【文档说明】信息安全等级保护制度的主要内容和要求.pptx，共(134)页，580.548 KB，由精品优选上传

转载请保留链接：https://www.ichengzhen.cn/view-267453.html

以下为本文档部分文字说明：

信息安全等级保护制度的主要内容和要求北京市电子产品质量检测中心王春雷目录•一、国外关键基础设施保护政策•二、我国信息安全政策法规综述•三、等级保护制度的主要内容•四、等级保护政策体系和标准体系•五、等级保护工作的具体内容和要求一、国外关键基础设施保护政策信息安全保障工作概况

•知识子域：国外信息安全保障情况–了解发达国家信息安全状况和信息安全保障的主要举措–了解发达国家信息安全方面主要动态•知识子域：我国信息安全保障工作总体情况–了解我国信息安全保障工作发展阶段–理解国家信息安全保障基本原则–了解国家信息安全保障建设主要内容发达国

家信息安全保障的主要举措信息安全是国家安全的重要组成部分已成为世界各国的共识;各国纷纷出台自己的信息安全战略和政策，加强自身的国家信息安全保障体系建设。国外信息安全保障体系的最新趋势•战略：发布网络安全战略、政策评估报告、推进计划等文件•

政治：通过设立网络安全协调机构、设立协调官，强化集中领导和综合协调•军事：陆续成立网络战司令部，开展大规模攻防演练，招募网络战精英人才，加快军事网络和通信系统的升级改造，网络战成为热门话题•外交：信息安全问题的国际交流与对话增多，美欧盟友之间网络协同攻防倾向愈加明显，信息安全成为国际多边或

双边谈判的实质性内容•科技：各国寻求走突破性跨越式发展路线推进技术创新，力求在科技发展上保持和占据优势地位•关键基础设施仍然是信息安全保障的最核心内容美国信息安全保障战略：一个轮回三届政府四个文件•7•98年克林顿政府PDD

63•00年信息系统保护国家计划•01年布什政府PCIPB•03年保护网际空间国家战略•1998年5月，克林顿政府发布了第63号总统令（PDD63）：《克林顿政府对关键基础设施保护的政策》•2000年1月，克林顿政府发布了《信息系统保护国家

计划V1.0》，提出了美国政府在21世纪之初若干年的网络空间安全发展规划。•2001年10月16日，布什政府意识到了911之后信息安全的严峻性，发布了第13231号行政令《信息时代的关键基础设施保护》，宣布成立“总统关键基础设施保护委员

会”，简称PCIPB，代表政府全面负责国家的网络空间安全工作•2003年2月，在征求国民意见的基础上，发布了《保护网际空间的国家战略》的正式版本，对原草案版本做了大篇幅的改动，重点突出国家政府层面上的战略任务，这是一个非常大的跨越•2010年

3月2日，•奥巴马政府部分解密了CNCI，•包括3个重要目标，12个倡议美国CNCI：网络“曼哈顿计划”•2008年1月2日发布的国家安全总统令54/国土安全总统令23，建立了国家网络安全综合计划(CNCI)。•三道防线–建立第一线防御：减少当前漏

洞和隐患，预防入侵；–全面应对各类威胁：增强反间能力，加强供应链安全来抵御各种威胁；–强化未来安全环境：增强研究、开发和教育以及投资先进的技术来构建将来的环境。•十二项任务美国信息安全保障组织机构•网络安全协调官：负责领导白宫“网络安全办公室”，制

定和发布国家信息安全政策–首任网络安全协调官霍华德·施密特，被喻为“网络沙皇”•国土安全部（DHS）、国家安全局（NSA）、国防部（DOD）、联邦调查局（FBI）、中央情况报局（CIA）、国家标准技术研究所（NIST）等6个机构具体执行不同的分管职责•公私合作机构:

国家基础设施顾问委员会（NIAC）、信息共享和分析中心（ISAC）、网络安全全国联盟（NCSA）等等美国信息安全保障基本做法•1993年克林顿政府提出兴建“国家信息基础设施”（信息高速公路），1998年首次提出信息安全的概念和意义；•1998年5月国家安

全局制定了《信息保障技术框架》；•2000年公布首个《信息系统保护国家计划》；•2002年下半年，以《国土安全战略》为引导，布什政府逐步出台一系列国家安全政策，将信息保障战略纳入总体国家战略之中：美国信息安全保障的重点对象•2001年美国出台《美国爱

国者法案》，定义“关键基础实施”的含义；•2003年12月发布《国土安全总统令/HSPD-7》确定了17个关键基础设施；•2008年3月国土安全部将关键制造业类为第18项关键基础设施；•目前美国的关键基础设施和主要

资源部门；美国信息安全保障基本做法•2005年美国建立了国家漏洞库（NVD），利用技术优势掌握全球最全面的信息安全漏洞信息•2008年1月8日，布什以第54号国家安全总统令和第23号国土安全总统令的形

式签署《国家网络安全综合计划》–这项计划高度强调国家意志，被称为信息安全的“曼哈顿计划；–目标：保护没有网络安全，防止美国遭到敌对的电子攻击，并能对敌方展开在线攻击；预算：高达300-400亿美元；–属于高度机密，2010年3月奥巴马政府公开了其部分内容；要求美国政府与安全有

关的部门参与实施；英国信息安全保障体系建设动态•全面紧跟美国，2009年6月，英国发布首份国家《网络安全战略》，宣布成立“网络安全办公室”和“网络安全运行中心”，提出建立新的网络管理机构的具体措施。•

注重信息安全标准组织建设，重视将本国标准向海外推广，积极参与国际信息安全标准制定。–英国BSI7799标准享誉全球，已成为国际标准，并主导ISO/IEC27000系列标准•强化网络监控，规定警方和国家安全、税务等监察部门有权监控电子邮件和移动电话等系统，成为西方大国中唯一的政府可以要求网络

用户交出加密资料密钥的国家英国信息安全保障的重点对象•英国国计民生不可或缺的许多关键服务依赖信息技术，有10个部分被认为是在提供“基本服务”。英国信息安全保障基本做法•立法工作–1984年制定《数据保护法》–1990年出台《反计算机滥用法》–1997年实施《电信诈骗

法》–2000年出台《信息自由法》•1998年贸易和工业部发表《加强竞争力白皮书》：确定了英国建设信息社会的方式•2005年英国政府制定发表了《信息保障管理框架》：作为信息安全保障战略。英国信息安全保障基本做法•2009年6月，英国政府推出首份《国家网络安全战略》，宣

