1、【最新整理，下載后即可編輯】1 .信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)是對(duì)信息和信息載體按照重要性等級(jí)分 級(jí)別進(jìn)行保護(hù)的一種工作，在中國(guó)、美國(guó)等很多國(guó)家都存在的一 種信息安全領(lǐng)域的工作。在中國(guó)，信息安全等級(jí)保護(hù)廣義上為涉 及到該工作的標(biāo)準(zhǔn)、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級(jí)保護(hù)思想的 安全工作；狹義上稱為的一般指信息系統(tǒng)安全等級(jí)保護(hù)，是指對(duì) 國(guó)家安全、法人和其他組織及公民的專有信息以及公開信息和存 儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信 息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā) 生的信息安全事件分等級(jí)響應(yīng)、處置的綜合性工作。國(guó)家通過制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技

2、術(shù)標(biāo) 準(zhǔn)，組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù), 對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。公安機(jī)關(guān)負(fù)責(zé)信息安全等級(jí)保護(hù)工作的監(jiān)督、檢查、指導(dǎo)。 國(guó)家保密工作部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督、檢 查、指導(dǎo)。國(guó)家密碼管理部門負(fù)責(zé)等級(jí)保護(hù)工作中有關(guān)密碼工作 的監(jiān)督、檢查、指導(dǎo)。涉及其他職能部門管轄范圍的事項(xiàng)，由有 關(guān)職能部門依照國(guó)家法律法規(guī)的規(guī)定進(jìn)行管理。國(guó)務(wù)院信息化工 作辦公室及地方信息化領(lǐng)導(dǎo)小組辦事機(jī)構(gòu)負(fù)責(zé)等級(jí)保護(hù)工作的【最新整理，下載后即可編輯】部門間協(xié)調(diào)。2 .信息安全等級(jí)保護(hù)工作內(nèi)容信息安全等級(jí)保護(hù)工作包括定級(jí)、備案、安全建設(shè)和整改、 信息安全等級(jí)測(cè)評(píng)、信息安全檢查五個(gè)

3、階段。如圖1所示為具體 流程。系統(tǒng)定級(jí)。信息系統(tǒng)運(yùn)營(yíng)使用單位按照信息系統(tǒng)信 息安全等級(jí)保護(hù)定級(jí)指南,確定信息系統(tǒng)安全等級(jí)。 有主管部門的，報(bào)主管部門審核批準(zhǔn)在申報(bào)系統(tǒng)新 建、改建、擴(kuò)建立項(xiàng)時(shí)須用時(shí)向立項(xiàng)審批部門提交定系統(tǒng)備案。己運(yùn)行的系統(tǒng)在安全保護(hù)等級(jí)確定后30日內(nèi)，由其運(yùn)營(yíng)、使用單位到所在地設(shè)區(qū)的市級(jí)以上 公安機(jī)關(guān)辦理備案手續(xù)。新建的系統(tǒng)，在通過立項(xiàng)申.不準(zhǔn)分析安全需求.對(duì)照等保有關(guān)規(guī)定和標(biāo)準(zhǔn)分析系統(tǒng)安全建設(shè)整改需求，可委托安全服務(wù)機(jī)構(gòu)、等保技術(shù)支持單位分析.對(duì)于整改項(xiàng)目,蹄改需求。j/： 口灰.M川：亞 hl Hi：亞 51!/卜：、12/1 4內(nèi)，,7米/上二建設(shè)整改.根據(jù)需求制訂建設(shè)整

4、改方案，按照國(guó)家相關(guān)規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國(guó)家有關(guān)規(guī)定，滿足系【最新整理，卜不統(tǒng)等級(jí)需求產(chǎn)品，開展信息系統(tǒng)安全建設(shè)整改。提交報(bào)告。系統(tǒng)運(yùn)鼠至X雨地級(jí)以上市公安機(jī) 關(guān)報(bào)測(cè)評(píng)報(bào)告。項(xiàng)目驗(yàn)收產(chǎn)檔中也須含有測(cè)評(píng)報(bào)告?！咀钚抡恚螺d后即可編輯】國(guó)家信息安全等級(jí)保護(hù)堅(jiān)持自主定級(jí)、自主保護(hù)的原則。信 息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、 社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì) 秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程 度等因素確定。信息安全等級(jí)保護(hù)信息安全等級(jí)保護(hù)管理辦法規(guī)定：信 息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公

