信息安全等級保護專業知識1信息安全等級保護專業知識1主題21234信息安全的屬性特征和管理分類什么是等級保護等級保護的國家政策與標準規范等級保護的工作內容25等級保護的建設流程6等級保護各參與部門的角色定位7涉及國家秘密信息系統的分級保護主題21234信息安全的屬性特征和管理分類什么是等級保護等級信息安全的屬性特征3信息安全是整體的、發展的、非傳統的安全；信息安全是一個系統工程，需要全社會共同努力；信息安全不是絕對的，是動態的、相對的；信息安全不是一個國家能完全控制的問題，具有全球化的特點，應從全球信息化角度考慮和布局；信息安全不是一個孤立的問題，應在系統建設過程中充分考慮。信息安全的屬性特征3信息安全是整體的、發展的、非傳統的安全；信息安全管理分類4密保（分保）——分三級（絕密、機密、秘密）涉密環境（網絡、終端、應用系統及數據）的信息安全等保——分五級非涉密環境（網絡、終端、應用系統及數據）的信息安全信息安全管理分類4密保（分保）——分三級（絕密、機密、秘密主題21234信息安全的屬性特征和管理分類什么是等級保護等級保護的國家政策與標準規范等級保護的工作內容55等級保護的建設流程6等級保護各參與部門的角色定位7涉及國家秘密信息系統的分級保護主題21234信息安全的屬性特征和管理分類什么是等級保護等級什么是等級保護6信息系統等級保護的定義是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。等級保護工作分為五個環節：定級、備案、建設整改、等級測評、監督檢查。信息安全等級保護是基本制度、基本國策什么是等級保護6信息系統等級保護的定義等級保護的等級劃分準則7根據信息和信息系統遭到破壞或泄露后，對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權益的危害程度來進行定級。1、受侵害客體；2、受侵害程度。等級保護的等級劃分準則7根據信息和信息系統遭到破壞或泄露后，等級保護的等級劃分準則8等級保護的等級劃分準則8公安部關于等級保護文件規定第一級為自主保護級第二級為指導保護級第一級為監督保護級第一級為強制保護級第一級為?？乇Ｗo級9公安部關于等級保護文件規定第一級為自主保護級9等級保護涉及的幾個概念10主動用戶、進程主體被動文件、存儲設備客體訪問：讀、寫、執行權限安全策略安全審計強制訪問控制等級保護涉及的幾個概念10主動主體被動客體訪問：讀、寫、執行等級保護的等級劃分準則11第一級用戶自主保護級第二級系統審計保護第三級安全標記保護第四級結構化保護第五級訪問驗證保護用戶自主控制資源訪問訪問行為需要被審計通過標記實現強制訪問控制可信計算基結構化所有的過程都需要驗證等級保護的等級劃分準則11第一級用戶自主保護級第二級系統等級保護的等級劃分準則12第一級自主安全保護第二級審計安全保護第三級強制安全保護第四級結構化保護第五級訪問驗證保護級自主訪問控制身份鑒別完整性保護自主訪問控制身份鑒別完整性保護系統審計客體重用自主訪問控制身份鑒別完整性保護系統審計客體重用強制訪問控制標記自主訪問控制身份鑒別完整性保護系統審計客體重用強制訪問控制標記自主訪問控制身份鑒別完整性保護系統審計客體重用強制訪問控制標記隱蔽通道分析可信路徑隱蔽通道分析可信路徑可信恢復等級保護的等級劃分準則12第一級自主安全保護第二級審計安信息系統的五個安全保護等級13第一級：一般適用于小型私營、個體企業、中小學、鄉鎮所屬信息系統、縣級單位中一般的信息系統。第二級：一般適用于縣級某些單位中的重要信息系統；地市級以上國家機關、企事業單位內部一般的信息系統，如涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統等。第三級：一般適用于地市級以上國家機關、企業、事業單位內部重要的信息系統，例如涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統；跨省或全國聯網運行的用于生產、調度、管理、指揮、作業、控制等方面的重要信息系統以及這類系統在省、地市的分支系統；中央各部委、?。