信息系统等级保护公安部信息安全等级保护评估中心

格式：pptx
大小：104.68 KB
文档页数：18

下载文档原格式

信息系统安全等级保护测评过程及方法

10
等测特点
执行主体：符合条件的测评机构执行的强制性：管理办法强制周期性执行执行对象：已绊定级的信息系统测评依据：依据《基本要求》测评内容：单元测评（技术和管理）和整体测评测评付出：丌同级别的测评力度丌同测评方式：访谈、检查和测试服务对象：主管部门，运维、使用单位，信息安全监管部门判定准则：满足业务需求
二者共同指导等级测评工作。
48
《测评过程指南》目彔
目彔说明
一级目彔二级目彔三级目彔
×××活劢
×××活劢的工作流程 ×××活劢的主要仸务 ×××活劢的输出文档 ×××活劢中双方的职责
×××（仸务名称）
四级目彔
×××
具体内容
具体仸务描述
49
主要章节的描述结构
过程
活劢仸务
仸务项
—等级测评过程
35
单元测评－网络层面
网络层面构成组件负责支撑信息系统迚行网络互联，为信息系统各个构成组件迚行安全通信传输，一般包括网络设备、连接线路以及它们构成的网络拓扑等。
测评对象：
网络互联设备网络安全设备网络管理平台相应设计/验收文档，设备的运行日志等
36
单元测评－系统层面
系统层面主要是指主机系统，构成组件有服务器、终端 /工作站等计算机设备，包括他们的操作系统、数据库系统及其相关环境等
洞令扫更
本升
档管
…
记描换级理
相应表栺相应操作记彔
41
策略
制度操作规程
记彔
整体测评
安全控制点间层面间区域间
42
安全控制点间
同一层面内丌同安全控制乊间存在的功能增强（补充）或削弱等关联作用。
物理访问控制不防盗窃和防破坏身仹鉴别不访问控制身仹鉴别不安全审计

信息安全等级保护制度的主要内容和工作要求

码部门监管，造成信息系统出现重大安全事故的，要追究单位和人员的责任。
二、等级保护政策体系和标准体系
（一）信息安全等级保护政策体系
近几年，公安部根据国务院147号令的授
权，会同国家保密局、国家密码管理局、发
改委、原国务院信息办出台了一些文件，公
安部和省厅对有些具体工作出台了一些指导意见和规范，构成了信息安全等级保护政策体系。汇集成《信息安全等级保护工作汇编》供有关单位、部门使用。
信息安全等级保护制度的
主要内容和工作要求
目
录
一、信息安全等级保护制度的主要内容二、信息安全等级保护政策、标准体系三、等级保护工作的具体内容和工作要求
一、等级保护制度的主要内容
（一）国家为什么要实施信息安全等级保护制度
1.信息安全形势严峻
◆敌对势力的入侵、攻击、破坏
◆针对基础信息网络和重要信息系统的违法犯罪持续上升 ◆基础信息网络和重要信息系统安全隐患严重
（三）等级保护制度的地位和作用
是国家信息安全保障工作的基本制度、基
本国策。
是开展信息安全工作的基本办法。是促进国家信息化、维护国家信息安全的
根本保障。
一、等级保护制度的主要内容
（四）实施等级保护制度的主要目的
◆明确重点、突出重点、保护重点 ◆有利于同步建设、协调发展。
◆
优化信息安全资源的配置。
一、等级保护制度的主要内容
2、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）规定：要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制
度，制定信息安全等级保护的管理办法和

信息安全等级保护评估中心.

– 公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害。
2018/9/24
16
定级阶段-关于行业定级指导意见
对客体的侵害不是威胁直接作用的结果，而是通过对等级保护对象——信息系统的破坏而导致的，因此确定对客体侵害的程度时，必须考虑对等级保护对象所造成破坏的不同客观表现形态以及不同程度的结果，也就是侵害的客观方面。
2018/9/24
5
公安部信息安全等级保护评估中心
实施指南描述特点
阶段
– 过程
• 活动 – 子活动
公安部信息安全等级保护评估中心
例如: 信息系统定级
– 信息系统分析
• 系统识别和描绘 – 识别信息系统的基本信息 – 识别信息系统的管理框架 – … 信息系统划分
6
•
2018/9/24
定级阶段
2018/9/24
9
定级阶段-关于行业定级指导意见
行业定级指导意见的意义：
– 贯彻四部委会签的《管理办法》
公安部信息安全等级保护评估中心 – 阐明本行业实施等级保护工作的政策和方针 – 制定本行业定级工作的阶段计划 – 统一本行业对定级要素赋值规范
2018/9/24
10
定级阶段-关于行业定级指导意见
28
识别业务种类、流程和服务
21
公安部信息安全等级保护评估中心
–
满足信息系统的基本要素
2018/9/24
定级阶段-关于定级对象确定
一、定级对象的三个条件承载相对独立的业务应用
公安部信息安全等级保护评估中心
– 定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以使完整的业务流程的一部分。

