【正文】 1. 范圍 ? ? 3術(shù)語定義 ? 4. 等級保護(hù)實(shí)施概述 ? ? ? /實(shí)施 ? ? ? 附錄 A 主要過程及其輸出 實(shí)施指南中的主要概念 ? 階段 ? 過程 ? 主要活動 ? 子活動 ? 活動輸入 ? 活動輸出 實(shí)施指南特點(diǎn) ? 階段 ? 過程 ? 活動 ? 子活動 例如 : ? 信息系統(tǒng)定級 ? 信息系統(tǒng)分析 ? 系統(tǒng)識別和描繪 ? 識別信息系統(tǒng)的基本信息 ? 識別信息系統(tǒng)的管理框架 ? … ? 信息系統(tǒng)劃分 系統(tǒng)定級階段 實(shí)施流程 主要輸入 主要輸出 過程 系統(tǒng)立項(xiàng)文檔 系統(tǒng)建設(shè)文檔 系統(tǒng)管理文檔 信息系統(tǒng)分析 系統(tǒng)總體描述文件 系統(tǒng)詳細(xì)描述文件 安全保護(hù)等級確定 系統(tǒng)總體描述文件 系統(tǒng)詳細(xì)描述文件 系統(tǒng)安全保護(hù)等級定級建議書 目錄 ? 信息安全等級保護(hù)制度要干什么 ? 信息安全等級保護(hù)工作使用的主要標(biāo)準(zhǔn) ? 管理辦法 ? 實(shí)施指南 ? 定級指南 ? 基本要求 ? 測評要求 定級指南 ? 安全保護(hù)等級 等級的確定是不依賴于安全保護(hù)措施的，具有一定的“客觀性”，即該系統(tǒng)在存在之初便由其自身所實(shí)現(xiàn)的使命決定了它的安全保護(hù)等級，而非由“后天”的安全保護(hù)措施決定。 定級指南 標(biāo)準(zhǔn)的結(jié)構(gòu) ? 正文由 6個章節(jié)構(gòu)成 ? 1. 范圍 ? 2. 規(guī)范性引用文件 ? 3. 術(shù)語定義 ? 4. 定級原理 ? 5. 定級方法 ? 6. 級別變更 定級指南 定級原理 ? 五個等級的定義 ? 第一級 , 信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。 ? 第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。 ? 第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。 ? 第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。 ? 第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。 定級指南 定級原理 受侵害的客體 對客體的侵害程度 一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害 公民、法人和其他組織的合法權(quán)益 第一級 第二級 第二級 社會秩序、公共利益 第二級 第三級 第四級 國家安全 第三級 第四級 第五級 定級指南 定級方法 ? 確定定級對象； ? 確定業(yè)務(wù)信息安全受到破壞時所侵害的客體； ? 綜合評定業(yè)務(wù)信息安全被破壞對客體的侵害程度； ? 得到業(yè)務(wù)信息安全等級； ? 確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體； ? 綜合評定系統(tǒng)服務(wù)安全被破壞對客體的侵害程度； ? 得到系統(tǒng)服務(wù)安全等級； ? 由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者確定定級對象的安全保護(hù)等級。 可能的系統(tǒng)級別 ? 第一級 S1A1G1 ? 第二級 S1A2G2， S2A2G2， S2A1G2 ? 第三級 S1A3G3， S2A3G3， S3A3G3， S3A2G3， S3A1G3 ? 第四級 S1A4G4， S2A4G4， S3A4G4， S4A4G4， S4A3G4， S4A2G4，S4A1G4 目錄 ? 信息安全等級保護(hù)制度要干什么 ? 信息安全等級保護(hù)工作使用的主要標(biāo)準(zhǔn) ? 管理辦法 ? 實(shí)施指南 ? 定級指南 ? 基本要求 ? 測評要求 37 標(biāo)準(zhǔn)背景 ? 03年， 27號文件 進(jìn)一步明確信息安全等級保護(hù)制度 ? 04年， 66號文件 要求“盡快制定、完善法律法規(guī)和標(biāo)準(zhǔn)體系” ? 編制歷程 ? 04年 10月，接受公安部的標(biāo)準(zhǔn)編制任務(wù) ? 