▍^、市）門戶網站和重要網站；跨省連接的網絡系統等。第四級：一般適用于國家重要領域、重要部門中的特別重要系統以及核心系統。例如電力、電信、廣電、鐵路、民航、銀行、稅務等重要部門的生產、調度、指揮等涉及國家安全、國計民生的核心系統。第五級：一般適用于國家重要領域、重要部門中的極端重要系統信息系統的五個安全保護等級13第一級：一般適用于小型私營、個主題31234信息安全的屬性特征和管理分類什么是等級保護等級保護的國家政策與標準規范等級保護的工作內容145等級保護的建設流程6等級保護各參與部門的角色定位7涉及國家秘密信息系統的分級保護主題31234信息安全的屬性特征和管理分類什么是等級保護等級等級保護的國家政策15頒布時間文件名稱文號頒布機構內容及意義1994年2月18日《中華人民共和國計算機信息系統安全保護條例》國務院147號令國務院第一次提出信息系統要實行等級保護，并確定了等級保護的職責單位。2003年9月7日《國家信息化領導小組關于加強信息安全保障工作的意見》中辦國辦發[2003]27號中共中央辦公廳國務院辦公廳等級保護工作的開展必須分步驟、分階段、有計劃的實施。明確了信息安全等級保護制度的基本內容。2004年9月15日《關于信息安全等級保護工作的實施意見》公通字[2004]66號公安部國家保密局國家密碼管理委員會辦公室（國家密碼管理局）國務院信息化工作辦公室將等級保護從計算機信息系統安全保護的一項制度提升到國家信息安全保障的一項基本制度。2007年6月22日《信息安全等級保護管理辦法》公通字[2007]43號明確了信息安全等級保護制度的基本內容、流程及工作要求，明確了信息系統運營使用單位和主管部門、監管部門在信息安全等級保護工作中的職責、任務。2007年7月16日《關于開展全國重要信息系統安全等級保護定級工作的通知》公信安[2007]861號就定級范圍、定級工作主要內容、定級工作要求等事項進行了通知。等級保護的國家政策15頒布時間文件名稱文號頒布機構內容及意義等級保護的技術標準規范16GB17859-1999計算機信息系統安全保護等級劃分準則信息系統安全等級保護定級指南GB/T20269-2006信息系統安全管理要求GB/T20282-2006信息安全技術信息系統安全工程管理要求GB/T20270-2006信息安全技術網絡基礎安全技術要求GB/T20271-2006信息安全技術信息系統通用安全技術要求GB/T20272-2006信息安全技術操作系統安全技術要求GB/T20273-2006信息安全技術數據庫管理系統通用安全技術要求GB/T22239-2008信息安全技術信息系統安全等級保護基本要求信息安全技術信息系統等級保護安全設計技術要求(已送批)信息系統安全等級保護實施指南……GB/T20009-2005信息安全技術操作系統安全評估準則國家已出臺70多個國標、行標以及報批標準，從基礎、設計、實施、管理、制度等各個方面對等保系統提出了要求和建議。等級保護的技術標準規范16GB17859-1999計算機等級保護的技術標準規范17《計算機信息系統安全保護等級劃分準則》（GB17859-1999）《信息安全技術信息系統通用安全技術要求》（GB/T20271-2006）《信息安全技術操作系統安全技術要求》

（GB/T20272-2006）《信息安全技術

信息系統安全等級保護基本要求》（GB/T22239-2008）《信息安全技術

信息系統等級保護安全設計技術要求》面向評估者技術標準：面向建設者技術標準：等級保護的技術標準規范17《計算機信息系統安全保護等級劃分準等級保護的技術標準規范18《信息安全技術信息系統安全工程管理要求》（GB/T20282-2006）《信息系統安全管理體系標準》（ISO/IEC27001）《信息安全技術信息系統安全等級保護實施指南》（GB/Txxxxx-2007

