当前位置:文档之家 › 计算机信息系统安全等级保护

计算机信息系统安全等级保护

  • 格式:ppt
  • 大小:1.92 MB
  • 文档页数:30

下载文档原格式

  / 30

合集下载

信息系统安全等级保护

信息系统安全等级保护

等级保护要求的组合
安全保护等级定级参考
1)一级,小型私营、个体企业、中小学,乡镇所属信息系统,县级单位一般的信息系统 2)二级,县级某些单位重要信息系统;地市级以上国家机关、企事业单位内部一般信息系统 (例如非涉及工作、商业秘密,敏感信息的办公系统和管理系统) 3)三级,地市级以上国家机关、企事业单位内部重要信息系统(例如涉及工作、商业秘密, 敏感信息的办公系统和管理系统)。跨省或全国联网运行的用于生产、调度、管理、控制等 方面的重要系统及在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站 4)四级,国家重要领域、重要部门中的特别重要系统以及核心系统,电力、电信、广电、税 务等 5)五级,国家重要领域、重要部门中的极端重要系统
- 在信息系统确定安全保护等级过程中,可以进行必要的业务和技术评估,组织专家进行咨询评 审。对拟确定为第四级以上的信息系统的运营、使用单位或主管部门应当邀请国家信息安全等级 保护专家评审委员会评审。
- 第二级以上信息系统由其运营使用单位到所在地设区的市级以上公安机关办理备案手续。隶属 于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部 门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统, 应当向当地设区的市级以上公安机关备案。
▪ 《涉及国家秘密计算机信息系统安全保密
涉方密案信设计息指系南》统B安MB全23-保20障08 建设 ▪指《管南涉 理及 规国 范》家B秘M密B计20算-2机0信07息系统分级保护
▪ 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007
▪ 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
等级保护的主要工作流程

计算机信息系统安全等级保护通用技术要求

计算机信息系统安全等级保护通用技术要求

计算机信息系统安全等级保护通用技术要求
计算机信息系统安全等级保护通用技术要求(以下简称《通用技术要求》)是中国国家信息安全等级保护测评中用于计算机信息系统安全等级保护测评的技术要求标准。

该标准由中华人民共和国公安部发布,是针对计算机信息系统的安全性进行评估和测试的技术规范。

《通用技术要求》主要从安全需求分析和评估、系统安全设计、系统安全实施与配置、系统安全管理和维护等方面提出了具体要求。

下面是《通用技术要求》的一些主要内容:
1. 安全需求分析和评估:要求对计算机信息系统的安全需求进行全面评估,并根据评估结果确定相应的安全等级。

2. 系统安全设计:要求根据安全等级要求进行系统的安全设计,包括系统边界的划定、安全策略的制定、访问控制的实施等。

3. 系统安全实施与配置:要求在系统实施和配置过程中,采取相应的安全措施,确保系统组件和设备的安全性,同时对系统进行安全审计。

4. 系统安全管理和维护:要求建立完善的系统安全管理和维护机制,包括系统安全管理组织机构的建立、用户管理、安全事件管理等。

《通用技术要求》还提出了具体的技术要求和测试方法,以保证计算机信息系统在不同安全等级下的安全性。

同时,根据具
体的系统类型和安全等级要求,还可以参考其他相关技术规范进行细化和补充。

总之,计算机信息系统安全等级保护通用技术要求是对计算机信息系统安全进行评估和测试的技术标准,通过满足这些要求,可以确保计算机信息系统在不同安全等级下的安全性。

信息系统安全等级保护定级要素

信息系统安全等级保护定级要素

信息系统安全等级保护定级要素信息系统安全等级保护是指根据信息系统的重要性和敏感程度,将其划分为不同的安全等级,并采取相应的安全保护措施。

信息系统安全等级保护定级要素主要包括保护对象、保护标准、保护措施和保护责任。

一、保护对象保护对象是指需要进行安全保护的信息系统。

信息系统可以是计算机系统、通信系统、数据库系统等各种形式的信息处理系统。

在进行等级保护定级时,需要明确保护对象的边界,确定需要纳入保护范围的要素,如硬件设备、软件系统、网络设备、数据等。

二、保护标准保护标准是根据信息系统的特点和需求,确定信息系统安全等级的基本依据。

保护标准主要包括安全性、可用性、完整性和可控性等几个方面。

安全性是指信息系统在面临各种威胁和风险时能够保持不受损害的能力;可用性是指信息系统在需要时能够正常使用的能力;完整性是指信息系统的数据和功能能够保持完整和正确的能力;可控性是指信息系统能够按照规定的政策和流程进行管理和控制的能力。

