信息安全等级保护介绍课件

信息安全等级保护介绍信息安全等级保护介绍internetSOCIDS审计漏扫终端管理DLPIPSWAF堡垒机行为管理DBFISP1ISP2/internetVPN负载均衡无线IPS信息安全架构UTMFW准入网关系统加固桌面网关internetSOCIDS审计漏扫终端管理DLPIPSWA目录等保的等级划分等保的具体要求等保的建设依据等保的由来等保的建设流程等保状况分析目录等保的等级划分等保的具体要求等保的建设依据等保的由来等保第一部分：等级保护的由来<国家信息化领导小组关于加强信息安全保障工作的意见>(中办发[2003]27号)<关于信息安全等级保护工作的实施意见>(公通字[2004]66号)<信息安全等级保护管理办法>(公通字[2007]43号)等级划分原则等级保护基本要求通用安全技术要求网络基础安全基本要求…<关于加强信息安全保障工作中保密管理的若干意见>(中保委发[2004]7号)<涉及国家秘密的信息系统分级保护管理办法>(国保发[2005]16号)分级保护技术要求分级保护管理要求分级保护策评指南…分级保护设计指南非涉密信息系统涉密信息系统等级保护分级保护国家信息安全保障体系第一部分：等级保护的由来<国家信息化领导小组关于加强信息安全第一部分：等级保护的由来什么是等级保护信息系统受到侵害，对社会造成的影响不同伴随着我们国家信息建设与应用的不断深入第一部分：等级保护的由来什么是等级保护信息系统受到侵害，对社第一部分：等级保护的由来什么是等级保护信息系统受到侵害，影响到公民/法人合法利益影响到公民/法人合法权益第一部分：等级保护的由来什么是等级保护信息系统受到侵害，影响第一部分：等级保护的由来什么是等级保护信息系统受到侵害，影响到社会秩序、公共利益影响到社会秩序公共利益第一部分：等级保护的由来什么是等级保护信息系统受到侵害，影响第一部分：等级保护的由来什么是等级保护信息系统受到侵害，影响到国家安全影响到国家安全第一部分：等级保护的由来什么是等级保护信息系统受到侵害，影响第一部分：等级保护的由来等级保护要保护什么影响到国家安全影响到社会秩序公共利益影响到公民/法人合法权益等级保护—是指对会影响到国家安全、社会秩序、公共利益、公民法人合法权益的信息系统实行分等级的信息安全保护，保障信息系统正常运行，维护国家利益、公共利益和社会稳定。第一部分：等级保护的由来等级保护要保护什么影响到影响到影响到第一部分：等级保护的由来“等级保护”的漫长历史过程1994《中华人民共和国计算机信息系统安全保护条例》国务院147号令

“安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”第一部分：等级保护的由来“等级保护”的漫长历史过程1994《第一部分：等级保护的由来“等级保护”的漫长历史过程19941999《计算机信息系统安全保护等级划分准则》GB17859-1999）《中华人民共和国计算机信息系统安全保护条例》国务院147号令国家对信息系统实行五级保护第一部分：等级保护的由来“等级保护”的漫长历史过程19941第一部分：等级保护的由来“等级保护”的漫长历史过程199419992003《计算机信息系统安全保护等级划分准则》GB17859-1999）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《中华人民共和国计算机信息系统安全保护条例》国务院147号令