）管理類標準：等保方案類標準：系統定級類標準：《信息安全技術信息系統安全保護等級定級指南》（GB/T22240-2008）等級保護的技術標準規范18《信息安全技術信息系統安全工程管等級保護的技術標準規范19《信息系統安全等級保護基本要求》(GB/T22239-2008)《信息系統等級保護安全設計技術要求》（已審批）《計算機信息系統安全保護等級劃分準則》（GB17859-1999）最早提出的基礎性、強制性標準；粒度較粗，是一個指導性標準；公安部作為等保系統建設、評測的重要依據等保系統設計時的主要依據：一個中心三重防御國家已出臺約70余個標準，重點需要了解的有：等級保護的技術標準規范19《信息系統安全等級保護基本要求》(主題41234信息安全的屬性特征和管理分類什么是等級保護等級保護的國家政策與標準規范等級保護的工作內容205等級保護的建設流程6等級保護各參與部門的角色定位7涉及國家秘密信息系統的分級保護主題41234信息安全的屬性特征和管理分類什么是等級保護等級等級保護的建設目標21某級信息系統技術要求管理要求基本要求建立安全技術體系建立安全管理體系具有某級安全保護能力的系統等級保護的建設目標21某級信息系統技術要求管理要求基本要求建等級保護的建設要求22物理安全技術要求管理要求基本要求網絡安全主機安全應用安全數據安全安全管理機構安全管理制度人員安全管理系統建設管理系統運維管理等級保護的建設要求22物理安全技術要求管理要求基本要求網絡安等級保護的建設要求23環境安全防其他自然災害機房與設施安全環境與人員安全設備安全防止電磁泄露發射防盜與防毀防電磁干擾介質安全介質的管理介質的分類介質的防護物理安全等級保護的建設要求23環境安全防其他自然災害機房與設施安全環等級保護的建設要求24網絡安全1.網絡結構安全2.網絡訪問控制3.網絡安全審計4.邊界完整性檢查5.網絡入侵防范6.惡意代碼防護7.網絡防護設備主機安全身份鑒別強制訪問控制系統安全審計4.剩余信息保護5.入侵防范6.惡意代碼防范7.資源控制

應用安全

1.身份認證2.安全審計3.剩余信息保護4.通信完整性和機密性保護數據安全1.數據機密性保護2.數據完整性保護5.控制軟件容錯；6.嚴格的訪問；7.自動保護功能；8.資源控制；等級保護的建設要求24網絡安全主機安全等級保護的建設模式25滿足政策要求滿足標準要求滿足用戶自身要求安全現狀差異性分析基本要求需求物理安全網絡安全主機安全應用安全數據安全與備份恢復等級保護的建設模式25滿足政策要求安全現狀差異性分析基本要求等級保護的體系架構26其它定級系統安全接入/隔離設備計算環境區域邊界通信網絡網站/應用服務器交換設備用戶終端安全管理中心通信網絡區域邊界計算環境安全管理中心等級保護的體系架構26其它定級系統安全接入/隔離設備計算環境等級保護的技術實現要求27構筑由安全管理中心統一管理下的計算環境、區域邊界、通信網絡三重防御體系。安全區域邊界可信計算環境安全管理中心安全通信網絡等級保護的技術實現要求27構筑由安全管理中心統一管理下的計算主題51234信息安全的屬性特征和管理分類什么是等級保護等級保護的國家政策與標準規范等級保護的工作內容285等級保護的建設流程6等級保護各參與部門的角色定位7涉及國家秘密信息系統的分級保護主題51234信息安全的屬性特征和管理分類什么是等級保護等級等級保護的建設流程29達標等保體系安全措施業務應用信息網絡已運營系統業務應用安全措施新建系統等保整改等保建設等級保護的建設流程29達標等保體系安全措施業務應用信息網絡已等級保護整改建設流程301.信息系統定級2.等保建設立項3.信息安全威脅分析4.等保方案設計5.安全體系部署6.等保體系測評7.等保整改建設完成定級工作08年已基本完成專業機構整改意見總設詳設專家論證項目實施內部驗收專業機構測評報告未通過等級保護整改建設流程301.信息系統定級2.等保建設立項3.流程1：信息系統定級31