5、民、法人和其他組織 的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織 的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害, 但不損害國(guó)家安全。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造 成嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成損害。第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造 成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重 損害。計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分：第一級(jí)：用戶自主保護(hù)級(jí)第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)第三級(jí)：安全標(biāo)記保護(hù)級(jí)第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)3

6、.信息安全等級(jí)保護(hù)測(cè)評(píng)基本概念信息系統(tǒng)安全等級(jí)測(cè)評(píng)是驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全 保護(hù)等級(jí)的評(píng)估過程。3.1 等級(jí)測(cè)評(píng)工作等級(jí)測(cè)評(píng)工作是指測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制 度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國(guó)家秘密信息 系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。通過信息安全等級(jí)評(píng)測(cè)機(jī)構(gòu)對(duì)已完成的等級(jí)保護(hù)建設(shè)的信 息系統(tǒng)定期進(jìn)行等級(jí)測(cè)評(píng)，確保信息系統(tǒng)的安全保護(hù)措施符合相 應(yīng)等級(jí)的安全要求。3.2 等級(jí)測(cè)評(píng)機(jī)構(gòu)等級(jí)測(cè)評(píng)機(jī)構(gòu)是指具備本規(guī)范的基本條件，經(jīng)能力評(píng)估和審 核，由省級(jí)以上信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室（等保辦） 推薦，從事等級(jí)測(cè)評(píng)工作的機(jī)構(gòu)。/等級(jí)保護(hù)測(cè)評(píng)的執(zhí)行主體應(yīng)當(dāng)是具有相

7、關(guān)資質(zhì)的、獨(dú)立的 測(cè)評(píng)服務(wù)機(jī)構(gòu)。/只有獨(dú)立的第三方，才能保證測(cè)評(píng)工作的客觀性和公正性。/開展等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)通常符合GB/T15481,通過計(jì)量認(rèn) 證和實(shí)驗(yàn)室認(rèn)可。/通過檢查機(jī)構(gòu)認(rèn)可。3.3 等級(jí)保護(hù)測(cè)評(píng)流程1）資料審查階段：對(duì)被測(cè)用戶提交的申請(qǐng)，進(jìn)行文檔的形式化 審查，確認(rèn)符合測(cè)評(píng)要求。2）核查測(cè)試階段：用戶進(jìn)行充分溝通，指定測(cè)評(píng)計(jì)劃和測(cè)試方 案，并實(shí)施現(xiàn)場(chǎng)測(cè)評(píng)，形成測(cè)評(píng)記錄。3）綜合評(píng)估階段：整理測(cè)評(píng)數(shù)據(jù)，對(duì)用戶資料和測(cè)評(píng)結(jié)果進(jìn)行 綜合分析，形成測(cè)評(píng)報(bào)告。召開專家委員會(huì)，對(duì)測(cè)評(píng)報(bào)告進(jìn)行評(píng) 審，最后由測(cè)評(píng)中心領(lǐng)導(dǎo)批準(zhǔn)，出具等級(jí)保護(hù)測(cè)評(píng)報(bào)告。具體流程如圖2所示。等級(jí)測(cè)評(píng)項(xiàng)目啟動(dòng)信息收集與分析工

