信息安全等级保护培训教材（第一册）目录一、信息安全等级保护政策体系（一）总体方面的政策文件（二）具体环节的政策文件1、定级环节2、备案环节3、安全建设整改环节4、等级测评环节5、安全检查环节二、信息安全等级保护标准体系（一）各类标准与等级保护工作的关系1、基础标准2、安全要求类标准3、定级类标准4、方法指导类标准5、现状分析类标准（二）在应用有关标准中需注意的几个问题三、信息安全等级保护安全管理制度建设和技术措施建设（一）信息安全等级保护安全管理制度建设1、开展安全管理制度建设的依据2、开展安全管理制度建设的内容3、开展安全管理制度建设的要求（二）开展信息安全等级保护安全技术措施建设1、开展安全技术措施建设的依据2、开展安全技术措施建设的内容3、开展安全技术措施建设的要求四、安全建设整改工作的原则和主要思路（一）工作目标（二）工作范围（三）工作方法五、安全建设整改工作基本流程六、信息安全产品的选择使用七、信息系统安全等级测评工作（一）测评机构的选择（二）等级测评工作的开展八、安全自查和监督检查（一）备案单位的定期自查（二）行业主管部门的督导检查（三）公安机关的监督检查九、工作要求（一）同步部署，同步实施（二）加强宣传，树立典型（三）认真总结，及时报送广西壮族自治区信息安全等级保护培训教材公安部、国家保密局、国家密码管理局和原国务院信息办2007年7月在全国范围内组织开展的信息系统定级备案工作已基本完成。

通过定级，基本摸清了国家基础网络和信息系统底数，掌握了关系国家安全、国计民生的重要信息系统基本情况，为深入开展信息安全等级保护工作打下了坚实基础。

近年来，公安部会同有关部门开展了信息系统等级保护安全建设整改工作的试点、示范，以及为期3个月的信息安全等级保护测评体系建设试点工作，组织制定了《信息系统等级保护安全设计技术要求》、《信息安全等级保护测评机构及测评人员管理细则》和《信息系统等级保护测评报告模版》相关标准规范，在此基础上出台了《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号，以下简称《指导意见》），为指导各单位、各部门开展信息安全等级保护安全建设整改工作（以下简称“安全建设整改工作”）奠定了基础。

为了明确开展信息安全等级保护安全建设整改工作的内容和要求，这里对有关问题进一步进行解释说明。

一、信息安全等级保护政策体系近几年，为组织开展信息安全等级保护工作，公安部根据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）的授权，会同国家保密局、国家密码管理局和原国务院信息办出台了一些文件，发改委会同公安部、国家保密局出台了相关文件，公安部对有些具体工作出台了一些指导意见和规范，这些文件初步构成了信息安全等级保护政策体系（如图1所示），为指导各地区、各部门开展等级保护工作提供了政策保障。

为了方便使用，我们已将信息安全等级保护政策文件汇编成《信息安全等级保护政策汇编》发给有关单位、部门。

作要求，信息系统定级、备案、安全建设整改、等级测评的实施与管理，信息安全产品和测评机构选择等，为开展信息安全等级保护工作提供了规范保障。

（二）具体环节的政策文件对应等级保护工作的具体环节（信息系统定级、备案、安全建设整改、等级测评、安全检查），出台了相应的政策规范：1、定级环节《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）。

2007年7月20日四部委在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”，会议根据该通知精神部署在全国范围内开展重要信息系统安全等级保护定级工作，标志着全国信息安全等级保护工作全面开展。

该文件由四部委共同会签印发。

2、备案环节《信息安全等级保护备案实施细则》（公信安[2007]1360号）。

该文件规定了公安机关受理信息系统运营使用单位信息系统备案工作的内容、流程、审核等内容，并附带有关法律文书，指导各级公安机关受理信息系统备案工作。

该文件由公安部网络安全保卫局印发。

3、安全建设整改环节（1）《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）。

该文件明确了非涉及国家秘密信息系统开展安全建设整改工作的目标、内容、流程和要求等，文件附件包括《信息安全等级保护安全建设整改工作指南》和《信息安全等级保护主要标准简要说明》。

该文件由公安部印发。

（2）《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）。

该文件要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照《信息安全等级保护管理办法》进行，明确了项目验收条件：公安机关颁发的信息系统安全等级保护备案证明、等级测评报告和风险评估报告。

该文件由发改委、公安部、国家保密局共同会签印发。

4、等级测评环节关于印发《信息系统安全等级测评报告模版（试行）》的通知（公信安[2009]1487号）。

该文件明确了等级测评的内容、方法和测评报告格式等内容，用以规范等级测评活动。

该文件由公安部网络安全保卫局印发。

5、安全检查环节《公安机关信息安全等级保护检查工作规范（试行）》（公信安[2008]736号）。

该文件规定了公安机关开展信息安全等级保护检查工作的内容、程序、方式以及相关法律文书等，使检查工作规范化、制度化。

该文件由公安部网络安全保卫局印发。

二、信息安全等级保护标准体系为推动我国信息安全等级保护工作的开展，十多年来，在公安部领导和支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准，形成了比较完整的信息安全等级保护标准体系，为开展信息安全等级保护工作提供了标准保障。