信息安全

重要信息系统保护人员培训指南（Critical Information Infrastructure Protection Training：CIIPT)（V1.0）公安部信息安全等级保护评估中心二〇一一年九月0 前言随着我国信息化建设步伐的加快，信息系统建设已经达到了一个相当的规模，这些系统中承载着我国各行业的重要业务，正发挥越来越重要的作用，成为我国的关键信息基础设施（Critical Information Infrastructure）（或称为“重要信息系统”）。

这些关键信息基础设施的安全保护（Critical Information Infrastructure Protection：CIIP）越来越成为人们关注的焦点，其安全保护水平直接关系到我国公众利益、经济秩序和国家安全。

我国在信息安全保障方面正在全面实施信息安全等级保护制度，通过制度来保障我国重要信息系统的安全，通过制定一系列的政策、法规和标准，对重要信息系统的安全建设提出了明确的要求和指导意见。

信息安全等级保护制度需要信息系统的相关人员来实施，因此，人员培训是信息安全各项措施能否落实的关键。

中办发[2003]27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》中提出了“加快信息安全人才培养，增强全民信息安全意识”的指导精神，强调了信息安全人才培养的重要性。

为了保障重要信息系统的安全建设和运行维护，重要信息系统的相关人员需要深入理解等级保护政策、标准和工作方法。

因此，有必要围绕重要信息系统的安全保护开展针对运营使用单位、安全服务提供商、IT行业相关人员的培训工作，在各部门、各行业中广泛开展和普及等级保护相关政策、标准、要求和方法。

让更多的人意识到等级保护制度对于我国重要系统安全稳定运行的重要性，并严格依据国家相关要求在信息系统规划设计、工程实施、运行维护和测评自查等各个环节中保障各项安全措施的贯彻落实。

公安部信息安全等级保护评估中心（以下简称“评估中心”）是由公安部为建立信息安全等级保护制度，构建国家信息安全保障体系而专门批准成立的专业技术支撑机构，目前，受国家信息安全等级保护工作协调小组办公室委托，正在开展信息安全等级测评师的培训、考试和发证工作。

