标准定位和关系
• 管理办法(43文件)（总要求） • 实施指南（GB/T25058-2010） • 定级指南（GB/T22240-2008） • 基本要求（GB/T22239-2008） • 测评要求 • 建设指南
目录
• 信息安全等级保护制度要干什么 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
实施指南特点
• 阶段
• 过程
• 活动
• 子活动
例如: • 信息系统定级
• 信息系统分析
• 系统识别和描绘
• 识别信息系统的基本信息 • 识别信息系统的管理框架 •…
• 信息系统划分
系统定级阶段-实施流程
主要输入
系统立项文档 系统建设文档 系统管理文档
过程 信息系统分析
主要输出
系统总体描述文件 系统详细描述文件
管理办法
• 《管理办法》第十三条:
• 运营、使用单位应当参照《信息安全技术信息系统安全管理要求》 （GB/T20269-2006）、《信息安全技术信息系统安全工程管理要求》 （GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制 定并落实符合本系统安全保护等级要求的安全管理制度。
信息安全等级保护标准体系概述
目录
• 信息安全等级保护标准体系 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
目录
• 信息安全等级保护标准体系 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
等级保护标准体系
多年来，在有关部门支持下，在国内有关专 家、企业的共同努力下，全国信息安全标准化技 术委员会和公安部信息系统安全标准化技术委员 会组织制订了信息安全等级保护工作需要的一系 列标准，形成了比较完整的信息安全等级保护标 准体系。汇集成《信息安全等级保护标准汇编》 供有关单位、部门使用。
信息系统物理安全 技术要求
网络基础安全技术 要求
其他技术类标准
管理类
信息系统安全 管理要求
信息系统安全工程 管理要求
其他管理类标准
产品类
操作系统安全技术 要求
数据库管理系统安全技术 要求
网络和终端设备隔离部件 技术要求
其他产品类标准
39
计算机信息系统安全保护等级划分准则（GB17859）
与其他标准的关系
小结-等级保护主要政策和标准
• 《信息安全等级保护管理办法》（公通字[2007]43号，以下简称《管理办法》） • 《计算机信息安全保护等级划分准则》（GB 17859-1999，简称《划分准则》） • 《信息系统安全等级保护实施指南》 GB/T 25058-2010 （简称《实施指南》） • 《信息系统安全保护等级定级指南》（GB/T 22240-2008，简称《定级指南》） • 《信息系统安全等级保护基本要求》（GB/T 22239-2008，简称《基本要求》） • 《信息系统安全等级保护测评要求》（简称《测评要求》） • 《信息系统安全等级保护测评过程指南》 （简称《测评过程指南》）
• 内容完整
综合技术、管理各个方面的要求，安全要求内容考虑全面、 完整，覆盖信息系统生命周期
• 便于使用
• GB17859-1999是基础性标准，《基本要求》17859基础上 的进一步细化和扩展。
• 《定级指南》确定出系统等级以及业务信息安全性等级和业 务服务保证性等级后，需要按照相应等级，根据《基本要求》 选择相应等级的安全保护要求进行系统建设实施。
• 《测评要求》是依据《基本要求》检验系统的各项保护措施 是否达到相应等级的基本要求所规定的保护能力。
系统总体描述文件 系统详细描述文件
安全保护等级确定
系统安全保护等级 定级建议书
目录
• 信息安全等级保护制度要干什么 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
定级指南
• 安全保护等级 等级的确定是不依赖于安全保护措施的，具有一定的“客观 性”，即该系统在存在之初便由其自身所实现的使命决定了它的 安全保护等级，而非由“后天”的安全保护措施决定。
<定级指南>标准的结构
• 正文由6个章节构成
• 1. 范围 • 2. 规范性引用文件 • 3. 术语定义 • 4. 定级原理 • 5. 定级方法 • 6. 级别变更
<定级指南>-定级原理
• 五个等级的定义
• 第一级, 信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社 会秩序和公共利益。
实施指南
局部调整
信息系统定级 总体安全规划 安全设计与实施 安全运行维护 信息系统终止
等级变更
实施指南的主要思路
以信息系统安全等级保护建设为主要线索， 定义信息系统等级保护实施的主要阶段和过程 对每个阶段介绍和描述主要的过程和实施活动 对每个活动说明实施主体、主要活动内容和输入输出等