信息安全等级保护相关标准具体见《信息安全等级保护主要标准简要说明》。

为了方便使用，我们已将主要标准汇编成《信息安全等级保护标准汇编》发给有关单位、部门。

各单位、各部门信息系统安全建设整改工作应依据《基本要求》或行业标准规范，并在不同阶段、针对不同技术活动参照相应的标准规范进行，相关标准与等级保护各工作环节的关系如图2所示。

息技术发展的实际情况研究制定的，该标准提出了各级信息系统应当具备的安全保护能力，并从技术和管理两方面提出了相应的措施。

（2）信息系统安全等级保护基本要求的行业细则。

重点行业可以按照《基本要求》等国家标准，结合行业特点，在公安部等有关部门指导下，确定《基本要求》的具体指标，在不低于《基本要求》的情况下，结合系统安全保护的特殊需求，制定行业标准规范或细则。

3、定级类标准《信息系统安全等级保护定级指南》和信息系统安全等级保护行业定级细则为确定信息系统安全保护等级提供支持。

（1）《信息系统安全等级保护定级指南》（GB/T22240-2008）。

该标准规定了定级的依据、对象、流程和方法以及等级变更等内容，用于指导开展信息系统定级工作。

（2）信息系统安全等级保护行业定级细则。

重点行业可以按照《信息系统安全等级保护定级指南》等国家标准，结合行业特点和信息系统的特殊性，在公安部等有关部门指导下，制定行业信息系统定级规范或细则。

4、方法指导类标准《信息系统安全等级保护实施指南》和《信息系统等级保护安全设计技术要求》构成了指导信息系统安全建设整改的方法指导类标准。

（1）《信息系统安全等级保护实施指南》（信安字[2007]10号）。

该标准阐述了等级保护实施的基本原则、参与角色和信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止等几个主要工作阶段中如何按照信息安全等级保护政策、标准要求实施等级保护工作。

（2）《信息系统等级保护安全设计技术要求》（信安秘字[2009]059号）。

该标准提出了信息系统等级保护安全设计的技术要求，包括第一级至第五级信息系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求，以及定级系统互联的设计技术要求，明确了体现定级系统安全保护能力的整体控制机制，用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构等开展信息系统等级保护安全技术设计。

5、现状分析类标准《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》构成了指导开展等级测评的标准规范。

（1）《信息系统安全等级保护测评要求》。

该标准阐述了等级测评的原则、测评内容、测评强度、单元测评要求、整体测评要求、等级测评结论的产生方法等内容，用于规范和指导测评人员如何开展等级测评工作。

（2）《信息系统安全等级保护测评过程指南》。

该标准阐述了信息系统等级测评的测评过程，明确了等级测评的工作任务、分析方法以及工作结果等，包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动，用于规范测评机构的等级测评过程。

（二）在应用有关标准中需注意的几个问题1、《基本要求》是信息系统安全建设整改的基本目标，《信息系统等级保护安全设计技术要求》是实现该目标的方法和途径之一。

《基本要求》中不包含安全设计和工程实施等内容，因此，在系统安全建设整改中，可以参照《信息系统安全等级保护实施指南》、《信息系统等级保护安全设计技术要求》和《信息系统安全工程管理要求》进行。

2、由于信息系统定级时是根据业务信息安全等级和系统服务安全等级确定的系统安全等级，因此，在进行信息系统安全建设整改时，应根据业务信息安全等级和系统服务安全等级确定《基本要求》中相应的安全保护要求。

各单位、各部门在进行信息系统安全建设整改方案设计时，要按照整体安全的原则，综合考虑安全保护措施，建立系统综合防护体系，提高系统的整体保护能力。

3、《信息系统等级保护安全设计技术要求》依据《计算机信息系统安全保护等级划分准则》从“计算环境安全、区域边界安全、通信网络安全和安全管理中心”（一个中心三维防护）四方面给出了五个级别信息系统安全保护设计的技术要求，用于指导信息系统等级保护安全技术设计。

本标准不包括信息系统物理安全、安全管理、安全运维等方面的安全要求，所以应与《基本要求》等标准配合使用。

三、信息安全等级保护安全管理制度建设和技术措施建设（一）信息安全等级保护安全管理制度建设1、开展安全管理制度建设的依据按照《管理办法》、《信息系统安全等级保护基本要求》，参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求，建立健全并落实符合相应等级要求的安全管理制度。

2、开展安全管理制度建设的内容一是落实信息安全责任制。

成立信息安全工作领导机构，明确信息安全工作的主管领导。

成立专门的信息安全管理部门或落实信息安全责任部门，确定安全岗位，落实专职人员或兼职人员。

明确落实领导机构、责任部门和有关人员的信息安全责任。