三、保护措施保护措施是指采取的技术和管理手段来保障信息系统的安全。

保护措施主要包括物理安全、网络安全、系统安全和数据安全等方面。

物理安全是指通过门禁、监控等手段,保护信息系统的硬件设备免受物理攻击和破坏;网络安全是指通过防火墙、入侵检测系统等技术手段,保护信息系统的网络免受网络攻击和恶意访问;系统安全是指通过操作系统和应用软件的安全配置和漏洞修复,保护信息系统的软件系统免受恶意代码和攻击;数据安全是指通过加密、备份和权限控制等手段,保护信息系统中的数据不被非法获取和篡改。

四、保护责任保护责任是指各个相关方在信息系统安全等级保护中应承担的责任和义务。

保护责任主要包括政府责任、企业责任和个人责任。

政府在信息系统安全等级保护中应制定相应的法律法规和政策,对信息系统进行监管和管理;企业在信息系统安全等级保护中应建立健全的安全管理体系,为信息系统提供安全保障;个人在信息系统安全等级保护中应遵守相关规定,不泄露机密信息,不进行非法操作。

GB 17859-1999 计算机信息系统 安全等级保护划分准则

GB 17859-1999 计算机信息系统 安全等级保护划分准则

GB 17859-1999计算机信息系统安全保护等级划分准则Classified criteria for security protection ofComputer information system1999-09-13发布 2001-01-01实施 国家质量技术监督局 发布ICS35.020L 09中华人民共和国国家标准GB 17859-1999前言(略)中华人民共和国国家标准计算机信息系统GB 17859-1999安全保护等级划分准则Classified criteria for securityprotection of computer information system1范围本标准规定了计算机信息系统安全保护能力的五个等级,即:第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级;本标准适用于计算机信息系统安全保护技术能力等级的划分.计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。

2引用标准下列标准所包含的条文,通过在标准中引用而构成本标准的条文。

本标准出版时,所示版本均为有效。

所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。

GB/T5271 数据处理词汇3定义出本章定义外,其他未列出的定义见GB/T5271。

3.1 计算机信息系统 computer information system计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

3.2计算机信息系统可信计算基 trusted computing base of computer information system计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。

它建立了一个基体的保护环境并提供一个可信计算系统所要求的附加用户服务。

计算机信息系统等级保护二级

计算机信息系统等级保护二级

计算机信息系统等级保护二级
计算机信息系统等级保护是指根据我国《中华人民共和国网络
安全法》和《计算机信息系统安全保护等级保护管理办法》的规定,对计算机信息系统按照其重要程度和安全性要求进行分级保护的制度。

根据《办法》,计算机信息系统等级保护分为四个等级,分别
是一级、二级、三级和四级,其中一级为最低级别,四级为最高级别。

对于计算机信息系统等级保护二级,它主要适用于对国家重要
部门、重要行业和关键领域的计算机信息系统进行保护。

具体来说,对于等级保护二级的计算机信息系统,需要具备以下特点和要求:
1. 安全保护措施更加严格,相较于一级保护,二级保护需要在
网络安全、数据安全、系统安全等方面采取更加严格的措施,确保
系统的安全性和完整性。

2. 风险防范能力更强,二级保护的计算机信息系统需要具备更
强的风险防范和应急响应能力,能够及时发现和应对各类安全威胁
和攻击。

3. 信息安全管理更加规范,对于二级保护的系统,需要建立健
全的信息安全管理制度,包括权限管理、日志审计、安全培训等,
以确保系统的安全运行。

4. 安全保护技术更先进,二级保护的系统需要采用更加先进的
安全保护技术,包括加密技术、访问控制技术、安全认证技术等,
以提高系统的安全性和可靠性。

总的来说,计算机信息系统等级保护二级需要在安全保护措施、风险防范能力、信息安全管理和安全保护技术等方面达到更高的要求,以确保系统能够抵御各种安全威胁和风险,保障系统的安全稳
定运行。

