信息安全等级保护建设经验及成效
等级保护要做的工作•
•
•
常见的三个安全等级•第一级信息系统：
•分级描述：
常见的三个安全等级
•第二级信息系统：
重要
例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等
•分级描述：
严重
常见的三个安全等级•第三级信息系统：
重要
重要•分级描述：
严重
全部的安全等级等级 对象
侵害客体 侵害程度 监管强度 第一级
合法权益 损害 自主保护 合法权益
严重损害 第二级 一般系统 社会秩序和公共利益 损害
指导 社会秩序和公共利益 严重损害
第三级 国家安全 损害
监督检查 社会秩序和公共利益 特别严重损害
第四级 重要系统 国家安全 严重损害
强制监督检查 第五级
极端重要系统 国家安全 特别严重损害 专门监督检查
等级保护备案
•一级系统不用备案，二级、三级需要进行备案•三级系统备案需提供以下材料：
上海市公安局联合发文
上海市教委重要信息系统••第三级
第三级第三级“校校通”
主干网络第三级第三级第三级“上海教育”
门户网站
系统服务安全等级业务信息安全等级安全保护等级信息系统名称
“上海教育”门户网站：业务信息1、业务信息描述
2、业务信息受到破坏时所侵害客体的确定
3、业务信息受到破坏后对侵害客体的侵害程度的确定
4、业务信息安全等级的确定
“上海教育”门户网站：系统服务1、系统服务描述
2、系统服务受到破坏时所侵害客体的确定
3、系统服务受到破坏后对侵害客体的侵害程度的确定
4、系统服务安全等级的确定
等级保护备案证明
等级保护解决什么问题•
•
安全建设与整改•
•
安全建设与整改•找漏洞找差距
•提升防护能力
•做好应急准备
安全测评•具有信息安全测评资质的机构
•开展以下工作
安全测评三个阶段•准备阶段
（100多份文档材料）
安全测评三个阶段
•实施阶段（测评机构进行测评，用户加以配合）
安全测评三个阶段•报告审定阶段（由测评机构完成）
整改提高
•测评机构：从多个层面提出问题
•用户：根据存在的主要问题与风险进行整改
门户网站常见的安全漏洞•SQL注入漏洞
•跨站脚本漏洞
•
•
等级保护体会
•
•
–例如：按照人员管理要求设置六个岗位：安全主管、
系统管理员、网络管理员、安全员、机房安全管理员、安全审计员。

采用兼职和专职结合办法解决
•
•专业机构测评。