国家信息安全等级保护制度的主要内容和要求

国家信息安全等级保护制度的

主要内容和要求

河南省公安厅网安总队王志奇二○一五年十月目录一、信息安全等级保护制度的主要内容二、信息安全等级保护政策体系和标准体系三、信息安全等级保护工作的具体内容和要求一、等级保护制度的主要内容（一）国家为什么要实施信息安全等级保护制度1.严峻的信息安全形势需要敌对势力的入侵、攻击、破坏针对基础信息网络和重要信息系统的违法犯罪持续上升基础信息网络和重要信息系统安全隐患严重一、等级保护制度的主要内容2.是维护国家安全的需要基础信息网络与重要信息系统已成为国家关键基础设施，必须要保护好。信息安全是国家安全的重要组成部分。信息安全的本质是信息对抗、技术对抗，是网络空间的政治斗争。一、等级保护制度的主要内容

（二）组织开展等级保护工作的依据：1、《中华人民共和国人民警察法》；2、《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令）；3、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）；4、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）；5、2008年国务院“三定”方案，增加了公安部职能：监督、检查、指导信息安全等级保护工作；6、《关于加强和改进互联网管理工作的意见》（中办发[2010]24号）一、等级保护制度的主要内容确立了信息安全等级保护制度的法律地位；明确了实行等级保护是我国信息安全保障工作中一项重要制度和措施；赋予了公安机关牵头负责信息安全等级保护工作监督管理的职责。一、等级保护制度的主要内容（三）等级保护的概念和核心内容

信息安全等级保护：就是对信息系统实行分等级保护、分等级监管，是将全国的信息系统（包括网络）按照重要性和遭受损坏后的危害程度分成五个安全保护等级，从第一级到第五级，逐级增高；公安机关对第二级信息系统进行指导，对第三、四级信息系统定期开展监督、检查。一、等级保护制度的主要内容

核心内容：国家制定统一的政策，各单位、各部门依法开展等级保护工作，有关职能部门对信息安全等级保护工作实施监督管理。因此，实行信息安全等级保护，是在信息安全保障工作中国家意志的体现，具有明显的强制性。同时，坚持“自主定级”、“自行建设”、“自主保护”，体现了“谁主管、谁负责，谁使用、谁负责，谁运营、谁负责”的信息安全责任制。一、等级保护制度的主要内容（四）等级保护制度的特点紧迫性：信息安全滞后于信息化发展。全面性：内容涉及广泛，各单位各部门落实。基础性：基本制度、基本国策。强制性：公安机关监督、检查、指导。规范性：政策和标准保障。一、等级保护制度的主要内容（五）组织开展等级保护工作的目的

实现五方面目标：一是信息系统安全管理水平明显提高；二是信息系统安全防范能力明显增强；三是信息系统安全隐患和安全事故明显减少；四是有效保障信息化健康发展；五是有效维护国家安全、社会秩序和公共利益。

一、等级保护制度的主要内容（六）等级保护工作中的职责分工

1、等级保护工作协调（领导）小组负责信息安全等级保护工作组织领导，制定本地区、本行业开展信息安全等级保护的工作部署和实施方案，并督促有关单位落实，研究、协调、解决等级保护工作中的重要工作事项，及时通报或报告等级保护实施工作的相关情况。一、等级保护制度的主要内容2、信息安全职能部门

