信息安全等级保护基本要求 信息安全保护等级定级要素

信息安全等级保护要求

信息安全等级保护分级的第要求是指，信息系统受到破坏后，会对秩序和公共利益造成损害，或者对安全造成损害。信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

信息安全等级保护基本要求 信息安全保护等级定级要素

信息安全等级保护基本要求 信息安全保护等级定级要素

认证流程是具有等保测评资质的公司（经过相关部门认可的）对要进行等保测评的单位进行定级并测评，测评后提出整改意见并对被测评单位进行整改，就是一个测评整改再测评再整改的过程，终达到并通过测评，例如等保需要每年测评一次。

关于等保的技术要求，包括物理、网络、主机、应用、数据5个方面：

物理安全部分

1、机房应区域划分至少分为主机房和区两个部分；

2、机房应配备电子门禁系统、防盗报警系统、系统；

3、机房不应该有窗户，应配备专用的气体灭火、ups 供电系统；

网络安全部分

1、应绘制与当前运行情况相符合的拓扑图；

2、交换机、防火墙等设备配置应符合要求，例如应进行 Vlan 划分并各 Vlan 逻辑隔离，应配置 Qos 流量控制策略，应配备访问控制策略，重要网络设备和应进行 IP/MAC 绑定等；

3、应配备网络审计设备、入侵检测或防御设备。

4、交换机和防火墙的身份鉴别机制要满足等保要求，例如用户名密码复杂度策略，登录访问失败处理机制、用户角色和权限控制等；

5、网络链路、核心网络设备和安全设备，需要提供冗余性设计。

主机安全部分

1、的自身配置应符合要求，例如身份鉴别机制、访问控制机制、安全审计机制、防等，必要时可购买第三方的主机和数据库审计设备；

2、（应用和数据库）应具有冗余性，例如需要双机热备或集群部署等；

3、和重要网络设备需要在上线前进行漏洞扫描评估，不应有中高级别以上的漏洞（例如 windows 系统漏洞、apache 等中间件漏洞、数据库软件漏洞、其他系统软件及端口漏洞等）；

4、 应配备专用的日志保存主机、数据库的审计日志。

应用安全部分

1、应用自身的功能应符合等保要求，例如身份鉴别机制、审计日志、通信和存储加密等；

2、应用处应考虑部署网页防篡改设备；

3、应用的安全评估（包括应用安全扫描、渗透测试及风险评估），应不存在中高级风险以上的漏洞（例如 SQL 注入、跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱口令和口令猜测、管理后台漏洞等）；

4、应用系统产生的日志应保存至专用的日志。

数据安全备份

1、应提供数据的本地备份机制，每天备份至本地，且场外存放；

2、如系统中存在核心关键数据，应提供异地数据备份功能，通过网络等将数据传输至异地进行备份；

法律依据

《信息安全等级保护管理办法》

第三条：信息系统的安全保护等级应当根据信息和信息系统在安全、经济建设、生活中的重要程度,信息和信息系统遭到破坏后对安全、秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,信息和信息系统应当达到的基本的安全保护水平等因素确定。

第四条：信息系统的安全保护等级分为以下五级：

(一) 级为自主保护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害安全、秩序和公共利益。

(二) 第二级为指导保护级,适用于一般的信息系统,其受到破坏后,会对秩序和公共利益造成轻微损害,但不损害安全。

(三) 第为监督保护级,适用于涉及安全、秩序和公共利益的重要信息系统,其受到破坏后,会对安全、秩序和公共利益造成损害。

(四) 第四级为强制保护级,适用于涉及安全、秩序和公共利益的重要信息系统,其受到破坏后,会对安全、秩序和公共利益造成损害。

(五) 第五级为专控保护级,适用于涉及安全、秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对安全、秩序和公共利益造成特别损害。

规定网络安全等级保护指导思想原则和要求

等级保护在贯彻落实过程中,必定有一定的原则需要遵守,今天,我们通过对比和中有关描述,来看一下有关原则哪些是一如既往不变的部分,哪些是在不断发展中拓展出来的内容。有关贯彻落实信息安全等级保护制度的原则,要由《关于印发

的通知》公通字[2004]66号文提出。下面看具体内容:

贯彻落实信息安全等级保护制度的原则(等级保护信息安全等级保护坚持自主定级、自主保护的原则,对信息系统分等级进行保护,按标准进行建设、管理和监督。信息安全等级保护制度遵循以下基本原则。

