国家信息安全等级保护制度的主要内容和要求

三、等级保护工作的具体内容和要求
（一）信息安全等级保护定级工作 信息系统定级原则：“自主定级、
公 专家评审、主管部门审批、公安机关审 核”。具体可按照《关于开展全国重要信
安 息系统安全等级保护定级工作的通知》 （公通字[2007]861号）要求执行。
部 定级工作流程：确定定级对象、确 定信息系统安全保护等级、组织专家评审、 主管部门审批、公安机关审核。
安 级、备案、安全建设整改、等级测评、自 查等工作，并接受公安机关等部门的监督、
部 指导。有主管部门的，主管部门要督促、 检查、指导本行业、本部门信息系统运营 使用单位开展信息安全等级保护工作。
一、等级保护制度的主要内容
安全服务机构
公
信息安全企业，信息系统安全集成商、
安 等级测评机构等安全服务机构，依据国 家有关管理规定和技术标准，开展技术
负责信息安全等级保护工作组织领导，
安 制定本地区、本行业开展信息安全等级保
护的工作部署和实施方案，并督促有关单
部 位落实，研究、协调、解决等级保护工作
中的重要工作事项，及时通报或报告等级 保护实施工作的相关情况。
一、等级保护制度的主要内容
信息安全职能部门
公
公安机关负责信息安全等级保护工作
的监督、检查、指导，是等级保护工作的
部 信息安全人才培养； 保证信息安全资金； 信息安全工作的领导，信息安全责任制。
网络与信息安全主要对策
公 安
部
加强组织领导，提高信息安全保障工作 的组织协调能力。
深化开展等级保护工作，提高网络主动 防御能力。
加强实时监测和分析研判，提高网络安 全的发现预警能力。
加强应急演练，提高网络应急处置能力。
查、指导信息安全等级保护工作”。
目录
一、信息安全等级保护制度的主要
公
内容
二、信息安全等级保护政策体系和
安
标准体系
部 三、信息安全等级保护工作的具体
内容和要求
国家信息安全保障工作主要内容
信息安全等级保护制度； 信息保护和网络信任体系建设；
公 信息安全监控体系； 信息安全应急处理；
安 信息安全技术研究，信息安全产业发展； 信息安全法制建设和标准化建设；
三、等级保护工作的具体内容和要求
安 牵头部门。国家保密工作部门负责等级保 护工作中有关保密工作的监督、检查、指
导。国家密码管理部门负责等级保护工作
部 中有关密码工作的监督、检查、指导。工
业和信息化及地方信息化领导小组办事机
构负责等级保护工作的部门间协调。
一、等级保护制度的主要内容
信息系统运营使用单位及其主管部门
公 信息系统运营使用单位按照等级保护 的管理规范和技术标准，开展信息系统定
在
安
公 安 部
等 级 保 护 有 关 标 准
全 建 设 整 改 工 作 中 的
作
用
二、等级保护政策体系和标准体系
基础标准：
公 《计算机信息系统安全保护等级划
分准则》。 在此基础上制定出技术
安 类、管理类、产品类标准。
安全要求：
部 《信息系统安全等级保护基本要求》
信息系统安全等级保护的行业规范
二、等级保护政策体系和标准体系
加强信息通报机制建设，提高信息通报 和共享能力。
建立多方参与机制，有效发挥各方力量。
近年来等级保护工作成效
（一）重要行业、部门对网络安全重要性的 认识明显提高，对网络安全的重视程度明
公 显提高。 （二）重要行业、部门以等级保护工作为抓
安 手，全面系统地开展网络安全工作，有力 提升了国家信息安全保障水平和能力。
部 支持、服务等工作，并接受监管部门的
监督管理。
一、等级保护制度的主要内容
专家组
公 宣传等级保护相关政策、标准； 指 导备案单位研究拟定贯彻实施意见和建设 规划、技术标准的行业应用；参与定级和
安 安全建设整改方案论证、评审；协助发现
树立典型、总结经验并推广；跟踪国内外
部 信息安全技术最新发展，开展等级保护关
等 级 保 护 专 号项 ）监 督 检 查
工
（《
试公
行安
） 》 （
机 关
公 信 安
信 息 安
全
等
级
保
号 ）
护 检
查
工
作
规
范
《信息安全等级保护管理办法》（公通字[2007]43 号）
《关于信息安全等级保护工作的实施意见》（公通字[2004]66 号）