公安机关负责信息安全等级保护工作的监督、检查、指导，是等级保护工作的牵头部门。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。网信部门负责等级保护工作的部门间协调。一、等级保护制度的主要内容3、信息系统运营使用单位及其主管部门信息系统运营使用单位按照等级保护的管理规范和技术标准，开展信息系统定级、备案、安全建设整改、等级测评、自查等工作，并接受公安机关等部门的监督、指导。有主管部门的，主管部门要督促、检查、指导本行业、本部门信息系统运营使用单位开展信息安全等级保护工作。一、等级保护制度的主要内容4、安全服务机构信息安全企业，信息系统安全集成商、等级测评机构等安全服务机构，依据国家有关管理规定和技术标准，开展技术支持、安全服务等工作，并接受监管部门的监督管理。一、等级保护制度的主要内容5、专家组宣传等级保护相关政策、标准；指导备案单位研究拟定贯彻实施意见和建设规划、技术标准的行业应用；参与定级和安全建设整改方案论证、评审；协助发现树立典型、总结经验并推广；跟踪国内外信息安全技术最新发展，开展等级保护关键技术研究；研究提出完善等级保护政策体系和技术体系的意见和建议。一、等级保护制度的主要内容（七）开展等级保护工作的基本要求各单位、各部门，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求开展等级保护的定级、备案、整改、测评等工作。公安机关要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。对故意将信息系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。二、等级保护政策体系和标准体系（一）信息安全等级保护政策体系根据法律授权和国务院147号令，公安部牵头成立了国家信息安全等级保护工作协调小组，并会同国家保密局、国家密码管理局、发改委、原国务院信息办出台了《关于加强信息安全保障工作的意见》等一些政策性文件；对等保的一些具体工作，公安部又制发了《信息安全等级保护管理办法》等一系列指导意见和规范，构成了信息安全等级保护的政策体系，为指导各单位、各部门开展信息安全等级保护工作提供了政策保障。二、等级保护政策体系和标准体系1、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）2、《信息安全等级保护管理办法》公通字[2007]43号）3、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）4、《信息安全等级保护备案实施细则》（公信安[2007]1360号）5、《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安[2009]1429号）二、等级保护政策体系和标准体系6、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）7、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）。8、《关于印发〈信息系统安全等级测评报告模版（试行）〉的通知》（公信安[2009]1487号）9、《公安机关信息安全等级保护检查工作规范》（公信安[2008]736号）10、《关于开展信息安全等级保护专项监督检查工作的通知》（公信安[2010]1175号）二、等级保护政策体系和标准体系11、《信息安全等级保护测评机构管理办法》（公信安[2013]755号）12、《关于加强政府网站安全监管工作的指导意见》（公信安[2014]353号）13、《公安机关政府网站安全监管工作规范》（公信安[2014]795号）14、《关于加快推进网络与信息安全信息通报机制建设的通知》（公信安[2015]21号）15、《关于组织开展2015年网络安全保障工作全国综治考核评价的通知》公信安[2015]884号）二、等级保护政策体系和标准体系（二）信息安全等级保护标准体系

在有关部门、专家、企业的协助下，公安部先后组织制定了信息系统定级、测评、建设等10多个国家标准，从基础类、应用类、产品类和其他类四个方面形成了信息安全等级保护的标准体系，为开展信息安全等级保护工作提供了标准保障。在公安部指导下，电力、电信、银行、证券、海关等40余个重点行业出台了110余份行业等级保护政策文件，50余份行业信息系统安全保护技术标准，确保了等级保护制度在重点行业的贯彻落实。

二、等级保护政策体系和标准体系基础标准：

《计算机信息系统安全保护等级划分准则》。在此基础上制定出技术类、管理类、产品类标准。安全要求：

《信息系统安全等级保护基本要求》

信息系统安全等级保护的行业规范二、等级保护政策体系和标准体系系统等级：

《信息系统安全等级保护定级指南》

信息系统安全等级保护行业定级细则方法指导：

《信息系统安全等级保护实施指南》《信息系统等级保护安全设计技术要求》现状分析：

《信息系统安全等级保护测评要求》《信息系统安全等级保护测评过程指南》三、等级保护工作的具体内容和要求信息安全等级保护工作的顶层设计非常明确，对信息系统分等级进行安全保护和监管有五个规定动作，即定级、备案、建设整改、等级测评和监督检查五个环节。三、等级保护工作的具体内容和要求（一）信息安全等级保护定级工作

信息系统定级原则：“自主定级、专家评审、主管部门审批、公安机关审核”。具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）要求执行。定级工作流程：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。三、等保工作具体内容和要求（定级）1.确定定级对象起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）。用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。各单位网站。三、等保工作具体内容和要求（定级）2.确定信息系统安全保护等级

