1、等级保护工作开展参考资料

等级保护工作开展参考资料文档说明目标对象： 客户单位的信息主管/计算机信息系统运维管理人员文档功能： 与客户一起探讨“信息平安等级保护工作〞开展工作方法等级保护重要性

我们国家信息平安，当前的主要任务之一是要贯彻落实等级保护。等级保护对于我们国家所用的信息系统，按照它的重要性、等级的要求进行保护。这是非常重要的信息平安保障的根本制度。执行标准速查表序号工作内容执行标准标准代号1指导思想信息平安等级保护工作信息平安等级保护管理方法(公通字[2024]43号)2根底计算机信息系统平安保护等级划分准那么(GB17859-1999〕3信息系统平安等级保护实施指南(GB/T25058-2024〕4定级信息系统平安等级保护定级指南(GB/T22240-2024〕5信息系统平安等级保护根本要求(GB/T22239-2024〕6建设信息系统通用平安技术要求(GB/T20271-2024〕7信息系统等级保护平安设计技术要求(GB/T25070-2024〕8测评信息系统平安等级保护测评要求(GB/T28448-2024)9信息系统平安等级保护测评过程指南(GB/T28449-2024)10运维信息平安技术信息系统平安管理要求(GB/T20269-2024)11信息系统平安工程管理要求(GB/T20282-2024)等保工作流程信息平安等级保护是国家信息平安保障的根本制度，等级保护的整体实施工作包括等级保护定级与备案、等级保护差距分析、系统平安建设与整改、等级测评和监督检查等几个阶段。 其中定级/备案是信息平安等级保护的首要环节，可以梳理各行业、各部门、各单位的信息系统类型、重要程度和数量等，确定信息平安保护的重点。是进行相应等级平安建设的依据。而平安建设整改是信息平安等级保护工作落实的关键，通过建设整改使具有不同等级的信息系统到达相应等级的根本保护能力，从而提高我国根底网络和重要信息系统整体防护能力。

用户完成定级工作之后，更主要的是依据等级保护整改的相关要求，通过一套标准的等保整改正程，进行风险评估和等级保护差距分析，制定完整的平安整改建议方案，进行等级化平安体系的设计与建设，最终符合国家等级保护建设要求。用户必须在深入理解定级的根本要求、充分调查评估信息资产价值和平安风险的根底上才能完成形成合理的整改建议方案。等级测评工作的主体是第三方测评中心，工作目的是检验和评价信息系统的平安建设整改工作的成效，判断平安保护能力是否到达相关要求。监督检查工作的主体是信息平安职能管理部门，通过定期的监督、检查和指导，保障重要信息系统平安保护能力不断提高。参考---“沈昌祥院士对等保工作的意见〞?关于重要信息系统平安等级保护定级的几点意见?国家信息平安保护等级专家评审委员会主任沈昌祥院士

在调研、定级评审过程中，也发现当前定级工作还存在少数部门信息系统定级不合理、不准确问题。结合工作中掌握的一些具体情况，我认为主要有以下几方面原因：一是有些部门未能站在国家平安、社会稳定的高度统筹考虑信息系统等级，而仅从行业和信息系统自身平安角度考虑。二是有些部门认为信息系统级别定高，要花费更多的资金，单位负担加重。三是有些部门对本行业下级单位定级指导不力，同类信息系统下级部门定级偏低，特别是一些重要行业地市级单位的系统级别偏低。四是少数部门领导对定级工作重视不够，还有些部门以信息系统运维单位为主进行定级，业务单位参与定级不够。信息平安等级保护制度是国家信息平安保障的根本制度，而定级是等级保护工作的首要环节和关键环节，定级不准，系统备案、建设、整改、等级测评等后续工作都会失去意义，信息系统平安就没有保证。定级时应主要考虑信息系统破坏后对国家平安、社会稳定的影响。确定为三级以上的信息系统，均属于国家的重要信息系统，是国家要保护的重点，国家财政、有关部门要投入财力、物力、人力，保证其平安。重要信息系统属于国家关键根底设施，需要运营使用单位、主管部门真正承担起平安责任，同时，信息平安监管部门代表国家对重要信息系统的平安进行监督、检查、指导。在重要信息系统平安方面，运营使用单位和主管部门是第一责任部门，负主要责任，信息平安监管部门是第二责任部门，负监管责任。运营使用单位、主管部门和信息平安监管部门密切配合，共同承担责任，才能保护好国家根底信息网络和重要信息系统的平安。结合有些单位在定级工作中存在的问题，我就信息系统定级谈几点意见。〔一〕准确确定定级对象。在定级工作中，如何科学、合理地确定定级对象是最关键的问题。这里首先要明确一个概念，信息系统包括起支撑、传输作用的根底信息网络和各类应用系统。具体工作中，应按如下原那么确定定级对象：一是起支撑、传输作用的根底信息网络要作为定级对象。但不是将整个网络作为一个定级对象，而是要从平安管理和平安责任的角度将根底信息网络划分成假设干个最小平安域或最小单元去定级。二是专网、内网、外网等网络系统〔包括网管系统〕要作为定级对象。同根底信息网络一样，也不能将整个网络系统作为一个定级对象，而是要从平安管理和平安责任的角度将网络系统划分成假设干个最小平安域或最小单元去定级。三是各单位网站要作为独立的定级对象。如果网站的后台数据库管理系统平安级别高，也要作为独立的定级对象。网站上运行的信息系统〔例如对社会效劳的报名考试系统〕也要作为独立的定级对象。四是用于生产、调度、管理、作业、指挥、办公等目的的各类应用系统，要按照不同业务类别单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象条件。不能将某一类信息系统作为一个定级对象去定级。五是确认负责定级的单位是否对所定级系统负有业务主管责任。也就是说，业务部门应主导对业务信息系统定级，运维部门〔例如信息中心、托管方〕可以协助定级并按照业务部门的要求开展后续平安保护工作。六是具有信息系统的根本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规那么组合而成的有形实体。应防止将某个单一的系统组件〔如效劳器、终端、网络设备等〕作为定级对象。〔二〕科学、合理、准确确定信息系统平安保护等级。信息系统的平安保护等级是信息系统本身的客观自然属性，不应以已采取或将采取什么平安保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家平安、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的平安等级。针对不同的信息系统，建议参考以下原那么定级。第一级信息系统：一般适用于乡镇所属信息系统、县级某些单位中一般的信息系统、小型私营、个体企业、中小学的信息系统。第二级信息系统：一般适用于县级某些单位中的重要信息系统，地市级以上国家机关、企业、事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。第三级信息系统：一般适用于地市级以上国家机关、重要企事业单位内部重要的信息系统。例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统，重要领域、重要部门跨省、跨市或全国〔省〕联网运行的用于生产、调度、管理、作业、指挥等方面的重要信息系统，跨省或全国联网运行的重要信息系统在省、地市的分支系统，中央各部委、省〔区、市〕门户网站和重要网站，跨省联接的网络系统等。第四级信息系统：一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如全国铁路、民航、电力等部门的调度系统，银行、证券、保险、税务、海关等几十个重要行业、部门中的涉及国计民生的核心系统。第五级信息系统：一般适用于国家重要领域、重要部门中的极端重要系统。〔三〕系统等级确实定与审批。跨省或者全国统一联网运行的信息系统，可以由主管部门统一确定平安保护等级。其中：由各行业统一规划、统一建设、统一平安保护策略的全国联网系统，应由行业主管部门统一对下各级系统分别确定等级；由各行业统一规划