实行信息安全等级保护制度，重点保护基础信息网络和重要信息系统。第一部分：等级保护的由来“等级保护”的漫长历史过程19941第一部分：等级保护的由来“等级保护”的漫长历史过程1994199920032004《计算机信息系统安全保护等级划分准则》GB17859-1999）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《中华人民共和国计算机信息系统安全保护条例》国务院147号令明确了信息安全等级保护制度的主要工作方向和工作内容，规定了等级保护实施的具体步骤和时间表第一部分：等级保护的由来“等级保护”的漫长历史过程19941第一部分：等级保护的由来“等级保护”的漫长历史过程1994199920032004《计算机信息系统安全保护等级划分准则》GB17859-1999）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《中华人民共和国计算机信息系统安全保护条例》国务院147号令20052005年公安部标准《等级保护安全要求》《等级保护定级指南》《等级保护实施指南》《等级保护测评准则》第一部分：等级保护的由来“等级保护”的漫长历史过程19941第一部分：等级保护的由来“等级保护”的漫长历史过程19941999200620032004《计算机信息系统安全保护等级划分准则》GB17859-1999）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《信息安全等级保护管理办法（试行）》(公通字[2006]7号)《中华人民共和国计算机信息系统安全保护条例》国务院147号令20052005年公安部标准《等级保护安全要求》《等级保护定级指南》《等级保护实施指南》《等级保护测评准则》第一部分：等级保护的由来“等级保护”的漫长历史过程19941第一部分：等级保护的由来“等级保护”的漫长历史过程19941999200620032004《计算机信息系统安全保护等级划分准则》GB17859-1999）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《信息安全等级保护管理办法（试行）》(公通字[2006]7号)《中华人民共和国计算机信息系统安全保护条例》国务院147号令20052005年公安部标准《等级保护安全要求》《等级保护定级指南》《等级保护实施指南》《等级保护测评准则》2007《信息安全等级保护管理办法》（公通字[2007]43号）取代[2006]7号文关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861）2007年7月到10月在全国范围内组织开展重要信息系统安全等级保护定级工作代替公通字[2006]7号文件，明确了等级保护的具体操作办法，明确了等级保护工作的主要内容是定级、备案、系统建设整改、等级测评、监督检查第一部分：等级保护的由来“等级保护”的漫长历史过程19941第一部分：等级保护的由来“等级保护”的漫长历史过程19941999200620032004《计算机信息系统安全保护等级划分准则》GB17859-1999）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《信息安全等级保护管理办法（试行）》(公通字[2006]7号)《中华人民共和国计算机信息系统安全保护条例》国务院147号令20052007关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）2005年公安部标准《等级保护安全要求》《等级保护定级指南》《等级保护实施指南》《等级保护测评准则》《信息安全等级保护管理办法》（公通字[2007]43号）取代[2006]7号文2008《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技【2008】2071号）《公安机关信息安全等级保护检查工作规范（试行）（公信安【2008】736号）第一部分：等级保护的由来“等级保护”的漫长历史过程19941第一部分：等级保护的由来“等级保护”的漫长历史过程19941999200620032004《计算机信息系统安全保护等级划分准则》GB17859-1999）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《信息安全等级保护管理办法（试行）》(公通字[2006]7号)《中华人民共和国计算机信息系统安全保护条例》国务院147号令20052007关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）2005年公安部标准《等级保护安全要求》《等级保护定级指南》《等级保护实施指南》《等级保护测评准则》《信息安全等级保护管理办法》（公通字[2007]43号）取代[2006]7号文2008《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技【2008】2071号）《公安机关信息安全等级保护检查工作规范（试行）（公信安【2008】736号）2009《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安【2009】1429号）关于印发《信息系统安全等级测评报告模板（试行）》的通知（公信安【2009】1487号）第一部分：等级保护的由来“等级保护”的漫长历史过程19941第二部分：等级保护等级划分信息系统定级受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级等级第一级第二级第三级第四级第五级监督强度自主性保护指导性保护监督性保护强制性保护专控性保护第二部分：等级保护等级划分信息系统定级受侵害的客体对客体的第二部分：等级保护等级划分决定信息系统等级的因素系统所属类型业务信息类别系统服务范围业务依赖程度业务信息安全性业务服务保证性信息系统安全保护等级侵害的程度如何？（对客体造成侵害的程度）一般损害严重损害特别严重损害受到破坏时侵害了什么？（客体）公民、法人社会秩序、公共利益国家安全二者取高第二部分：等级保护等级划分决定信息系统等级的因素系统所属类型第三部分：等级保护项目建设流程等级保护工作基本流程安全检查发现问题自查阶段安全技术措施实施安全管理措施实施安全建设实施制定整改方案专家评审整改建设方案市级党政机关到市信息办备案；区县党政机关到区县信息办备案。汇总后报市信息办涉密系统报市和区县国家保密工作部门；其他到公安机关办理备案手续；受理单位备案审核；差距评估市级党政机关到市信息办备案；区县党政机关到区县信息办备案。汇总后报市信息办涉密系统报市和区县国家保密工作部门；其他到公安机关办理备案手续；受理单位备案审核；系统备案摸底调查专家评审新系统建设同时同步确定等级，按等级同步规划建设安全设施系统定级第三方测评整改测评阶段评估和现状检测（可请评估或检测机构）差距评估报告第三部分：等级保护项目建设流程等级保护工作基本流程安全检查自第四部分：等级保护项目建设依据等级保护项目建设依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发【2003】27号）《关于信息安全等级保护工作的实施意见》（公通字【2004】66号）《信息安全等级保护管理办法》（公通字【2007】43号）《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字【2007】861号）《信息安全等级保护备案实施细则》（公信安【2007】1360号）《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安【2009】1429号）《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技【2008】2071号）关于印发《信息系统安全等级测评报告模板（试行）》的通知（公信安【2009】1487号）《公安机关信息安全等级保护检查工作规范（试行）（公信安【2008】736号）定级备案安全建设整改等级测评检查信息安全等级保护工作第四部分：等级保护项目建设依据等级保护项目建设依据《中华人民第四部分：等级保护项目建设依据等级保护项目建设依据第四部分：等级保护项目建设依据等级保护项目建设依据总体安全规划第五部分：等级保护的具体要求等级保护工作过程等级变更局部调整信息系统定级安全设计与实施安全运行维护信息系统终止总体安全规划第五部分：等级保护的具体要求等级保护工作过程等级第五部分：等级保护的具体要求等级保护总体框架第一级第二级第三级第四级第五级技术要求物理安全网络安全

