国家等级保护政策标准解读

1、-. z.国家等级保护政策标准解读一概述信息平安等级保护制度是国家信息平安保障工作的根本制度、根本策略和根本方法，是促进信息化安康开展，维护国家平安、社会秩序和公共利益的根本保障。国务院147号令及中办发2003 27号文等文件明确规定，要实行信息平安等级保护，重点保护根底信息网络和关系国家平安、经济命脉、社会稳定等方面的重要信息系统。建立和落实信息平安等级保护制度是形势所迫、国情所需。我国信息平安保障工作要求坚持积极防御、综合防*的方针，全面提高信息平安防护能力。等级保护工作的具体环节分为定级、备案、系统建立整改、开展等级测评、信息平安监管部门定期开展监视检查五步骤。等级保护工作中各环节用到

2、的主要标准包括：计算机信息系统平安保护等级划分准则、信息系统平安等级保护实施指南、信息系统平安保护等级定级指南、信息系统平安等级保护根本要求、信息系统平安等级保护测评过程指南。等级保护相关标准与等级保护各工作环节的关系如下：二信息平安等级保护实施指南信息系统平安等级保护实施指南GB/T25058-2010介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动，通过对过程和活动的介绍，使大家了解对信息系统实施等级保护的流程方法，以及不同的角色在不同阶段的作用等。信息系统全生命周期分为信息系统定级、总体平安规划、平安设计与实施、平安运行维护、信息系统终止等五个阶段。在平安运行与维护

3、阶段，信息系统因需求变化等原因导致局部调整，而系统的平安保护等级并未改变，应从平安运行与维护阶段进入平安设计与实施阶段，重新设计、调整和实施平安措施，确保满足等级保护的要求。但是信息系统发生重大变更导致信息系统等级变化是，应从平安运行维护阶段进入信息系统定级阶段，重新开场一轮信息平安等级保护的实施过程。2.1 信息系统定级定级备案是信息平安等级保护的首要环节。信息系统定级工作应按照自主定级、专家评审、主管部门审批、公安机关审核的原则进展。在等级保护工作中，信息系统运营使用单位和主管部门按照谁主管谁负责，谁运营谁负责的原则开展工作，并承受信息平安监管部门对开展等级保护工作的监管。2.1.1定级定

4、级工作的主要内容包括：确定定级对象、确定信息系统平安保护等级、组织专家评审、主管部门审批、公安机关审核，具体可按照关于开展全国重要信息系统平安等级保护定级工作的通知要求执行。等级确实定是不依赖于平安保护措施的，具有一定的客观性，即该系统在存在之初便由其自身所实现的使命决定了它的平安保护等级，而非由后天的平安保护措施决定。不同级别的信息系统应具备相应级别的平安保护能力。信息系统的平安保护等级应当根据信息系统在国家平安、经济建立、社会生活中的重要程度，遭到破坏后对国家平安、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的平安保护等级分为五级，从第一级到第五级逐级

5、增高。定级方法包括：确定定级对象、确定业务信息平安受到破坏时所侵害的客体、综合评定业务信息平安被破坏对客体的侵害程度等。信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规*和GB/T 22240-2008，确定信息系统的平安保护等级，信息系统运营、使用单位有主管部门的，应当经主管部门审核批准。2.1.2 备案信息平安等级保护备案工作包括信息系统备案、受理、审核和备案信息管理等工作。信息系统运营使用单位和受理备案的公安机关应按照信息平安等级保护备案实施细则的要求办理信息系统备案工作。第二级以上信息系统，在平安保护等级确定后30天内，由其运营、使用单位或其主管部门到所在地设区的市级以

6、上公安机关办理备案手续。办理备案手续时，应当首先到公安机关指定的网址下载并填写备案表，准备好备案文件，然后到指定的地点备案。2.2 总体平安规划总体平安规划阶段的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况，通过分析明确信息系统平安需求，设计合理的、满足等级保护要求的总体平安方案，并制定出平安实施方案，以指导后续的信息系统平安建立工程实施。对于已运营运行的信息系统，需求分析应当首先分析判断信息系统的平安保护现状与等级保护要求之间的差距。2.3 平安设计与实施平安设计与实施阶段的目标是按照信息系统平安总体方案的要求，结合信息系统平安建立工程方案，分期分步落实平安措施。2