计算机信息系统安全等级保护

计算机信息系统安全等级保护

计算机信息系统安全等级保护随着计算机技术的不断发展和应用,计算机信息系统的安全性问题也日益突出。

为了保护计算机系统中的信息不受到未经授权的访问、篡改、破坏等威胁,人们开始关注和研究计算机信息系统的安全等级保护。

计算机信息系统安全等级保护是一种综合的安全保护措施,旨在保护计算机系统的各种信息资产免受来自内部和外部的威胁。

它主要包括安全等级划分、安全需求分析、安全设计、安全实施和安全评估等方面的内容。

安全等级划分是计算机信息系统安全等级保护的第一步。

根据信息系统的重要性和安全风险,将其划分为不同的安全等级,以确定不同等级的安全需求和保护措施。

安全等级划分应该基于风险评估和安全需求分析,综合考虑信息的保密性、完整性和可用性等要素。

安全需求分析是计算机信息系统安全等级保护的核心环节。

通过分析各个安全等级的需求,确定信息系统的安全目标和安全要求。

安全需求分析要考虑信息的保密性、完整性、可用性、可审计性、抗攻击性等多个方面,确保信息系统在各个安全等级下能够满足相应的安全需求。

然后,安全设计是计算机信息系统安全等级保护的关键环节。

在进行安全设计时,需要根据安全需求分析的结果,确定安全控制措施和技术手段,以保证信息系统在各个安全等级下的安全性。

安全设计包括网络安全设计、访问控制设计、数据加密设计等多个方面,要综合考虑系统的整体安全性和易用性。

接着,安全实施是计算机信息系统安全等级保护的具体操作。

在进行安全实施时,需要按照安全设计的要求,对信息系统进行安全配置、安全部署、安全测试等操作,以确保系统在运行过程中的安全性。

安全实施包括安全设备的部署、安全策略的执行、安全培训的开展等多个方面,要全面考虑系统的各个环节和要素。

安全评估是计算机信息系统安全等级保护的重要环节。

通过对信息系统的安全性进行评估,可以发现系统的安全漏洞和风险,为系统的安全优化提供依据。

安全评估包括安全漏洞扫描、安全漏洞修复、安全事件响应等多个方面,要及时发现和解决系统存在的安全问题。

信息系统安全等级保护标准体系

信息系统安全等级保护标准体系信息系统安全等级保护标准体系是指根据《中华人民共和国网络安全法》和《信息系统安全等级保护管理办法》,结合国家信息安全等级保护标准,对信息系统按照其承载信息的重要性和保密等级,划分为不同的安全等级,并对不同安全等级的信息系统提出相应的安全保护要求和措施的一套标准体系。

信息系统安全等级保护标准体系的建立和实施,对于保障国家重要信息基础设施和关键信息系统的安全运行,维护国家安全和社会稳定,具有重要意义。

首先,信息系统安全等级保护标准体系的建立,能够有力地提高国家信息系统的整体安全水平。

通过对信息系统进行安全等级划分和分类管理,可以根据信息系统承载的信息重要性和保密等级,有针对性地制定相应的安全保护要求和措施,从而有效地提高信息系统的安全性和可靠性。

其次,信息系统安全等级保护标准体系的建立,有利于加强对关键信息基础设施和关键信息系统的保护。

针对国家重要信息基础设施和关键信息系统,可以通过严格的安全等级划分和保护要求,加强对其安全运行的监测和管理,有效地防范和应对各类网络安全威胁和风险,确保其安全稳定运行。

此外,信息系统安全等级保护标准体系的建立,有助于促进信息系统安全保护工作的规范化和标准化。

通过统一的安全等级划分标准和保护要求,可以使各类信息系统的安全保护工作更加规范和标准化,为相关安全管理和技术人员提供明确的指导和依据,提高安全管理工作的科学性和有效性。

总的来说,信息系统安全等级保护标准体系的建立和实施,对于提高信息系统整体安全水平,加强关键信息基础设施和关键信息系统的保护,促进安全保护工作的规范化和标准化,都具有重要意义和价值。