主机安全应用安全数据安全备份恢复管理要求管理制度

管理机构

人员管理

建设管理

运维管理

第五部分：等级保护的具体要求等级保护总体框架第一级第二级第三第五部分：等级保护的具体要求技术要求—物理安全物理位置选择物理安全(3级)物理访问控制防盗窃和防破坏防雷击防火防水和防潮温湿度控制电力供应电磁防护防静电第五部分：等级保护的具体要求技术要求—物理安全物理位置选择物第五部分：等级保护的具体要求技术要求—网络安全结构安全网络安全(3级)访问控制安全审计边界完整性检查入侵防范恶意代码防范网络设备防护第五部分：等级保护的具体要求技术要求—网络安全结构安全网络安第五部分：等级保护的具体要求技术要求—主机安全身份鉴别主机系统安全(3级)访问控制安全审计剩余信息保护入侵防范恶意代码防范系统资源控制第五部分：等级保护的具体要求技术要求—主机安全身份鉴别主机系第五部分：等级保护的具体要求技术要求—应用安全身份鉴别应用安全(3级)访问控制通信完整性通信保密性安全审计剩余信息保护抗抵赖软件容错资源控制第五部分：等级保护的具体要求技术要求—应用安全身份鉴别应用安第五部分：等级保护的具体要求技术要求—数据安全数据完整性数据安全(3级)数据保密性数据备份与恢复第五部分：等级保护的具体要求技术要求—数据安全数据完整性数据第五部分：等级保护的具体要求管理要求—安全管理机构岗位设置安全管理机构(3级)人员配备授权和审批沟通和合作审核和检查第五部分：等级保护的具体要求管理要求—安全管理机构岗位设置安第五部分：等级保护的具体要求管理要求—安全管理制度管理制度安全管理制度(3级)制订和发布评审和修订第五部分：等级保护的具体要求管理要求—安全管理制度管理制度安第五部分：等级保护的具体要求管理要求—人员安全管理人员录用人员安全管理(3级)人员离岗人员考核安全意识教育和培训外部人员访问管理第五部分：等级保护的具体要求管理要求—人员安全管理人员录用人第五部分：等级保护的具体要求管理要求—系统建设管理系统定级系统建设管理(3级)安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付安全服务商选择等级测评第五部分：等级保护的具体要求管理要求—系统建设管理系统定级系第五部分：等级保护的具体要求管理要求—系统运维管理系统运维管理(3级)环境管理资产管理设备管理介质管理监控管理网络安全管理系统安全管理恶意代码防范管理变更管理密码管理备份和恢复管理安全事件处置应急预案管理第五部分：等级保护的具体要求管理要求—系统运维管理系统运维管第五部分：等级保护的具体要求不同的保护等级技术要求不同例如：入侵防范要求（针对不同等级系统，保护的基本要求也不同）第一级，防范病毒第二级，（增加要求项）检测入侵攻击网络系统的要求；第三级，（增加要求项）防范恶意代码植入、传播，提供告警、清除措施第四级，（增加要求项）实时告警和清除措施；例如：安全审计第二级才开始有审计要求第三级、第四级，分别又增加要求项；第五部分：等级保护的具体要求不同的保护等级技术要求不同例如：第五部分：等级保护的具体要求等保三级与二级要求对比表等保三级与二级要求对比表第五部分：等级保护的具体要求等保三级与二级要求对比表等保三级第七部分：年度等保状况分析等保测评机构统计