2007年開始，我國在全國范圍展開了信息系統等級保護的定級工作，并在公安部進行了相關的備案。定級依據：《信息系統安全保護等級定級指南》（國家）《XX行業信息系統安全保護等級定級指南》誰主管、運營誰定級；擬確定為四級以上的信息系統需請國家信息安全保護等級專家評審委員會評審；信息系統定級情況要在公安部門報備；流程1：信息系統定級31 2007年開始，我國在全國范圍流程1：信息系統定級32根據信息和信息系統遭到破壞或泄露后，對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權益的危害程度來進行定級。受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級1.受侵害客體；2.受侵害程度；流程1：信息系統定級32根據信息和信息系統遭到破壞或泄露后，流程2：等保建設立項33 信息系統等級保護建設，經過信息系統的運營、管理部門以及有關政府部門的批準，并列入信息系統運營單位或政府計劃的過程。一項基本國策，一項基本制度，具有政策的強制性是辦公電子化、業務信息化發展必需的保障手段用戶業務開展的實際需求流程2：等保建設立項33 信息系統等級保護建設，經過信息流程3：風險評估34需請相應級別、具有資質的測評中心進行風險評估；風險評估是對信息資產面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用而帶來風險的可能性的評估。風險評估是確定信息安全需求的一個重要途徑。風險評估完成后出具《評估報告》和《整改意見》；流程3：風險評估34需請相應級別、具有資質的測評中心進行風險流程4：等級方案設計思路351整改意見需求分析2總體設計詳細設計3應急方案災備方案5方案與產品安全性論證6項目預算7項目實施方案設計4產品選型技術指標信息系統等保體系建設目標流程4：等級方案設計思路351整改意見2總體設計3應急方案5流程4：等保方案設計原則36重視安全技管兼行遵循政策符合標準需求主導突出重點整體規劃分步實施全局管理統一標準適度安全減少影響流程4：等保方案設計原則36重視安全技管兼行遵循政策流程4：需求分析方法37滿足政策要求滿足標準要求滿足用戶自身要求安全現狀差異性分析基本要求需求物理安全網絡安全主機安全應用安全數據安全與備份恢復流程4：需求分析方法37滿足政策要求安全現狀差異性分析基本要流程4：需求分析方法38安全現狀與《基本要求》的差異分析對照標準要求是否滿足相應措施物理安全網絡安全主機安全應用安全數據安全流程4：需求分析方法38安全現狀與《基本要求》的差異分析對照流程4：設計方案章節39等級保護建設方案章節：二、安全需求分析一、項目背景四、等保技術體系設計三、方案總體設計六、等保管理安全設計五、等保物理安全設計八、產品選型與技術指標七、應急與災備設計九、方案與產品安全性論證十一、實施方案設計十、項目預算需求背景政策依據以《基本要求》中“網絡、主機、應用、數據”部分要求為目標，以《設計要求》為方法以《基本要求》中物理安全部分為依據以《基本要求》中管理安全部分為依據經過信息安全等級保護專家論證通過流程4：設計方案章節39等級保護建設方案章節：二、安全需求分流程4：等保體系整體架構40安全接入/隔離設備計算環境區域邊界通信網絡網站/應用服務器交換設備用戶終端安全管理中心通信網絡區域邊界計算環境安全管理中心流程4：等保體系整體架構40安全接入/隔離設備計算環境區域邊流程5：等保體系部署41統一規劃，分步實施規范管理，責任落實確保安全，影響最小專家論證，內部驗收計算環境區域邊界通信網絡流程5：等保體系部署41統一規劃，分步實施規范管理，責任落實流程6：等保體系測評42等保體系達標需請相應級別、具有資質的測評中心進行等保測評；以相應的政策、標準為基準，對等保體系進行風險評測，從面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用角度，分析信息系統的等保體系是否達標。等保測評完成后出具《測評報告》和《整改意見》；等保體系測評信息等保整改通過未通過流程6：等保體系測評42等保體系達標需請相應級別、具有資質的流程7：等保體系整改建設完成43構筑由安全管理中心統一管理下的計算環境、區域邊界、通信網絡三重防御體系。