希望各相关单位和部门能够充分重视信息系统安全等级保护标准体系的建设和实施,切实加强对信息系统安全的管理和保护,共同维护国家信息安全和社会稳定。

计算机信息系统安全保护等级划分准则

计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则是指根据信息系统的重要性和保密性等级,对信息系统进行等级划分,并按照相应的安全保护要求进行安全保护的规范。

在信息化时代,计算机信息系统的安全保护至关重要,不仅关乎国家安全和社会稳定,也关系到个人隐私和财产安全。

因此,制定和实施计算机信息系统安全保护等级划分准则对于保障信息系统安全具有重要意义。

首先,计算机信息系统安全保护等级划分准则需要根据信息系统的重要性和保密性等级进行划分。

信息系统的重要性可根据其对国家安全、经济发展、社会稳定等方面的影响程度来评定,而保密性等级则是根据信息系统所涉及的信息的机密程度来划分。

根据不同的等级划分,可以对信息系统的安全保护要求进行相应的规范,以确保信息系统的安全性。

其次,计算机信息系统安全保护等级划分准则需要明确不同等级信息系统的安全保护要求。

对于不同等级的信息系统,其安全保护要求也会有所不同。

一般来说,高等级的信息系统需要具备更严格的安全保护要求,包括严格的访问控制、完善的安全审计、可靠的数据备份和恢复机制等。

而对于低等级的信息系统,安全保护要求则相对较低,但也不能忽视安全保护的必要性。

此外,计算机信息系统安全保护等级划分准则还需要明确不同等级信息系统的安全保护措施。

针对不同等级的信息系统,需要采取相应的安全保护措施来确保其安全性。

这些安全保护措施包括加密通信、安全接入控制、恶意代码防护、安全审计和监控等方面的措施。

通过采取这些安全保护措施,可以有效地提高信息系统的安全性,防范各类安全威胁和风险。

最后,计算机信息系统安全保护等级划分准则需要建立健全的安全管理制度和安全保护责任制。

安全管理制度是保障信息系统安全的重要基础,它包括安全策略、安全标准、安全流程和安全管理措施等方面的内容。

同时,建立健全的安全保护责任制也是确保信息系统安全的关键,只有明确各方的安全保护责任,才能有效地推动安全保护工作的落实。

信息系统安全等级保护(一级)基本要求


(G1)
统等;
b) 应规定备份信息的备份方式、备份频度、存储介质、保存
期等。
48
安 全 事 件 处 置 a) 应报告所发现的安全弱点和可疑事件,但任何情况下用户
(G1)
均不应尝试验证弱点;
b) 应制定安全事件报告和处置管理制度,规定安全事件的现
场处理、事件报告和后期恢复的管理职责。
(G1)
录的日常维护和报警信息分析和处理工作;
b) 应定期进行网络系统漏洞扫描,对发现的网络系统安全漏
洞进行及时的修补。
45
系 统 安 全 管 理 a) 应根据业务需求和系统安全分析确定系统的访问控制策
(G1)
略;
b) 应定期进行漏洞扫描,对发现的系统安全漏洞进行及时的
修补;
c) 应安装系统的最新补丁程序,并在安装系统补丁前对现有
进、带出机房和机房环境安全等方面的管理作出规定。
41
资产管理(G1) 应编制与信息系统相关的资产清单,包括资产责任部门、重
要程度和所处位置等内容。
42
介质管理(G1) a) 应确保介质存放在安全的环境中,对各类介质进行控制和
保护;
b) 应对介质归档和查询等过程进行记录,并根据存档介质的
目录清单定期盘点。
c) 应确保提供软件设计的相关文档和使用指南。
36
工程实施(G1) 应指定或授权专门的部门或人员负责工程实施过程的管理。
37
测试验收(G1) a) 应对系统进行安全性测试验收;
b) 在测试验收前应根据设计方案或合同要求等制订测试验收
方案,在测试验收过程中应详细记录测试验收结果,并形成 测试验收报告。
问;
b) 应限制默认帐户的访问权限,重命名系统默认帐户,修改 这些帐户的默认口令;

