信息安全等级保护的各个环节以及相关要求

信息安全等级保护的各个环节以及相关要求（精选2篇）

篇1：信息安全等级保护的各个环节以及相关要求

一、信息安全等级保护的各个环节

一、基本环节

（一）组织开展调查摸底

（二）合理确定保护等级

（三）开展安全建设整改

（四）组织系统安全测评

（五）依法履行备案手续

（六）加强日常测评自查

（七）加强安全监督检查

二、主要环节

定级-安全建设-安全测评-备案

二、定级

一、等级划分

计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定，分为五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

二、定级程序

信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。

跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。

三、定级注意事项

一级信息系统：适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。

二级信息系统：适用于地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。

三级信息系统：适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。四级信息系统：适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。

三、备案

一、总体要求

新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

二、备案管辖

（一）管辖原则。

备案管辖分工采取级别管辖和属地管辖相结合。

（二）中央在京单位。

隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由公安部公共信息网络安全监察局受理备案，其他信息系统由北京市公安局公共信息网络安全监察部门（简称网监部门，下同）受理备案。

（三）中央驻粤及省直国有单位。

隶属中央或省的驻穗国有单位的信息系统，由省公安厅网警总队受理备案。上述单位在各地运行、维护的分支系统由其在各地的分支机构报所在地地级以上市公安机关网监部门备案。

（四）其他单位。

其他单位的信息系统由所在地地级以上市公安机关网监部门备案。

三、备案流程

（一）备案时限。

信息系统运营、使用单位或者其主管部门（以下简称“备案单位”）应当在信息系统设计阶段确定信息系统安全保护等级，并在安全保护等级确定后30日内，到公安机关网监部门办理备案手续。

（二）备案申请。

办理备案手续，应当到公安机关指定网址下载信息安全等级保护备案软件，利用该软件填写生成《信息系统安全等级保护备案表》（简称《备案表》，下同）表

一、表

二、表三纸质WORD格式文档一式两份和电子数据（RAR格式），并准备好相关附件（一式两份），向公安机关网监部门提出备案申请。第三级以上信息系统应当同时提供以下材料：

1．系统拓扑结构及说明； 2．系统安全组织机构和管理制度；

3．系统安全保护设施设计实施方案或者改建实施方案； 4．系统使用的信息安全产品清单及其认证、销售许可证明； 5．测评后符合系统安全保护等级的技术检测评估报告； 6．信息系统安全保护等级专家评审意见；

7．主管部门审核批准信息系统安全保护等级的意见。

四、备案审核

公安机关网监部门收到申请材料后，应当在10个工作日内进行审查。对符合要求的，公安机关网监部门应当在《备案表》加盖公共信息网络安全监察专用章并将其中一份反馈备案单位，并出具《信息系统安全等级保护备案证明》（以下简称《备案证明》）。《备案证明》由公安部统一监制。对不符合要求的，公安网监部门应当出具《信息系统安全等级保护备案审核结果通知》，通知备案单位进行整改。其中，对定级不准的备案单位，在通知整改的同时，应当建议备案单位重新定级。

五、变更备案

《备案表》所载事项发生变更，备案单位应当自变更之日起30日内重新填写《备案表》报公安机关网监部门备案。其中，变更事项涉及《备案证明》的，公机关网监部门应当重新颁布《备案证明》。

六、重新备案

运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。

四、安全建设和整改

计算机信息系统规划、设计、建设和维护应当同步落实相应的安全措施。运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。

在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术 网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术 操作系统安全技术要求》（GB/T20272-2006）、《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006）、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》（GA/T671-2006）等技术标准同步建设符合该等级要求的信息安全设施。

运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术 信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。

五、信息安全等级测评

信息系统建设完成后，二级以上的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。已投入运行信息系统在完成系统整改后也应当进行测评。经测评，信息系统安全状况未达到安全保护等级要求的，运营使用单位应当制定方案进行整改。

一、测评程序

计算机信息系统运营、使用单位委托安全测评机构测评，应当提交下列资料：

（一）安全测评委托书；

（二）计算机信息系统应用需求、系统结构拓扑及说明、系统安全组织结构和管理制度、安全保护设施设计实施方案或者改建实施方案、系统软件硬件和信息安全产品清单。安全测评机构在收到委托材料后，应当与委托方协商制订安全测评计划，开展安全测评工作，并出具安全测评报告。

经测评，计算机信息系统安全状况未达到国家有关规定和标准的要求的，委托单位应当根据测评报告的建议，完善计算机信息系统安全建设，并重新提出安全测评委托。

二、测评监督

测评机构对计算机信息系统进行使用前安全测评，应当预先报告地级以上市公安机关公共信息网络安全监察部门。安全测评报告由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门。

