信息安全等级保护v1.0

1、重庆扬讯软件技术股份有限公司技术白皮书信息安全等级保护编号版本V1.0编制谭伟伟审核审批发布日期2016.12.17技术方案文件更改记录日期版本号修订说明修订审核审批2016.12.17V1.0创建。谭伟伟UPSoft技术方案 I目录TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 1简介12分级1 HYPERLINK l bookmark8 o Current Document 3实施原则14备案25办理2 HYPERLINK l bookmark14 o Current Document 6定期测评3 HYPERLINK l bo

2、okmark16 o Current Document 7标准规范3 HYPERLINK l bookmark18 o Current Document 7.1十大重要标准3 HYPERLINK l bookmark20 o Current Document 7.2其他相关标准3 HYPERLINK l bookmark22 o Current Document 8相关书籍4 HYPERLINK l bookmark24 o Current Document 8.1信息安全等级保护政策培训教程4UPSoft技术方案 技术方案1简介信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估

3、过程，信息安全等级保护简称等保。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。两个层面：安全技术、安全管理。2相关法律法规信息安全等级保护管理办法3分级信息安全等级保护共划分为五个等级。第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和

4、公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。4实施原则根据信息系统安全等级保护实施指南精神，手册上明确了以下基本原则：自主保护原则：信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。重点保护原则：根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。同步建设原则：信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化

5、建设相适应。动态调整原则：要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。5备案第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。6办理办理信息系统安全保护等级备案手续时，应当填写信息系统安全等级保护备案表第三级以上信息

6、系统应当同时提供以下材料：（一）系统拓扑结构及说明；（二）系统安全组织机构和管理制度；（三）系统安全保护设施设计实施方案或者改建实施方案；（四）系统使用的信息安全产品清单及其认证、销售许可证明；（五）测评后符合系统安全保护等级的技术检测评估报告；（六）信息系统安全保护等级专家评审意见；（七）主管部门审核批准信息系统安全保护等级的意见。定期测评依据信息安全等级保护管理办法第十四条规定，第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。标准规范8.1十大重要标准计算机信息系统安全等级保护划分准则(GB17859

7、-1999)(基础类标准)信息系统安全等级保护实施指南(GB/T25058-2010)(基础类标准)信息系统安全保护等级定级指南(GB/T22240-2008)(应用类定级标准)信息系统安全等级保护基本要求(GB/T22239-2008)(应用类建设标准)信息系统通用安全技术要求(GB/T20271-2006)(应用类建设标准)信息系统等级保护安全设计技术要求(GB/T25070-2010)(应用类建设标准)信息系统安全等级保护测评要求(GB/T28448-2012)(应用类测评标准)信息系统安全等级保护测评过程指南(GB/T28449-2012)(应用类测评标准)信息系统安全管理要求(GB/

8、T20269-2006)(应用类管理标准)信息系统安全工程管理要求(GB/T20282-2006)(应用类管理标准)8.2其他相关标准GB/T21052-2007信息安全技术信息系统物理安全技术要求GB/T20270-2006信息安全技术网络基础安全技术要求GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20272-2006信息安全技术操作系统安全技术要求GB/T20273-2006信息安全技术数据库管理系统安全技术要求GB/T20984-2007信息安全技术信息安全风险评估规范GB/T20985-2007信息安全技术信息安全事件管理指南 技术方案GB/Z20986-2007信息安全技术信息安全事件分类分级指南GB/T20988-2007信