措施”。范圍的擴(kuò)大，表明了該要求項(xiàng)強(qiáng)度的增強(qiáng)。要求細(xì)化：如，人員安全管理中的“安全意識(shí)教育和培訓(xùn)”，二級(jí)