等保1.0政策规范概述

1.为什么要实施等级保护：
■国家信息安全形势严峻（敌对*），针对基础信息系统的违法犯罪持续上升（网上诈骗、入侵、网上盗窃）
■维护国家安全的需求（基础信息网络【互联网、电信网、广电网】及重要信息系统【银行、铁路、电力、海关】已经成为国家的关键基础设施）
■信息安全是非传统安全（防火防盗等）
2.为什么要实施等级保护：
■国家信息安全的基本制度，是国策。做不做不能商量，怎么做可以商量
■开展信息安全的基本方法，促进国家信息化的根本保证
3.实施等级保护的目的：
■明确信息安全重点、干活时突出重点、把钱用在重点建设上
■有利于同步建设、协调发展、优化信息安全资源配置、明确信息安全的责任、推动信息安全产业的发展
4.*部门开展信息安全等级保护的依据
警察法规定：监督、管理、计算机信息系统的安全保护工作
国务院147号令：*部主管等保工作，等级保护的具体办法由*部会同有关部门制定*部82号令，151号令，《网络安全法》
08年国务院三定方案给*部新增等级一个职能：监督、检察、指导信息安全保护工作。
网络安全保卫局11局，省网络总队，市支队，区县大队

信息安全等级保护发展历程

*部牵头实施信息安全等级保护制度，开展了如下具体工作：
■出台了等级保护规范标准。
2004年9月，《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）
2007年6月，《信息安全等级保护管理办法》（公通字[2007]43号）
■开展了等级保护基础调查工作。
2005年底，*部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》（公信安[2005]1431号）。
■开展了等级保护试点工作。
2006年6月，*部、国家保密局、国家密码管理局、国务院信息办联合下发了《关于开展信息安全等级保护试点工作的通知》（公信安[2006]573号）。
■部署开展定级工作。
2007年7月20日，*部、国家保密局、国家密码管理局、国务院信息办在北京联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议"，部署在全国范围内开展重要信息系统安全等级保护定级工作。

等级保护相关标准

等级保护主要标准：

《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（GB/T22239-2019）；
《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）；
《信息安全技术信息系统安全等级保护实施指南》（GB/T25058-2010）；
《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）。
《信息安全技术信息系统安全等级保护测评过程指南》（GB/T28449-2012）。

等级保护配套标准：

《计算机信息系统安全保护等级划分准则》（GB17859-1999）；
《信息系统通用安全技术要求》（GB/T20271）；
《网络基础安全技术要求》（GB/T20270）；
《操作系统安全技术要求》（GB/T20272）；
《数据库管理系统安全技术要求》（GB/T20273）；
《终端计算机系统安全等级技术要求》（GA/T671）；
《信息系统安全管理要求》（GB/T20269）；
《信息系统安全工程管理要求》（GB/T20282）。

等级保护相关部门的职能和义务

·代表国家制定管理规范和管理标准，组织各单位开展实施等级保护工作，开展监督、检查、指导。
2007年6月，《信息安全等级保护管理办法》（公通字2007年43号文）明确了*、保密、密码、信息化部门的职责：
①*：牵头、领导、对全国这项工作的开展进行监督指导
②保密局：负责有关保密工作的监督、检察、指导，并涉及国家秘密信息系统（军队、军工、检察院）的分级保护工作。【只是针对涉及国家秘密的信息系统】
③密码局：负责有关密码工作的监督、检查、指导
④工业和信息化部：负责各部门间的协调