布成立“网络安全办公室”和“网络安全运行中心”，提出了建立网络管理机制的具体措施•英国建立了两个国家级的计算机应急响应小组–英国政府计算机响应小组–英国国防部计算机应急响应小组•注重政府信息系统安全–采用网

络逻辑隔离、PKI等安全技术加强政务外网安全–构建支持“身份联合管理”的内部电子邮件系统•注重标准制定，BS7799是国际信息安全管理标准ISO27000的前身•注重网络监管–是唯一政府可以要求网络用户交出加密密钥的国家英国信息安全保

障组织机构•国家基础设施安全协调中心–负责信息安全工作的跨部门机构–运行着英国的计算机应急响应小组•信息保障中央主办局和民事应急局——负责信息安全工作的重要政府机构世界上第一个建立电子政务标准的国家。1991年，德国

在内政部下建立信息安全局（BSI），负责处理与网络空间相关的所有问题。重视关键基础设施信息安全保障，建立日尔曼人的“基线”防御。1997年建立部际关键基础设施工作组；2005年出台《信息基础设施保护计划》和《关键基础设施保护的基线保护概念》德国信息安全保障体

系建设动态法国信息安全保障体系建设动态•2003年12月总理办公室提出《强化信息系统安全国家计划》并得到政府批准实施，四大目标：–确保国家领导通信安全；–确保政府信息通信安全；–建立计算机反共济能力；–将法国信息系统安全纳入欧盟颞部法国安全政

策范围。•2009年7月7日，成立国家级“网络和信息安全局”，置于总理领导之下，隶属国防部。其他西方国家信息安全保障体系建设动态•加拿大：–2004年提出了《国家安全政策》；–2004年11月发布《国家关键基础设施保护战略》；–2010年10月3日，发布《加拿大网络安

全战略》。•澳大利亚：–把信息网络技术作为国家经济和社会发展的重要推动力量。–制定并采取一系列与信息安全有关的政策和措施，把建立安全可靠的网络空间作为信息安全保障的战略目标。•…俄罗斯信息安全保障体系建设动态•重点保护对象：–经济、国内和外交政策、科学和技术、国家信息和通信系统、国防、司法

、灾害响应•机构：–俄罗斯联邦安全理事会；–俄罗斯联邦安全局（国家安全管理机关，信息安全工作主管和执法机关）；–俄罗斯技术和出口控制局；–俄罗斯联邦保卫局、信息技术和通信部•基本做法：–《俄罗斯国家安全纲要》作为信息安全战略；–注重安全测评；–实施信息安全分

级管理。亚太地区信息安全保障体系建设动态日本：实施了“保障型”信息安全战略；强调“信息安全保障是日本综合安全保障体系的核心”。韩国：将信息安全视为使馆国防安全的重大战略问题，不断加大信息安全保障系统管理力度，加快信息安全系统的建设步伐；在2010年建立信息安全司

令部，以维护韩国的国家网络安全。…日本重点保护对象：通信、政府和行政管理服务、金融、民航、铁路、后勤保障、电力、天然气、医疗服务、水机构：日本IT战略本部、国家信息安全中心、信息安全政策理事会、经济贸易产业省、国家警察厅基本做法：1992年建立国家计算

机应急响应协调中心；2001年实施《建设先进信息和电信网络社会基本法》，同年公布《确保电子政务实施过程中的信息安全行动方案；》2003年经济经济贸易产业省开发多种信息安全评估系统；2004年国家警察厅在每个地区局建立反高科技犯罪科；200

5年成立国家信息安全中心以美国《网络空间安全国家战略》为蓝本，发布《日本计算机安全战略》。印度•重点保护对象：–银行和金融、保险、民航、电信、原子能、电力、邮政、铁路、太空、石油和天然气、国防、执法机关•机构：–国家信息委员会、国家信息安全协调中心、信息基础设施保护中心、信息

技术局、印度计算机应急响应小组•基本做法：–2000年，颁布《信息安全法》；–积极推广互联网和IT基础设施建设等；–2009年印度政府宣布开发“中央监控系统”，直接连接国内所有通信服务商，实现对印度境内所有电话和互联网通信的监听分析总结——重点保护对象各国之间历史、国情、文化不同，具体的重点保护对

象也有所差异，但共同特点是将与国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的重点；《国际关键信息基础设施保护手册（CIIPHandbook）2008/2009》显示，所有国家最常被提到的关键部门都是现代化社会的核心部门，也是被破坏后可能造成极大规模

灾害的部门；其中银行和金融被全部24个接受CIIP调查的国家列为国家关键基础设施。分析总结——信息安全组织机构少数国家在中央政府一级设立机构专门负责处理网络信息安全问题，如美国；大多数国家信息安全管理职能由不同政府部门的多个机构和单位共同承担；机构单位

的设立，以及机构在信息安全管理中的影响力，受到民防传统、资源配置、历史经验以及决策者对信息安全威胁总体认识程度的影响；两种观念在机构设置问题上具有较大影响力：执法机关强调信息安全属于防范敌对势力入侵及网络犯罪的范畴经营基础设施的部门将调信息安全属于技术问题或经济成本问

题在现实信息安全威胁性质的决定下，前一种观念在大多数国家成为主流分析总结——基本做法•将信息安全视为国家安全的重要组成部分是主流•积极推动信息安全立法和标准规范建设是主流•重视对基础网络和重要信息系统的监

管和安全测评是主流•普遍重视信息安全事件应急响应•普遍认识到公共私营合作伙伴关系的重要性，一方面政府加强管理力度，一方面充分利用社会资源二、我国信息安全政策法规综述课程内容•29•信息安全法规与政策•知识体•知识域•信息安全•法律法规•知识子域•国家信息安全法治总体情况•等级保护有关政策规范•风险

评估有关政策规范•信息安全•国家政策•现行重要信息安全法规•电子政务与重要信息系统信息安全政策•国家信息安全保障总体方针知识域：信息安全相关法律•知识子域：国家信息安全法治总体情况•了解信息安全法治建设的意义•了解我国信息安全

法律法规体系框架•知识子域：现行重要信息安全法规•掌握《保守国家秘密法》的主要内容•理解《电子签名法》的意义和作用•了解《刑法》有关信息安全犯罪的规定•了解《全国人大常委会关于维护互联网安全的决定》•30国