国家信息安全等级保护工作协调小组办公室推荐测评机构国家级：6家华北地区：19家

北京市10家，天津3家，河北2家，山西3家，内蒙古1家。东北地区：8家辽宁5家，黑龙江3家。华东地区：23家上海3家，江苏6家，浙江5家，安徽1家，江西1家，山东7家。中南地区：15家河南3家，湖北3家，湖南1家，深圳5家，广西2家，海南3家。西南地区：6家重庆1家，四川1家，贵州1家，云南2家西北地区：4家陕西3家，甘肃1家。

参照：

具体更新数据。

第七部分：年度等保状况分析等保测评机构统计国家信息安全等级第七部分：年度等保状况分析行业分布情况信息系统等级保护的行业分布图注：数据来源公安部2012年我国重要信息系统安全保护状况分析报告。分析数据来源于对各地等保测评机构汇总数据，采集452个备案单位，1000个三级等保测评数据。图中“其他”行业包括了科技、工商、卫生、商业贸易、发改委、质监、税务、国土、电信、审计、广电、国防科技、文化、水利、财政、宣传、外交、气象、海洋、地震、司法等部分的315个信息系统。第七部分：年度等保状况分析行业分布情况信息系统等级保护的行业第七部分：年度等保状况分析地域分布情况注：数据来源公安部2012年我国重要信息系统安全保护状况分析报告。分析数据来源于对各地等保测评机构汇总数据，采集452个备案单位，1000个三级等保测评数据。信息系统等级保护的地域分布图第七部分：年度等保状况分析地域分布情况注：数据来源公安部20第七部分：年度等保状况分析业务类型分布情况注：数据来源公安部2012年我国重要信息系统安全保护状况分析报告。分析数据来源于对各地等保测评机构汇总数据，采集452个备案单位，1000个三级等保测评数据。信息系统等级保护的业务类型分布图第七部分：年度等保状况分析业务类型分布情况注：数据来源公安部第七部分：年度等保状况分析总体达标情况注：数据来源公安部2012年我国重要信息系统安全保护状况分析报告。分析数据来源于对各地等保测评机构汇总数据，采集452个备案单位，1000个三级等保测评数据。信息系统等级保护的总体达标情况第七部分：年度等保状况分析总体达标情况注：数据来源公安部20第七部分：年度等保状况分析行业达标情况注：数据来源公安部2012年我国重要信息系统安全保护状况分析报告。分析数据来源于对各地等保测评机构汇总数据，采集452个备案单位，1000个三级等保测评数据。信息系统等级保护的行业达标情况第七部分：年度等保状况分析行业达标情况注：数据来源公安部20信息安全等级保护介绍信息安全等级保护介绍internetSOCIDS审计漏扫终端管理DLPIPSWAF堡垒机行为管理DBFISP1ISP2/internetVPN负载均衡无线IPS信息安全架构UTMFW准入网关系统加固桌面网关internetSOCIDS审计漏扫终端管理DLPIPSWA目录等保的等级划分等保的具体要求等保的建设依据等保的由来等保的建设流程等保状况分析目录等保的等级划分等保的具体要求等保的建设依据等保的由来等保第一部分：等级保护的由来<国家信息化领导小组关于加强信息安全保障工作的意见>(中办发[2003]27号)<关于信息安全等级保护工作的实施意见>(公通字[2004]66号)<信息安全等级保护管理办法>(公通字[2007]43号)等级划分原则等级保护基本要求通用安全技术要求网络基础安全基本要求…<关于加强信息安全保障工作中保密管理的若干意见>(中保委发[2004]7号)<涉及国家秘密的信息系统分级保护管理办法>(国保发[2005]16号)分级保护技术要求分级保护管理要求分级保护策评指南…分级保护设计指南非涉密信息系统涉密信息系统等级保护分级保护国家信息安全保障体系第一部分：等级保护的由来<国家信息化领导小组关于加强信息安全第一部分：等级保护的由来什么是等级保护信息系统受到侵害，对社会造成的影响不同伴随着我们国家信息建设与应用的不断深入第一部分：等级保护的由来什么是等级保护信息系统受到侵害，对社第一部分：等级保护的由来什么是等级保护信息系统受到侵害，影响到公民/法人合法利益影响到公民/法人合法权益第一部分：等级保护的由来什么是等级保护信息系统受到侵害，影响第一部分：等级保护的由来什么是等级保护信息系统受到侵害，影响到社会秩序、公共利益影响到社会秩序公共利益第一部分：等级保护的由来什么是等级保护信息系统受到侵害，影响第一部分：等级保护的由来什么是等级保护信息系统受到侵害，影响到国家安全影响到国家安全第一部分：等级保护的由来什么是等级保护信息系统受到侵害，影响第一部分：等级保护的由来等级保护要保护什么影响到国家安全影响到社会秩序公共利益影响到公民/法人合法权益等级保护—是指对会影响到国家安全、社会秩序、公共利益、公民法人合法权益的信息系统实行分等级的信息安全保护，保障信息系统正常运行，维护国家利益、公共利益和社会稳定。第一部分：等级保护的由来等级保护要保护什么影响到影响到影响到第一部分：等级保护的由来“等级保护”的漫长历史过程1994《中华人民共和国计算机信息系统安全保护条例》国务院147号令

“安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”第一部分：等级保护的由来“等级保护”的漫长历史过程1994《第一部分：等级保护的由来“等级保护”的漫长历史过程19941999《计算机信息系统安全保护等级划分准则》GB17859-1999）《中华人民共和国计算机信息系统安全保护条例》国务院147号令国家对信息系统实行五级保护第一部分：等级保护的由来“等级保护”的漫长历史过程19941第一部分：等级保护的由来“等级保护”的漫长历史过程199419992003《计算机信息系统安全保护等级划分准则》GB17859-1999）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《中华人民共和国计算机信息系统安全保护条例》国务院147号令

