信息安全等级保护

1. 信息安全等级保护 信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上称为的一般指信息系统安全等级保护，是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。 国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 2. 信息安全等级保护工作内容 信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。如图1 所示为具体流程 。 材料不齐 定级不准 不合格 合格 合格 不合格 图1 材料齐、定级准 系统定级。信息系统运营使用单位按照《信息系统信息安全等级保护定级指南》，确定信息系统安全等级。有主管部门的，报主管部门审核批准。在申报系统新建、改建、扩建立项时须同时向立项审批部门提交定级报告。 系统备案。已运行的系统在安全保护等级确定后 30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建的系统，在通过立项申请后 30 日内办理。 颁发证书。公安机关颁发系统等级保护备案证书。 分析安全需求。对照等保有关规定和标准分析系统安全建设整改需求，可委托安全服务机构、等保技术支持单位分析。对于整改项目，还可委托测评机构通过等保测评、风险评估等方法分析整改需求。 建设整改。根据需求制订建设整改方案，按照国家相关规范和技术标准，使用符合国家有关规定，满足系统等级需求产品，开展信息系统安全建设整改。 提交报告。系统运营、使用单位向地级以上市公安机关报测评报告。...