信息安全等级保护工作流程图

信息安全等级保护操作流程1信息系统定级1.1定级工作实施范围“关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下：（一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

（二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

（三）市（地）级以上党政机关的重要网站和办公信息系统。

（四）涉及国家秘密的信息系统（以下简称“涉密信息系统”）。

注：跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。

涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

1.2定级依据标准《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发【2003】27 号文件）《关于信息安全等级保护工作的实施意见》（公通字【2004】66号文件）《电子政务信息系统安全等级保护实施指南（试行）》（国信办【2005】25 号文件）《信息安全等级保护管理办法》（公通字【2007】43 号文件）《计算机信息系统安全保护等级划分准则》《电子政务信息安全等级保护实施指南》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评指南》1.3定级工作流程信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案• 网络拓扑调查• 资产信息调查• 服务信息调查• 系统边界调查• ……• 管理机构分析• 业务类型分析• 物理位置分析• 运行环境分析• ……• 业务信息分析• 系统服务分析• 综合分析• 确定等级• ……• 编写定级报告• ……• 协助评审审批• 形成最终报告• 协助定级备案图 1-1信息系统定级工作流程1.3.1信息系统调查信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查，全面掌握信息系统的数量、分布、业务类型、应用、服务范围、系统结构、管理组织和管理方式等基本情况。

等级保护实施流程
一、总体流程
对信息系统实施等级保护的基本流程见图1。

二、每个工作部分流程
1、信息系统定级阶段的工作流程见图2。

图1 信息系统安全等级保护实施的基本流程
输入 输出 主要过程 图2 信息系统定级阶段工作流程
2、总体安全规划阶段的工作流程见图3。

图3 总体安全规划工作流程 输入 输出
主要过程
3、实施阶段的工作流程见图4。

主要过程
输入输出
图4 安全设计与实施流程图
4、安全运行与维护阶段的工作流程见图5。

图5 安全运行与维护阶段的主要过程
输入 主要过程
输出
5、信息系统终止阶段的工作流程见图6。

输入主要过程输出
图6 信息系统终止阶段的工作流程
三、主要过程及其活动输出
注：* 标注的输出文件为比较重要的文件。

等级保护工作流程首先确定单位有哪些符合定义的信息系统需要做等级保护工作。

(注:计算机信息系统computer information system ：计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

)1、根据本单位实际情况，对照《信息系统安全保护等级定级指南》对本单位的信息系统做自行评估。

填写《定级报告》与《信息系统备案表》（可用“备案信息录入工具”生成）【建议：对临时系统（如某课题网站或某活动网站）以及没有重要数据的办公系统（如图书借阅系统，辅助教学平台等）定为一级；对有重要数据的内部系统（如一卡通系统，财务系统等）与对外门户网站定为二级或二级以上；其中信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害的，如被多次侵入的门户网站招生系统等，应当定为三级。

(另：根据《中华人民共和国刑法修正案（七）》第九条第一款，违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

)】附《定级报告（模板）》《信息系统备案表（模版）》2、将《定级报告》以及“备案信息录入工具”生成的“.doc”文件（“备案单位表_备案单位名称.doc”“备案系统表_备案系统名称.doc”）各打印两份；然后将以上的文件与“备案信息录入工具”生成的“.rar”（备案信息_备案单位名称_系统名称_系统产生的随机数.rar）文件一并压缩成一个“.rar”文件（命名格式为：备案单位名称-备案资料.rar）3、将两份打印文件盖单位公章后连同一份上一步生成的“备案单位名称-备案资料.rar”文件统一提交当地公安局网络监察部门备案；之后将“备案单位名称-备案资料.rar”与《信息安全责任部门和人员上报表》（关于在教育系统开展信息系统安全等级保护工作的通知-附件）统一提交江苏省教育管理信息中心备案。

等保服务内容及报价一、信息安全等级保护服务流程及内容信息安全等级保护服务分为定级备案咨询、安全建设规划、安全等级现状测评、信息系统安全整改咨询和信息安全等级测评五个阶段，各阶段工作内容如下：1. 定级备案咨询阶段：通过定级对象分析、定级要素分析，初步确定系统保护等级，协助召开定级专家咨询会议，确定系统保护等级，协助撰写定级报告、协助联络公安机关，完成定级备案工作。