(1)明确,共同保护。通过等级保护,组织和动员、法人和其他组织、公民共同参与信息安全保护工作;各方主体按照规范和标准分别承担相应的、明确具体的信息安全保护。

(2)依照标准,自行保护。运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级、自行保护。

(3)同步建设,动态调整。信息系统在新建、改建、扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。

(4)指导监督,重点保护。指定信息安全监管职能部门通过备案、指导、检查、督促整改等方式,对重要信息和信息系统的信息安全保护工作进行指导监督。

重点保护涉及安全、经济命脉、稳定的基础信息网络和重要信息系统,主要包括:事务处理信息系统(政机关办公系统);财政、金融、税务、海关、审计、工商、保障、能源、交通运输、国防工业等关系到国计民生的信息系统:教育、科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统:网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。

安全等级保护基本模型

贯彻落实网络安全等级保护制度的原则(等级保护网络安全等级保护工作应当按照主动防御、整体防控、突出重点、综合保障的原则,重点保护关键信息基础设施和其他涉及安全、国计民生、公共利益的网络的运行安全和数据安全。网络在网络建设过程中,应同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施。网络安全等级保护坚持分等级保护、分等级监管的原则,对网络分等级进行保护,按标准进行建设、管理和监督。在落实网络安全等级保护制度中,还应遵循以下几点要求:

一是明确,共同保护。通过等级保护,组织和动员、法人和其他组织、公民共同参与网络安全保护工作;各方主体按照规范和标准分别承担相应的、明确具体的网络安全保护。

二是依照标准,开展保护。运用强制性法律及规范标准,要求网络按照网络安全建设和管理要求,科学准确定级,实施保护策略和措施。

三是同步建设,动态调整。网络在新建、改建、扩建时应当同步建设网络安全设施,保障网络安全与信息化建设相适应。因网络的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求重新确定其安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。

四是指导监督,重点保护。指定网络安全监管职能部门通过备案、指导、检查、督促整改等方式,对网络安全保护工作进行指导监督。重点保护涉及安全、经济命脉、稳定的关键信息基础设施,主要包括:电信网、广电网、互联网、移动互联网、物联网、行业专网等网络基础设施;各行业、各部门、各单位的指挥调度、内部办公、管理控制、生产作业、公众服务等业务信息系统和网站;能源、交通、水利、市政等领域的工业控制系统;互联网企业的网络平台、重要业务系统和网站;数据中心、大数据服务平台、云计算服务平台、智能设备设施及数据资源;其他关系安全、秩序、公共利益以及公民、法人和其他组织的合法权益的网络和信息系统。

这个原则早是由《关于印发

的通知》公通字[2004]66号文提出,等级保护即网络安全等级保护制度的原则与等级保护在文字上描述有一定的出入,不过有关原则和指示精神是一脉相承一以贯之的。从66号文我们看到,文件将安全等级保护制度是在国民经济和信息化的发展过程中,提高信息安全保障能力和水平,维护安全、稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。

有关《关于印发

的通知》公通字[2004]66号文五个“有利于”在以前的公众号文章中已经简单说过,见《等保重要政策文件66号文明确四个》。总体来讲,保障网络(信息)安全,维护安全、公共利益和稳定,仍然是当前信息化发展中迫切需要解决的重大问题。

信息安全等级保护制度的基本内容不包括

对信息系统中存储和传输的数据进行加密等处理

信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在、美国等很多都存在的一种信息安全领域的工作。

在，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护。

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评。

信息安全等级保护坚持什么原则

《信息安全等级保护管理办法》规定，信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在安全、经济建设、生活中的重要程度，信息系统遭到破坏后对安全、秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为以下五级，一至五级等级逐级增高：

级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害安全、秩序和公共利益。级信息系统运营、使用单位应当依据有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生损害，或者对秩序和公共利益造成损害，但不损害安全。信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第，信息系统受到破坏后，会对秩序和公共利益造成损害，或者对安全造成损害。信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级，信息系统受到破坏后，会对秩序和公共利益造成特别损害，或者对安全造成损害。信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对安全造成特别损害。信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评。

根据《信息系统安全等级保护实施指南》精神，明确了以下基本原则：

自主保护原则：信息系统运营、使用单位及其主管部门按照相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。

重点保护原则：根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。

同步建设原则：信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。

动态调整原则：要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。

法律依据

《信息安全等级保护管理办法》第六条 信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在安全、经济建设、生活中的重要程度，信息系统遭到破坏后对安全、秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。。