家法律体系•国务院各部委•多级立法•31法律、政策的定义•法律（Law）-----国家制定或认可的，由国家强制力保证实施的，以规定当事人权利和义务为内容的具有普遍约束力的社会规范。•政策（Policy）----国家或政党组织等，以权威形式标准化地规定在一定的时期内，应该达到的目标、遵循的行动

原则、完成的明确任务、实行的工作方式、采取的一般步骤和具体措施。•32法律和政策的区别•政策有党的政策、国家政策之分，有总政策、基本政策和具体政策之别。•政策在成为法律之前，表现为决定、决议、纲领、宣言、通知、纪要等形式。•33国家信息安全保障体系•信息安全技术与

产业支撑平台•信息安全基础设施•信息安全法律法规与政策环境•信•息•安•全•人•才•培•训•教•育•体•系•信息安全组织机构及管理体系•信•息•安•全•标•准•与•规•范•34信息安全在国家安全中的地位•党和国家长期以来一

直十分重视安全保密工作，并从敏感性、特殊性和战略性的高度，至始至终置于党的绝对领导之下。•党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素•信息安全是个大问题。必须把安全问题放到至关重要的位置上，认真加以考虑和解决。•---胡锦涛•35我国的信息

安全管理体制•目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，各相关主管部门分别执行各自的安全职能，共同维护国家的信息安全•国家信息化领导小组（国家网络与信息安全协调小组）•工信部•公安部•国家安全部•国家保密局•国家密

码管理委员会•等等•36我国的信息安全基础设施•中国信息安全测评中心(CNITSEC)•中国信息安全认证中心(ISCCC)•国家计算机网络应急技术处理协调中心（CNCERT/CC）•国家计算机病毒应急处理中心•全国信息安全标准化技术委员会（

TC260）•等等•37信息安全法治建设的意义•信息安全法律环境是信息安全保障体系中的必要环节•明确信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务•明确违反信息安全的行为，并对其行

为进行相应的处罚等•保护国家信息主权和社会公共利益是信息安全立法的首要目标•38信息安全法治建设的意义•信息安全不再只是个技术问题，而更多地是个商业和法律问题---安全漏洞、信息犯罪的本质？•信息安全产业的逐渐形成和成熟，需要必

要的规范•信息安全法治建设涉及的主体：信息安全主管部门、各类IT产品和服务的安全（ITSP）、信息安全类产品和服务（ISSP）、信息及信息系统的拥有者和使用者•信息安全法治建设涉及的客体：信息数据、信息系统•狭义的信息安全→广义

的信息安全•39我国信息安全法治建设的初步成效•法律法规体系初步构建，但体系化与有效性等方面仍有待进一步完善•法律少而规章等偏多，缺乏信息安全的基本法•与信息安全相关的司法和行政管理体系迅速完善•法律法规的内容篇幅偏小，行

为规范较简单•40我国信息安全法治建设展望•需要一部信息安全的基本法《国家信息安全法》（或先出台《信息安全条例》）–信息安全的基本原则与基本制度–信息安全的主要核心内容•进一步完善各领域的信息安全专门法–信息安全的监管模式和认证体系（面向信息安全各类主体和客体）–信息安全常态管理（等级

保护制度等）–信息安全应急管理（预警、监测、通报和应急处理等）–网络与信息系统全生命周期的信息安全–信息内容安全–特定领域的信息安全（电子政务、电子商务、行业信息化等）–组织信息资产的基本法律地位–个人信息保护的基本

规范–信息安全犯罪•41《宪法》中的有关规定•《宪法》第二章公民的基本权利和义务第40条–公民的通信自由和通信秘密受法律的保护。–除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查

外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。•法律•42《刑法》中的有关规定（1）•《刑法》第六章妨碍社会管理秩序罪第一节扰乱公共秩序罪第285、286、287条–285条：非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪

；提供侵入、非法控制计算机信息系统程序、工具罪。•违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。•违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取

该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。•提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知

他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。•法律•43《刑法》中的有关规定（2）•《刑法》第六章妨碍社会管理秩序罪第一节扰乱公共秩序罪第285、286、287条–286条：破坏计算机信息系统罪。•违反国家规定，对计算机信息

系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。•违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操

作，后果严重的，依照前款的规定处罚。•故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。–287条：利用计算机实施犯罪的提示性规定。•利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定

罪处罚。•44•法律《治安管理处罚法》中的有关规定•《治安管理处罚法》第三章违反治安管理的行为和处罚第一节扰乱公共秩序的行为和处罚第29条–有下列行为之一的，处五日以下拘留；情节较重的，处五日以上十日以下拘留：•（一）违反国家规定，侵入计算

机信息系统，造成危害的；•（二）违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行的；•（三）违反国家规定，对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的；•（四）故意制作、传播计算机病毒等破坏性程序，影响计算机信息系

统正常运行的。•《治安管理处罚法》其他规定（与非法信息传等播相关）：第42、47、68条•法律•45《全国人大关于维护互联网安全的决定》•背景–互联网日益广泛的应用，对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。如何保障互联网的

运行安全和信息安全问题已经引起全社会的普遍关注。•互联网安全的范畴（法律约束力）–互联网的运行安全（侵入、破坏性程序、攻击、中断服务等）–国家安全和社会稳定（有害信息、窃取/泄露国家秘密、煽动、非法组织等）–市场经济秩序和社会管理秩序（销售伪劣产品/虚假宣传、损害商

业信誉、侵犯知识产权、扰乱金融秩序、淫秽内容服务等）–个人、法人和其他组织的人身、财产等合法权利（侮辱或诽谤他人、非法处理他人信息数据/侵犯通信自有和通信秘密、盗窃/诈骗/敲诈勒索等）•法律责任–构成犯罪的，依照刑法

有关规定追究刑事责任–构成民事侵权的，依法承担民事责任–尚不构成犯罪的：治安管理处罚/行政处罚/行政处分或纪律处分•法律•46《计算机信息系统安全保护条例》•计算机信息系统–是指由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索

等处理的人机系统。•安全保护–保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。•主管部门–公安部主管全

国计算机信息系统安全保护工作（含安全监督职权）。–国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。•安全保护制度（要点）–计算机信息系统实行安全等级保护。–使用单位应当建立健全安全管理制度。–安全专用产品（硬件、软件）的销售实行许可证制度。