05年 6月，完成初稿，廣泛征求安全領(lǐng)域?qū)＜液托袠I(yè)用戶意見； ? 05年 10月，征求意見稿第一稿，國信辦、安標(biāo)委評審 ? 05年 11月，征求意見稿第三稿 ? 06年 6月，試點(diǎn)工作 ? 07年 04月，征求意見稿第四稿，安標(biāo)委專家評審 ? 07年 05月，形成報(bào)批稿 ? 08年 6月 19日，正式發(fā)布， 08年 11月 1日正式實(shí)施。 38 標(biāo)準(zhǔn)定位 ? GB 178591999的細(xì)化和發(fā)展 ? 吸收安全機(jī)制并擴(kuò)展到不同層面 ? 增加安全管理方面的內(nèi)容 ? 借鑒 PDR、 CMM、 17799 ? 關(guān)注可操作性 ? 最佳實(shí)踐 ? 當(dāng)前技術(shù)的發(fā)展 ? 機(jī)制 ?要求（目標(biāo) /要求） 信息系統(tǒng)安全等級保護(hù)基本要求 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（ GB17859） 信息系統(tǒng)通用安全 技術(shù)要求 信息系統(tǒng)物理安全 技術(shù)要求 技術(shù)類 其他技術(shù)類標(biāo)準(zhǔn) 信息系統(tǒng)安全 管理要求 信息系統(tǒng)安全工程 管理要求 其他管理類標(biāo)準(zhǔn) 信息系統(tǒng)安全等級保護(hù)定級指南 信息系統(tǒng)安全等級保護(hù)基本要求的行業(yè)細(xì)則 信息系統(tǒng)安全等級保護(hù)測評過程指南 信息系統(tǒng)安全等級保護(hù)測評要求 信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求 管理類 產(chǎn)品類 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求 其他產(chǎn)品類標(biāo)準(zhǔn) 信息系統(tǒng)安全等級保護(hù)行業(yè)定級細(xì)則 操作系統(tǒng)安全技術(shù) 要求 信息系統(tǒng)安全等級保護(hù)建設(shè)整改 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù) 要求 網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求 安全定級 基線要求 狀態(tài)分析 方法指導(dǎo) 信息系統(tǒng)安全等級保護(hù)實(shí)施指南 等級保護(hù)有關(guān)標(biāo)準(zhǔn) 在安全建設(shè)整改工作中的作用 39 40 與其他標(biāo)準(zhǔn)的關(guān)系 ? GB178591999是基礎(chǔ)性標(biāo)準(zhǔn)， 《 基本要求 》 17859基礎(chǔ)上的進(jìn)一步細(xì)化和擴(kuò)展。 ? 《 定級指南 》 確定出系統(tǒng)等級以及業(yè)務(wù)信息安全性等級和業(yè)務(wù)服務(wù)保證性等級后，需要按照相應(yīng)等級，根據(jù) 《 基本要求 》選擇相應(yīng)等級的安全保護(hù)要求進(jìn)行系統(tǒng)建設(shè)實(shí)施。 ? 《 測評要求 》 是依據(jù) 《 基本要求 》 檢驗(yàn)系統(tǒng)的各項(xiàng)保護(hù)措施是否達(dá)到相應(yīng)等級的基本要求所規(guī)定的保護(hù)能力。 41 標(biāo)準(zhǔn)適用范圍 ? 用戶范圍 ? 信息系統(tǒng)的主管部門及運(yùn)營使用單位 ? 測評機(jī)構(gòu) ? 安全服務(wù)機(jī)構(gòu)（系統(tǒng)集成商，軟件開發(fā)商） ? 信息安全監(jiān)管職能部門 ? 適用環(huán)節(jié) ? 需求分析 ? 方案設(shè)計(jì)、系統(tǒng)建設(shè)與驗(yàn)收 ? 運(yùn)行維護(hù)、等級測評、自查 標(biāo)準(zhǔn)的編制思路 ? 門檻合理 ?對每個級別的信息系統(tǒng)安全要求設(shè)置合理，按照基本要求建設(shè)后，確實(shí) 達(dá)到期望 的安全保護(hù)能力 ? 內(nèi)容完整 ?綜合 技術(shù) 、 管理 各個方面的要求，安全要求內(nèi)容考慮全面、完整，覆蓋信息系統(tǒng) 生命周期 ? 便于使用 ?安全要求 分類方式合理 ，便于安全保護(hù)、檢測評估、監(jiān)督檢查實(shí)施各方的靈活使用