等级保护定级指南讲解

信息安全技术信息系统安全保护等级定级指南ICS35.020L 09中华人民共和国国家标准GB 17859-1999信息安全技术信息系统安全等级保护定级指南Information security technology-Classification guide for classified protection of information system2008-11-01实施__________________________________2008-06-19发布中国国家标准化管理委员会中华人民共和国国家质量监督检验检疫总局发布引言依据国家信息安全等级保护管理规定制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T 22239—2008《信息系统安全等级保护基本要求》；——国家标准《信息系统安全等级保护实施指南》；——国家标准《信息系统安全等级保护测评准则》。

本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。

信息安全技术信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。

2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分：安全（GB/T 5271.8—2001，idt ISO/IEC 2382-8：1998）GB17859 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。

前言本标准由公安部和全国信息安全标准化技术委员会提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位：公安部信息安全等级保护评估中心。

本标准主要起草人：任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。

引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T BBBBB-BBBB信息系统安全等级保护基本要求；——GB/T CCCCC-CCCC信息系统安全等级保护实施指南；——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。

本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。

信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。

2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分：安全GB17859-1999 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。

3.1等级保护对象 target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。

信息系统安全等级保护定级指南(总6页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面，使用请直接删除前言本标准由公安部和全国信息安全标准化技术委员会提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位：公安部信息安全等级保护评估中心。

本标准主要起草人：任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。

引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：——GB/T BBBBB-BBBB信息系统安全等级保护基本要求；——GB/T CCCCC-CCCC信息系统安全等级保护实施指南；——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。

本标准依据等级保护相关管理文件，从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面，提出确定信息系统安全保护等级的方法。

信息系统安全等级保护定级指南1?范围本标准规定了信息系统安全等级保护的定级方法，适用于为信息系统安全等级保护的定级工作提供指导。

2规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分：安全GB17859-1999 计算机信息系统安全保护等级划分准则3术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。