公安部信息系统安全等级保护证书

公安部信息系统安全等级保护证书公安部信息系统安全等级保护证书: 从简到繁，由浅入深的探讨一、引言信息系统安全是当今社会面临的一个重要挑战。

随着技术的发展和数字化的进程，人们越来越依赖各种信息系统来处理和存储数据。

黑客和网络攻击者的技术也在不断进步，给信息系统带来了巨大的安全风险。

公安部信息系统安全等级保护证书应运而生，为保护国家的信息资产和保障社会的稳定起到了重要的作用。

本文将对公安部信息系统安全等级保护证书进行全面评估和深入探讨，以便读者能够全面、深刻和灵活地理解该证书的意义和背景。

二、公安部信息系统安全等级保护证书概述公安部信息系统安全等级保护证书是一种由中国公安部颁发的，对信息系统安全等级进行评估和认证的证书。

该证书可以证明一个信息系统在安全性能、可信度和可用性方面已经通过了严格的安全等级评估。

公安部信息系统安全等级保护证书由五个等级组成，分别为一级至五级，级别越高代表系统的安全性能越高。

获得该证书对于政府机构、金融机构以及其他关键信息系统的所有者来说，是一种重要的认可和信任。

三、公安部信息系统安全等级保护证书的重要性和价值1. 信息系统的安全性是保障国家安全的重要一环。

在当今信息化社会，各个国家都面临着来自黑客、网络攻击者以及各种内外部威胁的挑战。

公安部信息系统安全等级保护证书的出现，能够对信息系统进行权威的评估和认证，提高系统的安全性能，保护国家的信息资产和关键基础设施不受攻击和破坏。

2. 公安部信息系统安全等级保护证书是信息系统服务提供商和政府机构的信任凭证。

对于信息系统服务提供商来说，获得公安部信息系统安全等级保护证书可以证明其系统的安全性能达到了一定标准，增加了客户对其服务的信任度。

对于政府机构来说，通过使用获得该证书的信息系统，可以提高自身的安全保障水平，保护重要数据和信息的安全。

3. 公安部信息系统安全等级保护证书的出现推动了信息系统安全技术的发展和创新。

获得公安部信息系统安全等级保护证书需要满足一系列的安全要求和技术标准，这促使信息系统服务提供商和相关企业不断研发新的安全技术和解决方案，以满足评估的要求。

信息系统安全等级保护定级指南

前言本标准由公安部和全国信息安全标准化技术委员会提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位：公安部信息安全等级保护评估中心。

本标准主要起草人：任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。

引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T BBBBB-BBBB信息系统安全等级保护基本要求；——GB/T CCCCC-CCCC信息系统安全等级保护实施指南；——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。

本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。

信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。

2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分：安全GB17859-1999 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。

3.1等级保护对象 target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。

中关村信息安全测评联盟信息系统安全等级保护测评能力验证活动在京举行

主任，ＣＮＡＳ￣力验证处韩京城副处长，ＣＮＡＳ检验机构处刘丽东副处长等领导
莅临现场参观指导。本次能力验证活动是信息安全检测检验领域内的一次规模空前的盛会，来自全国２９个省市、自治区的１２１家联盟成员和２２家ＣＮＡＳ认可的检验机构，共计１４３家单位参加了本次活动，几乎汇集了国内该领域的全部专业技术力量。本次能力验证也是在公安部网络安全保卫局及各地公安机关指导下的一次大比武和大练兵，是对信息安全等级测评队伍技术能力和实战水平的一次全面检验。联盟将通过能力验证进一步规范信息系统安全测评方法和结果的一致性，及时发
防护，且用户可按需任意扩展，动态部署和迁移部署，从而可节省约
８０％的运维成本。据悉， “ 山石云・格 ”已经在政府工业园区、商业银行等不同行业用户的典型场景进行了前期验证测试，用户均给予了良
此次科来提供的ＵＰＭ业务性能管理解决方
息安全领域的能力认定与体系建设的新模式，为我国网络与信息安全队伍建设和能力建设做出重要贡献。中关村信息安全测评联盟是在公安部网络安全保卫局指导下以国家信息安全等级保护测评体系为基础建立的社会团体。经过
多年的不懈努力，联盟已经成长为一支战斗在网络与信息安全一线的不可忽视的技术力量。经初步统计，联盟已完成了近万个信息系统的安全测评，涵盖了电信、广电、能源、交通、水利、金融等各个行业，涉及生产作业、指挥调度、管理控制和公众服务等各个业务类型，在国家基础网络和重要信息系统安全保护工作中发挥了不可替代的作用。联盟将继续努力，不断提升自身的技术能力和服务水平，以构建我国最具权威的信息安全测评体系为目标，继续为实现国家网络与信息安全战略做出重要贡献。