实行信息安全等级保护制度，重点保护基础信息网络和重要信息系统。第一部分：等级保护的由来“等级保护”的漫长历史过程19941第一部分：等级保护的由来“等级保护”的漫长历史过程1994199920032004《计算机信息系统安全保护等级划分准则》GB17859-1999）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《中华人民共和国计算机信息系统安全保护条例》国务院147号令明确了信息安全等级保护制度的主要工作方向和工作内容，规定了等级保护实施的具体步骤和时间表第一部分：等级保护的由来“等级保护”的漫长历史过程19941第一部分：等级保护的由来“等级保护”的漫长历史过程1994199920032004《计算机信息系统安全保护等级划分准则》GB17859-1999）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《中华人民共和国计算机信息系统安全保护条例》国务院147号令20052005年公安部标准《等级保护安全要求》《等级保护定级指南》《等级保护实施指南》《等级保护测评准则》第一部分：等级保护的由来“等级保护”的漫长历史过程19941第一部分：等级保护的由来“等级保护”的漫长历史过程19941999200620032004《计算机信息系统安全保护等级划分准则》GB17859-1999）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《信息安全等级保护管理办法（试行）》(公通字[2006]7号)《中华人民共和国计算机信息系统安全保护条例》国务院147号令20052005年公安部标准《等级保护安全要求》《等级保护定级指南》《等级保护实施指南》《等级保护测评准则》第一部分：等级保护的由来“等级保护”的漫长历史过程19941第一部分：等级保护的由来“等级保护”的漫长历史过程19941999200620032004《计算机信息系统安全保护等级划分准则》GB17859-1999）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《信息安全等级保护管理办法（试行）》(公通字[2006]7号)《中华人民共和国计算机信息系统安全保护条例》国务院147号令20052005年公安部标准《等级保护安全要求》《等级保护定级指南》《等级保护实施指南》《等级保护测评准则》2007《信息安全等级保护管理办法》（公通字[2007]43号）取代[2006]7号文关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861）2007年7月到10月在全国范围内组织开展重要信息系统安全等级保护定级工作代替公通字[2006]7号文件，明确了等级保护的具体操作办法，明确了等级保护工作的主要内容是定级、备案、系统建设整改、等级测评、监督检查第一部分：等级保护的由来“等级保护”的漫长历史过程19941第一部分：等级保护的由来“等级保护”的漫长历史过程19941999200620032004《计算机信息系统安全保护等级划分准则》GB17859-1999）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《信息安全等级保护管理办法（试行）》(公通字[2006]7号)《中华人民共和国计算机信息系统安全保护条例》国务院147号令20052007关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）2005年公安部标准《等级保护安全要求》《等级保护定级指南》《等级保护实施指南》《等级保护测评准则》《信息安全等级保护管理办法》（公通字[2007]43号）取代[2006]7号文2008《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技【2008】2071号）《公安机关信息安全等级保护检查工作规范（试行）（公信安【2008】736号）第一部分：等级保护的由来“等级保护”的漫长历史过程19941第一部分：等级保护的由来“等级保护”的漫长历史过程19941999200620032004《计算机信息系统安全保护等级划分准则》GB17859-1999）《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