等级保护和分级保护基础培训实用课件

1、等级保护和分级保护基础培训 PART 01: “等级保护测评”基础 等级保护五个级别 第一级 自主保护级 第二级 指导保护级 第三级 监督保护级 第四级 强制保护级 第五级 专控保护级 等级保护的主要对象 等级保护主要对象 等级保护定级的主要标准 信息系统定级主要考虑两个方面，一是业务信息收到破坏客体是 谁，二是对客体侵害程度如何。两个方面结合起来，根据下表制 定信息系统应该定位第几级 等级保护相关政策法规 2005年前 中华人民共和国计算机信息系统安全保护条例（1994年 国务院147号令） 国家信息化领导小组关于加强信息安全保障工作的意见(中办发【2003】27号） 关于信息安全等级保护工

2、作的实施意见（公通字【2004】66号） 2007 信息安全等级保护管理办法（公通字【2007】43号） 关于开展全国重要信息系统安全等级保护定级工作的通知（公信安【2007】861号） 2009 2009年信息安全等级保护工作内容及具体要求（公信安【2009】232） 2012 计算机信息网络国际联网安全保护管理办法（公安部第33号令） （2012-02-06） 中华人民共和国计算机信息系统安全保护条例 （2012-02-07） 2017年 互联网安全保护技术措施规定（公安部令第82号） （2017-08-30） 中华人民共和国网络安全法 （2017-08-30） 等级保护十大核心标准 基础

3、类 计算机信息系统安全保护等级测分准则GB 17859-1999 信息系统安全等级保护实施指南GB/T 应用类 定级： 信息系统安全保护等级定级指南GB/T 22240-2008 建设： 信息系统安全等级保护基本要求GB/T 22239-2008 信息系统通用安全技术要求GB/T 20271-2006 信息系统等级保护安全设计技术要求 测评： 信息系统安全等级保护测评要求GB/T 信息系统安全等级保护测评过程指南 管理： 信息系统安全管理要求 GB/T 20269-2006 信息系统安全工程管理要求GB/T 20282-2006 等级保护完全的实施过程 等级保护基本安全要求 等级保护三级系统的

4、控制类和控制项 等级保护三级系统的控制类和控制项 等级保护三级系统安全保护要求-数据安全和备份恢复 等级保护三级系统安全保护要求-数据安全和备份恢复 PART 02: “分级保护测评”基础 分级保护测评适用单位 分级保护测评机构 分级保护相关标准 分级保护测评相关流程 分级保护测评技术要求 分级保护管理要求 政府行业分级保护测评分工 分级保护测评时效性 分级保护评测审核内容 FAQ 问：等级保护与分级保护各分为几个等级，对应关系是什么？ 答：等级保护分5个级别：一级（自主保护）、二级（指导保护）、三级（监督保护）、四级（强制保护）、五 级（专控保护）。 分级保护分3个级别：秘密级、机密级（机密

5、增强级）、绝密级。 分级保护与等级保护对应关系：秘密级对应三级、机密级对应四级、绝密级对应五级。 问：等级保护的重要信息系统有哪些？ 答：电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网 接入服务单位、数据中心等单位的重要信息系统。铁路、银行、海关、税务、民航、电力、证券、保险、外交、 科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、 文、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。市（地）级以 上党政机关的重要网站和办公信息系统。 问：等级保护的主管部门是谁？

6、 答：公安机关是等级保护工作的主管部门，负责信息安全等级保护工作的监督、检查、指导， 问：等级保护是否是强制性的，可以不做吗？ 答：国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息系统在国家安全、 经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其 他组织的合法权益的危害程度等因素确定。备案后3级系统每年进行一次监督检查，4级每半年进行一次监督检查。 问：是否只是在政府行业实行？企业是否也在等级保护和分级保护范畴之内？ 答：等级保护涉及所有行业，只要有信息系统的单位都在等级保护覆盖范围（涉密系统除外） FAQ 问：

7、分级保护的主管部门是谁？ 答：国家保密工作部门（国家保密局、各省保密局、各地市市保密局）。 问：分级保护的政策依据是哪个文件？ 答：涉及国家秘密的信息系统分级保护管理办法（国保发200516号）。 问：哪些单位可以做分级保护的测评，有什么资质要求？ 答：目前，国家保密工作部门及国家保密局授权的系统测评机构负责测评，测评机构应具备涉及国家秘密的 计算机信息系统集成风险评估单项资质。 问：涉密系统分级保护多长时间需进行一次安全保密检查？ 答：秘密级、机密级信息系统：应每两年至少进行一次安全保密测评或保密检查； 绝密级信息系统：应每年至少进行一次安全保密测评或保密检查。 问：分级保护的系统集成对厂商

8、的资质有什么要求？ 答：甲级资质单位可在全国范围内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承建的涉 密信息系统的系统服务和系统咨询工作，不得从事其它单项资质业务。乙级资质单位可在所限定的行政区域 内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承接的涉密信息系统的系统服务和系统咨 询工作，不得从事其它单项资质业务。 问：分级保护的哪些具体工作对厂商有单项资质的要求？ 单项业务：（全国，仅限所批准业务）军工、软件开发、综合布线、系统服务、系统咨询、风险评估、工程 监理、数据恢复、屏蔽室建设、保密安防监控。 问：分级保护对涉密系统中使用的安全保密产品有哪些要求？ 涉密信息

9、系统使用的信息安全保密产品原则上应当选用国产品，并应当通过国家保密局授权 的检测机构依据有关国家保密标准进行的检测，通过检测的产品由国家保密局审核发布目录。 PART 01: “等级保护测评”基础 等级保护十大核心标准 基础类 计算机信息系统安全保护等级测分准则GB 17859-1999 信息系统安全等级保护实施指南GB/T 应用类 定级： 信息系统安全保护等级定级指南GB/T 22240-2008 建设： 信息系统安全等级保护基本要求GB/T 22239-2008 信息系统通用安全技术要求GB/T 20271-2006 信息系统等级保护安全设计技术要求 测评： 信息系统安全等级保护测评要求G

10、B/T 信息系统安全等级保护测评过程指南 管理： 信息系统安全管理要求 GB/T 20269-2006 信息系统安全工程管理要求GB/T 20282-2006 等级保护完全的实施过程 等级保护三级系统安全保护要求-数据安全和备份恢复 分级保护测评时效性 FAQ 问：分级保护的主管部门是谁？ 答：国家保密工作部门（国家保密局、各省保密局、各地市市保密局）。 问：分级保护的政策依据是哪个文件？ 答：涉及国家秘密的信息系统分级保护管理办法（国保发200516号）。 问：哪些单位可以做分级保护的测评，有什么资质要求？ 答：目前，国家保密工作部门及国家保密局授权的系统测评机构负责测评，测评机构应具备涉及

11、国家秘密的 计算机信息系统集成风险评估单项资质。 问：涉密系统分级保护多长时间需进行一次安全保密检查？ 答：秘密级、机密级信息系统：应每两年至少进行一次安全保密测评或保密检查； 绝密级信息系统：应每年至少进行一次安全保密测评或保密检查。 问：分级保护的系统集成对厂商的资质有什么要求？ 答：甲级资质单位可在全国范围内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承建的涉 密信息系统的系统服务和系统咨询工作，不得从事其它单项资质业务。乙级资质单位可在所限定的行政区域 内承接涉密信息系统的规划、设计和实施业务，并仅可承担本单位承接的涉密信息系统的系统服务和系统咨 询工作，不得从事其它单项资质业务。 问：分级保护的哪些具体工作对厂商有单项资质的要求？ 单项业务：