实施指南标准的结构
信息系统安全等级保护实施指南
方法指导
状态分析 信息系统安全等级保
护测评要求 信息系统安全等级保
护测评过程指南
信息系统安全等级保护定级指南
信息系统安全等级保护行业定级细则 安全定级
信息系统安全等 级保护建设整改
基线要求
信息系统安全等级保护基本要求的行业细则
信息系统安全等级保护基本要求
技术类
信息系统通用安全 技术要求
等级保护标准体系
• 从等级保护生命周期看
• 通用/基础标准 • 系统定级用标准 • 安全建设用标准 • 等级测评用标准 • 运行维护用标准等
等级保护主要工作
一是：定级备案 二是：建设整改 三是：等级测评 四是：监督检查
等级保护工作中用到的主要标准
（一）基础 1、《计算机信息系统安全保护等级划分准则》GB17859-1999 2、《信息系统安全等级保护实施指南》GB/T 25058-2010 （二）系统定级环节 3、《信息系统安全保护等级定级指南》GB/T22240-2008 （三）建设整改环节 4、《信息系统安全等级保护基本要求》GB/T22239-2008 （四）等级测评环节 5、《信息系统安全等级保护测评要求》(国标报批稿) 6、《信息系统安全等级保护测评过程指南》(国标报批稿)
在安全建设整改工作中的作用 等级保护有关标准
等级保护标准体系
• 信息安全等级保护标准体系由等级保护工作过程中所需的所有标准组成，整 个标准体系可以从多个角度分析
• 从基本分类角度看
• 基础类标准 • 技术类标准 • 管理类标准
• 从对象角度看
• 基础标准 • 系统标准 • 产品标准 • 安全服务标准 • 安全事件标准等
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
标准背景
• 03年，27号文件进一步明确信息安全等级保护制度 • 04年，66号文件要求“尽快制定、完善法律法规和标准体系” • 编制历程
• 04年10月，接受公安部的标准编制任务 • 05年 6月，完成初稿，广泛征求安全领域专家和行业用户意见； • 05年10月，征求意见稿第一稿，国信办、安标委评审 • 05年11月，征求意见稿第三稿 • 06年 6月，试点工作 • 07年04月，征求意见稿第四稿，安标委专家评审 • 07年05月，形成报批稿 • 08年6月19日，正式发布，08年11月1日正式实施。
损害。 • 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。
<定级指南>-定级原理
受侵害的客体
对客体的侵害程度
一般损害
严重损害 特别严重损害
公民、法人和其他组织的合法权 益
社会秩序、公共利益
第一级 第二级
第二级 第三级
第二级 第四级
国家安全
第三级
第四级
第五级
<定级指南>-定级方法
• 确定定级对象； • 确定业务信息安全受到破坏时所侵害的客体； • 综合评定业务信息安全被破坏对客体的侵害程度； • 得到业务信息安全等级； • 确定系统服务安全受到破坏时所侵害的客体； • 综合评定系统服务安全被破坏对客体的侵害程度； • 得到系统服务安全等级； • 由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。
• 《管理办法》第十条: • 信息系统运营、使用单位应当依据本办法和《信息系统安全
等级保护定级指南》确定信息系统的安全保护等级。有主管 部门的，应当经主管部门审核批准。
管理办法
• 《管理办法》第十二条:
• 在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安 全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基 本要求》等技术标准，参照……等技术标准同步建设符合该等级要求的信 息安全设施。
• 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序 和公共利益造成损害，但不损害国家安全。
• 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 • 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重
目录
• 信息安全等级保护制度要干什么 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
具体做法
定级指南、实施指南 基本要求，定级指南、 实施指南，设计规范、测评要求
基本要求，实施指南、 安全产品标准
监督管理要求、 基 本要求、测评要求
监督管理要求 实施指南
管理办法