等级保护与分级保工作指南v1.docx

1、等级保护与分级保工作指南v1内部资料等级保护与分级保护工作指南吉大正元信息技术股份有限公司2008年8月 目 录范围 31 背景与现状 31.1 等级保护思想的发展 31.2 政策发文情况 41.3 技术标准现状 51.4 工作开展现状 62 基本概念 72.1 基本含义 72.2 定级依据与等级划分 82.3 等级保护与分级保护对比表 93 等级保护工作流程与管理 103.1 等级保护整体工作流程 103.2 实施过程概述 103.3 等级保护各相关方的职责划分 123.4 用户等级保护的实施要求 133.5 主管部门的管理手段 143.6 等级保护对厂商和产品的资质管理 144 分级保护工

2、作流程与管理 154.1 分级保护整体工作流程 154.2 实施过程概述 154.3 分级保护各相关方的职责划分 184.4 用户分级保护的实施要求 204.5 主管部门的管理手段 204.6 分级保护对厂商和产品的资质管理 215 FAQ 235.1 等级保护FAQ 235.2 分级保护FAQ 26范围本文档描述了信息系统安全等级保护与涉密信息系统分级保护的背景、现状、基本概念、实施流程、主管部门的职责划分、用户的实施要求，以及对厂商的资质管理等内容，供公司内部人员了解和学习等级保护和分级保护参考。背景与现状等级保护思想的发展 信息系统分等级保护的思想在国际上已有二十多年的历史1983年美国

3、国防部发布了可信计算机系统评估准则（TCSEC，俗称橘皮书），将计算机系统的安全等级分为D、C1、C2、B1、B2、B3和A1七个级别，开创了分等级保护的先河，之后欧洲将其发展为信息技术安全性评估标准（ITSEC），美国又在此基础上进一步完善推出了通用安全评估准则（CC）、联邦信息和信息系统的安全分类标准（FIPS 199）、联邦信息系统安全控制（SP 800-53）和美国国家空间战略等，完善了计算机系统安全分级制度，并逐步落实了分等级保护的方法。 等级保护是国家信息安全的基本制度我国的等级保护思想始于1994年发布的中华人民共和国计算机信息系统安全保护条例（国务院第147号令），其中明确提出

4、了“计算机信息系统实行安全等级保护”。之后于1999年发布了计算机信息系统安全保护等级划分准则（GB 17859-1999）。等级保护工作推动取得突破性进展的标志是2003年发布国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号，简称27号文件）和2005年发布的关于信息安全等级保护的实施意见（公通字 2005 66号，简称66号文件），确立了等级保护作为国家信息安全保障的基本制度。等级保护制度是从国家的视角，依据信息系统被破坏后，对国家安全、社会秩序和公共利益造成的影响程度来划分系统的安全等级。等级保护制度充分体现了信息安全的国家意志。 等级保护与分级保护的分开管理在66

5、号文发布之后，等级保护按照信息系统的涉密情况分成两条线管理。非涉密信息系统的等级保护由公安部负责监督、检查、指导，称为“信息系统安全等级保护”；涉及国家秘密信息系统的等级保护由国家保密工作机构负责监督、检查、指导，称为“涉及国家秘密的信息系统分级保护”。在等级保护方面，国家发布了信息安全等级保护管理办法（公通字 2007 43号）、关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号）等文件，并起草了“信息系统安全等级保护定级指南”、“信息系统安全等级保护基本要求”、“信息系统安全等级保护实施指南”等系列国家标准（报批稿）。在分级保护方面，国家保密局发布了涉及国家秘密的信

6、息系统分级保护管理办法（国保发200516号），之后陆续发布了涉及国家秘密的信息系统分级保护技术要求、涉及国家秘密的信息系统分级保护管理规范、涉及国家秘密的信息系统分级保护方案设计指南、涉及国家秘密的信息系统分级保护测评指南等一系列分级保护的国家保密标准。政策发文情况等级保护制度是以27号文件为基本指导方针，以政策发文的形式落实国家的管理要求，以技术标准的形式提供实施方法和实施流程，并通过安全产品和安全服务保障等级保护与分级保护的实施落地。 主要政策发文中华人民共和国计算机信息系统安全保护条例（国务院147号令，1994年）；国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327