《中华网络安全法》

第二十一条实行网络安全等级保护制度。网络应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和作规程，确定网络安全负责人，落实网络安全保护；

（二）采取防范计算机和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

第三十一条对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能危害安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由制定。

鼓励关键信息基础设施以外的网络自愿参与关键信息基础设施保护体系。

信息安全等级保护管理办法的第四章 涉密信息系统的分级保护管理

第二十四条

涉密信息系统应当依据信息安全等级保护的基本要求，按照保密工作部门有关涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。

非涉密信息系统不得处理秘密信息等。

第二十五条

涉密信息系统按照所处理信息的密级，由低到高分为秘密、机密、绝密三个等级。

涉密信息系统建设使用单位应当在信息规范定密的基础上，依据涉密信息系统分级保护管理办法和保密标准BMB17-2006《涉及秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统，各安全域可以分别确定保护等级。

保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。

第二十六条

涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况，及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案，并接受保密部门的监督、检查、指导。

第二十七条

涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。

涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准，按照秘密、机密、绝密的不同要求，结合系统实际进行方案设计，实施分级保护，其保护水平总体上不低于信息安全等级保护第、第四级、第五级的水平。

第二十八条

涉密信息系统使用的信息产品原则上应当选用国产品，并应当通过授权的检测机构依据有关保密标准进行的检测，通过检测的产品由审核发布目录。

第二十九条

涉密信息系统建设使用单位在系统工程实施结束后，应当向保密工作部门提出申请，由授权的系统测评机构依据保密标准BMB22-2007《涉及秘密的计算机信息系统分级保护测评指南》，对涉密信息系统进行测评。

涉密信息系统建设使用单位在系统投入使用前，应当按照《涉及秘密的信息系统审批管理规定》，向设区的市级以上保密工作部门申请进行系统审批，涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统，其建设使用单位在按照分级保护要求完成系统整改后，应当向保密工作部门备案。

第三十条

涉密信息系统建设使用单位在申请系统审批或者备案时，应当提交以下材料：

（一）系统设计、实施方案及审查论证意见；

（二）系统承建单位资质证明材料；

（三）系统建设和工程监理情况报告；

（四）系统检测评估报告；

（五）系统组织机构和管理制度情况；

（六）其他有关材料。

第三十一条

涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、管理单位变更时，其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况，决定是否对其重新进行测评和审批。

第三十二条

涉密信息系统建设使用单位应当依据保密标准BMB20-2007《涉及秘密的信息系统分级保护管理规范》，加强涉密信息系统运行中的保密管理，定期进行风险评估，消除泄密隐患和漏洞。

第三十三条

和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理，并做好以下工作：

（一）指导、监督和检查分级保护工作的开展；

（二）指导涉密信息系统建设使用单位规范信息定密，合理确定系统保护等级；

（三）参与涉密信息系统分级保护方案论证，指导建设使用单位做好保密设施的同步规划设计；

（四）依法对涉密信息系统集成资质单位进行监督管理；

（五）严格进行系统测评和审批工作，监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况；

（六）加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评，对绝密级信息系统每年至少进行一次保密检查或者系统测评；

（七）了解掌握各级各类涉密信息系统的管理使用情况，及时发现和查处各种违规违法行为和泄密。

扩展资料：

《信息安全等级保护管理办法》是为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护安全、稳定和公共利益，保障和促进信息化建设，根据《中华计算机信息系统安全保护条例》等有关法律法规而制定的办法。由四部委下发，公通字200743号文。

参考资料：

简述什么是信息安全等级保护?信息系统的安全等级保护具体分为哪几级？

信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在、美国等很多都存在的一种信息安全领域的工作。

信息系统的安全等级划分：

级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害安全、秩序和公共利益。级信息系统运营、使用单位应当依据有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生损害，或者对秩序和公共利益造成损害，但不损害安全。信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第，信息系统受到破坏后，会对秩序和公共利益造成损害，或者对安全造成损害。信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级，信息系统受到破坏后，会对秩序和公共利益造成特别损害，或者对安全造成损害。信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对安全造成特别损害。信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

扩展资料：

根据《信息系统安全等级保护实施指南》精神，明确了以下基本原则：

自主保护原则：信息系统运营、使用单位及其主管部门按照相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。

重点保护原则：根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。

同步建设原则：信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。

动态调整原则：要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。

参考资料来源：