计算机信息系统安全等级保护通用技术要求

计算机信息系统安全等级保护通用技术要求计算机信息系统安全等级保护通用技术要求是指国家对计算机信息系统安全等级保护的基本要求和具体规定,旨在保护计算机信息系统的安全性和可靠性,防止信息泄露和被非法获取、篡改、破坏等风险。

下面将从不同的方面介绍这些通用技术要求。

一、计算机信息系统安全等级保护的基本概念和原则1. 安全等级划分:根据信息系统的重要性和对安全性的要求,将计算机信息系统划分为不同的安全等级,如一级、二级、三级等。

2. 安全等级保护的原则:信息系统安全等级保护应遵循适度性原则、综合性原则、风险可控原则和动态性原则。

二、计算机信息系统安全等级保护的基本要求1. 安全保密要求:对于不同的安全等级,要求对信息进行保密,包括数据的存储、传输和处理过程中的保密措施。

2. 安全完整性要求:信息系统应能够保证数据的完整性,防止被篡改或损坏。

3. 安全可用性要求:信息系统应保证在合法使用的范围内,能够及时、准确地提供服务。

4. 安全可控性要求:信息系统应具备对用户和系统进行有效控制的能力,确保安全控制的有效性和可操作性。

5. 安全可追溯性要求:信息系统应能够记录用户和系统的操作行为,以便追溯和审计。

6. 安全可恢复性要求:信息系统应具备故障恢复和灾难恢复的能力,确保系统在遭受破坏或故障后能够快速恢复正常运行。

三、计算机信息系统安全等级保护的具体技术要求1. 访问控制技术要求:对信息系统的用户进行身份认证和权限控制,确保只有经过授权的用户才能访问系统和数据。

2. 加密技术要求:对敏感数据进行加密,包括数据的存储、传输和处理过程中的加密措施。

3. 安全审计技术要求:对信息系统的操作行为进行审计和监控,及时发现和应对安全事件。

4. 安全保护技术要求:对信息系统进行防火墙、入侵检测和防护等技术措施,防止网络攻击和恶意代码的侵入。

5. 安全管理技术要求:建立健全的安全管理制度和流程,包括安全策略、安全培训和安全漏洞管理等。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
► 2004年公安部等四部委《关于信息安全等级保护工 作的实施意见》(公通字[2004]66号)也指出,信 息安全等级保护制度是国家在国民经济和社会信息 化的发展过程中,提高信息安全保障能力和水平, 维护国家安全、社会稳定和公共利益,保障和促进 信息化建设健康发展的一项基本制度。
等级保护内涵
►对国家秘密信息、法人和其他组织及公民的 专有信息以及公开信息和存储、传输和处理 这些信息的信息系统分等级实行安全保护 (最主要)
等级保护发展过程
► 2003年中央办公厅、国务院办公厅转发的《国家信 息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号)中明确指出:“要重点保护 基础信息网络和关系国家安全、经济命脉、社会稳 定等方面的重要信息系统,抓紧建立信息安全等级 保护制度,制定信息安全等级保护的管理办法和技 术指南”。

安等等等 全级级级 方保保保 案护护护 详管技安 细理术全 涉实实测 及施施评

运 行 管 理 和 控 制
变 更 管 理 和 控 制
安 全 状 态 监 控
全 事 件 处 置 和 应 急 预
安 全 检 查 和 持 续 改 进
等 级 保 护 安 全 测 评
等 级 保 护 监 督 检 查