信息安全技术—网络安全等级保护基本要求

信息安全技术—网络安全等级保护基本要求
2019年实施的中国国家标准
01 制定过程
03 内容范围 05 意义价值
目录
02 标准目次 04 引用文件
《信息安全技术—网络安全等级保护基本要求》（GB/T 22239-2019）是2019年12月1日实施的一项中国国家标准，归口于全国信息安全标准化技术委员会。
标准目次
参考资料：
ቤተ መጻሕፍቲ ባይዱ
内容范围
《信息安全技术—网络安全等级保护基本要求》（GB/T 22239-2019）规定了第一级到第四级等级保护对象的安全保护的基本要求，每个级别的基本要求均由安全通用要求和安全扩展要求构成。
安全要求细分为技术要求和管理要求。其中技术要求部分为“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”；管理要求部分为“安全管理制度”、“安全管理机构”、 “安全管理人员”、“安全建设管理”、“安全运维管理”，两者合计共分为10大类。
《信息安全技术—网络安全等级保护基本要求》（GB/T 22239-2019）规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。该标准适用于指导分等级的非涉密对象的安全建设和监督管理。
制定过程
1
修订背景
2
编制进程
3
修订依据
4
修订情况
5
起草工作
《信息安全技术—信息系统安全等级保护基本要求》（GB/T22239-2008）在中国推行信息安全等级保护制度的过程中起到了非常重要的作用，被广泛应用于各个行业或领域指导用户开展信息系统安全等级保护的建设整改、等级测评等工作。但是随着信息技术的发展，采用新技术、新应用构建的云计算平台、移动互联接入、物联网、工业控制系统和大数据应用等系统的大量出现，已有10年历史的这三项标准在时效性、易用性、可操作性上需要进一步修订完善。同时，2017年6月1日，《网络安全法》正式实施，进一步明确了网络安全等级保护制度的法律地位，网络安全等级保护对象、保护措施要求、范围等都发生了很大的变化，需要修订原来的标准，以适应网络安全等级保护制度要求。

信息系统安全等级保护实施指南

目次前言 (III)引言 (IV)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 等级保护实施概述 (1)4.1 基本原则 (1)4.2 角色和职责 (1)4.3 实施的基本流程 (2)5 信息系统定级 (4)5.1 信息系统定级阶段的工作流程 (4)5.2 信息系统分析 (4)5.2.1 系统识别和描述 (4)5.2.2 信息系统划分 (5)5.3 安全保护等级确定 (6)5.3.1 定级、审核和批准 (6)5.3.2 形成定级报告 (6)6 总体安全规划 (7)6.1 总体安全规划阶段的工作流程 (7)6.2 安全需求分析 (8)6.2.1 基本安全需求的确定 (8)6.2.2 额外/特殊安全需求的确定 (9)6.2.3 形成安全需求分析报告 (9)6.3 总体安全设计 (10)6.3.1 总体安全策略设计 (10)6.3.2 安全技术体系结构设计 (10)6.3.3 整体安全管理体系结构设计 (11)6.3.4 设计结果文档化 (12)6.4 安全建设项目规划 (12)6.4.1 安全建设目标确定 (13)6.4.2 安全建设内容规划 (13)6.4.3 形成安全建设项目计划 (14)7 安全设计与实施 (15)7.1 安全设计与实施阶段的工作流程 (15)7.2 安全方案详细设计 (16)7.2.1 技术措施实现内容设计 (16)7.2.2 管理措施实现内容设计 (16)7.2.3 设计结果文档化 (17)7.3 管理措施实现 (17)7.3.1 管理机构和人员的设置 (17)7.3.2 管理制度的建设和修订 (17)7.3.3 人员安全技能培训 (18)7.3.4 安全实施过程管理 (18)7.4 技术措施实现 (19)IGB/T XXXX –XXXX7.4.1 信息安全产品采购 (19)7.4.2 安全控制开发 (20)7.4.3 安全控制集成 (20)7.4.4 系统验收 (21)8 安全运行与维护 (22)8.1 安全运行与维护阶段的工作流程 (22)8.2 运行管理和控制 (23)8.2.1 运行管理职责确定 (23)8.2.2 运行管理过程控制 (24)8.3 变更管理和控制 (24)8.3.1 变更需求和影响分析 (24)8.3.2 变更过程控制 (25)8.4 安全状态监控 (25)8.4.1 监控对象确定 (25)8.4.2 监控对象状态信息收集 (26)8.4.3 监控状态分析和报告 (26)8.5 安全事件处置和应急预案 (26)8.5.1 安全事件分级 (27)8.5.2 应急预案制定 (27)8.5.3 安全事件处置 (27)8.6 安全检查和持续改进 (28)8.6.1 安全状态检查 (28)8.6.2 改进方案制定 (29)8.6.3 安全改进实施 (29)8.7 等级测评 (29)8.8 系统备案 (30)8.9 监督检查 (30)9 信息系统终止 (30)9.1 信息系统终止阶段的工作流程 (30)9.2 信息转移、暂存和清除 (31)9.3 设备迁移或废弃 (31)9.4 存储介质的清除或销毁 (32)附录A（规范性附录）主要过程及其活动输出 (33)II前言本标准的附录A是规范性附录。