安全區域邊界安全計算環境安全管理中心安全通信網絡流程7：等保體系整改建設完成43構筑由安全管理中心統一管理下主題61234信息安全的屬性特征和管理分類什么是等級保護等級保護的國家政策與標準規范等級保護的工作內容445等級保護的建設流程6等級保護各參與部門的角色定位7涉及國家秘密信息系統的分級保護主題61234信息安全的屬性特征和管理分類什么是等級保護等級等級保護各參與部門的角色定位45《信息安全等級保護管理辦法》公安機關負責信息安全等級保護工作的監督、檢查、指導——公安部及地方公安部門、網監部門國家保密工作部門負責等級保護工作中有關保密工作的監督、檢查、指導——國家保密局及地方保密局國家密碼管理部門負責等級保護工作中有關密碼工作的監督、檢查、指導——國密辦及地方密碼管理局/辦國務院信息化領導小組負責等級保護工作的部門間協調——國信辦、工信部及地方信息辦等級保護測評機構負責按照國家相關技術標準和要求對信息系統進行等級保護的分析測評工作等級保護各參與部門的角色定位45《信息安全等級保護管理辦法》主題61234信息安全的屬性特征和管理分類什么是等級保護等級保護的國家政策與標準規范等級保護的工作內容465等級保護的建設流程6等級保護各參與部門的角色定位7涉及國家秘密信息系統的分級保護主題61234信息安全的屬性特征和管理分類什么是等級保護等級涉及國際秘密信息系統的分級保護管理47按照國家保密部門有關涉密信息系統分級保護的管理規定和技術標準進行保護非涉密信息系統不得處理國家秘密信息涉密信息系統分為秘密、機密、絕密三個等級國家保密標準BMB17-2006《涉及國家秘密的計算機信息系統分級保護技術要求》確定等級涉密信息系統使用的產品原則上選用國產品涉密系統建成后，由測評機構進行安全保密測評涉及國際秘密信息系統的分級保護管理47按照國家保密部門有關涉附錄48信息安全等級保護備案實施細則（試行）2007（公安部）公安機關信息安全等級保護工作規范（試行）2008（檢查通知書、限期整改通知書、檢查情況通報書）關于加強國家電子政務工程建設項目信息安全風險評估工作的通知附錄48信息安全等級保護備案實施細則（試行）2007（公安部信息安全等級保護專業知識49信息安全等級保護專業知識1主題21234信息安全的屬性特征和管理分類什么是等級保護等級保護的國家政策與標準規范等級保護的工作內容505等級保護的建設流程6等級保護各參與部門的角色定位7涉及國家秘密信息系統的分級保護主題21234信息安全的屬性特征和管理分類什么是等級保護等級信息安全的屬性特征51信息安全是整體的、發展的、非傳統的安全；信息安全是一個系統工程，需要全社會共同努力；信息安全不是絕對的，是動態的、相對的；信息安全不是一個國家能完全控制的問題，具有全球化的特點，應從全球信息化角度考慮和布局；信息安全不是一個孤立的問題，應在系統建設過程中充分考慮。信息安全的屬性特征3信息安全是整體的、發展的、非傳統的安全；信息安全管理分類52密保（分保）——分三級（絕密、機密、秘密）涉密環境（網絡、終端、應用系統及數據）的信息安全等?！治寮壏巧婷墉h境（網絡、終端、應用系統及數據）的信息安全信息安全管理分類4密保（分保）——分三級（絕密、機密、秘密主題21234信息安全的屬性特征和管理分類什么是等級保護等級保護的國家政策與標準規范等級保護的工作內容535等級保護的建設流程6等級保護各參與部門的角色定位7涉及國家秘密信息系統的分級保護主題21234信息安全的屬性特征和管理分類什么是等級保護等級什么是等級保護54信息系統等級保護的定義是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。等級保護工作分為五個環節：定級、備案、建設整改、等級測評、監督檢查。信息安全等級保護是基本制度、基本國策什么是等級保護6信息系統等級保護的定義等級保護的等級劃分準則55根據信息和信息系統遭到破壞或泄露后，對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權益的危害程度來進行定級。1、受侵害客體；2、受侵害程度。等級保護的等級劃分準則7根據信息和信息系統遭到破壞或泄露后，等級保護的等級劃分準則56等級保護的等級劃分準則8公安部關于等級保護文件規定第一級為自主保護級第二級為指導保護級第一級為監督保護級第一級為強制保護級第一級為?？