•行政法规•47其他一些行政法规和部门规章•行政法规–《电信条例》–《计算机信息网络国际互联网管理暂行规定》–《计算机信息网络国际联网安全保护管理办法》–《互联网信息服务管理办法》•部门规章–《中国互联网域名管理办法》（原信产部）–《互联网IP地址备案

管理办法》（原信产部）–《电子认证服务管理办法》（原信产部）–《互联网电子邮件服务管理办法》（原信产部）–《互联网安全保护技术措施规定》（公安部）–《计算机病毒防治管理办法》（公安部）–《信息安全等级保护管理办法》（公安部）–《计算机信息

系统国际互联网保密管理规定》（保密局）–《互联网新闻信息服务管理规定》（国新办、原信产部）•48一些地方性法规•《北京市信息化促进条例》（第五章信息安全保障）•《北京市公共服务网络与信息系统安全管理规定》•《北京市党政机关计算机网络与信息安全管理办法》•《广东省计

算机信息系统安全保护管理规定》•《广东省电子政务信息安全管理暂行办法》•《上海市公共信息系统安全测评管理办法》•。。。•49知识域：信息安全国家政策•知识子域：国家信息安全管理总体方针–掌握国家有关政策对信息安全保障工作的总体要求–掌握国家有关政策规定的加强信息安全保障工作主要原则–

掌握国家有关政策规定需要重点加强的信息安全保障工作•知识子域：电子政务及重要信息系统信息安全政策–了解关于加强政府信息系统安全和保密管理工作的四项基本要求：明确职责、强化人员培训、完善安全措施和手段、加强信息安全检查•50《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2

003]27号）1•意义–标志着我国信息安全保障工作有了总体纲领–提出要在5年内建设中国信息安全保障体系•总体要求–坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息

化发展，保护公众利益，维护国家安全。•主要原则–立足国情，以我为主，坚持技术与管理并重；–正确处理安全和发展的关系，以安全保发展，在发展中求安全；–统筹规划，突出重点，强化基础工作；–明确国家、企业、个人的责任和义务，充分发挥各方面的积极

性，共同构筑国家信息安全保障体系。•51《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）2•主要任务（重点加强的安全保障工作）–实行信息安全等级保护–加强以密码技术为基础的信息保护和网络信任体系建设–建设和完善信息安全监控体系

–重视信息安全应急处理工作–加强信息安全技术研究开发，推进信息安全产业发展–加强信息安全法制建设和标准化建设–加快信息安全人才培养，增强全民信息安全意识–保证信息安全资金–加强对信息安全保障工作的领导，建立健全信息安全管理责任制•信息安全与国家安全–27号文：信

息安全已成为国家安全的重要组成部分–十六届四中全会：确保国家的政治安全、经济安全、文化安全和信息安全•十一五：试点→十二五：普及推广•52国家电子政务工程建设项目管理暂行办法•本身不是政策，属于法律法规–部门规章---国家发改委令[2007]第55号–对国

家电子政务工程建设项目有明确的信息安全要求•第六章验收评价管理–项目建设单位应在完成项目建设任务后的半年内,组织完成建设项目的信息安全风险评估和初步验收工作。•第七章运行管理–项目建设单位或其委托的专业机构应

按照风险评估的相关规定,对建成项目进行信息安全风险评估,检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性,保障信息安全目标的实现。•项建书、可研报告、初步设计方案–在“项建和可研”的项目建设方案中应包含“安全系统建设方案”–在“初设”的项

目设计方案中应包含“安全系统设计”关于加强政府信息安全和保密管理工作的通知（国办发[2008]17号）•明确职责–把信息安全和保密工作列入重要议事日程，明确一名主管领导–谁主管谁负责、谁运行谁负责、谁使用谁负责•强化人员培训–组织信息安全和保密基本技能培训，开展信息安全和保密形势分

析–深入学习宣传信息安全“五禁止”规定•完善安全措施和手段–管理制度+技术手段•加强信息安全检查–详见《政府信息系统安全检查办法》•54关于印发政府信息系统安全检查办法的通知（国办发[2009]28号）1•依据–《关于加强政府信

息系统安全和保密管理工作的通知》（国办发[2008]17号）•检查范围和检查重点–各级政府及其部门对自行运行和维护管理以及委托其他机构进行和维护管理的办公系统、业务系统、网站系统等，每半年要进行一次全面的安全检查。–国务院各部门和地方政府的办公系统、重要业务系统、门户网站以及重要

新闻网站，要作为检查重点。•检查方式–各单位自查+统一组织抽查+安全检测（按需）–工信部负责协调、指导、监督，公安/安全/保密/密码等部门按职责分工–《2009年度政府信息系统安全检查指南》（工信部协[2009]168号）–《2010年度政府信息系

统安全检查指南》（工信部协[2010]143号）•55关于印发政府信息系统安全检查办法的通知（国办发[2009]28号）2•检查内容–安全制度落实情况---人员、制度、经费等–安全防范措施落实情况---各类技术措施–应急响

应机制建设情况---应急预案制定和演练、应急队伍、事故处置、数据/系统备份等–信息技术产品和服务国产化情况---终端/OA/信息安全产品国产情况、信息安全服务外包情况等–安全教育培训情况---参加、掌握、持证等情况–责任追究情况–安全隐患排查及整改情况–安全形势、安全风险评估状况•5620

10年度政府信息系统安全检查指南（工信部协[2010]143号）•检查内容（检查指南比检查办法更细化，以2010年为例）–信息安全组织机构–日常信息安全管理（人员、资产、运维）–等级保护与风险评估–技术防护手段建设（网络边界、信息安全产品、服务器、网络设备、终端计算机和移动

存储设备、门户网站、密码技术、网络信任措施）–应急管理工作开展（应急预案、应急演练、应急技术支援队伍、灾难备份、应急处置）–信息技术产品和信息安全产品使用–信息安全服务–信息安全教育培训–信息安全经费保障–安全隐患排查及整改•57关于印发国家网络与信息安全事件应急预案的通知（国办函[200

8]168号）•背景–2003年：国务院成立应急办，颁布了《国家突发公共卫生事件应急条例》–2004年：《国家突发公共事件总体应急预案》（4大类公共安全）《国家网络与信息安全事件应急预案》–2007年：制定发布《国家突发事件应对法》•预案要点–网络与信息安全事件的分类分级•参照标准：《信息安全事