8、具和表單準(zhǔn)備測(cè)評(píng)對(duì)象確定測(cè)評(píng)指標(biāo)確定惻評(píng)內(nèi)容確定工具測(cè)試方法確定測(cè)評(píng)指導(dǎo)書開發(fā)測(cè)評(píng)方案編制現(xiàn)活動(dòng)現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記錄結(jié)果確認(rèn)和資料歸還單項(xiàng)測(cè)評(píng)結(jié)果判定 單元測(cè)評(píng)結(jié)果判定整體測(cè)評(píng) 風(fēng)險(xiǎn)分析等級(jí)測(cè)評(píng)結(jié)論形成測(cè)評(píng)報(bào)告編制測(cè)評(píng)準(zhǔn)備活動(dòng)的主要任務(wù)包括：項(xiàng)目啟動(dòng)、信息收集和分析、 工具和表單準(zhǔn)備。這三項(xiàng)任務(wù)之間存在工作的先后次序，項(xiàng)目啟 動(dòng)任務(wù)完成之后才能開始信息收集和分析任務(wù)?？刹捎萌鐖D3所 示的工作流程：1.項(xiàng)目啟動(dòng)， 11建測(cè)評(píng)項(xiàng)目組。 編制.11頁(yè)目計(jì)劃I書 確定測(cè)評(píng)委托單位 應(yīng)提供的貢料7查閱定級(jí)報(bào)告、系 統(tǒng)描述文件、系統(tǒng) 安全設(shè)計(jì)方案、自 查或上次等級(jí)測(cè)評(píng) 報(bào)告（如果做過資 產(chǎn)或等級(jí)

9、測(cè)評(píng)）等 資料贏據(jù)查閱到的系統(tǒng) 怙況調(diào)整調(diào)查表內(nèi) 容 發(fā)放調(diào)查表洽測(cè)評(píng) 委托單位， 協(xié)助測(cè)評(píng)委托單位 填寫調(diào)查表， 收回調(diào)查結(jié)果, 根據(jù)情況確定是否 安排現(xiàn)場(chǎng)調(diào)查分析調(diào)查結(jié)果。3.工具和表單漉備3 調(diào)試測(cè)評(píng)工具“模擬被測(cè)系統(tǒng)搭 建冽評(píng)環(huán)境。 模擬測(cè)評(píng) 準(zhǔn)備和打印表單3.2.2方案編制活動(dòng)方案編制活動(dòng)的主要任務(wù)包括：測(cè)評(píng)對(duì)象確定、測(cè)評(píng)指標(biāo)確 定、測(cè)評(píng)內(nèi)容確定、工具測(cè)試方法確定、測(cè)評(píng)指導(dǎo)書開發(fā)及測(cè)評(píng) 方案編制。其中，測(cè)評(píng)對(duì)象確定與測(cè)評(píng)指標(biāo)確定兩項(xiàng)任務(wù)可以并 行實(shí)施，其他四項(xiàng)任務(wù)之間存在工作的先后次序，測(cè)評(píng)內(nèi)容確定 任務(wù)完成之后才能開始后續(xù)任務(wù)。這六項(xiàng)任務(wù)可采用如圖4所示 的工作流程： 識(shí)別減嵯統(tǒng)等

10、級(jí) 識(shí)別被剜系統(tǒng)的整體結(jié) 構(gòu) 識(shí)別被測(cè)系統(tǒng)的邊界 識(shí)別被測(cè)系統(tǒng)的網(wǎng)絡(luò)區(qū) 域 ，別被則系統(tǒng)的重要節(jié) 點(diǎn)和11務(wù)應(yīng)用 確定雙牌對(duì)象1 訓(xùn)曲解i.識(shí)別被列系統(tǒng)業(yè)務(wù)信息 和系統(tǒng)服務(wù)安全保護(hù)等 級(jí)唐擇對(duì)應(yīng)等級(jí)的ASG三 類安全要求作為測(cè)評(píng)指 標(biāo)就高原則調(diào)整多個(gè)定級(jí) 對(duì)象共用的某些物理安 全或管理安全則評(píng)指標(biāo)2,則評(píng)內(nèi)容識(shí)別每個(gè) 則評(píng)對(duì)象 對(duì)應(yīng)的測(cè) 評(píng)指標(biāo)識(shí)別每個(gè) 測(cè)評(píng)對(duì)象 又寸應(yīng)的每 個(gè)測(cè)評(píng)指 標(biāo)的測(cè)評(píng) 方法3.工具廝肪確定工具則 試的則評(píng)對(duì) 象選擇測(cè)試路 徑確定剜試工具的的人點(diǎn)4 .則明踞書 聯(lián)從已有的則 評(píng)指導(dǎo)書中 選擇與則評(píng) 對(duì)象對(duì)應(yīng)的 手冊(cè)針對(duì)沒有現(xiàn) 成測(cè)評(píng)指導(dǎo) 書的測(cè)評(píng)對(duì) 象，開發(fā)新的 刎評(píng)指