《管理办法》规定的五个等级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。三、等保工作具体内容和要求（定级）第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。分级标准三、等保工作具体内容和要求（定级）受侵害的对象侵害程度一般损害严重损害公民、法人和其他组织的合法权益第一级第二级社会秩序、公共利益第二级第三级国家安全第三级第四级三、等保工作具体内容和要求（定级）实际操作中参考确定信息系统等级：第一级信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。第二级信息系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。三、等保工作具体内容和要求（定级）第三级信息系统：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络系统等。三、等保工作具体内容和要求（定级）第四级信息系统：一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全，影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信骨干传输网、铁路客票系统、列车指挥调度系统等。3.定级工作需注意的问题同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。五级保护三、等保工作具体内容和要求（定级）信息系统级别信息系统重要性监督管理强度等级第一级一般信息系统自主保护级第二级一般信息系统指导保护级第三级重要信息系统监督保护级第四级重要信息系统强制保护级第五级重要信息系统专控保护级按照公安部的要求，除特殊行业和情况外，系统定级的简单做法是：县级信息系统安全保护等级最高确定为第二级；省辖市信息系统安全保护等级最高确定为第三级；安全保护等级确定为第四级的信息系统要报公安部十一局审核。

三、等保工作具体内容和要求（备案）（二）信息系统备案工作

备案工作包括：信息系统备案、受理、审核和备案信息管理。具体按照《关于开展全国重要信息系统安全等级保护定级工作的通知》要求开展。1、备案第二级以上信息系统，由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续，填写《信息系统安全等级保护备案表》。三、等保工作具体内容和要求（备案）隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部备案；其他信息系统向北京市公安局备案。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。各部委统一定级信息系统在各地的分支系统，即使是上级主管部门定级的，也要到当地公安网络安全保卫部门备案。三、等保工作具体内容和要求（备案）2.受理备案与审核公安机关受理备案，按照《信息安全等级保护备案实施细则》要求，对备案材料进行审核，定级准确、材料符合要求的颁发由公安部统一监制的备案证明。

省公安厅网安总队负责办理省直单位或部门信息系统的备案。三、等保工作具体内容和要求（建设整改）（三）信息系统安全建设整改工作

建设整改是落实信息安全等级保护工作的关键，也就是在定级备案的基础上，信息系统运营使用单位结合行业特点和安全需求，通过建设整改，使不同等级的信息系统在物理安全、网络安全、主机安全、应用安全和数据安全等方面达到相应等级的基本保护能力，做到可信、可控、可管，从而提高我国基础网络和重要信息系统整体防护能力。1、整改范围：一是已备案的第二级(含)以上信息系统；二是尚未开展定级备案的信息系统，要先定级备案，定级不准的要先纠正，再开展安全建设整改；三是新建系统要同步开展安全建设工作。三、等保工作具体内容和要求（建设整改）2、整改内容：包括管理和技术两个方面：安全管理建设整改方面：一是落实信息安全责任制。二是落实人员安全管理制度。三是落实系统建设管理制度。四是落实系统运维管理制度。安全技术措施建设整改方面：结合行业特点和安全需求，制定符合相应等级要求的信息系统安全技术建设整改方案，开展安全技术措施建设，落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。可以采取一个安全管理中心和计算环境安全、区域边界安全和通信网络安全的“一个中心三维防护”策略，实现相应级别信息系统的安全保护技术要求。

三、等保工作具体内容和要求（建设整改）三、等保工作具体内容和要求（建设整改）3、整改流程第一步：制定安全建设整改工作规划，对安全建设整改工作进行总体部署。第二步：开展信息系统安全现状分析，从管理和技术两方面确定安全建设整改需求。第三步：确定安全保护策略，制定信息系统安全建设整改方案。第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施。第五步：开展安全自查和等级测评，及时发现问题并进一步整改。工作流程三、等保工作具体内容和要求（建设整改）不同级别信息系统安全建设整改的具体内容，应根据信息系统定级时的业务信息安全等级和系统服务安全等级，以及信息系统安全保护现状确定。信息系统安全建设整改工作的具体实施，可以根据实际情况，将安全管理和安全技术整改内容一并实施，也可以分步实施。三、等保工作具体内容和要求（建设整改）4、整改效果：信息系统应达到的保护能力目标