2. 安全建设规划阶段：协助建设单位按照同步规划、同步建设、同步运行的原则，做好项目建设的安全规划。

3. 安全等级现状测评阶段：详实调研业务系统，了解系统边界、功能、服务范围、涉及部门、重要程度，全面进行差距分析和脆弱性评估；找出不足之处和安全漏洞，为等级保护体系设计提供客观依据；将根据之前的项目成果，制定合理安全管理措施和技术措施，形成等级化的信息安全保障体系。

4. 信息系统安全整改咨询阶段：依据脆弱性评估结果，弥补技术层面的安全漏洞；建立健全信息安全管理制度；根据前期信息安全保障体系设计方案，指导系统运维方落实相关安全保障措施。

5. 信息安全等级测评阶段：实施等级测评，以满足国家信息安全监管的相关政策要求。

等保服务在合同签订后1个月内完成项目的系统定级、安全建设规划。

在系统建设完成后2周内完成安全评估差距分析、整改建议等工作。

在系统整改完成后2周内完成信息安全等级测评工作，出具等保测评报告。

1定级备案咨询1.1工作内容（1）系统梳理网络拓扑调查：通过对系统网络拓扑结构的调查，确定各个网络安全域，分析网络拓扑结构安全。

资产信息调查：通过对资产信息的调查，确定系统中重要资产，比如服务器、核心交换机、边界防火墙、IDS等。

服务信息调查：通过对服务信息的调查，确定系统服务对象。

系统边界调查：通过对系统边界的调查，确定各子系统边界情况。

（2）定级对象分析业务类型分析：通过对业务类型的分析，确定各系统的重要性。

管理机构分析：通对管理机构的分析，确定安全管理机构设置的合理性。

等级保护工作正确工作流程1. 确定信息等级分类：首先，我们需要对所有的信息进行分类。

根据信息的敏感程度和重要性，我们将其分为不同的等级，例如机密、秘密和内部使用等级。

每个等级都有其相应的保护要求和措施。

2. 制定保护政策和标准：根据不同的信息等级，我们制定相应的保护政策和标准。

这些政策和标准包括访问控制、传输加密、数据备份和灾难恢复等方面的要求。

确保所有员工都了解和遵守这些政策和标准是至关重要的。

3. 建立安全培训计划：为了提高员工的安全意识和技能，我们需要定期进行安全培训。

培训内容包括信息保护政策和标准的介绍、安全操作的演示和实践，以及应急响应和报告程序的培训。

通过培训，员工将更加了解信息保护的重要性，并掌握相应的操作技能。

4. 实施访问控制措施：对于机密和秘密级别的信息，我们需要采取访问控制措施，限制只有经过授权的人员可以访问。

这包括使用强密码、多因素身份验证、访问审计和日志记录等技术手段，确保只有合法的用户能够获取敏感信息。

5. 加强网络安全防护：为了防止未经授权的访问和信息泄露，我们需要加强网络安全防护措施。

这包括建立防火墙、入侵检测系统和安全监控系统，定期进行漏洞扫描和安全评估，及时修补漏洞和升级安全补丁。

6. 定期进行安全审计：为了确保等级保护工作的有效性和合规性，我们需要定期进行安全审计。

审计的内容包括信息系统的安全性评估、访问控制的有效性检查、安全事件的跟踪和分析等。

通过安全审计，我们可以及时发现问题并采取相应的纠正措施。

7. 建立应急响应和报告机制：在发生安全事件或信息泄露时，我们需要建立应急响应和报告机制。

这包括建立紧急联系人名单、制定应急响应流程和报告程序，以及进行安全事件的调查和分析。

及时的应急响应和报告可以减少损失并避免类似事件的再次发生。

8. 定期评估和改进工作流程：为了不断提高等级保护工作的效果，我们需要定期评估和改进工作流程。

通过收集员工的反馈和建议，以及与其他组织的交流和合作，我们可以发现问题并及时改进工作流程，提高工作效率和安全性。

信息系统安全等级保护法规与依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下：1、《中华人民国计算机信息系统安全保护条例》（国务院147号令）2、《信息安全等级保护管理办法》（公通字[2007]43号）3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。