11、導(dǎo)書5 .刎評(píng)方案扁 制 描述則評(píng)項(xiàng) 目基本情況 和工作依據(jù) 描述被刑系 統(tǒng)的整體結(jié) 構(gòu)、邊畀和 網(wǎng)絡(luò)區(qū)域 描述被測(cè)系 統(tǒng)的重要節(jié) 點(diǎn)和業(yè)務(wù)面 用 描述刎評(píng)指 標(biāo) 描述測(cè)評(píng)對(duì) 象 描述則評(píng)內(nèi) 容和方法3.2.3現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)的主要任務(wù)包括：現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備、現(xiàn)場(chǎng)測(cè)評(píng)和 結(jié)果記錄、結(jié)果確認(rèn)和資料歸還。這三項(xiàng)任務(wù)之間存在工作的先 后次序，現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備任務(wù)完成之后才能開始后續(xù)任務(wù)。可采用 如圖5所示的工作流程：【最新整理，下載后即可編輯】3.3.2測(cè)評(píng)要求1.現(xiàn)場(chǎng)例評(píng)準(zhǔn)備J 現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書簽 署白 召開現(xiàn)場(chǎng)測(cè)評(píng)啟動(dòng) 會(huì), J方確認(rèn)測(cè)評(píng)方案 雙方確認(rèn)配合人 員、環(huán)境等資源 確認(rèn)信息系統(tǒng)已經(jīng) 測(cè)評(píng)

12、方案、結(jié)果記 錄表格等資料更新山2 .現(xiàn)場(chǎng)測(cè)評(píng)和結(jié)果記 錄y 依據(jù)測(cè)評(píng)指導(dǎo)書.實(shí) 施測(cè)評(píng)3 記錄測(cè)評(píng)獲取的證 據(jù)、資料等信息 匯總測(cè)評(píng)記錄,如 果需要，實(shí)施補(bǔ)充 測(cè)評(píng)。3.結(jié)果確認(rèn)削資料&召開現(xiàn)場(chǎng)測(cè)評(píng)結(jié) 束會(huì)測(cè)評(píng)委托單位確 認(rèn)測(cè)評(píng)過程中獲 取的證據(jù)和資料 的正確性，并簽字 認(rèn)皿測(cè)評(píng)人員歸還借 閱的各種資料“324報(bào)告編制活動(dòng)報(bào)告編制活動(dòng)的主要任務(wù)包括：?jiǎn)雾?xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè) 評(píng)結(jié)果判定、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析、等級(jí)測(cè)評(píng)結(jié)論形成及測(cè)評(píng)報(bào) 告編制。這六項(xiàng)任務(wù)之間存在工作的先后次序，單項(xiàng)測(cè)評(píng)結(jié)果判 定任務(wù)完成之后才能開始后續(xù)任務(wù)。3.4 等級(jí)保護(hù)測(cè)評(píng)方法3.4.1 測(cè)評(píng)方法測(cè)評(píng)采用訪談、檢查和測(cè)試三種

13、方法，測(cè)評(píng)對(duì)象是測(cè)評(píng)實(shí)施 過程中涉及到的信息系統(tǒng)的構(gòu)成成份，包括人員、文檔、機(jī)制、 軟件、設(shè)備。測(cè)評(píng)的層面涉及物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、 應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全以及安全管理。/使用測(cè)評(píng)表進(jìn)行具體檢查時(shí)，首先按詢問、查驗(yàn)、檢測(cè)等工 作方式將所有檢查項(xiàng)目分類。/所有以詢問方式檢查的項(xiàng)目，在與有關(guān)人員的談話或會(huì)議上 進(jìn)行。/所有以查驗(yàn)方式檢查的項(xiàng)目，將需要的文檔清單在檢查現(xiàn)場(chǎng) 提交給被檢查方，請(qǐng)被檢查方當(dāng)前提供并進(jìn)行查驗(yàn)。/所有需要以檢測(cè)方式檢查的項(xiàng)目，按檢測(cè)部門或設(shè)備分類后, 根據(jù)具體情況選擇檢測(cè)順序。333方法要求/ “訪談”方法：目的是了解信息系統(tǒng)的全局性。范圍一般不 覆蓋所有要求內(nèi)容。/