网络安全等级保护定级网络安全等级保护定级指南网络安全等级保护定级是为了确保网络系统的安全性而进行的评估和分类。

本文旨在介绍网络安全等级保护定级的相关内容，包括定级原则和步骤等。

1. 定级原则网络安全等级保护定级基于以下几个原则进行：1. 安全需求分类原则：根据信息系统所承载的数据的重要性和敏感程度，将安全需求进行分类。

2. 安全风险评估原则：通过对网络系统的威胁和风险进行评估，确定其所需的安全等级保护级别。

3. 安全技术措施原则：根据网络系统的安全等级保护级别要求，采取相应的技术措施，确保系统的安全性。

4. 安全事件处理原则：针对安全事件的发生，及时采取相应的应对措施，并对其进行记录和分析。

2. 定级步骤网络安全等级保护定级的步骤包括以下几个方面：1. 安全需求分析：通过对系统的分析，确定系统的数据重要性和敏感程度，以及关键性业务的安全需求。

2. 安全风险评估：评估网络系统所面临的威胁和风险，并将其与安全要求进行对比，确定需要的安全等级保护级别。

3. 安全控制措施策划：根据安全等级保护级别要求，制定相应的安全控制措施和技术规范，以确保系统的安全性。

4. 安全等级保护定级：根据之前的分析和评估结果，确定网络系统的安全等级保护级别，并进行定级。

5. 定级报告编制：根据定级结果，编制定级报告，详细记录网络系统的安全等级保护级别和相应的控制措施。

6. 定级监督和评估：定期对网络系统进行评估和监督，确保安全等级保护的有效性和持续性。

通过以上步骤，网络系统可以根据其安全需求和风险水平，确定相应的安全等级保护定级，并采取相应的安全措施，确保系统的安全性。

定级报告和定期的监督评估是确保网络系统安全的重要手段。

网络安全等级保护定级指南网络安全是当今社会发展中的一个重要议题，随着互联网的普及和信息技术的飞速发展，网络安全问题日益突出。

为了有效保护网络安全，各国纷纷制定了相关的网络安全等级保护定级指南，以便对网络安全进行科学、系统的评估和管理。

本文将就网络安全等级保护定级指南进行详细介绍，以便读者对网络安全等级保护定级有更深入的了解。

首先，网络安全等级保护定级指南是针对不同的网络系统和信息系统进行评估和定级的指导性文件。

它主要包括了网络安全等级保护的基本概念、评估方法和等级划分标准。

通过对网络系统和信息系统的风险分析和安全性能评估，将其划分为不同的等级，以便对其进行分类管理和保护。

其次，网络安全等级保护定级指南的主要内容包括了网络系统和信息系统的基本要素、安全保护等级的划分标准、安全性能评估方法和等级保护管理要求。

在网络系统和信息系统的基本要素中，主要包括了系统的功能、结构、数据和业务特征等方面的描述，以便对系统进行全面的了解。

而安全保护等级的划分标准则是根据系统的安全需求和安全风险进行划分，以便对系统进行等级保护。

安全性能评估方法则是通过对系统的安全性能进行全面的评估，以便确定系统的安全等级。

而等级保护管理要求则是对系统进行等级保护管理的具体要求，包括了等级保护的组织管理、技术管理和安全保护措施等方面的要求。

最后，网络安全等级保护定级指南的实施对于保障网络安全具有重要的意义。

通过对网络系统和信息系统进行科学、系统的评估和管理，可以有效地提高网络系统和信息系统的安全性能，减少网络安全风险，保护国家的网络安全。

因此，各国都应该高度重视网络安全等级保护定级指南的实施，加强网络安全等级保护工作，共同维护网络安全。

综上所述，网络安全等级保护定级指南是对网络系统和信息系统进行评估和定级的指导性文件，它具有重要的意义。

通过对网络系统和信息系统的科学、系统的评估和管理，可以有效地提高网络系统和信息系统的安全性能，减少网络安全风险，保护国家的网络安全。

教育行业信息系统安然等级庇护定级工作指南〔试行〕1 总那么本指南依据国家信息安然等级庇护相关政策和尺度，结合教育行业信息化工作的特点和具体实际，对教育行业信息系统进行分类，提出安然等级庇护的定级思路，给出建议等级，明确工作流程。

本指南适用于各级教育行政部分及其直属事业单元、各级各类学校的非涉密信息系统安然等级庇护定级工作。

信息系统的定级工作应在信息系统设计阶段完成，与信息系统建设同步实施。

2 定级依据中华人民共和国计算机信息系统安然庇护条例〔国务院第147号令〕信息系统安然等级庇护定级指南〔GB/T 22240-2021〕信息系统安然等级庇护实施指南〔GB/T 25058-2021〕关于开展全国重要信息系统安然等级庇护定级工作的通知〔公信安〔2007〕861号〕信息安然等级庇护打点方法〔公通字〔2007〕43号〕3 信息系统的类型划分信息系统的类型划分是进行信息系统安然等级划分的前提和根底。

按照信息系统的主管单元、业务对象、摆设模式对教育行业信息系统进行分类，形成信息系统分类表〔附件1〕。

3.1按信息系统主管单元划分按照信息系统主管单元的不同，信息系统分为“教育行政部分及其直属事业单元信息系统〞〔简称“部分信息系统〞〕和“学校信息系统〞两类。

部分信息系统可分为教育部机关及其直属事业单元信息系统〔部级系统〕、省级教育行政部分及其直属事业单元信息系统〔省级系统〕、地市级教育行政部分及其直属事业单元信息系统〔市级系统〕和区县级教育行政部分及其直属事业单元信息系统〔县级系统〕；学校信息系统可分为重点建设类高等学校信息系统〔I类〕、高等学校信息系统〔Ⅱ类〕、中小学校〔含中职中专院校〕信息系统〔Ⅲ类〕。

3.2按信息系统业务对象划分按照信息系统业务对象不同，部分信息系统可分为政务打点类、学校打点类、学生打点类、教师打点类、综合效劳类；学校信息系统可分为校务打点类、教学科研类、招生就业类、综合效劳类。

3.3按信息系统摆设模式划分按照信息系统的摆设模式，信息系统可以分为内部系统和统一运行系统。

网络安全等级保护定级指南
网络安全等级保护是指企业、组织或其他安全机构采用某种等级标准来评估他们的网
络安全程度的评估方法。

它的实施使企业或组织能够依据安全等级、业务规模以及所处行
业的不同，依据定级规则建立网络安全保护机制，实施网络安全管理及安全技术，使网络
更加安全可靠。

1、企业级别：以企业或组织业务规模、行业属性及影响程度为主要依据，提出具有
行业特性的安全等级保护定级。

2、类型级别：根据公司使用的关键资源情况，以及安全强度要求程度提出的不同的
安全等级保护定级。

二、安全等级定级流程
1、内部环境调查：在进行安全等级定级之前，应首先对企业内部安全环境的情况进
行深入的调研与了解，分析可能出现安全风险的原因或者缺陷或者潜在威胁，研究影响网
络安全的安全系统，确定包括资产保护、机密性及完整性能力等安全性要求。

2、外部环境调研：完成内部环境调查后，还需要研究企业或组织所处市场的外部环
境及行业水平，分析网络安全外部能力的相关指标，以及认证认可、监管及合作机制等，
来确定网络安全等级标准。

3、安全等级定级：根据企业及其它安全机构对安全风险的评估，确定网络安全等级，采用不同的安全等级保护定级标准，以满足企业及其他安全机构对安全要求的不同程度。

4、安全等级监测：实施完安全等级定级后，要对安全等级进行有效的监测和评估，
及时发现可能的安险风险，对风险进行充分的评估，以确保网络安全等级的可靠性。

3、安全管理规定：网络安全等级定级标准中，还要规定企业安全管理规定，重点规
定如何实施有效的网络安全管理，以及如何实施安全技术，以便企业能够更加有效的实现
网络安全可靠性。