7、号）；关于信息安全等级保护工作的实施意见（公通字200466号）；信息安全等级保护管理办法（公通字200743号）；关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号）。涉及国家秘密的计算机信息系统集成资质管理办法（国保发20055号）。涉及国家秘密的信息系统分级保护管理办法（国保发200516号）电子政务保密管理指南（国保发号）涉及国家秘密的信息系统审批管理规定（国保发200718号） 其他相关保密政策发文1988年9月5日第七届全国人民代表大会常务委员会第三次会议通过中华人民共和国保守国家秘密法，规定国家秘密范围和密级以及相关保密制度。1990年5月25日，国家保密

8、局发布中华人民共和国保守国家秘密法实施办法，更明确密级、变更、解密及奖惩等细则。1998年，国保发（1998）1号文件计算机信息系统保密管理暂行规定。1998年，中保办发（1998）6号文件涉及国家秘密的通讯、办公自动化和计算机信息系统审批暂行办法。2000年，中共中央办公厅国务院办公厅 厅字（2000）58号文件中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理的规定。2004年，中保委发（2004）7号文件关于加强信息安全保障工作中保密管理的若干意见。2005年，中共中央办公厅 厅字（2005）1号文件中共中央保密委员会办公室、国家保密局关于保密要害部门、部位保密管理规定2005

9、年，中办发（2005）6号文件关于切实做好新形势下涉外国家安全和保密工作的意见。2006年，国保发（2006）3号文件关于加强新技术产品使用保密管理的通知。技术标准现状1.1.1 等级保护标准 主要标准信息系统安全等级保护定级规范（国标报批稿）；信息系统安全等级保护基本要求（国标报批稿）；信息系统安全等级保护实施指南（国标报批稿）；信息系统安全等级保护测评规范（国标报批稿）；电子政务信息安全等级保护实施指南（试用稿）。 其他相关标准计算机信息系统安全保护等级划分准则（GB 17859-1999）；信息系统通用安全技术要求（GB/T20271）；网络基础安全技术要求（GB/T20270）；操作系

10、统安全技术要求（GB/T20272）；数据库管理系统安全技术要求（GB/T20273）；终端计算机系统安全等级技术要求（GA/T671）；信息系统安全管理要求（GB/T20269）；信息系统安全工程管理要求（GB/T20282）。1.1.2 分级保护标准涉及国家秘密的信息系统分级保护技术要求（BMB17-2006）；涉及国家秘密的信息系统工程监理规范（BMB18-2006）；涉及国家秘密的信息系统分级保护管理规范（BMB20-2007）；涉及国家秘密的信息系统分级保护测评指南（BMB22-2007）；涉及国家秘密的信息系统分级保护方案设计指南（BMB23-2008）。工作开展现状1.1.3 等

11、级保护的工作推进现状等级保护的政策已经正式发布，但实施标准仅是报批稿，还没有正式发布为国家标准。因此等级保护的推广实施工作还未全面正式启动，多数用户在实施等级保护方面还处于观望状态。等级保护的主要工作包括系统定级、备案、系统建设与整改、等级测评等、定期开展监督检查，用户的目标是在系统定级后，对系统进行安全建设与整改，通过测评来最终达到系统安全等级的基本要求。 系统定级备案工作从07年7月发布了关于开展全国重要信息系统安全等级保护定级工作的通知（公信安2007861号）之后，已在全国大力度展开。目前8+2重点行业、重要信息系统大部分已完成定级备案工作。 系统安全整改与测评工作目前公安部还没有正式

12、发文如何操作，因此安全整改和测评工作还没有在全国大范围开展。目前北京基于奥运安全保障的要求，已在部分中央部委、北京市委办局、一些重要行业单位开始了部分测评工作。但测评目的是差距测评，找出存在的主要安全问题，并不是等级保护的符合性测评，没有给出测评是否合格的结论。 等级保护目前已开展完成的主要工作如下： 2006年1月制定出台了信息安全等级保护管理办法（试行）。 2006年5月18日组织召开了国家信息安全等级保护工作协调小组第一次会议。 制定了等级保护系列技术标准。 开展了等级保护基础调查工作。 部署开展信息安全等级保护试点工作。 出台了新的信息安全等级保护管理办法。 完成了全国重要信息系统的定