《中华人民共和国计算机信息系统 《国家信息化领导小组关于加强信息安 安全保护条例 》（国务院 147 号令） 全保障工作的意见》（中办发[2003]27 号）
（四）等级保护制度的特点
公 紧迫性。信息安全滞后于信息化发展。
全面性。内容涉及广泛，各单位各部门落实。
安 基础性。基本制度、基本国策。 部 强制性。公安机关监督、检查、指导。
规范性。政策和标准保障。
一、等级保护制度的主要内容
（五）等级保护工作中的职责分工
公 等级保护工作协调（领导）小组
部
成了信息安全等级保护政策体系。 汇集成《信息安全等级保护政策
汇编》供有关单位、部门使用。
定级
备案
信息安全等级保护工作
安全建设整改
等级测评
检查
等
公级 保 护 工
安作 配 套 政
部策 体 系
[2007]861
[2008]736 [2010]1175 [2009]1487 [2010]303 [2008]2071 [2009]1429
国家信息安全等级保护制度 的主要内容和要求
公
安
公安部 网络安全保卫局 郭启全
部
全国公安机关网络安全保卫部门 机构和职责
机构：公安部：网络安全保卫局
公
各省：网络警察总队 地市：网络警察支队
区县：网络警察大队
安 职责：制定信息安全政策
互联网安全管理，网上监控
部
打击网络犯罪
重要系统安全监察
网络与信息安全通报
键技术研究；研究提出完善等级保护政策 体系和技术体系的意见和建议。
一、等级保护制度的主要内容
（六）开展等级保护工作的基本要求 各单位、各部门，按照“准确定级、严格
公 审批、及时备案、认真整改、科学测评” 的要求开展等级保护的定级、备案、整改、 测评等工作。
安 公安机关要及时开展监督检查，严格审查 信息系统所定级别，严格检查信息系统开 展备案、整改、测评等工作。
公安机关开展等级保护的依据
1.《中华人民共和国人民警察法》规定
公
：人民警察履行“监督管理计算机信 息系统的安全保护工作”的职责。
2.国务院令第147号规定：“公安部主
安 管全国计算机信息系统安全保护工作
”，“等级保护的具体办法，由公安
部
部会同有关部门制定”。 3.2008年国务院三定方案。“监督、检
公
级保护制度 1.信息安全形势严峻
安
敌对势力的入侵、攻击、破坏 针对基础信息网络和重要信息系统的
违法犯罪持续上升
部 基础信息网络和重要信息系统安全隐
患严重
一、等级保护制度的主要内容
2. 是维护国家安全的需要
公 基础信息网络与重要信息系统已成为
国家关键基础设施，必须要保护好。
安 信息安全是国家安全的重要组成部分。
部 对故意将信息系统安全级别定低，逃避公 安、保密、密码部门监管，造成信息系统 出现重大安全事故的，要追究单位和人员 的责任。
二、等级保护政策体系和标准体系
（一）信息安全等级保护政策体系
公
近几年，公安部根据国务院147号 令的授权，会同国家保密局、国家密
码管理局、发改委、原国务院信息办
安
出台了一些文件，公安部对有些具体 工作出台了一些指导意见和规范，构
（二）信息安全等级保护标准体系
公
多年来，在有关部门支持下，在国 内有关专家、企业的共同努力下，全
国信息安全标准化技术委员会和公安
安 部信息系统安全标准化技术委员会组
织制订了信息安全等级保护工作需要
部
的一系列标准，形成了比较完整的信 息安全等级保护标准体系。汇集成
《信息安全等级保护标准汇编》供有
关单位、部门使用。
安 [2009]1487号） 10、《公安机关信息安全等级保护检查工作 规范》（公信安[2008]736号 ）
部 11、《关于开展信息安全等级保护专项监督 检查工作的通知》（公信安[2010]1175号） 12、《关于进一步推进中央企业信息安全等 级保护工作的通知》（公通字[2010]70号）
二、等级保护政策体系和标准体系
部 （三）通过对信息系统开展等级测评，及时 发现了信息系统的安全隐患、漏洞和薄弱 环节，初步掌握了重要信息系统安全保护 状况。
近年来等级保护工作成效
（四）通过开展信息安全等级保护安全
公
建设整改，重要信息系统安全防护能 力显著增强，信息安全事件（事故）
数量明显下降。
安 （五）重要行业、部门以等级保护工作
为核心，创造出具有行业特点的网络
部 与信息安全保障工作模式。