14、 “檢查”方法：目的是確認(rèn)信息系統(tǒng)當(dāng)前具體安全機(jī)制和運(yùn) 行的配置是否符合要求。范圍一般要覆蓋所有要求內(nèi)容。/ “測(cè)試”方法：目的是驗(yàn)證信息系統(tǒng)安全機(jī)制有效性和安全 強(qiáng)度。范圍不覆蓋所有要求內(nèi)容。3.4.4 管理要求/對(duì)人員方面的要求，重點(diǎn)通過“訪談”的方式來測(cè)評(píng)，檢查 為輔。【最新整理，下載后即可編輯】/對(duì)過程方面的要求，通過“訪談”和“檢查”的方式來測(cè)評(píng)。/對(duì)規(guī)范方面的要求，以“檢查”文檔為主，“訪談”為輔。3.5 等級(jí)保護(hù)測(cè)評(píng)中的角色和職責(zé)關(guān)系角色與職責(zé)關(guān)系如圖6所示。圖6/信息安全服務(wù)機(jī)構(gòu)：協(xié)助信息系統(tǒng)運(yùn)營(yíng)、使用單位完成等級(jí) 保護(hù)的相關(guān)工作，包括確定其信息系統(tǒng)的安全保護(hù)等級(jí)、進(jìn) 行安全需

15、求分析、安全總體規(guī)劃、實(shí)施安全建設(shè)和安全改造 等。/信息安全產(chǎn)品供應(yīng)商：開發(fā)符合等級(jí)保護(hù)相關(guān)要求的信息安 全產(chǎn)品，接受安全測(cè)評(píng)，按照等級(jí)保護(hù)相關(guān)要求銷售信息安 全產(chǎn)品并提供相關(guān)服務(wù)。/應(yīng)用軟件開發(fā)機(jī)構(gòu)：將安全控制要求與應(yīng)用軟件結(jié)合，負(fù)責(zé) 軟件開發(fā)。/信息安全等級(jí)測(cè)評(píng)機(jī)構(gòu)：協(xié)助信息系統(tǒng)運(yùn)營(yíng)、使用單位或國(guó) 家管理部門，按照國(guó)家信息安全等級(jí)保護(hù)的管理規(guī)范和技術(shù) 標(biāo)準(zhǔn)，對(duì)已經(jīng)完成等級(jí)保護(hù)建設(shè)的信息系統(tǒng)進(jìn)行測(cè)評(píng)；對(duì)信息安全產(chǎn)品供應(yīng)商提供的信息安全產(chǎn)品進(jìn)行安全測(cè)評(píng)。3.6 等級(jí)保護(hù)測(cè)評(píng)工作實(shí)施步驟3.6.1 首次會(huì)議/參加人員：主管領(lǐng)導(dǎo)、技術(shù)人員、測(cè)評(píng)機(jī)構(gòu)人員/被測(cè)評(píng)機(jī)構(gòu)工作匯報(bào)3.6.2 測(cè)評(píng)實(shí)施被測(cè)評(píng)單位派人負(fù)責(zé)測(cè)評(píng)過程聯(lián)絡(luò)和協(xié)助。3.6.3 末次會(huì)議/參加人員：主管領(lǐng)導(dǎo)、技術(shù)人員、測(cè)評(píng)機(jī)構(gòu)人員/測(cè)評(píng)機(jī)構(gòu)進(jìn)行測(cè)試情況匯報(bào)3.7 等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目組的構(gòu)成/組長(zhǎng)職責(zé)：管理測(cè)評(píng)過程、主持編制測(cè)評(píng)計(jì)劃、主持設(shè)計(jì)測(cè) 評(píng)方案、負(fù)責(zé)訪談、檢查、組織分析測(cè)評(píng)結(jié)果、主持編制測(cè)評(píng)總 結(jié)報(bào)