13、级工作与备案工作 对部分单位实施了等级测评工作1.1.4 分级保护的工作推进现状 分级保护的政策和国家标准目前都已经正式颁布实施，因此，分级保护在涉密单位中已经开始全面实施。分级保护已经成为涉密信息系统安全保密建设的唯一依据。 用户在涉密系统的安全建设方面已经没有选择，只要进行安全建设，都必须依照分级保护的要求。 目前分级保护测评机构、测评队伍正在建设中，测评技术力量还不充足。基本概念基本含义信息化发展的不同阶段和不同的信息系统有着不同的安全需求，必须从实际出发，综合平衡安全成本和风险，优化信息安全资源的配置，确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系

14、统。（中办发27号文）等级保护思想的核心是明确重点、确保重点，达到适度安全。这在我国信息化程度总体较低、信息化建设资金不足的情况下是非常必要的，国家可以用有限的安全建设资金去保护国家最重要的信息系统，达到“综合平衡安全成本和风险，优化信息安全资源的配置，确保重点”的目标。 信息安全等级保护信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。（公通字66号文） 涉密信息系统分级保护涉密信息系统分级保护是指涉密信息系统的建设

15、使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护，各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全（国保发16号文）定级依据与等级划分 等级保护定级信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。等级定义 第一级息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损

16、害，但不损害国家安全。第三级信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级信息系统受到破坏后，会对国家安全造成特别严重损害。 分级保护定级涉密信息系统按照所处理信息的最高密级，由低到高划分为秘密级、机密级和绝密级三个等级，其中机密级又分为机密级和机密增强级两档保护要求。等级保护与分级保护对比表等级保护分级保护职能部门公安机关国家保密工作部门国家保密工作部门地方各级保密工作部门国家密码管理部门中央和国家机关国务院信息办建设使用单位管理职责公安机关监督、检查、指导国

17、家保密局（全国）监督、检查、指导国家保密工作部门保密工作的监督、检查、指导地方各级保密局（本行政区域）监督、检查、指导国家密码管理部门密码工作的监督、检查、指导中央和国家机关（本部门/本系统）主管和指导国务院信息办部门间的协调建设使用单位（本单位）具体实施标准体系国家标准（GB、GB/T）国家保密标准（BMB，强制执行）适用对象非涉密信息系统涉密信息系统级别划分一级（自主保护）二级（指导保护）三级（监督保护）四级（强制保护）五级（专控保护）秘密级机密级绝密级基本测评1、物理安全2、网络安全3、主机系统安全4、应用安全5、数据安全6、安全管理测评7、安全管理机构8、安全管理制度9、人员安全管理1

18、0、系统建设管理11、系统运维管理1、物理隔离2、安全保密产品选择3、安全域边界防护4、密级标识5、用户身份鉴别6、访问控制力度7、信息传输加密8、信息存储加密9、信息设备的电磁泄漏发射防护10、边界控制11、违规外联监倥12、安全保密管理机构13、安全保密管理制度14、安全保密管理人员15、集成资质单位选择资质国内注册的中资机构、技术设备符合要求、制度完善涉及国家秘密的计算机信息系统集成：甲级（全国范围）乙级（本省、自治区、直辖市）单项业务：（全国，仅限所批准业务）军工、软件开发、综合布线、系统服务、系统咨询、风险评估、工程监理、数据恢复、屏蔽室建设、保密安防监控。等级保护工作流程与管理等级

19、保护整体工作流程实施过程概述1.1.5 系统定级信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范，确定信息系统的安全保护等级，使用单位有主管部门的，应当经主管部门审核批准。信息系统分析，包括系统识别和描述、信息系统划分等方面。安全保护等级确认，包括定级、审核和批准，形成定级报告。1.1.6 规划设计总体安全规划设计的目标是根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况，通过分析明确信息系统安全需求，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施计划，以指导后续的信息系统安全建设工程实施。对于已运营（运行）的信息系统，需求分析应当首先分析判断信息

20、系统的安全保护现状与等级保护要求之间的差距。安全需求分析，包括基本安全需求确定，额外/特殊安全需求确定，形成需求分析报告。总体安全设计，包括总体安全策略设计，安全技术体系结构设计，整体安全管理体系结构设计，设计结果文档化。安全方案详细设计，包括技术措施实现内容设计，管理措施实现内容设计，设计结果文档化。安全建设项目规划，包括安全建设目标确定，安全建设内容规划，形成安全建设项目计划。1.1.7 建设实施建设实施阶段的目标是按照信息系统安全总体方案的要求，结合信息系统安全建设项目计划，分期分步落实安全措施。技术措施实施，包括信息安全产品采购，安全控制开发，安全控制集成，系统验收。管理措施实施，包括