）《信息安全等级保护管理办法（试行）》(公通字[2006]7号)《中华人民共和国计算机信息系统安全保护条例》国务院147号令20052007关于开展全国重要信息系统安全等级保护定级工作的通知（公信安[2007]861）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）2005年公安部标准《等级保护安全要求》《等级保护定级指南》《等级保护实施指南》《等级保护测评准则》《信息安全等级保护管理办法》（公通字[2007]43号）取代[2006]7号文2008《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技【2008】2071号）《公安机关信息安全等级保护检查工作规范（试行）（公信安【2008】736号）2009《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安【2009】1429号）关于印发《信息系统安全等级测评报告模板（试行）》的通知（公信安【2009】1487号）第一部分：等级保护的由来“等级保护”的漫长历史过程19941第二部分：等级保护等级划分信息系统定级受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级等级第一级第二级第三级第四级第五级监督强度自主性保护指导性保护监督性保护强制性保护专控性保护第二部分：等级保护等级划分信息系统定级受侵害的客体对客体的第二部分：等级保护等级划分决定信息系统等级的因素系统所属类型业务信息类别系统服务范围业务依赖程度业务信息安全性业务服务保证性信息系统安全保护等级侵害的程度如何？（对客体造成侵害的程度）一般损害严重损害特别严重损害受到破坏时侵害了什么？（客体）公民、法人社会秩序、公共利益国家安全二者取高第二部分：等级保护等级划分决定信息系统等级的因素系统所属类型第三部分：等级保护项目建设流程等级保护工作基本流程安全检查发现问题自查阶段安全技术措施实施安全管理措施实施安全建设实施制定整改方案专家评审整改建设方案市级党政机关到市信息办备案；区县党政机关到区县信息办备案。汇总后报市信息办涉密系统报市和区县国家保密工作部门；其他到公安机关办理备案手续；受理单位备案审核；差距评估市级党政机关到市信息办备案；区县党政机关到区县信息办备案。汇总后报市信息办涉密系统报市和区县国家保密工作部门；其他到公安机关办理备案手续；受理单位备案审核；系统备案摸底调查专家评审新系统建设同时同步确定等级，按等级同步规划建设安全设施系统定级第三方测评整改测评阶段评估和现状检测（可请评估或检测机构）差距评估报告第三部分：等级保护项目建设流程等级保护工作基本流程安全检查自第四部分：等级保护项目建设依据等级保护项目建设依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发【2003】27号）《关于信息安全等级保护工作的实施意见》（公通字【2004】66号）《信息安全等级保护管理办法》（公通字【2007】43号）《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字【2007】861号）《信息安全等级保护备案实施细则》（公信安【2007】1360号）《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安【2009】1429号）《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技【2008】2071号）关于印发《信息系统安全等级测评报告模板（试行）》的通知（公信安【2009】1487号）《公安机关信息安全等级保护检查工作规范（试行）（公信安【2008】736号）定级备案安全建设整改等级测评检查信息安全等级保护工作第四部分：等级保护项目建设依据等级保护项目建设依据《中华人民第四部分：等级保护项目建设依据等级保护项目建设依据第四部分：等级保护项目建设依据等级保护项目建设依据总体安全规划第五部分：等级保护的具体要求等级保护工作过程等级变更局部调整信息系统定级安全设计与实施安全运行维护信息系统终止总体安全规划第五部分：等级保护的具体要求等级保护工作过程等级第五部分：等级保护的具体要求等级保护总体框架第一级第二级第三级第四级第五级技术要求物理安全网络安全