第二级信息系统：经过安全建设整改工作，信息系统具有抵御小规模、较弱强度恶意攻击的能力，抵抗一般的自然灾害的能力，防范一般性计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对安全事件进行记录的能力；系统遭到损害后，具有恢复系统正常运行状态的能力。三、等保工作具体内容和要求（建设整改）第三级信息系统：经过安全建设整改工作，信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能立即恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。三、等保工作具体内容和要求（建设整改）第四级信息系统：经过安全建设整改工作，信息系统在统一的安全保护策略下具有抵御敌对势力有组织的大规模攻击的能力，抵抗严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行快速响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，应能迅速恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。三、等保工作具体内容和要求（等级测评）（四）信息安全等级保护测评工作

等级测评：是测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，以是否符合等级保护基本要求为目的，对被测系统安全等级保护状况进行检测评估的合规性验证。等级测评是信息安全等级保护工作的重要环节。等级测评机构，是指具备《测评机构管理办法》要求的基本条件，经省级等保办审核推荐，通过公安部评估中心岗前培训和对机构的能力评估后，向社会推荐的从事等级测评等信息安全服务的机构。等级测评机构以提供等级测评服务为主，也可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。

三、等保工作具体内容和要求（等级测评）为切实加强对等级测评工作和测评机构的管理，规范等级测评行为，提高测评技术能力和服务水平，2013年5月，公安部制发了《信息安全等级保护测评机构管理办法》（公信安[2013]755号），共32条，可登录“中国信息安全等级保护网”（www.djbh.ent）政策标准——政策规范——国家政策查询）。三、等保工作具体内容和要求（等级测评）1、测评机构和测评人员的管理

（1）职责分工国家信息安全等级保护工作协调小组办公室（以下简称“等保办”）负责隶属国家信息安全职能部门和重点行业测评机构的申请受理、审核推荐和监督检查等工作。各省级等保办负责本省内等级测评机构的申请受理、审核推荐和监督检查等工作。公安部信息安全等级保护评估中心（以下简称“评估中心”）负责测评机构的能力评估和培训工作。三、等保工作具体内容和要求（等级测评）（2）测评机构申请流程申请：申请单位具备注资、技术人员数量、技术装备设施和相关规章制度等10项基本条件的，向省级以上等保办书面申请，提交《信息安全等级保护测评机构申请表》。受理、初审：等保办受理申请，并对《机构申请表》等六项申请材料进行初审。能力评估：对通过初审的申请单位，公安部信息安全等级保护评估中心进行能力评估，对测评师进行培训、考试、发证。三、等保工作具体内容和要求（等级测评）专家审核：等保办组织专家对测评能力评估合格的申请单位进行审核。推荐：等保办向通过评审的申请单位颁发信息安全等级保护测评机构推荐证书。公布。省级等保办将本地等级测评机构推荐情况报国家等保办，国家等保办定期发布公告，在《中国信息安全等级保护网》发布《全国信息安全等级保护测评机构推荐目录》三、等保工作具体内容和要求（等级测评）推荐程序：提交申请材料--→属地公安组织专家进行准入评估（评估经验、能力和测评机构数量分布）--→属地公安对机构初审、对人员进行安全审查--→评估中心组织人员培训、能力评估--→属地公安机关复审--→属地公安机关推荐--→公安部公告，网站发布。推荐主体：国家等保办----国家、行业测评机构省级等保办----属地测评机构

三、等保工作具体内容和要求（等级测评）（3）监督管理等保办负责对所推荐等级测评机构的日常监督检查、测评项目抽查和年审工作，及时掌握等级测评机构工作情况。日常监督：测评报告、测评过程、测评服务费用。变更处理：机构名称、地址、测评师、法人、股权等变动的，在30日内到等保办办理变更。违规处置：限期整改、警告、取消证书；造成严重后果，依法依规处理。年审：年度测评工作整体开展情况。三、等保工作具体内容和要求（等级测评）测评机构不得从事下列活动：影响被测评信息系统正常运行，危害被测评信息系统安全；非授权占有、使用，未妥善保管等级测评相关资料及数据文件的；分包或转包等级测评项目，以及扰乱测评市场秩序的；因单位股权、人员等情况发生变动，不符合等级测评机构基本条件的；故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假未如实出具等级测评报告的；有信息安全产品开发、销售或信息系统安全集成行为的；限定被测评单位购买、使用指定信息安全产品的；未按规定向等保办提交材料、报告情况或弄虚作假的等。