乇Ｗo級57公安部關于等級保護文件規定第一級為自主保護級9等級保護涉及的幾個概念58主動用戶、進程主體被動文件、存儲設備客體訪問：讀、寫、執行權限安全策略安全審計強制訪問控制等級保護涉及的幾個概念10主動主體被動客體訪問：讀、寫、執行等級保護的等級劃分準則59第一級用戶自主保護級第二級系統審計保護第三級安全標記保護第四級結構化保護第五級訪問驗證保護用戶自主控制資源訪問訪問行為需要被審計通過標記實現強制訪問控制可信計算基結構化所有的過程都需要驗證等級保護的等級劃分準則11第一級用戶自主保護級第二級系統等級保護的等級劃分準則60第一級自主安全保護第二級審計安全保護第三級強制安全保護第四級結構化保護第五級訪問驗證保護級自主訪問控制身份鑒別完整性保護自主訪問控制身份鑒別完整性保護系統審計客體重用自主訪問控制身份鑒別完整性保護系統審計客體重用強制訪問控制標記自主訪問控制身份鑒別完整性保護系統審計客體重用強制訪問控制標記自主訪問控制身份鑒別完整性保護系統審計客體重用強制訪問控制標記隱蔽通道分析可信路徑隱蔽通道分析可信路徑可信恢復等級保護的等級劃分準則12第一級自主安全保護第二級審計安信息系統的五個安全保護等級61第一級：一般適用于小型私營、個體企業、中小學、鄉鎮所屬信息系統、縣級單位中一般的信息系統。第二級：一般適用于縣級某些單位中的重要信息系統；地市級以上國家機關、企事業單位內部一般的信息系統，如涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統等。第三級：一般適用于地市級以上國家機關、企業、事業單位內部重要的信息系統，例如涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統；跨省或全國聯網運行的用于生產、調度、管理、指揮、作業、控制等方面的重要信息系統以及這類系統在省、地市的分支系統；中央各部委、?。▍^、市）門戶網站和重要網站；跨省連接的網絡系統等。第四級：一般適用于國家重要領域、重要部門中的特別重要系統以及核心系統。例如電力、電信、廣電、鐵路、民航、銀行、稅務等重要部門的生產、調度、指揮等涉及國家安全、國計民生的核心系統。第五級：一般適用于國家重要領域、重要部門中的極端重要系統信息系統的五個安全保護等級13第一級：一般適用于小型私營、個主題31234信息安全的屬性特征和管理分類什么是等級保護等級保護的國家政策與標準規范等級保護的工作內容625等級保護的建設流程6等級保護各參與部門的角色定位7涉及國家秘密信息系統的分級保護主題31234信息安全的屬性特征和管理分類什么是等級保護等級等級保護的國家政策63頒布時間文件名稱文號頒布機構內容及意義1994年2月18日《中華人民共和國計算機信息系統安全保護條例》國務院147號令國務院第一次提出信息系統要實行等級保護，并確定了等級保護的職責單位。2003年9月7日《國家信息化領導小組關于加強信息安全保障工作的意見》中辦國辦發[2003]27號中共中央辦公廳國務院辦公廳等級保護工作的開展必須分步驟、分階段、有計劃的實施。明確了信息安全等級保護制度的基本內容。2004年9月15日《關于信息安全等級保護工作的實施意見》公通字[2004]66號公安部國家保密局國家密碼管理委員會辦公室（國家密碼管理局）國務院信息化工作辦公室將等級保護從計算機信息系統安全保護的一項制度提升到國家信息安全保障的一項基本制度。2007年6月22日《信息安全等級保護管理辦法》公通字[2007]43號明確了信息安全等級保護制度的基本內容、流程及工作要求，明確了信息系統運營使用單位和主管部門、監管部門在信息安全等級保護工作中的職責、任務。2007年7月16日《關于開展全國重要信息系統安全等級保護定級工作的通知》公信安[2007]861號就定級范圍、定級工作主要內容、定級工作要求等事項進行了通知。