件分类分级指南》（GB/Z20986）–应急流程：预防预警—应急处置—后期处置•参照标准：《信息安全事件管理指南》（GB/Z20985）–组织体系和应急保障•应急队伍、经费、物资、通信、科技。。。•监督管理–宣传教育、培

训、演练、责任与奖惩•58知识域：信息安全国家政策•知识子域：风险评估有关政策规范–了解国家有关政策对信息安全风险评估工作提出的要求–了解国家有关政策对电子政务工程及国家重要信息系统建设项目风险评估专控队伍的规定•知识子域：等级保护有关政策规范•了解《信息安全

等级保护管理办法》的有关要求•知识子域：国家密码管理政策–了解我国对密码的管理政策要求•59关于开展信息安全风险评估的意见（国信办[2006]5号）•信息安全风险评估（基于风险管理）–系统分析网络与信息系统所

面临的威胁及其存在的脆弱性–评估安全事件一旦发生可能造成的危害程度–提出有针对性的抵御威胁的防护对策和整改措施•基本工作要求–应贯穿于网络和信息系统建设运行的全过程（设计、验收、运维）–定期组织实施网络与信息系统自评估，并积极配合有关部门的检查评估•相关保障–

参照标准:《信息安全风险评估规范》（GB/T20984）、《信息安全风险管理规范》（制定中）–服务资质（对于涉及国计民生的基础网络和重要信息系统的风险评估技术服务，要由国家专控的队伍来承担）•60关于加强国家电子政务工程建设项

目信息安全风险评估工作的通知（发改高技[2008]2071号）•依据和目的–《国家电子政务工程建设项目管理暂行办法》---国家发改委令[2007]第55号–三部委联合发文：发改委、公安部、保密局–将“信息安全风险评估”作为项目验收的重要内容（按要求提交一系列文档）•风险评估的主要内容–分析信息

系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等•两类信息系统的工作开展–涉密信息系统参照“分级保护”，进行系统测评并履行审批手续–非涉密信息系统参照“等级保护

”，完成等级测评和风险评估工作，并形成相关报告•相关要点–对信息安全风险评估机构的指定（1家+3家）–信息安全风险评估经费计入该项目总投资–投入运行后，应定期开展信息安全风险评估•61关于信息安全等级保护工作的实施意见

（公字通[2004]66号）1•信息安全等级保护–是保障和促进信息化建设健康发展的一项基本制度–核心是对信息安全分等级、按标准进行建设、管理和监督–公安机关负责信息安全等级保护工作的监督、检查、指导–保密/密码/信息化工作部门各自的职责

分工•信息和信息系统的安全保护等级（及其适用范围）–第一级为自主保护级–第二级为指导保护级–第三级为监督保护级–第四级为强制保护级–第五级为专控保护级•定级依据–根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到

破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度•62关于信息安全等级保护工作的实施意见（公字通[2004]66号）2•实施要求–完善标准,分类指导（管理规范和技术标准）–科学定级,严格备案（专家评审委员会。三级以上系统备案）–建设整改,落实

措施（信息系统：已有、新建、改建、扩建）–自查自纠,落实要求（运营、使用单位及其主管部门）–建立制度,加强管理（运营、使用单位及其主管部门）–监督检查,完善保护（公安机关重点对第三、第四级系统）•其他等级要求–国家对信息安全产品的使用实行分等级管

理–信息安全事件实行分等级响应、处置的制度•63关于印发<信息安全等级保护管理办法>的通知（公字通[2007]43号）•《通知》是政策，《管理办法》属于法律法规–四部委联合发文：公安部、保密局、密码管理局、原国信办–国家信息安

全等级保护坚持“自主定级、自主保护”的原则–信息系统的安全保护等级分为五级•实施与管理–具体实施等级保护工作参照标准：《信息系统安全等级保护实施指南》–确定安全保护等级参照标准：《信息系统安全等级保护定级指南》–系统建设参照标准：《信息系统安全等级保护基本要求》等–等级测评参照标

准：《信息系统安全等级保护测评要求》–二级以上系统的备案要求（由公安机关颁发备案证明）–三级以上系统的定期自查、测评和检查要求–三级以上系统的信息安全产品选择使用要求–三级以上系统等级保护测评机构的选择要求•涉密信息系统按

分级保护管理（略）•对信息安全等级保护的密码实行分类分级管理（略）•64关于开展信息安全等级保护安全建设整改工作的指导意见（公信安[2009]1429号）•工作目标–力争在2012年底前完成已定级信息系统(不含涉密信息系统)安全建设整改工作•工

作内容–开展信息安全等级保护安全管理制度建设,提高信息系统安全管理水平–开展信息安全等级保护安全技术措施建设,提高信息系统安全保护能力–开展信息系统安全等级测评,使信息系统安全保护状况逐步达到等级保护要求–《信息安全等级保护安全建设整改工作指南》–参照标准：《信息系统安全等级

保护基本要求》–信息系统安全建设整改工作基本流程（管理建设、技术建设）–信息安全等级保护主要标准简要说明及相互间的关系（基础类、应用类、产品类和其他类）•65关于推动信息安全等级保护测评体系建设和开展等级测评工作的

通知（公信安[2010]303号）•工作目标–提高测评机构能力，规范测评活动，确保信息安全等级保护安全建设整改工作顺利进行•工作内容–积极稳妥地推动等级测评机构建设–确保测评机构的水平和能力符合测评工作要求–督促备案单位开展信息系统等级测评工作–《信息安全等级保护测评工作管理规范（试行）》

–《信息系统安全等级测评报告模版（试行）》–另有政策：公信安[2009]1487号•66我国信息安全政策的初步成效•依托2003年的27号文（总体纲领），明确了信息安全保障工作的总体要求、工作原则和重点工作内容•围绕信息安全保障体系，广度结合深度，制定、

发布并落实了一些典型的信息安全政策（风险评估、等级保护、电子政务类、应急预案等）•其他领域：灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等•67我国信息安全政策的后续展望•“十一五”期间发布的各项政策均将进入落实期•由电子政务领域向其他领域拓展

–关系到国计民生的行业–公共服务类–商业性、一般业务类•尽快形成“统一的”信息安全服务资质管理体制–基于信息安全服务类的标准（政策带动标准，标准支撑政策）–统一安全服务行业的企业资质和人员资质–由“狭义信息

