等级保护安全培训规划 《信息系统安全等级保护实施指南》 培训教材 本教材主要通过对《信息系统安全等级保护实施指南》(以下简称《实施指南》)的主要作用、内容等进行介绍,使培训人员能够清楚了解等级保护的整个实施过程,以便各项工作的开展。 1 概述 1.1 主要作用 信息安全等级保护工作的先行工作之一是“加快制定、完善管理规范和技术标准体系”,管理规范和技术标准体系是等级保护工作的基础,在《关于信息安全等级保护工作的实施意见》(公通字[2004]66 号,以下简称“66 号文件”)的职责分工和工作要求中指出: 。信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准,确定其信 息和信息系统的安全保护等级; 。信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准对新建、改 建、扩建的信息系统进行信息系统的安全规划设计、安全建设施工; 。信息和信息系统的运营、使用单位及其主管部门按照与信息系统安全保护等级相对 应的管理规范和技术标准的要求,定期进行安全状况检测评估; 。国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求,对信 息和信息系统的安全等级保护状况进行监督检查。 从上述“66 号文件”描述的内容中可以看出,信息安全等级保护工作的主要内容包括“等级确定”、“安全建设”、“安全测评”和“监督检查”等,完成上述工作的主要依据是等级保护的管理规范和技术标准。 第 1 页 共 26 页 信息安全等级保护的实施过程中涉及到的各类组织、需完成的工作以及依据的基础如下图所示: 1 主管部门运营、使用单位安全服务商监管部门系统定级安全保护检测评估监督检查技术标准管理规范 图 1-1 技术标准和管理规范的作用 除了“66 号文件”中提到的“信息和信息系统的运营、使用单位”、“国家指定信息安全监管职能部门”外,信息安全等级保护的实施过程中涉及到各类组织和人员实际还包括信息安全服务商、安全测评机构等,它们配合“信息和信息系统的运营、使用单位”、“国家指定信息安全监管职能部门”共同进行信息安全等级保护工作。 为使信息安全等级保护的实施过程中涉及到的各类组织和人员能够顺利地完成信息安全等级保护工作,需要一个技术标准为实施的各方提供指导,这个标准就是《实施指南》。 《实施指南》的主要作用包括: 1)作为系统等级保护实施的指南性文件 指导对一个信息系统实施安全等级保护的参与各方,如何在等...