主机安全应用安全数据安全备份恢复管理要求管理制度

管理机构

人员管理

建设管理

运维管理

第五部分：等级保护的具体要求等级保护总体框架第一级第二级第三第五部分：等级保护的具体要求技术要求—物理安全物理位置选择物理安全(3级)物理访问控制防盗窃和防破坏防雷击防火防水和防潮温湿度控制电力供应电磁防护防静电第五部分：等级保护的具体要求技术要求—物理安全物理位置选择物第五部分：等级保护的具体要求技术要求—网络安全结构安全网络安全(3级)访问控制安全审计边界完整性检查入侵防范恶意代码防范网络设备防护第五部分：等级保护的具体要求技术要求—网络安全结构安全网络安第五部分：等级保护的具体要求技术要求—主机安全身份鉴别主机系统安全(3级)访问控制安全审计剩余信息保护入侵防范恶意代码防范系统资源控制第五部分：等级保护的具体要求技术要求—主机安全身份鉴别主机系第五部分：等级保护的具体要求技术要求—应用安全身份鉴别应用安全(3级)访问控制通信完整性通信保密性安全审计剩余信息保护抗抵赖软件容错资源控制第五部分：等级保护的具体要求技术要求—应用安全身份鉴别应用安第五部分：等级保护的具体要求技术要求—数据安全数据完整性数据安全(3级)数据保密性数据备份与恢复第五部分：等级保护的具体要求技术要求—数据安全数据完整性数据第五部分：等级保护的具体要求管理要求—安全管理机构岗位设置安全管理机构(3级)人员配备授权和审批沟通和合作审核和检查第五部分：等级保护的具体要求管理要求—安全管理机构岗位设置安第五部分：等级保护的具体要求管理要求—安全管理制度管理制度安全管理制度(3级)制订和发布评审和修订第五部分：等级保护的具体要求管理要求—安全管理制度管理制度安第五部分：等级保护的具体要求管理要求—人员安全管理人员录用人员安全管理(3级)人员离岗人员考核安全意识教育和培训外部人员访问管理第五部分：等级保护的具体要求管理要求—人员安全管理人员录用人第五部分：等级保护的具体要求管理要求—系统建设管理系统定级系统建设管理(3级)安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付安全服务商选择等级测评第五部分：等级保护的具体要