安全”向“广义信息安全”延伸–IT服务（外包）的信息安全保障–新技术、新应用下的信息安全保障•68三、等级保护制度的主要内容基本含义•信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的丏有信息以及公开信息和储存、传输、处理这些信息的信息系统分等级实行安全保护，对

信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置；•信息系统包括支撑、传输作用的基础信息网络和各类应用系统。是由计算机及其相关和配备的设备、设施构成的，按照一定的应用目标和觃则对信息迚行储存、传输、处理的系统或网络；而，信息是

指在信息系统中储存、传输、处理的数字化信息。•信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。国家为什么要实施信息安全等级保护制度1.信息安全形势严峻•敌对势力的入侵、攻击、破坏•针对基础信息网络和重要信息系统的违法犯罪持续上升•基础信息网络和重要信息系统安全

隐患严重国家对等级保护制度的要求•《中华人民共和国计算机信息系统安全保护条例》（国务院第147号令）•《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）•《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）•2008年国务院“三定”方案

中，增加了公安部职能：监督、检查、指导信息安全等级保护工作。2.是维护国家安全的需要•基础信息网络与重要信息系统已成为国家关键基础设施，必须要保护好。•信息安全是国家安全的重要组成部分。•信息安全的本质是信息对抗、技术对抗，是网络空间的政治斗争。国家对等级保护制度

的要求•确立了信息安全等级保护制度的法律地位；•明确了实行等级保护是我国信息安全保障工作中一项重要制度和措施；•赋予了公安机关牵头负责信息安全等级保护工作监督管理的职责。国家对等级保护制度的要求（五）等级保护制度的特点•紧迫性

。信息安全滞后于信息化发展。•全面性。内容涉及广泛，各单位各部门落实。•基础性。基本制度、基本国策。•强制性。公安机关监督、检查、指导。•规范性。政策和标准保障。信息安全等级保护的内涵•是世界各国普遍推行的基本做法•是在吸收发达国家经验基础上的创新•是

我国最全面的信息安全保障政策体系•体现了我国加强信息安全保障工作的原则•解决了不同安全需要下的安全保护问题•体现了安全建设和管理模式的重大变革•是在发展中逐步完善的政策体系等级保护工作中的职责分工•等级保护工作协调（领导）小组负责信息安全等级保护工作组织领导，制定本地区、

本行业开展信息安全等级保护的工作部署和实施方案，并督促有关单位落实，研究、协调、解决等级保护工作中的重要工作事项，及时通报或报告等级保护实施工作的相关情况。•信息安全职能部门公安机关负责信息安全等级保护工作的监督、检查、指导，是等级保护工作的牵头部门。国家保密工作部门负责等级保护工作中有关保密

工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。工业和信息化及地方信息化领导小组办事机构负责等级保护工作的部门间协调。等级保护工作中的职责分工•安全服务机构信息安全企业，信息系统安全集成商

、等级测评机构等安全服务机构，依据国家有关管理规定和技术标准，开展技术支持、服务等工作，并接受监管部门的监督管理。等级保护工作中的职责分工•专家组宣传等级保护相关政策、标准；指导备案单位研究拟定贯彻实施意见

和建设规划、技术标准的行业应用；参与定级和安全建设整改方案论证、评审；协助发现树立典型、总结经验并推广；跟踪国内外信息安全技术最新发展，开展等级保护关键技术研究；研究提出完善等级保护政策体系和技术体系的意见和建议。等级保护工作中的职责分工

•信息系统运营使用单位及其主管部门信息系统运营使用单位按照等级保护的管理规范和技术标准，开展信息系统定级、备案、安全建设整改、等级测评、自查等工作，并接受公安机关等部门的监督、指导。有主管部门的，主管部门要督促、检查、指导本行业、本部门信息系统运营使用单位开展信息安全等级保护工作。等级保护

工作中的职责分工开展等级保护工作的基本要求•各单位、各部门，按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求开展等级保护的定级、备案、整改、测评等工作。•公安机关要及时开展监督检查，严格审查信息系统所定级别，严格检查信息系统开展备案、整改、测评等工作。•对故意将信息

系统安全级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。四、等级保护政策体系和标准体系（一）信息安全等级保护政策体系近几年，公安部根据国务院147号令的授权，会同国家保密局、国家密码管理

局、发改委、原国务院信息办出台了一些文件，公安部对有些具体工作出台了一些指导意见和规范，构成了信息安全等级保护政策体系。汇集成《信息安全等级保护政策汇编》供有关单位、部门使用。•等级保护工作配套政策体系《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）《中华人

民共和国计算机信息系统安全保护条例》（国务院147号令）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）信息安全等级保护工作《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）

《信息安全等级保护备案实施细则》（公信安[2007]1360号）《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）关于印发《信息系统安全等级测评报告模版（试行）

》的通知（公信安[2009]1487号）《信息安全等级保护管理办法》（公通字[2007]43号）《公安机关信息安全等级保护检查工作规范（试行）》（公信安[2008]736号）定级备案安全建设整改等级测评检查《关于开展信息安全等级保护专项监督

检查工作》的通知（公信安[2010]1175号）《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）1、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）2、《信息安全等级保护管理办法》（公通字[2007]43号）3、《关于开展全国重要

信息系统安全等级保护定级工作的通知》（公通字[2007]861号）4、《信息安全等级保护备案实施细则》（公信安[2007]1360号）5、《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）6、《关于做好信息安全等级保护测评机构审核推荐工作的通知

》（公信安[2010]559号）7、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）8、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2

010]303号）。9、《关于印发〈信息系统安全等级测评报告模版（试行）〉的通知》（公信安[2009]1487号）10、《公安机关信息安全等级保护检查工作规范》（公信安[2008]736号）11、《关于开展信息安全等级保护专项监督检查工作的通知》（公

信安[2010]1175号）12、《关于进一步推进中央企业信息安全等级保护工作的通知》（公通字[2010]70号）•在安全建设整改工作中的作用•等级保护有关标准基础标准：《计算机信息系统安全保护等级划分准则》。在此基础上制定出技术

类、管理类、产品类标准。安全要求：《信息系统安全等级保护基本要求》信息系统安全等级保护的行业规范系统等级：《信息系统安全等级保护定级指南》信息系统安全等级保护行业定级细则方法指导：《信息系统安全等级保护实施指南》《信息系统等级保护安全设计

