技术白皮书
信息安全等级保护
编号
版本
V1.0
编制
谭伟伟
审核
审批
发布日期
2016.12.17
文件更改记录
日期
版本号
修订说明
修订
审核
审批
2016.12.17
V1.0
创建。
谭伟伟
目录
1简介 1
2分级 1
3实施原则 1
4备案 2
5办理 2
6定期测评 2
7
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
规范 3
7.1十大重要标准 3
7.2其他相关标准 3
8相关书籍 4
8.1《信息安全等级保护政策培训教程》 4
1 简介
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程,信息安全等级保护简称等保。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
两个层面:安全技术、
安全管理
企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理
。
2 相关法律法规
《信息安全等级保护管理办法》
3 分级
信息安全等级保护共划分为五个等级。
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
4 实施原则
根据《信息系统安全等级保护实施指南》精神,手册上明确了以下基本原则:
自主保护原则:信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
重点保护原则:根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
同步建设原则:信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
动态调整原则:要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
5 备案
第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
6 办理
办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和
管理制度
档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载
;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术
检测
工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训
评估报告;
(六)信息系统安全保护等级专家评审
意见
文理分科指导河道管理范围浙江建筑工程概算定额教材专家评审意见党员教师互相批评意见
;
(七)主管部门审核批准信息系统安全保护等级的意见。
7 定期测评
依据《信息安全等级保护管理办法》第十四条规定,第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
8 标准规范
8.1 十大重要标准
计算机信息系统安全等级保护划分准则(GB 17859-1999)(基础类标准)
信息系统安全等级保护实施指南(GB/T 25058-2010)(基础类标准)
信息系统安全保护等级定级指南(GB/T 22240-2008)(应用类定级标准)
信息系统安全等级保护基本要求(GB/T 22239-2008)(应用类建设标准)
信息系统通用安全技术要求(GB/T 20271-2006)(应用类建设标准)
信息系统等级保护安全设计技术要求(GB/T 25070-2010)(应用类建设标准)
信息系统安全等级保护测评要求(GB/T 28448-2012)(应用类测评标准)
信息系统安全等级保护测评过程指南(GB/T 28449-2012)(应用类测评标准)
信息系统安全管理要求(GB/T 20269-2006)(应用类管理标准)
信息系统安全工程管理要求(GB/T 20282-2006)(应用类管理标准)
8.2 其他相关标准
GB/T 21052-2007 信息安全技术信息系统物理安全技术要求
GB/T 20270-2006 信息安全技术网络基础安全技术要求
GB/T 20271-2006 信息安全技术信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术操作系统安全技术要求
GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求
GB/T 20984-2007 信息安全技术信息安全风险评估规范
GB/T 20985-2007 信息安全技术信息安全事件管理指南
GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南
GB/T 20988-2007 信息安全技术信息系统灾难恢复规范
9 相关书籍
9.1 《信息安全等级保护政策培训教程》
书名:信息安全等级保护政策培训教程
作者:公安部信息安全等级保护评估中心编著
ISBN 978-7-121-10885-3
出版日期:2010年6月
定价:45.00元
开本:16开
页码:292 页