系 统 识 别 和 描 述
项目成果-电子政务系统等级划分 -大社保系统平台
序号
系统名称
1 南海区社会保险管理信息系统
三性安全等级 系统安
保密性 完整性 可用性 全等级 等级 等级 等级
3
3
3
3
2 南海区民政局业务系统
2
2
2
2
3
南海区社会保障(市民)卡业务 系统
2
2
2
2
4 大社保平台数据中心系统
2
3
2
3
5 南海区社会保险公共服务系统
2
2
2
2
项目成果-电子政务系统等级划分
序号
系统名称
三性安全等级
保密性 完整性 可用性 等级 等级 等级
系统安 全等级
1 南海区基金收费非税收入系统 2
3
2
3
2 南海区会计结算中心业务系统 2
3
2
3
3 狮山镇财务结算中心系统
2
2
2
2
4 南海区统计局基层统计系统
2
2
2
2
实施的解决方案的内容
► 管理体系建设 南海区电子政务安全组织管理办法 南海电子政务网络系统安全规范 南海电子政务互联网服务安全规范 南海电子政务安全业务系统接入规范 南海电子政务系统等级安全措施指标 南海电子政务信息安全应急预案 南海区电子政务安全运行维护作业计划
等级保护案例简介
背景简介
佛山市南海区是我国电子政务发展最早的地区 之一,被国务院办公厅确定为“国家电子政务试 点示范工程”基地。
南海电子政务应用系统的建设覆盖了全区各级 政府部门, 许多部门通过电子政务平台实现数据 共享和数据交换,如何确保在保障信息安全的基 础上,进一步实现电子政务系统之间的互连互通 是进行等级保护工作的重要内容,因此选择南海 区做为电子政务系统试点,有着重要的意义。
面向社会
自主保护级
安全保护划分
第五级:访问验证保护级(专控保护级)
适用于一般的信息系统,其受到破坏后,会,但不损害国家安全、社会秩序和公共利益。
第四级:结构化保护级(强制保护级) D
适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造 成轻微损害,但不损害国家安全。
►对信息系统中使用的信息安全产品实行按等 级管理
►对发生的信息安全事件按照等级进行响应和 处理等。
安全保护划分
►将计算机信息系统按照其在国家安全、经济
建设、社会生活中的重要程度,划分为5个不 同级别,安全保护要求由高至低依次为:
专控保护级(国家保密部门负责实施)
强制保护级
监督保护级 指导保护级
第一级:用户自主保护级 A
安全保护实施过程
局部调整
安全定级 安全规划设计
安全实施 安全运行维护
系统终止
重大变化
安全保护实施过程
安全定级
安安 全全 规定 划级 实施
安全定 实级 施
安安 全全 运定 行级 维护
安 系全 统定 终级 止
系 统 识 别 和 描 述
信安 息全 系等 统级 划确 分定
安 安全安 全体全 需系建 求总设 分体规 析设划
等级保护发展过程
► 1994年国务院颁布的《中华人民共和国计算机信息 系统安全保护条例》规定,“计算机信息系统实行 安全等级保护,安全等级的划分标准和安全等级保 护的具体办法,由公安部会同有关部门制定”。
► 1999年,公安部正式发布信息系统安全等级保护的 国家标准GB17859-1999,将计算机信息系统的安全 级别明确划分为5级并且提出了具体要求,这5级由 高至低依次为:访问验证保护级、结构化保护级、 安全标记保护级、系统审计保护级、用户自主保护 级。GB17859-1999为等级保护奠定了基础。
项目内容
南海等级化服务项目
系统调查与评估 资产调查
电子政务 系统等级划分
定级规范
应用与业务调查
系统风险和安全 措施调查
调查系统定级
分域保护框架 建设对象 分域设计
网络调整方案
总体安全建议 体系和规划建议
建议方案和 管理规范
安全组织 管理办法
项目报告
评估加固方案
项目成果-南海电子政务分域保护对象框架
信 息 系 统 划 分
安 全 等 级 确 定
安全保护实施过程
启动阶段
设计开发阶段
实施阶段
系统定级
安全规划设计
安全实施
运行维护阶段
废弃阶段 信息系统生命周期
安全运行维护
系统终止
新建信息系统安全等级保护实施


系全安 全
统规全 运
定划实 行
级设施 维


系统终止
现有信息系统安全等级保护实施
安全保护等级确定
第三级:安全标记保护级(监督保护级) C
适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到 破坏后,会对国家安全、社会秩序和公共利益造成损害。
第二级:系统审计保护级(指导保护级) B
适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到 破坏后,会对国家安全、社会秩序和公共利益造成严重损害。
安全保护等级确定
►信息系统的重要性由以下四个要素决定,其 中第一、二个要素决定信息系统内信息资产 的重要性,第三、四个要素决定信息系统所 提供服务的重要性,而信息资产及信息系统 服务的重要性决定了信息系统的重要性。
信息系统所属类型,即信息系统资产的安全利益主体 信息系统主要处理的业务信息类型 信息系统服务范围,包括服务对象和服务网络覆盖范围 业务对信息系统的依赖程度