对信息系统中使用的信息安全产品实行按等级 管理；
对信息系统中发生的信息安全事件分等级响应 、处置.
2 基本概念和含义
等级保护遵循的原则：
自主保护原则 重点保护原则 同步建设原则 动态调整原则
2 基本概念和含义
工作实施过程中涉及到的角色和职责：
国家管理部门 信息系统主管部门 信息系统运营、使用单位 信息安全服务机构 信息安全等级测评机构 信息安全产品供应商
10
测评具体工作过程
11
建设整改工作指南
1 等级保护发展历程
1994年，国务院147号令——《中华人民共 和国计算机信息系统安全保护条例》
2003年，中央办公厅、国务院（中办发 [2003]27号）——《国家信息化领导小组关 于加强信息安全保障工作的意见》
2004年，公安部、国家保密局、国家密码管 理局、国务院信息化工作办公室（公通字 [2004]66号）——《关于信息安全等级保护 工作的实施意见》
2 申报
报当地公安或信息化行政部门 进行审定
1 自评
客户自行选定系统相应的保 护等级
注：各地公安根据实际情况的不同有不同的备案形式要求，请根据当地公安 要求递交所需文件
6 等级保护定级工作流程
定级原则
信息系统定级是整个信息系统安全等级保护工 作的第一个重要环节，是开展信息系统建设、 整改、测评、备案、监督检查等后续工作的重 要基础。
3 等保测评作用
工作实施过程中涉及到的角色和职责： 在信息系统建设、整改时，信息系统运营使用
单位通过等级测评进行安全需求分析，确定系 统的特殊安全需求。信息系统等级保护基本安 全要求与确定的特殊安全需求共同确定了该系 统的安全需求。 在系统运维过程中，定期委托测评机构开展等 级测评，对信息系统安全等级保护状况、安全 保障性能进行安全测试，对信息安全管控能力 进行考察和评价，从而判定是否具备《信息系 统安全等级保护基本要求》中相应等级安全保 护能力。 等级测评报告是信息系统后期开展整改加固的 重要指导性文件，也是信息系统备案的重要附 件材料。等级测评结论是信息系统满足要求程
办理备案手续时，应填写《信息系统安全等级 保护备案表》，《信息系统安全等级保护定级 报告》、《系统定级评审意见》（或上级主管 部门定级审核意见）、相关电子数据等。
7 等级保护测评工作流程
测评流程
等级测评的工作流程，依据《信息系统安全等 级保护测评过程指南》，具体内容参见：等保 测评工作流程图
7 等级保护测评工作流程
测评内容
物理安全 网络安全 主机系统安全 应用安全 数据安全
综合测评 信息 系统
安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理
7 等级保护测评工作流程
测评依据的相关标准体系
可以从多个角度来分析—— A、从基本分类角度来看，分为：基础类标准 、技术类标准、管理类标准； B、从等级保护生命周期看，分为：系统定级 用标准、安全建设用标准、等级测评用标准、 运行维护用标准、通用标准； C、从对象角度看，分为：基础标准、系统标 准、产品标准、安全服务标准、安全事件标准 等。
4 主要工作内容
工作实施过程中涉及到的角色和职责：
系统定级 系统备案 安全建设 等级测评 监督检查
5 等级保护主要工作流程
业务流程
•不合格项整改 •整改后测评
备案
测评申请
信息系统
测评
测评准备
6 等级保护定级工作流程
定级流程
4 定级备案
报公安部门定级备案
3 评审
公安或信息化行政部门组织 评审定级
信息系统定级工作的主体是信息系统运营和使用 单位，坚持“自主定级、自主保护”原则，因 此定级工作应当由信息系统的运营和使用单位 来完成。
6 等级保护定级工作流程
定级受理备案审核材料
管理办法规定第二级以上信息系统应当在安全 保护等级确定后30日内，由其运营、使用单位 到所在地区的市级以上公安机关办理系统备案 手续。
7 等级保护测评工作流程
测评依据的主要标准 实施指南 《信息安全技术 信息系统安全等级保护实施 指南》 （报批稿） 定级指南 《GBT 22240-2008 信息安全技术 信息系统 安全等级保护定级指南》 划分准则 《GB 17859-1999 计算机信息系统安全保护 等级划分准则》
信息安全等级保护基本介绍
河南天祺信息安全技术有限公 司
信息安全系统等级保护
1 信息安全等级保护发展历程
2 等级保护的基本概和含义
3
等级保护和测评的作用
4
等级保护主要工作内容
5
等级保护主要工作流程
6
等级保护定级工作流程
信息安全系统等级保护
7
等级保护测评工作流程
8
等级保护安全建设内容
9
等级保护监督检查内容
7 等级保护测评工作流程
测评依据的基本要求
《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》
参照： 《GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求》 《GB/T 20270-2006 信息安全技术 网络基础安全技术要求》 《GB/T 20272-2006 信息安全技术 操作系统安全技术要求》 《GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求》 《GB/T 21028-2007 信息安全技术 服务器安全技术要求》 《GA/T 671-2006 信息安全技术 终端计算机系统安全等级技术要求》
2010年10月15日，第十七届中央委员会第五 次全体会议中提出的十二五规划中要求“健全 网络与信息安全法律法规，完善信息安全标准 体系和认证认可体系，实施信息安全等级保护、 风险评估等制度”。
2 基本概念和含义
信息安全等级保护是指对国家秘密信息、法人 和其他组织及公民的专有信息以及公开信息和 存储、传输、处理这些信息的信息系统分等级 实行安全保护（五级），详细分级依据请见《 GBT 22240-2008 信息安全技术 信息系统 安全等级保护定级指南》中描述；
2006年，公安部开展信息安全等级保护试点 工作，制定《计算机信息安全等级划分准则》 （GB17859-1999）
1 等级保护发展历程
2007年，公安部、国家保密局、国家密码管 理局、国务院信息化工作办公室（公通字 [2007]43号）——《信息安全等级保护管理 办法》，（公信[2007]861号）——《关于 开展全国重要信息系统安全等级保护定级工作 的通知》，开始在全国范围内开展信息安全等 级保护工作。