等級保護的國家政策15頒布時間文件名稱文號頒布機構內容及意義等級保護的技術標準規范64GB17859-1999計算機信息系統安全保護等級劃分準則信息系統安全等級保護定級指南GB/T20269-2006信息系統安全管理要求GB/T20282-2006信息安全技術信息系統安全工程管理要求GB/T20270-2006信息安全技術網絡基礎安全技術要求GB/T20271-2006信息安全技術信息系統通用安全技術要求GB/T20272-2006信息安全技術操作系統安全技術要求GB/T20273-2006信息安全技術數據庫管理系統通用安全技術要求GB/T22239-2008信息安全技術信息系統安全等級保護基本要求信息安全技術信息系統等級保護安全設計技術要求(已送批)信息系統安全等級保護實施指南……GB/T20009-2005信息安全技術操作系統安全評估準則國家已出臺70多個國標、行標以及報批標準，從基礎、設計、實施、管理、制度等各個方面對等保系統提出了要求和建議。等級保護的技術標準規范16GB17859-1999計算機等級保護的技術標準規范65《計算機信息系統安全保護等級劃分準則》（GB17859-1999）《信息安全技術信息系統通用安全技術要求》（GB/T20271-2006）《信息安全技術操作系統安全技術要求》

（GB/T20272-2006）《信息安全技術

信息系統安全等級保護基本要求》（GB/T22239-2008）《信息安全技術

信息系統等級保護安全設計技術要求》面向評估者技術標準：面向建設者技術標準：等級保護的技術標準規范17《計算機信息系統安全保護等級劃分準等級保護的技術標準規范66《信息安全技術信息系統安全工程管理要求》（GB/T20282-2006）《信息系統安全管理體系標準》（ISO/IEC27001）《信息安全技術信息系統安全等級保護實施指南》（GB/Txxxxx-2007

）管理類標準：等保方案類標準：系統定級類標準：《信息安全技術信息系統安全保護等級定級指南》（GB/T22240-2008）等級保護的技術標準規范18《信息安全技術信息系統安全工程管等級保護的技術標準規范67《信息系統安全等級保護基本要求》(GB/T22239-2008)《信息系統等級保護安全設計技術要求》（已審批）《計算機信息系統安全保護等級劃分準則》（GB17859-1999）最早提出的基礎性、強制性標準；粒度較粗，是一個指導性標準；公安部作為等保系統建設、評測的重要依據等保系統設計時的主要依據：一個中心三重防御國家已出臺約70余個標準，重點需要了解的有：等級保護的技術標準規范19《信息系統安全等級保護基本要求》(主題41234信息安全的屬性特征和管理分類什么是等級保護等級保護的國家政策與標準規范等級保護的工作內容685等級保護的建設流程6等級保護各參與部門的角色定位7涉及國家秘密信息系統的分級保護主題41234信息安全的屬性特征和管理分類什么是等級保護等級等級保護的建設目標69某級信息系統技術要求管理要求基本要求建立安全技術體系建立安全管理體系具有某級安全保護能力的系統等級保護的建設目標21某級信息系統技術要求管理要求基本要求建等級保護的建設要求70物理安全技術要求管理要求基本要求網絡安全主機安全應用安全數據安全安全管理機構安全管理制度人員安全管理系統建設管理系統運維管理等級保護的建設要求22物理安全技術要求管理要求基本要求網絡安等級保護的建設要求71環境安全防其他自然災害機房與設施安全環境與人員安全設備安全防止電磁泄露發射防盜與防毀防電磁干擾介質安全介質的管理介質的分類介質的防護物理安全等級保護的建設要求23環境安全防其他自然災害機房與設施安全環等級保護的建設要求72網絡安全1.網絡結構安全2.網絡訪問控制3.網絡安全審計4.邊界完整性檢查5.網絡入侵防范6.惡意代碼防護7.網絡防護設備主機安全身份鑒別強制訪問控制系統安全審計4.剩余信息保護5.入侵防范6.惡意代碼防范7.資源控制

應用安全

