国家保密局提出的涉密系统安全保护要求
BMZ1-2000《涉及国家秘密的计算机信息系统保密技术要求》 《涉及国家秘密的计算机信息系统保密技术要求》
2000年 2000年2001年 2001年
BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》 《涉及国家秘密的计算机信息系统安全保密方案设计指南》 BMZ3-2001《涉及国家秘密的计算机信息系统安全保密测评指南》 《涉及国家秘密的计算机信息系统安全保密测评指南》 规定了涉及国家秘密的计算机信息系统的安全 涉及国家秘密的计算机信息系统的 规定了涉及国家秘密的计算机信息系统的安全 保密技术要求，计算机信息系统安全保密方案 保密技术要求，计算机信息系统安全保密方案 包括的主要内容， 和计算机信息系统安全保密 包括的主要内容， 和计算机信息系统安全保密 BMB10-2004《涉及国家秘密的计算机网络安全隔离设备的技术要求和测试方法》 《涉及国家秘密的计算机网络安全隔离设备的技术要求和测试方法》 测评准则 ，适用于涉及国家秘密的计算机信息 系统安全保密方案的设计、建设和测评准则。 BMB11-2004《涉及国家秘密的计算机信息系统防火墙安全技术要求》 涉及国家秘密的计算机信息系统防火墙安全技术要求》 《系统安全保密方案的设计、建设和测评准则。
真正具有可操作意义上的技术标准 电子政务信息安全等级保护实施指南（试行）－国务院信息化 工作办公室 2005年9月 2005年 信息系统安全等级保护实施指南（国家标准报批稿） 信息系统安全等级保护实施指南（国家标准报批稿） 信息系统安全保护等级定级指南（国家标准报批稿） 信息系统安全保护等级定级指南（国家标准报批稿） 信息系统安全等级保护基本要求（国家标准报批稿） 信息系统安全等级保护基本要求（国家标准报批稿） 信息系统安全等级保护测评准则（国家标准报批稿） 信息系统安全等级保护测评准则（国家标准报批稿） 信息安全等级保护管理办法（试行）－公通字【2006】7号文件 信息安全等级保护管理办法（试行）－公通字【2006】 （已经废止） 信息安全等级保护管理办法－公通字【2007 43号文件 信息安全等级保护管理办法－公通字【2007】43号文件
等保范围（43号文件－定级工作） 号文件－ 号文件 定级工作） 2007年 月至10月在全国范围内组织开展重要信息系统定级工作 2007年7月至10月在全国范围内组织开展重要信息系统定级工作 定级范围 电信、广电行业的公用通信网、广播电视传输网等基础信息网 络，经营性公众互联网信息服务单位、互联网接入服务单位、 数据中心等单位的重要信息系统。 铁路、银行、海关、税务、民航、电力、证券、保险、外交、 科技、发展改革、国防科技、公安、人事劳动和社会保障、财 政、审计、商务、水利、国土资源、能源、交通、文化、教育 、统计、工商行政管理、邮政等行业 市（地）级以上党政机关的重要网站和办公信息系统 涉及国家秘密的信息系统
替代公通字[2006]7号文件， 替代公通字[2006]7号文件， [2006]7号文件 明确了等级保护的具体操 作办法和各部委的职责， 作办法和各部委的职责， 以及推进等级保护的具体 事宜
为等级保护工作开展提 供了参考
提出了等级保护的推 进和管理办法
开始了等级保护的实质性 工作的第一阶段
为什么要实行等级保护
最先作为“ 最先作为“适度 安全” 安全”的工作思 路提出
总结成一种安全工 作的方法和原则
确认为国家信息安 全的基本制度， 全的基本制度，安 全工作的根本方法
等级保护政策文件演进
2006年 公安部、国信办 2006年 公安部、 下发了《 下发了《关于开展信息系 统安全等级保护基础调查 工作的通知》 工作的通知》 从2006年1月10日到4月10 2006年 10日到4 日到 日，分三个阶段对国家重 要的基础信息系统进行摸 包括党政机关、财政、 底，包括党政机关、财政、 海关、能源、金融、 海关、能源、金融、社会 保障等行业（2+2X） 保障等行业（2+2X） 2007年 2007年 四部委会签 公通字[2007]43 [2007]43号文件 公通字[2007]43号文件 《信息安全等级保护管 理办法》 理办法》 2007年7月16日 四部门会签 年 月 日 公信安[2007]861号文件：四部 号文件： 公信安 号文件 门下发《 门下发《关于开展全国重要信 息系统安全等级保护定级工作 的通知》 的通知》 2007年7月至 月在全国范围内 年 月至10月在全国范围内 月至 组织开展重要信息系统安全等 级保护定级工作 ，其中包括公 用通信网、 用通信网、广播电视传输网等 以及铁路、银行、 基础信息网络 以及铁路、银行、 海关、税务、民航、电力、 海关、税务、民航、电力、证 保险、外交、 券、保险、外交、人事劳动和 社会保障、财政、 社会保障、财政、等行业 （2+2X） ）
信息安全的等级是客观存在的。 国内信息化发展的地区、行业不均衡的特点，决定信息安全需要满足不同行业、不同 发展阶段、不同层次的要求。 有利于突出重点。 有利于控制安全的成本。 既有符合性，也能系统化地解决安全问题，建立安全体系。 对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处 理这些信息的信息系统分等级实行安全保护。 对信息系统中使用的信息安全产品实行按等级管理。 对发生的信息安全事件按照等级进行响应和处理等。
信息系统安全等级保护实施的基本原则