技术要求》现状分析：《信息系统安全等级保护测评要求》《信息系统安全等级保护测评过程指南》在应用有关标准中需注意的几个问题：1、《基本要求》是阶段性目标，《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一。2、《基本要求》中不包含安全设计和工程实施等内容，因此应参照《信息系

统等级保护安全设计技术要求》等标准进行。3、重点行业可以按照《基本要求》等国家标准，结合行业特点和特殊安全需求，在公安部等有关部门指导下，制定行业标准规范或细则。五、等级保护工作的具体内容和要求（一）信息安全等级保护定级工作信息系统定级原则：“自主定级、专家评审

、主管部门审批、公安机关审核”。具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）要求执行。定级工作流程：确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核。1.确定定级对象•起支撑、传输作用的信息网络（包括专网、内网、

外网、网管系统）。•用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。•各单位网站。（一）信息安全等级保护定级工作（一）信息安全等级保护定级工作2.确定信息系统安全保护等级《管理办法》规定的五个等级：•第一级，信息系统受

到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。•第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。•第三级，信息系统受到破坏后，会对社会秩序和公共

利益造成严重损害，或者对国家安全造成损害。•第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。•第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。（一）信息安全等级保护定级工作实际操作中参考确定信息系统等级：•第一级信息系统：适用于

小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。•第二级信息系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏

感信息的办公系统和管理系统等。三、等级保护工作的具体内容和要求•第四级信息系统：一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全，影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信骨干传输网、铁路客票系统、列车指

挥调度系统等。3.定级工作需注意的问题•同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。•新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。（一）信息安全等级保护定级工作•第三级信息系统：一般适用于地市级以上国

家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门

户网站和重要网站；跨省联接的网络系统等。（二）信息系统备案工作备案工作包括：信息系统备案、受理、审核和备案信息管理。具体按照《关于开展全国重要信息系统安全等级保护定级工作的通知》要求开展。1、备案•第二级以上信息系统，由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办

理备案手续，填写《信息系统安全等级保护备案表》。（二）信息系统备案工作•隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部备案；其他信息系统向北京市公安局备案。•跨省或者全国统一联网运行的信

息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。•各部委统一定级信息系统在各地的分支系统，即使是上级主管部门定级的，也要到当地公安网络安全保卫部门备案。（二）信息系统备案工作2.受理备案与审核公安机关受理备案，按照《信息安全等级保护备案实施

细则》要求，对备案材料进行审核，定级准确、材料符合要求的颁发由公安部统一监制的备案证明。（三）信息系统安全建设整改工作1、工作目标•开展三项重点工作：安全管理制度建设、技术措施建设和等级测评。•实现五方面目标：一是信息系统安全管

理水平明显提高，二是信息系统安全防范能力明显增强，三是信息系统安全隐患和安全事故明显减少，四是有效保障信息化健康发展，五是有效维护国家安全、社会秩序和公共利益。（三）信息系统安全建设整改工作2、工作范围和工作特点•工作范围：已备案

的第二级（含）以上信息系统纳入安全建设整改的范围。尚未开展定级备案的信息系统，要先定级备案，定级不准的要先纠正，再开展安全建设整改。新建系统要同步开展安全建设工作。•工作特点：继承发展、引入标准、外部监督、政策牵引（三）

信息系统安全建设整改工作3、工作方法•突出重要系统，兼顾二级。•试点示范，行业推广。•管理制度建设和技术措施建设同步或分步实施。•加固改造，缺什么补什么；也可以进行总体安全建设整改规划。•利用信息安全等级保护综

合工作平台，使等级保护工作常态化。（三）信息系统安全建设整改工作4、工作内容（1）等级保护安全管理制度建设一是落实信息安全责任制。二是落实人员安全管理制度。三是落实系统建设管理制度。四是落实系统运维管理制度。（三）信息系统安全建设整改工作•落实信息安全责任制：成立信息安全工作领导机构，明确

信息安全工作的主管领导。成立专门的信息安全管理部门或落实信息安全责任部门，确定安全岗位，落实专职人员或兼职人员。明确落实领导机构、责任部门和有关人员的信息安全责任。•落实人员安全管理制度：制定人员录用

、离岗、考核、教育培训等管理制度，落实管理的具体措施。对安全岗位人员要进行安全审查，定期进行培训、考核和安全保密教育，提高安全岗位人员的专业水平，逐步实现安全岗位人员持证上岗。（三）信息系统安全建设整改工作•落实系统建设

管理制度：建立信息系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理制度，明确工作内容、工作方法、工作流程和工作要求。•落实系统运维管理制度：建立机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶

意代码防范、密码保护、备份与恢复、事件处置等管理制度，制定应急预案并定期开展演练，采取相应的管理技术措施和手段，确保系统运维管理制度的有效落实。（三）信息系统安全建设整改工作（2）等级保护安全技术措施建设结合行业特点和安全需求，制定符合相应等级要求的信息系统安全技术建设整改方案，

开展安全技术措施建设。可以采取“一个中心三维防护”的防护策略，实现相应级别信息系统的安全保护技术要求。（三）信息系统安全建设整改工作信息系统安全建设整改方案主要内容：•项目背景•政策和技术标准依据•安全

需求分析•安全建设整改技术方案设计•安全建设整改管理体系设计•信息系统安全产品选型及技术指标•安全建设整改后信息系统残余风险分析•安全建设整改项目实施计划•项目预算（三）信息系统安全建设整改工作5、工

作流程第一步：制定安全建设整改工作规划，对安全建设整改工作进行总体部署。第二步：开展信息系统安全现状分析，从管理和技术两方面确定安全建设整改需求。第三步：确定安全保护策略，制定信息系统安全建设整改方案。第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度

，落实安全责任制，建设安全设施，落实安全措施。第五步：开展安全自查和等级测评，及时发现问题并进一步整改。•工•作•流•程（三）信息系统安全建设整改工作6、信息系统应达到的保护能力目标第二级信息系统：经过安全建设整改工作，信息系统具有抵御小规模、较弱强度恶意攻击的能力，

抵抗一般的自然灾害的能力，防范一般性计算机病毒和恶意代码危害的能力；具有检测常见的攻击行为，并对安全事件进行记录的能力；系统遭到损害后，具有恢复系统正常运行状态的能力。（三）信息系统安全建设整改工作第三级信息系统：经过安全建设整改工作，信息系统在

统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力，抵抗较为严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务

保障性要求高的系统，应能立即恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。（三）信息系统安全建设整改工作第四级信息系统：经过安全建设整改工作，信息系统在统一的安全保护策略下具有抵御敌对势力有组