三、等保工作具体内容和要求（等级测评）2、等级测评工作的开展测评目的：一是掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求；二是能够衡量出信息系统安全保护措施是否符合等级保护基本要求，是否具备了相应等级的安全保护能力。测评时机：建设整改前：等级测评，安全现状分析；建设整改后：等级测评，检验整改效果。三、等保工作具体内容和要求（等级测评）测评过程：等级测评机构应严格按照信息安全等级保护标准规范公正、独立地开展等级测评工作，依据模板出具信息系统安全等级测评报告，确保测评质量，全面、客观地反映被测信息系统的安全保护状况。测评频率：第三级以上定期；第二级参照。测评费用：参照国家信息化项目人工计费标准或根据被测设备数量与测评项预算测评费用。三、等保工作具体内容和要求（等级测评）测评工作要求：测评工作应按照“流程规范、方法科学、结论公正”的要求进行。被测单位要与测评机构签订工作协议和保密协议；查验测评机构相关材料；落实测评过程监管措施。测评报告备案：备案单位每年应将等级测评报告向受理备案的公安机关备案三、等保工作具体内容和要求（等级测评）3、测评业务范围

等级测评机构开展测评项目不受地域、行业限制。等级测评机构应在测评项目合同签订以及项目完成后5个工作日内，向受理信息系统备案的公安机关报告等级测评项目有关情况。测评项目实施过程中，等级测评机构应接受等保办的监督、检查和指导。但在测评实际工作中：

职能部门测评机构在全国范围内开展测评业务，到地方时，应当事先告知属地省级等保办。行业测评机构原则上在本行业内开展测评，到地方时应与属地省级等保办协调。可以承担其他行业信息系统的测评任务。地方测评机构原则上在本地开展测评，也可以到异地开展测评，但事先须与当地等保办协调。特殊情况由公安机关进行协调。三、等保工作具体内容和要求（等级测评）4、我省的总体测评情况：

近年来，按照公安部的要求，加强对我省所属5家测评机构的管理，规范等级测评行为，着力提高测评技术能力和服务水平。截至去年底，我省已完成等级测评的各类信息系统361个，其中二级系统152个、三级以上系统209个；从反映和检查情况看，测评工作依据合理、程序规范、方法得当，测评结果基本准确，对系统存在的安全隐患客观地提出了整改建议，有力地推动了我省信息安全等级保护工作的开展。

三、等保工作具体内容和要求（监督检查）（五）安全自查和监督检查

备案单位、行业主管部门、公安机关要分别建立并落实监督检查机制，定期开展监督检查。

1、备案单位的定期自查定期开展自查，掌握信息系统安全状况、安全管理制度及技术保护措施的落实情况等。配合公安机关的监督检查工作，如实提供有关资料及文件。当重要信息系统发生事件、案件时，备案单位应当及时向受理备案的公安机关报告。

《自查表》空白模板可在首页下载。三、等保工作具体内容和要求（监督检查）2、行业主管部门的督导检查行业主管部门要建立督导检查制度，组织制定本行业、本部门的信息安全等级保护检查工作规范。定期组织对本行业、本部门等级保护工作开展情况进行检查，督促落实信息安全等级保护制度，达到重点督促，以点带面的目的。三、等保工作具体内容和要求（监督检查）3、公安机关的监督检查

检查依据：《关于开展国家级重要信息系统和重点网站安全执法检查工作的通知》（公传发〔2015〕253号）、《公安机关政府网站安全监管工作规范》（公信安[2014]795号）《关于开展信息安全等级保护专项监督检查工作的通知》（公