等级保护工作经验
领导重视是根本
公
充分发挥行业主管部门作用是 关键
安
突出工作重点是有效对策 充分调动多方力量是重要保障
部 加强服务指导是科学方法
公安机关开展监督检查是重要 手段
一、等级保护制度的主要内容
（一）国家为什么要实施信息安全等
安
全
号 ）
建 设 整
作家
的电
通子
知政
》 （ 发 改 高 技
务 工 程 建 设 项
目
信
改
息
工
安
Байду номын сангаас
号开 《
）展 关
等于
级推
测动
评信
工息
作安
的全
通等
知级
》 （
保 护
公测
信评
安体
系
建
设
和
行关
） 》 的 通
于 印 发 《
知信
（息
公系
信统
安安
全
等
级
测
评
号报
）告
模
版 （
试
作《 》关 的于 通开 知展 （信 公息 信安 安全
（三）信息安全等级保护的内涵
公 是世界各国普遍推行的基本做法 是在吸收发达国家经验基础上的创新
安 是我国最全面的信息安全保障政策体系 体现了我国加强信息安全保障工作的原则
部 解决了不同安全需要下的安全保护问题
体现了安全建设和管理模式的重大变革 是在发展中逐步完善的政策体系
一、等级保护制度的主要内容
部 6、《关于做好信息安全等级保护测评机构审 核推荐工作的通知》（公信安[2010]559号）
7、《关于加强国家电子政务工程建设项目 信息安全风险评估工作的通知》（发改高 技[2008]2071号）
8、《关于推动信息安全等级保护测评体系 建设和开展等级测评工作的通知》（公信
公 安[2010]303号）。 9、《关于印发〈信息系统安全等级测评报 告模版（试行）〉的通知》（公信安
1、《关于信息安全等级保护工作的实施意见》 （公通字[2004]66号）
2、《信息安全等级保护管理办法》（公通字 [2007]43号）
公 3、《关于开展全国重要信息系统安全等级保 护定级工作的通知》（公通字[2007]861号） 4、《信息安全等级保护备案实施细则》（公
安 信安[2007]1360号） 5、《关于开展信息系统等级保护安全建设整 改工作的指导意见》（公信安[2009]1429号）
系统等级：
公
《信息系统安全等级保护定级指南》 信息系统安全等级保护行业定级细则
方法指导：
安 《信息系统安全等级保护实施指南》 《信息系统等级保护安全设计技术要求》
部 现状分析： 《信息系统安全等级保护测评要求》
《信息系统安全等级保护测评过程指南》
二、等级保护政策体系和标准体系
在应用有关标准中需注意的几个问题： 1、《基本要求》是阶段性目标，《信息系
公 统等级保护安全设计技术要求》是实现该 目标的方法和途径之一。
安 2、《基本要求》中不包含安全设计和工程 实施等内容，因此应参照《信息系统等级 保护安全设计技术要求》等标准进行。
部 3、重点行业可以按照《基本要求》等国家 标准，结合行业特点和特殊安全需求，在 公安部等有关部门指导下，制定行业标准 规范或细则。
级《
工关
作于
的开
通展
知全
》 （ 公 通 字
国 重 要 信 息
系
统
安
全 号等 ）级
保
护
定
[2007]1360
《 信 息 安 全 号等 ）级 保 护 备 案 实 施 细 则 》 （ 公 信 安
作 《 号全 《
的 关 ）风 关
指于 险于
导开 评加
意展 估强
见信 工国
》 （ 公 信 安
息 系 统 等 级
保
护
信息安全的本质是信息对抗、技术对
部 抗，是网络空间的政治斗争。
一、等级保护制度的主要内容
（二）国家对等级保护制度的要求
公
《中华人民共和国计算机信息系统安全保护条例》 （国务院第147号令）
安
《国家信息化领导小组关于加强信息安全保障工作的意见》 （中办发[2003]27号）
部
《关于信息安全等级保护工作的实施意见》 （公通字[2004]66号）
2008年国务院“三定”方案中，增加了公安部职能： 监督、检查、指导信息安全等级保护工作。
一、等级保护制度的主要内容
确立了信息安全等级保护制度的法律
公 地位；
明确了实行等级保护是我国信息安全
安 保障工作中一项重要制度和措施；
部
赋予了公安机关牵头负责信息安全等 级保护工作监督管理的职责。
一、等级保护制度的主要内容