织的大规模攻击的能力，抵抗严重的自然灾害的能力，防范计算机病毒和恶意代码危害的能力；具有检测、发现、报警、记录入侵行为的能力；具有对安全事件进行快速响应处置，并能够追踪安全责任的能力；在系统遭到损害后，具有能够较快恢复正常运行状态的能力；对于服务保障性要求高的系统，

应能迅速恢复正常运行状态；具有对系统资源、用户、安全机制等进行集中控管的能力。（四）信息安全等级保护测评工作等级测评是测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。是信息安全等级保护工作的

重要环节。公安机关按照《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号）要求，开展测评机构和测评人员的管理工作，保证等级测评的客观、公正和安全。(五)等级保

护工作的要求1、测评机构和测评人员的管理（1）职责分工•国家信息安全等级保护工作协调小组办公室（以下简称“等保办”）负责隶属国家信息安全职能部门和重点行业测评机构的申请受理、审核推荐和监督检查等工作。•各

省级等保办负责等级测评机构的申请受理、审核推荐和监督检查等工作。•公安部信息安全等级保护评估中心（以下简称“评估中心”）负责测评机构的能力评估和培训工作。(五)等级保护工作的要求（2）测评机构申请流程•申请：申请单位向省级以上等保办书面申请，

提交《信息安全等级保护测评机构申请表》。•受理、初审：等保办受理申请，并对申请材料进行初审。•能力评估：公安部信息安全等级保护评估中心对申请单位进行能力评估，对测评师进行培训、考试、发证。(五)等级保护工作的要求•专家审核：等保办组织专家对测评能力评估合格的申请单位进行审

核。•推荐：等保办向通过评审的申请单位颁发信息安全等级保护测评机构推荐证书。•公布。省级等保办向社会公布测评机构推荐目录并报国家等保办，国家等保办汇总公布《全国信息安全等级保护测评机构推荐目录》。(五)等级保

护工作的要求（3）监督管理•日常监督：测评报告、测评过程、测评服务费用。•变更处理：机构名称、法人、测评师等变动的，在30日内到等保办办理变更。•违规处置：限期整改、警告、取消证书。•年度检查：检查时间、内容、方式。(五

)等级保护工作的要求测评机构不得从事下列活动：•影响被测评信息系统正常运行，危害被测评信息系统安全；•泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密；•故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假，未如实出具等级测评报

告；•未按规定格式出具等级测评报告；(五)等级保护工作的要求•非授权占有、使用等级测评相关资料及数据文件；•分包或转包等级测评项目；•信息安全产品开发、销售和信息系统安全集成；•限定被测评单位购买、使用其指定的信息安全产品；•其他危害国家安全、社会秩序、公共利

益以及被测单位利益的活动。(五)等级保护工作的要求2、等级测评工作的开展•测评目的：一是掌握信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求；二是能够衡量出信息系统安全保护措施是否符合等级保护基本要求，是否具备了相应等

级的安全保护能力。(五)等级保护工作的要求•测评时机：建设整改前：等级测评，现状分析；建设整改后：等级测评，检验整改效果。•测评频率：第三级以上定期；第二级参照。•测评费用：参照国家信息化项目人工计费标准或根据被测设备数量与测评项预算测评费用。(五)等级保护工作的要求•测评工作要求：测评工

作应按照“流程规范、方法科学、结论公正”的要求进行。被测单位要监督管理测评机构和测评人员的测评活动；与测评机构签订工作协议和保密协议；查验相关材料；落实测评过程监管措施。测评报告备案：备案单位每年应将等级测评报告向受理备案的公安机关备案(五)等级保护工作的要求3、测评业务范围•职能部门测评

机构在全国范围内开展测评业务，到地方时，应当事先告知属地省级等保办。•行业测评机构原则上在本行业内开展测评，到地方时应与属地省级等保办协调。可以承担其他行业信息系统的测评任务。•地方测评机构原则上在本地

开展测评，也可以到异地开展测评，但事先须与当地等保办协调。可以承担各部委信息系统的测评任务。•特殊情况由公安机关进行协调。（六）安全自查和监督检查备案单位、行业主管部门、公安机关要分别建立并落实监督检查机制，定期开展监督检查。1、备案单位的定期自查•定期开展自查，掌握信息系统安全状况、安全管理制度

及技术保护措施的落实情况等。•配合公安机关的监督检查工作，如实提供有关资料及文件。当重要信息系统发生事件、案件时，备案单位应当及时向受理备案的公安机关报告。（六）安全自查和监督检查2、行业主管部门的督导检查•行业主管部门要建立督导检查制度，组织制定本行业、本部门的信息安全等级保护检

查工作规范。•定期组织对本行业、本部门等级保护工作开展情况进行检查，督促落实信息安全等级保护制度，达到重点督促，以点带面的目的。（六）安全自查和监督检查3、公安机关的监督检查•依据《关于开展信息安全等级保护专项监督检查工作的通知》（公信安[2010]1175）和《公安

机关信息安全等级保护检查工作规范（试行）》开展监督检查。•会同主管部门共同开展，建立监督检查配合机制。•对重要信息系统发生的事件、案件及时进行调查和立案侦查，并指导开展应急处置工作。（六）安全自查和监督检查•检查内容：等级保护工作部署和组织实施情况信息系统安全等级保护

定级备案情况信息安全设施建设情况和信息安全整改情况信息安全管理制度建立和落实情况信息安全产品选择和使用情况聘请测评机构开展技术测评工作情况定期自查情况（七）信息安全产品的选择使用1、信息安全产品在市场上销售，必须通过公安部信息安全产品检测中心检测，并获得公安部颁发的销售许可证。2、公安部发布了

《关于调整更新计算机信息系统安全专用产品检测执行标准规范的公告》（公信安[2009]1157号），对已有分级标准的29类信息安全产品开展分级检测工作。对于检测并审核通过的产品，产品销售许可证书标注产品分级信息，便于用户选择使用。（七）信息安全产品的选择使用3、《管理办法》规定

，第三级以上信息系统应当选择使用我国自主研发的信息安全产品。信息安全产品是信息系统安全的重要基础，尤其是进入到重要信息系统中的信息安全产品将直接影响信息系统安全。因此，应在满足使用要求的前提下，优先选择国产品。•谢谢各位！请指正！•2013年7月2日