21、管理机构和人员的设置，管理制度的建设和修订，人员安全技能培训，安全实施过程管理。1.1.8 备案检测等级测评，通过信息安全等级测评机构对已经完成等级保护建设的信息系统定期进行等级测评，确保信息系统的安全保护措施符合相应等级的安全要求。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。监

22、督检查，通过国家管理部门对信息系统定级、规划设计、建设实施和运行管理等过程进行监督检查，确保其符合信息系统安全保护相应等级的要求。1.1.9 运维管理安全运维管理是等级保护实施过程中确保信息系统正常运行的必要环节，涉及的内容较多，包括安全运行与维护机构和安全运行与维护机制的建立，环境、资产、设备、介质的管理，网络、系统的管理，密码、密钥的管理，运行、变更的管理，安全状态监控和安全事件处置，安全审计和安全检查等内容。运维管理和控制，包括运行管理职责确定，运行管理过程控制。变更管理和控制，包括变更需求和影响分析，变更过程控制。安全状态监控，包括监控对象确定，监控对象状态信息收集，监控状态分析和报告

23、。安全事件处置和应急预案，包括安全事件分级，应急预案制定，安全事件处置。安全检查和持续改进，包括安全状态检查，改进方案制定，安全改进实施。1.1.10 系统废止信息系统终止阶段是等级保护实施过程中的最后环节，当信息系统被转移、终止或废弃时，正确处理系统内的敏感信息对于确保机构信息资产的安全是至关重要的。信息转移、暂存和清除，在信息系统终止处理过程中，对于可能会在另外的信息系统中使用的信息采取适当的方法将其安全地转移或暂存到可以恢复的介质中，确保将来可以继续使用，同时采用安全的方法清除要终止的信息系统中的信息。设备迁移或废弃，确保信息系统终止后，迁移或废弃的设备内不包括敏感信息，对设备的处理方式

24、应符合国家相关部门的要求。存储介质的清除或销毁，采用合理的方式对计算机介质（包括磁带、磁盘、打印结果和文档）进行信息清除或销毁处理，防止介质内的敏感信息泄露。等级保护各相关方的职责划分等级保护实施工程所涉及的主管部门与协作单位协调单位实施内容 系统主管部门运营使用单位国家主管部门安全服务机构产品供应商等级测评机构等保专家组系统定级系统调查和描述信息系统划分定级、审核和批准形成定级报告上报备案（3级以上）规划设计等级化风险评估安全需求分析总体安全设计安全建设方案规划规划专家论证建设实施技术措施实现管理措施实现安全实施管理系统验收备案检测提交备案材料系统监督检查运维管理运行管理和控制变更管理和控制

25、安全状态监控安全事件处置和应急预案安全检查和持续改进等级测评系统废止信息转移、暂存和清除设备迁移和废弃存储介质的清除或销毁说明：代表主要协调单位、部门，代表辅助协调单位、部门。用户等级保护的实施要求管理要求内容定级备案已运营（运行）的第二级以上信息系统：应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统：应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统：由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的

26、信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。等级保护实施信息系统运营、使用单位应当按照信息系统安全等级保护实施指南具体实施等级保护工作。等级保护自查第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。安全整改经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。主管部门的管理手段管理要求内容备案审核对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10

27、个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。等级测评第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。等级保护工作情况检查对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。对第五级信息系统，应当由国家指定的专门部门进行检查。等级保护对厂商和产品的资质管理资质管理类别内容

28、对从事等级保护服务的资质要求无明确的资质要求等级保护测评资质仅提出了资质要求，并未颁发资质证书。第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评（依据43号文件）：（一） 在中华人民共和国境内注册成立（港澳台地区除外）；（二） 由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；（三） 从事相关检测评估工作两年以上，无违法记录；（四） 工作人员仅限于中国公民；（五） 法人及主要业务、技术人员无犯罪记录；（六） 使用的技术装备、设施应当符合本办法对信息安全产品的要求；（七） 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；（八） 对国家安全、社会秩序、公共利益不构成威胁。等级保护信息安全产品选择仅提出了产品选择要求，并未颁发资质证书。第三级以上信息系统应当选择使用符合以下条件的信息安全产品（依据43号文件）：（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；（二）产品的核心技术、关键部件具有我国自主知识产权；（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录；（四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；（五）对国家安全、社会秩序、公共利益不构成危