信息安全等级保护大体框架

一：信息安全等级保护概念

信息安全等级保护，是指对国家安全、法人和其它组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件按等级进行相应、处置的综合性工作。

二：信息安全等级保护意义

（1）信息系统安全管理水平明显提高

（2）信息系统安全防范能力明显提高

（3）信息安全隐患和安全事故明显减少

（4）有效保障信息化健康发展

（5）有效维护国家安全、社会秩序和公共利益

• 实行等级保护，利于平衡成本与安全，既不能保护不足，使系统的使用与运行存在隐患，也不能过度保护，使得安全系统的建设和维护成本过高，要在安全与成本之间找到一个平衡点
• 实行等级保护，有助于突出重点，加强安全建设和管理，在安全管理建设中，强调“技管并重”，并提出来了具体的指标要求，按照等级保护的标准进行建设，将极大提升信息安全保障体系的广度与深度。 

三：信息安全等级保护工作内容

（1）定级 → 评审和审批

（2）备案 → 公安机关备案

（3）系统建设、整改 → 安全建设整改方案

（4）安全等级测评 → 等保测评---测试报告

（5）信息安全监管部门定期开展监督检查  三级一次/年  四级一次/半年

四：信息系统等级划分

信息系统的安全保护等级是信息系统的客观属性，不以采取的措施或即将采取的措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定和人民群众合法权益遭到破坏的危害程度为依据，确定信息系统安全保护的等级。

受损害的客体	对客体的损害程度
	一般损害	严重损害	特别严重损害
公民,法人和其它组织 的合法权益	第一级	第二级	第二级
社会秩序和公共利益	第二级	第二级	第三级
国家安全	第三级	第四级	第五级

信息等级划分详解

等级	定义	监管方式
第一级	信息系统收到破坏后，会对公民、法人、以及其它组织的合法权益收到损害，但不危害国家安全，社会秩序和公共利益	自护保护
第二级	信息系统收到破坏后，会对公民。法人和其它组织的合法权益受到严重损害，或者损害社会秩序和公共利益，但不会对国家安全造成损害	指导保护，要求备案
第三级	信息系统收到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害	监督保护，每年至少一次测评
第四级	信息系统收到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害	强制保护，每半年至少一次测评
第五级	信息系统收到破坏后，会对国家安全造成特别严重损害	专控保护，根据特殊安全需求进行等级测评

 

五：信息安全等级

（1）测评准备阶段

任务	输出文档	文档内容
信息收集和分析	被测系统基本情况分析报告	说明被测系统的范围，安全保护等级、业务情况、保护情况、被测系统的管理模式和相关部门及角色
工具和表单准备	选用的测评工具清单，打印的各类表单，现场测评授权书，文档交接单	现场测评授权，交接的文档名称

（2）现场测评阶段

任务	输出文档	文档内容
现场测评准备	会议记录，确认的委托授权书，更新后的测评计划和测试	工作计划和内容安排，双方人员的协调，被测单位提供的配合
访谈	技术安全和管理安全测评的测评结果或录音	访谈结果
文档审查	管理安全测评的测评结果记录	管理制度和管理执行过程文档的符合情况
配置检查	技术安全测评的网络、主机、应用测评结果记录表格	检查内容的结果
工具测试	技术安全测评的网络、主机、应用测评结果记录，工具测试完成后的电子输出记录，备份的测试结果文件	漏洞扫描，渗透测试，性能测试，入侵检测和协议分析等内容的技术测试结果
实地查看	技术安全测评的物理安全和管理安全测评结果记录	检查内容的结果
评测结果确认	现场核查中发现的问题汇总、证据和证据源记录、被测单位的书面认可文件	测评活动中发现的问题、问题的证据、问题源，每项检查活动中被测单位配合人员的书面认可

 

六：信息系统安全等级保护基本要求

技术类	管理类	产品类
信息系统通用安全技术要求	信息系统安全管理要求	操作系统安全技术要求
信息系统物理安全技术要求	信息系统安全工程管理要求	数据库管理系统安全技术要求
网络基础安全技术要求	其它管理类标准	网络和终端设备隔离部件技术要求
其它技术类标准		其它产品类标准

七：等级要求

（1）物理安全

（2）网络安全

 

 （3）主机安全

（4） 应用安全

（5）安全管理制度

 

（6）人员安全管理 

（7）系统建设管理 

 （8）系统运维管理

八：测评方案

（1）访谈  通过与信息系统用户(个人/群体)进行交流、认论等活动，获取相关证据证明信息系统安全保护措施是否落实的一种方法。

（2）检查   通过对测评对象(设备、文档、现场等)进行观察、查验、分析等活动，获取相关证据证明信息系统安全保护措施是否有效的一种方法、

（3）测试  利用预定的方法或工具使测评对象产生特定的行为活动，查看输出结果与预期结果的差异，获取相关证据证明信息系统安全保护措施是否有效的一种方法、