三、日常测评

计算机信息系统投入使用后，存在下列情形之一的，应当进行安全自查，同时委托安全测评机构进行安全测评：

（一）变更关键部件；

（二）安全测评时间满一年；

（三）发生危害计算机信系统安全的案件或安全事故；

（四）公安机关公共信息网络安全监察部门根据应急处置工作的需要认为应当进行安全测评；

（五）其他应当进行安全自查和安全测评的情形。

第三级计算机信息系统应当每年至少进行一次安全自查和安全测评，第四级计算机信息系统应当每半年至少进行一次安全自查和安全测评，第五级计算机信息系统应当依据特殊安全要求进行安全自查和安全测评。自查报告连同测评报告应当由计算机信息系统运营、使用单位报地级以上市公安机关公共信息网络安全监察部门。

四、测评争议解决

申请单位认为安全测评报告的合法性和真实性存在重大问题的，可以向本单位所在地公安机关公共信息网络安全监察部门提出申诉，提交异议申诉书及有关证明材料。公安机关公共信息网络安全监察部门应当在收到申诉材料后30个工作日内进行核查，作出异议处理决定。

篇2：信息安全等级保护的各个环节以及相关要求

1 等级保护概述

信息安全等级保护,是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。信息系统的安全保护等级共分五级。第一级为用户自主保护级,第二级为系统审计保护级,第三级为安全标记保护级,第四级为结构化保护级,第五级为访问验证保护级。

2 需求分析

根据《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861 号])和《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)文件要求,市政府网站群属于重要信息系统,当网站群的业务信息安全被破坏时,公民、法人和其他组织的合法权益会受到严重损害。因此,网站群的业务信息安全保护等级定为第二级;当网站群系统服务安全被破坏时,社会秩序、公共利益受到严重损害,因此,网站群的系统服务安全等级定为第三级。信息系统的安全保护等级由业务信息安全和系统服务安全等级较高者决定,所以网站群的安全保护等级定为第三级。

根据《信息安全等级保护安全建设整改工作指南》和《信息系统安全等级保护基本要求》中等级保护第三级要求,结合网站群的现状,坚持技术和管理并重原则,建立网站群的安全防护体系,提高网站群整体安全防护能力。

3 安全技术要求

3.1 物理安全

物理安全包括:物理访问控制、防盗窃和防破坏,防雷击、防火、防水、防潮、温湿度控制和电力供应。

网站群的服务器都放置于数据中心机房内,参照等级保护第三级要求,网站群在物理环境上基本符合等级保护第三级要求,需要安全整改的内容:加强机房硬件的标签管理,采用难以去除的标签对重要设备进行标记;安装红外报警器,结合现有的门禁系统、视频监控系统、24 小时不间断保安值班、运维人员和工作人员值班等措施,对数据中心加强安全管理;按照功能划分物理功能区,将数据中心划分为:网络区、数据库区、托管区、刀片服务器区和存储区等;使用消防认可的防火铯钾玻璃进行隔离,并安装气体消防灭火设施。

3.2 网络安全

网络安全包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范和网络设备防护。

网站群系统属于重要应用系统,在网络发生拥堵时,要优先保护网站群的业务不受影响,所以需要增加网络流控设备,通过设置带宽优先级策略,来保证网站群的业务带宽;将所有网站群涉及的服务器、安全设备和网络设备的IP地址和MAC地址进行绑定,防止造成ARP欺骗攻击等网络攻击行为的发生;在网络内部部署入侵检测系统,对来自网络内部的网络攻击行为进行监控,监测内部区域之间各种网络攻击行为;网络边界部署防病毒网关,可以监测、识别和阻断网络中包含恶意代码的数据流,防止病毒、木马等恶意程序进入网内,从而对网络中的用户资源进行保护;网络设备、完全设备使用两种以上的鉴别方式,关闭交换机的Telnet远程登录,采用SSH和https等加密方式进行远程登录管理,并结合数字证书来鉴别登录。

4 安全管理要求

4.1 安全管理制度

制定信息安全工作的总体方针,建立和健全信息安全管理体系;制定一系列安全管理制度,如《信息安全与保密管理制度》《门禁卡和人员出入管理制度》等;做好管理台账,如《机房日常巡检记录表》《人员出入机房记录表》等;制定服务器、网络设备、安全设备以及机房主要基础设施的操作规程,如《数据备份与恢复手册》《交换机操作手册》等;指定专门的部门和人员负责安全管理制度的制定、评审和发布,定期对安全管理制度进行修订;定期对应急预案进行演练,通过演练来修改和完善应急预案。

4.2 安全管理机构

成立信息安全等级保护工作领导小组,指导和管理信息安全工作,并专门设立信息安全工作职能部门;按照工作职责划分资产管理员、系统管理员、网络管理员、安全管理员、数据库管理员和备份管理员等岗位;对系统变更、资源申请、重要维护操作和物理访问等事项建立审批制度,按照审批制度执行审批流程,对重要活动建立逐级审批制度;加强各部门之间的沟通合作,加强交流,并聘请信息安全专家作为信息安全顾问。

5 总结与展望