等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。等级保护在实 施过程中应遵循以下基本原则（等保实施指南） a) 自主保护原则：由各主管部门和运营使用单位按照国家相关法规和标准，自 主确定信息系统的安全等级，自行组织实施安全保护。 b) 同步建设原则：信息系统在新建、改建、扩建时应当同步规划和设计安全方 案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适 应。 c) 重点保护原则：根据信息系统的重要程度、业务特点，通过划分不同安全等 级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或 关键信息资产的信息系统。 d) 适当调整原则：要跟踪信息系统的变化情况，调整安全保护措施。因为信息 系统的应用类型、范围等条件的变化及其他原因，安全等级需要变更的，应当 根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全等级， 根据信息系统安全等级的调整情况，重新实施安全保护。
2004年 2004年
BMB12-2004《涉及国家秘密的计算机信息系统漏洞扫描产品技术要求》 BMB12-2004《涉及国家秘密的计算机信息系统漏洞扫描产品技术要求》 规定了涉密信息系统的 规定了涉密信息系统的等级划分准则 涉密信息系统 BMB13-2004《涉及国家秘密的计算机信息系统入侵检测产品技术要求》 《涉及国家秘密的计算机信息系统入侵检测产品技术要求》 和相应等级的安全保密技术要求 安全保密技术要求。 和相应等级的安全保密技术要求。本 规定了涉及国家秘密的计算机信息系 BMB15-2004《涉及国家秘密的信息系统安全审计产品技术要求 《涉及国家秘密的信息系统安全审计产品技术要求》 标准适用于涉密信息系统的设计单位、 安全隔离设备、防火墙、 标准适用于涉密信息系统的设计单位、 安全隔离设备、防火墙、漏 》 统使用的安全隔离设备 统使用的 建设单位、 建设单位、使用单位对涉密信息系统 、入侵检测、安全审计、隔离 洞扫描、 洞扫描 入侵检测、安全审计、 BMB16-2004《涉及国家秘密的信息系统安全隔离与信息交换产品技术要求》 《涉及国家秘密的信息系统安全隔离与信息交换产品技术要求》 的建设、使用和管理， 的建设、使用和管理，对BMZ1-2000、 、 交换等系统的的技术要求 等系统的的技术要求。 交换等系统的的技术要求。成为涉密 BMZ2-2001进行了有力的补充和完善。 产品选型的关键考虑因素。 进行了有力的补充和完善。 产品选型的关键考虑因素 进行了有力的补充和完善 系统进行产品选型的关键考虑因素。 系统进行
国家信息安全等级保护概述
北京天融信公司 网址： 网址：
目
录
国家关于安全等级保护的发展和相关介绍
安全等级保护的实施原则及其过程
信息系统的安全保护基本要求介绍
等级保护的含义
信息安全等级保护是指根据信息系统在国家安全、社会稳定 、经济秩序和公共利益等方面的重要程度以及风险威胁、安 全需求、安全成本等因素，将其划分不同的安全保护等级并 采取相应等级的安全保护技术、管理措施，以保障信息系统 安全和信息安全。
等级保护政策文件演进
2005年 2005年9月 国信办文件 关于转发《 《 关于转发《电子政务信息 系统信息安全等级保护实施 指南》 指南》的通知 》 国信办[2004]25 [2004]25号 （国信办[2004]25号） 2005年 公安部标准 2005年 定义了电子政务等级 等级保护安全要求》 《等级保护安全要求》 保护的实施过程和方 等级保护定级指南》 《等级保护定级指南》 法 等级保护实施指南》 《等级保护实施指南》 等级保护测评准则》 《等级保护测评准则》
2006年 2006年 2007年 2007年
BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》 BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》 BMB18-2006《涉及国家秘密的信息系统工程监理规范》 BMB18-2006《涉及国家秘密的信息系统工程监理规范》 BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》 BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》 BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》 BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》
提出了等级保护的定级方法、 提出了等级保护的定级方法、 2006年 2006年 四部委会签 实施办法， 实施办法，并对不同等级需 公通字[2006]7号文件 公通字[2006]7号文件 [2006]7 要达到的安全能力要求进行 关于印发《 （关于印发《信息安全 了详细的定义， （试 了详细的定义，同时对系统 等级保护管理办法（ 等级保护管理办法 保护能力等级评测指出了具 的通知） 行）》的通知） 体的指标。 体的指标。 形成等级保护的基 定义了等级保护的管理办法， 定义了等级保护的管理办法， 本理论框架， 本理论框架，制定 后被43号文件取代。 43号文件取代 后被43号文件取代。 了方法， 了方法，过程和标 准