【等级保护】公安部信息安全等级保护评估中心

信息系统
3
属于党政机关，处理国家事务的信息系统
2021/5/7
2021/5/7
公安部信息安全等级保护评估中心 20 20
确定业务数据安全性
业务数据安全性等级矩阵
业务数据类型
信息系统类型
1
2
3
1
1
2
2
2
2
3
3
3
4
4
2021/5/7
2021/5/7
公安部信息安全等级保护评估中心 21 21
确定信息系统安全保护等级
2021/5/7
2021/5/7
公安部信息安全等级保护评估中心 31 31
安全目标
每一级的安全目标与威胁之间存在对应关系，每个威胁至少被一个安全目标所覆盖；反过来，每个安全目标至少覆盖一个威胁。
一级具有15个技术目标，16个管理目标；二级具有29个技术目标，25个管理目标；三级具有36个技术目标，27个管理目标；四级具有41个技术目标，28个管理目标。
2021/5/7
2021/5/7
公安部信息安全等级保护评估中心 29 29
整体保护能力--威胁分类
威胁分类
自然、环境威胁技术故障威胁人员错误恶意攻击
2021/5/7
2021/5/7
公安部信息安全等级保护评估中心 30 30
整体保护能力--威胁分级描述
不同级别对抗的威胁的种类不同
对于同类威胁，不同级别对抗的具体威胁的破坏能力也不同。
公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010234安全要求的增加安全要求的增强公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010235安全技术要求物理安全网络安全主机安全应用安全数据安全公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010236公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010237公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010238公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010239公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010240公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010241安全管理安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010242系统规划管理机构和人员政策和制度系统设计管理系统实施管理系统运维管理系统废弃管理指导限制执行监督公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010243信息系统的生命周期管理人员管理制度系统变更管理机构公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010244管理活动控制点的增加每个控制点具体管理要求的增多管理活动的能力逐步加强借鉴能力成熟度模型cmm一级非正式执行二级计划和跟踪三级良好定义四级持续改进公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010245公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010246公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010247公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010248系统定级安全风险评估安全方案设计产品采购自行开发设计外包开发设计工程实施测试验收系统交付安全测评系统备案安全服务商选择公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010249环境管理资产管理介质管理设备使用管理运行维护和监控管理网络安全管理系统安全管理恶意代码防护管理密码管理变更管理备份和恢复管理安全事件处臵应急计划管理公安部公安部信息安全信息安全等级保护等级保护评估中心评估中心公安部信息安全等级保护评估中心公安