等级保护级别标准

计算机信息系统安全等级保护划分准则（GB 17859-1999）
信息安全等级保护管理办法 公通字200743号 重要等级

其目的就是对信息系统安全防护体系能力的分析与确认，发现存在的安全隐患，帮助运营使用单位认识不足，及时改进，有效提升其信息安全防护水平。

等保项目过程分析

■自主定级，专家评审，主管部门审批，*机关审核
-信息系统运营使用单位或主管部门按照如下原则确定定级对象：
·起支撑作用的传输网络：内网、外网等（分区域、分节点）
·用于生产、调度、管理、指挥、作业控制、办公等目的的各类业务系统需要单独定级
·各单位网站要作为独立的定级对象
·确认负责定级的单位是否对所定级系统负有主管责任。【业务部门应主导对业务信息系统定级，运维部门（如信息中心、托管方）可以协助定级并按照业务部门的要求开展后续安全保护工作】
·具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而形成的有形实体。应避免将某个单一的系统组建（如服务器、终端、网络设备等）作为定级对象。
■定级级别
-管理办法的定级：43号文，5个等级，重要性等级
-17859里的定级技术保护等级

实际落地定级参照

·第一级信息系统：一般适用于小型私营、个体企业、中小学，乡镇所属信息系统、县级单位中一般的信息系统。
·第二级信息系统：一般适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。（区县法院、医院）
·第三级信息系统：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；*各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。（大部分定级三级）
·第四级信息系统：一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。
·第五级信息系统：一般适用于国家重要领域、重要部门中的极端重要系统。

等保技术标准概述

等级保护基本要求

等保基本要求由技术基本要求和管理基本要求组成
■技术类安全要求通常与信息系统提供的技术安全机制有关，主要是通过在信息系统中部署软硬件并正确的配置其安全功能来实现
■管理类安全要求通常与信息系统中各种角色参与的活动有关，主要是通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。

等级保护建设基本标准

信息系统安全等级保护基本要求（GB/T22239-2008）

剩余信息保护在2.0中已去掉

安全管理机构：*一般是科信

等级保护三级系统的控制类及控制项

网络安全风险

对应等保的安全技术要求

等保安全产品解析

等级保护咨询及安全产品覆盖情况–三级系统

等级保护咨询及安全产品覆盖情况–二级系统

资源控制：应该是通过认证+软件控制。

安全产品要求

全生命周期的等级保护咨询服务

服务产品名称：【等级保护咨询服务】

服务内容及成果：

等保管理与制度要求解析

三级系统——管理要求建设整改

五大块，每一块下面又有很多小点，例如：系统运维管理包含：
环境管理、
资产管理、
介质管理、
设备管理、
监控管理和安全管理中心
网络安全管理、
系统安全管理、
恶意代码防范管理、
密码管理、
变更管理、
备份与恢复管理、
安全事件处置、
应急预案管理

三级系统安全管理能力——安全管理制度

■安全管理制度：
包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。
■整改要点：
形成信息安全管理制度体系、统一发布、定期修订等。

三级系统安全管理能力——安全管理机构

■安全管理机构：
在单位的内部结构上，建立一整套从单位最高管理层到执行管理层以及业务运营层的管理结构，来约束和保证各项安全管理措施的执行。
■整改要点：信息安全领导小组与职能部门、专职安全员、定期全面安全检查、定期协调会议、外部沟通与合作等。

三级系统安全管理能力——安全管理机构

■安全管理机构：
在单位的内部结构上，建立一整套从单位最高管理层到执行管理层以及业务运营层的管理结构，来约束和保证各项安全管理措施的执行。
■整改要点：信息安全领导小组与职能部门、专职安全员，定期全面安全检查、定期协调会议、外部沟通与合作等。

三级系统安全管理能力——人员安全管理

■人员安全管理，主要涉及两方面：对内部人员的安全管理和对外部人员的安全管理。
■整改要点：
全员保密协议、关键岗位人员管理、针对不同岗位的培训计划、外部人员访问管理。

三级系统安全管理能力——系统建设管理

系统建设管理
分别从定级、设计建设实施、验收交付、测评等方面考虑，关注各项安全管理活动。

三级系统安全管理能力——系统运维管理

系统运维管理涉及日常管理、变更管理、制度化管理、安全事件处置、应急预案管理和安管中心等。