7、.4 平安运行与维护平安运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节，涉及的内容较多，包括平安运行与维护机构和平安运行与维护机制的建立，环境、资产、设备、介质的管理，网络、系统的管理，密码、密钥的管理，运行、变更的管理，平安状态监控和平安事件处置，平安审计和平安检查等内容。本标准并不对上述所有的管理过程进展描述，希望全面了解和控制平安运行与维护阶段各类过程的本标准使用者可以参见其它标准或指南。2.4.1 信息系统建立整改建立整改是等级保护工作落实的关键所在。确定了各等级信息系统能够到达相应等级的根本保护水平和满足自身需求的平安保护能力。平安建立整改根本流程工作分为五步进展。1落

8、实负责平安建立整改工作的责任部门，由责任部门牵头制定本单位和本行业信息系统平安建立整改工作方案，对平安建立整改工作进展总体部署。2开展信息系统平安保护现状分析，从管理和技术两个方面确定信息系统平安建立整改需求。3确定平安保护策略，制定信息系统平安建立整改方案。4按照信息系统平安建立整改方案，实施平安建立整改工程，建立并落实平安管理制度，落实平安责任制，建立平安设施，落实平安设施。5开展平安自查和等级测评。按照国家有关规定，依据根本要求，参照信息系统平安管理要求等标准规*要求，开展信息系统等级保护平安管理制度建立工作。工作流程包括：1落实信息平安责任制；2信息系统平安管理现状分析；3制定平安管理

9、策略和制度；4落实平安管理措施；5平安自查与调整。按照国家有关规定，依据根本要求，参照信息系统通用平安技术要求、信息系统等级保护平安设计技术要求等标准规*要求，开展信息系统等级保护平安管理制度建立工作。工作流程包括：1信息系统现状分析；2信息系统平安保护技术现状分析；3平安需求论证和确定。2.4.2 等级测评等级测评是评价平安保护现状的重要方法。可以确定信息系统的平安状况，尤其是与相应等级根本要求的差距，提出平安整改需求。等级测评的目标是通过信息平安等级测评机构对已经完成等级保护建立的信息系统定期进展等级测评，确保信息系统的平安保护措施符合相应等级的平安要求。参与角色包括：信息系统主管部门、信

10、息系统运营使用单位以及信息平安等级测评机构。等级测评主要参照的标准包括：信息系统平安等级保护根本要求、信息系统平安等级保护测评要求、信息系统平安等级保护测评过程指南。信息系统建立完成后，运营、使用单位或者其主管部门应中选择符合本方法规定条件的测评机构，依据信息系统平安等级保护测评要求等技术标准，定期对信息系统平安等级状况开展等级测评。第三级信息系统应当每年至少进展一次等级测评，第四级信息系统应当每半年至少进展一次等级测评，第五级信息系统应当依据特殊平安需求进展等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统平安状况、平安保护制度及措施的落实情况进展自查。第三级信息系统应当每年至少

11、进展一次自查，第四级信息系统应当每半年至少进展一次自查，第五级信息系统应当依据特殊平安需求进展自查。经测评或者自查，信息系统平安状况未到达平安保护等级要求的，运营、使用单位应当制定方案进展整改。测评机构及其测评人员应严格执行有关管理规*和技术标准，开展客观、公正、公平的等级保护测评效劳，并依据信息平安测评联盟等级测评工程收费指导意见进展收费。2.4.3 监视检查监视检查的目标是通过国家管理部门对信息系统定级、规划设计、建立实施和运行管理等过程进展监视检查，确保其符合信息系统平安保护相应等级的要求。参与角色包括：信息系统主管部门、信息系统运营使用单位以及国家管理部门。2.5 信息系统终止信息系统终止阶段是等级保护实施过程中的最后环节。当信息系统被转移、终止或废弃时，正确处理系统内的敏感信息对于确保机构信息资产的平安是至关重要的。在信息系统生命周期中，有些系统并不是真正意义上的废弃，而是改良技术或转变业务到新的信息系统，对于这些信息系统在终止处理过程中应确保信息转移、设备迁移和介质销毁等方面的平安。信息系统平安等级保护实施指南GB/T25058-2010在信息系统终止阶段关