1.身份認證2.安全審計3.剩余信息保護4.通信完整性和機密性保護數據安全1.數據機密性保護2.數據完整性保護5.控制軟件容錯；6.嚴格的訪問；7.自動保護功能；8.資源控制；等級保護的建設要求24網絡安全主機安全等級保護的建設模式73滿足政策要求滿足標準要求滿足用戶自身要求安全現狀差異性分析基本要求需求物理安全網絡安全主機安全應用安全數據安全與備份恢復等級保護的建設模式25滿足政策要求安全現狀差異性分析基本要求等級保護的體系架構74其它定級系統安全接入/隔離設備計算環境區域邊界通信網絡網站/應用服務器交換設備用戶終端安全管理中心通信網絡區域邊界計算環境安全管理中心等級保護的體系架構26其它定級系統安全接入/隔離設備計算環境等級保護的技術實現要求75構筑由安全管理中心統一管理下的計算環境、區域邊界、通信網絡三重防御體系。安全區域邊界可信計算環境安全管理中心安全通信網絡等級保護的技術實現要求27構筑由安全管理中心統一管理下的計算主題51234信息安全的屬性特征和管理分類什么是等級保護等級保護的國家政策與標準規范等級保護的工作內容765等級保護的建設流程6等級保護各參與部門的角色定位7涉及國家秘密信息系統的分級保護主題51234信息安全的屬性特征和管理分類什么是等級保護等級等級保護的建設流程77達標等保體系安全措施業務應用信息網絡已運營系統業務應用安全措施新建系統等保整改等保建設等級保護的建設流程29達標等保體系安全措施業務應用信息網絡已等級保護整改建設流程781.信息系統定級2.等保建設立項3.信息安全威脅分析4.等保方案設計5.安全體系部署6.等保體系測評7.等保整改建設完成定級工作08年已基本完成專業機構整改意見總設詳設專家論證項目實施內部驗收專業機構測評報告未通過等級保護整改建設流程301.信息系統定級2.等保建設立項3.流程1：信息系統定級79

2007年開始，我國在全國范圍展開了信息系統等級保護的定級工作，并在公安部進行了相關的備案。定級依據：《信息系統安全保護等級定級指南》（國家）《XX行業信息系統安全保護等級定級指南》誰主管、運營誰定級；擬確定為四級以上的信息系統需請國家信息安全保護等級專家評審委員會評審；信息系統定級情況要在公安部門報備；流程1：信息系統定級31 2007年開始，我國在全國范圍流程1：信息系統定級80根據信息和信息系統遭到破壞或泄露后，對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權益的危害程度來進行定級。受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級1.受侵害客體；2.受侵害程度；流程1：信息系統定級32根據信息和信息系統遭到破壞或泄露后，流程2：等保建設立項81 信息系統等級保護建設，經過信息系統的運營、管理部門以及有關政府部門的批準，并列入信息系統運營單位或政府計劃的過程。一項基本國策，一項基本制度，具有政策的強制性是辦公電子化、業務信息化發展必需的保障手段用戶業務開展的實際需求流程2：等保建設立項33 信息系統等級保護建設，經過信息流程3：風險評估82需請相應級別、具有資質的測評中心進行風險評估；風險評估是對信息資產面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用而帶來風險的可能性的評估。風險評估是確定信息安全需求的一個重要途徑。風險評估完成后出具《評估報告》和《整改意見》；流程3：風險評估34需請相應級別、具有資質的測評中心進行風險流程4：等級方案設計思路831整改意見需求分析2總體設計詳細設計3應急方案災備方案5方案與產品安全性論證6項目預算7項目實施方案設計4產品選型技術指標信息系統等保體系建設目標流程4：等級方案設計思路351整改意見2總體設計3應急方案5流程4：等保方案設計原則84重視安全技管兼行遵循政策符合標準需求主導突出重點整體規劃分步實施全局管理統一標準適度安全減少影響流程4：等保方案設計原則36重視安全技管兼行遵循政策流程4：需求分析方法85滿足政策要求滿足標準要求滿足用戶自身要求安全現狀差異性分析基本要求需求物理安全網絡安全主機安全應用安全數據安全與備份恢復流程4：需求分析方法37滿足政策要求安全現狀差異性分析基本要流程4：需求分析方法86安全現狀與《基本要求》的差異分析對照標準要求是否滿足相應措施物理安全網絡安全主機安全應用安全數據安全流程4：需求分析方法38安全現狀與《基本要求》的差異分析對照流程4：