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

2020/5/10
11
3、信息系统安全等级保护制度实施方法
公安部信息安全等级保护评估中心
计划在五年左右的时间在全国范围内分三个阶段实施信息安全等级保护制度：
1、准备阶段
2、试行阶段
3、全面实行阶段
2020/5/10
12
4、等级化系统的建设
公安部信息安全等级保护评估中心
信息系统等级的划分方法（自主评级）
2020/5/10
7
3、信息系统安全等级保护制度实施方法
公安部信息安全等级保护评估中心
首先，公安、国家保密、国家密码管理、技术监督、信息产业等国家有关信息网络安全的行政主管部门要在国家信息化领导小组的统一领导下，制定我国开展信息网络安全等级保护工作的发展政策，统一制定针对不同安全保护等级的管理规定和技术标准，对不同信息网络确定不同安全保护等级和实施不同的监督管理措施，既包括依法进行行政监督、检查和指导，也包括依据国家技术标准进行的技术检查和评估。
公安部信息安全等级保护评估中心
27号文件进一步明确了我国的基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统实行等级保护制度；
同时要求等级保护工作需要各部门根据职能分工、协同配合。
2020/5/10
3
1、等级保护是国家基本政策
公安部信息安全等级保护评估中心
贯彻27号文件积极推进信息系统等级建设
公安部信息系统安全等级保护评估
中心
朱建平
公安部信息安全等级保护评估中心
公安部信息系统安全等级保护评估
中心
目录
1 等级保护是国家基本政策 2 建立国家信息安全等级保护机制 3 信息系统安全等级保护制度实施方法 4 等级化系统的建设
1、等级保护是国家基本政策
2020/5/10
6
2、建立国家信息安全等级保护机制
公安部信息安全等级保护评估中心
4．结果控制：建立非盈利并能够覆盖全国的系统安全等级保护的执法检查与评估体系，使用统一标准和工具开展系统安全等级保护检查评估工作。
5．监督管理：公安机关依法行政，督促安全等级保护责任制的落实，以等级保护标准监督、检查、指导基础信息网络和重要信息系统安全等级保护建设、管理。对安全等级技术产品实行监管，对监测评估机构实施监管。政府其他职能部门应当认真履行职责，依法行政，按职责开展信息安全等级保护专项制度建设工作，完善信息安全监督体系。
实施步骤：
业务影响分析、划分子系统确定子系统边界确定安全保护等级子系统间访问关系的模型化安全风险分析与控制措施调整确定系统保护安全计划系统等级和安全计划的批准
2020/5/10
13
5 等级化系统的建设
公安部信息安全等级保护评估中心
等级保护第一级
第一级安全的信息系统具备对信息和系统进行基本保护的能力。
在技术方面，第一级要求设置基本的安全功能，使信息免遭非授权的泄露和破坏，能保证基本安全的系统服务。
在安全管理方面，第一级要求根据机构自身安全需求，为信息系统正常运行提供基本的安全管理保障。
2020/5/10
145 等级化系统的建设源自公安部信息安全等级保护评估中心
等级保护第二级
第二级安全的信息系统具备对信息和系统进行比较完整的系统化的安全保护能力。
2020/5/10
8
3、信息系统安全等级保护制度实施方法
公安部信息安全等级保护评估中心
其次，等级保护坚持“谁主管、谁负责；谁经营、谁负责；谁建设、谁负责；谁使用、谁负责。”的原则。
2020/5/10
9
3、信息系统安全等级保护制度实施方法
公安部信息安全等级保护评估中心
第三，等级保护实行“国家主导；重点单位强制，一般单位自愿；高保护级别强制，低保护级别自愿”的监管原则。
2020/5/10
5
2、建立国家信息安全等级保护机制
公安部信息安全等级保护评估中心
1．法律规范：国家制定和完善信息安全等级保护政策、法律规范以及组织实施规则和方法,完善信息安全保护法律体系；
2．管理与技术规范：制定符合国情的标准,建立等级保护体系；
3．实施过程控制：明确落实系统拥有者的安全责任制，系统拥有者按法律规定和安全等级标准的要求进行信息系统的建设和管理，并承担应急管理责任，在信息系统生命周期内进行自管、自查、自评，建立安全管理体系。安全产品的研发者提供符合安全等级标准要求的技术产品。
在技术方面，第二级要求采用系统化的设计方法，实现比较完整的安全保护，并通过安全审计机制，使其它安全机制间接地相连接，使信息免遭非授权的泄露和破坏，保证一定安全的系统服务。
在安全管理方面，第二级要求建立必要的信息系统安全管理制度，对安全管理和执行过程进行计划、管理和跟踪。根据实际安全需求，明确机构和人员的相应责任。
2020/5/10
10
3、信息系统安全等级保护制度实施方法
公安部信息安全等级保护评估中心
第四，信息网络安全状况等级的技术检测是等级保护的重点。
由国家授权的技术检测机构通过技术检测来进行评定。技术检测机构需取得国家主管部门的技术资质和授权后，方可从事信息网络安全等级保护的技术检测。
2020/5/10
4
2、建立国家信息安全等级保护机制
公安部信息安全等级保护评估中心
国家实行信息安全等级保护，必须紧紧抓住抓好五个关键环节，形成长效信息安全等级保护运行机制。国家信息安全等级保护制度运行机制有以下关键环节构成：
1．法律规范
2．管理与技术规范
3．实施过程控制
4．结果控制
5．监督管理。
信息安全等级保护是《中华人民共和国计算机信息系统安全保护条例》规定的法定保护制度，具有强制性；
第二是以国家制度推进信息和信息系统安全保护责任的落实；
第三是符合客观实际，具有科学性；第四是具有自我保护与国家保护相结合的长效保护机
制；第五是突出保护重点，国家优先重点保护涉及国计民
生的信息系统，国家基础信息网络和重要信息系统内分级重点保护三级以上的局域网和子系统安全；第六是具有整体保护性，在突出重点，兼顾一般的原则下，着重加强重点、要害部位,由点到面进行保护，逐步实现信息安全整体保障。