【正文】 信息系統(tǒng)安全保護等級定級指南 》 ?為確定信息系統(tǒng)的安全保護等級，首先要確定信息系統(tǒng)內(nèi)各業(yè)務子系統(tǒng)在四個定級要素方面的賦值（分別為系統(tǒng)所屬類型、業(yè)務信息類型、服務范圍、依賴程度），然后分別由四個定級要素確定業(yè)務信息安全性和業(yè)務服務保證性兩個定級指標的等級，再根據(jù)業(yè)務信息安全性等級和業(yè)務服務保證性等級確定業(yè)務子系統(tǒng)安全保護等級，最后由信息系統(tǒng)內(nèi)各業(yè)務子系統(tǒng)的最高等級確定信息系統(tǒng)的安全保護等級。 （七） 《 信息安全技術 ——信息系統(tǒng)安全等級保護實施指南 》 ?該標準以信息系統(tǒng)安全等級保護建設為主要線索，介紹了信息系統(tǒng)的安全等級和保護要求等相關概念；說明了信息系統(tǒng)安全等級保護實施過程中涉及的角色；信息系統(tǒng)安全等級保護實施的基本原則；信息系統(tǒng)安全等級保護實施的基本過程；信息系統(tǒng)安全等級保護實施的主要階段和主要活動以及與信息系統(tǒng)生命周期之間的關系；提出了信息系統(tǒng)安全等級保護在信息系統(tǒng)生命周期不同階段的實施要點、實施流程、具體的活動內(nèi)容以及活動的輸入輸出等，并對其進行了詳細的描述。 （六） GA/T 391 — 2023《 計算機信息系統(tǒng)安全等級保護管理要求 》 ?GA/T 391 — 2023主要內(nèi)容為： ? （ 1）簡單描述了信息系統(tǒng)安全管理的內(nèi)涵、主要安全要素、信息系統(tǒng)安全管理的基本原則、安全管理的過程、安全管理組織、人員安全管理、安全管理制度等。計算機信息系統(tǒng)的安全等級保護體系從計算機信息系統(tǒng)的管理層面、物理層面、系統(tǒng)層面、網(wǎng)絡層面、應用層面、運行層面對計算機信息系統(tǒng)資源實施保護，作為計算機信息系統(tǒng)安全保護的支撐服務。 （六） GA/T 391 — 2023《 計算機信息系統(tǒng)安全等級保護管理要求 》 ?公安部于 2023年 7月 18日發(fā)布并實施。 ? （ 3）詳細描述了網(wǎng)絡安全技術要求。 （五） GA/T 387 — 2023《 計算機信息系統(tǒng)安全等級保護網(wǎng)絡技術要求 》 ? GA/T 387 — 2023主要內(nèi)容為： ? （ 1）簡單描述了關于安全等級劃分、主體、客體、 TCB、密碼技術、建立網(wǎng)絡安全的一般要求，以及網(wǎng)絡安全組成與相互關系。 （五） GA/T 387 — 2023《 計算機信息系統(tǒng)安全等級保護網(wǎng)絡技術要求 》 ?公安部于 2023年 7月 15日發(fā)布并實施 ?該標準作為計算機信息系統(tǒng)安全等級保護要求系列標準的重要組成部分，用于指導設計者如何設計和實現(xiàn)具有所需要的安全等級的網(wǎng)絡系統(tǒng)，主要從對網(wǎng)絡系統(tǒng)的安全等級進行劃分來說明其技術要求，即主要說明為實現(xiàn) GB 17859 — 1999所提出的安全等級要求對網(wǎng)絡系統(tǒng)應采取的安全技術措施，以及各安全技術要求在不同安全級中具體實現(xiàn)的差異。 （四） GA/T 389 — 2023《 計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術要求 》 ?GA/T 389 — 2023主要內(nèi)容為： ? （ 1）數(shù)據(jù)庫管理系統(tǒng)安全技術要求，包括身份鑒別、標記與訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)庫安全審計、客體重用、數(shù)據(jù)庫可信恢復、隱蔽信道分析、可信路徑、推理控制。 ?該標準作為計算機信息系統(tǒng)安全等級保護要求系列標準的重要組成部分，用于指導設計者如何設計和實現(xiàn)具有所需要的安全等級的數(shù)據(jù)庫管理系統(tǒng)，主要從對數(shù)據(jù)庫管理系統(tǒng)的安全等級進行劃分來說明其技術要求，即主要說明為實現(xiàn) GB 17859 — 1999所提出的安全等級要求對數(shù)據(jù)庫管理系統(tǒng)應采取的安全技術措施，以及各安全技術要求在不同安全級中具體實現(xiàn)的差異。對計算機信息系統(tǒng)五個安全保護等級每一級的安全功能技術要求和安全保證技術要求進行詳細描述。 ? （ 3）五個安全等級劃分要求技術方面細則。 （二） GA/T 390 — 2023《 計算機信息系統(tǒng)安全等級保護通用技術要求 》 ?GA/T 390 — 2023主要內(nèi)容為： ? （ 1）安全功能技術要求，包括物理安全、運行安全、信息安全。 （二） GA/T 390 — 2023《 計算機信息系統(tǒng)安全等級保護通用技術要求 》 ?公安部于 2023年 7月 15日發(fā)布并實施了 GA/T 390 — 2023《 計算機信息系統(tǒng)安全等級保護通用技術要求 》 。 ?它將計算機信息系統(tǒng)安全保護等級劃分為五個等級，通過規(guī)范、科學和公正的評定和監(jiān)督管理， ? 一是為計算機信息系統(tǒng)安全等級保護管理法規(guī)的制定和執(zhí)法部門的監(jiān)督、檢查提供依據(jù)； ? 二是為計算機信息系統(tǒng)安全產(chǎn)品的研制提供技術支持； ? 三是為安全系統(tǒng)的建設和管理提供技術指導。隨后圍繞 GB 17859 — 1999編寫和制定了一系列與信息系統(tǒng)安全等級保護有關的標準和指南，旨在規(guī)范和指導信息系統(tǒng)安全等級保護實施過程中的活動。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護，國家指定專門部門、專門機構進行專門監(jiān)督、檢查。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護，信息安全監(jiān)管職能部門對其進行強制監(jiān)督、檢查。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護，信息安全監(jiān)管職能部門對其進行監(jiān)督、檢查。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護，必要時信息安全監(jiān)管職能部門對其進行指導。 ? 本級系統(tǒng)依照國家管理規(guī)范和技術標準進行自主保護。 二、信息系統(tǒng)安全等級劃分 ?根據(jù) 《 信息系統(tǒng)安全等級保護實施指南 》 的規(guī)定，信息系統(tǒng)可以分為五個安全等級，國家對不同級別的信息和信息系統(tǒng)實行不同強度的監(jiān)管政策。 六是出臺新的 《 信息安全等級保護管理辦法 》 。 四是開展了等級保護基礎調查工作。 二是 2023年 5月 18日組織召開了國家信息安全等級保護工作協(xié)調小組第一次會議。 社會層面 ：信息安全產(chǎn)品的研制、生產(chǎn)單位，信息系統(tǒng)的集成、等級測評、風險評估等安全服務機構，依據(jù)國家有關管理規(guī)定和技術標準，開展相應工作，并接受國家信息安全職能部門的監(jiān)督管理。 2023年，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合印發(fā)了 《 關于信息安全等級保護工作的實施意見》 （ 66號文件） 2023年 1月，公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合制定了 《 信息安全等級保護管理辦法 》 （公通字 [2023]7號） 政府層面：國家制定統(tǒng)一信息安全等級保護管理規(guī)范和技術標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對信息安全產(chǎn)品的使用分等級實行管理，對等級保護工作的實施進行監(jiān)督、指導。 2023年，中辦、國辦轉發(fā)的 《 國家信息化領導小組 關于 加強信息安全保障工作的意見 》 （中辦發(fā) [2023]27號）明確指出 “實行信息安全等級保護 ”。 ——法律依據(jù)。 背景 ? 1994年， 《 中華人民共和國計算機信息系統(tǒng)安全保護條例 》 規(guī)定， “計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定 ” 。LOGO 信息安全等級保護 何曉霞 本章內(nèi)容安排 ?信息安全等級保護制度 ?信息系統(tǒng)安全等級保護實施 ?信息系統(tǒng)安全等級確定 ?信息系統(tǒng)安全等級保護要求 ?信息系統(tǒng)安全風險評估 第一節(jié) 信息安全等級保護制度 ?一、信息安全等級保護管理 ?二、信息系統(tǒng)安全等級劃分 ?三、信息系統(tǒng)安全等級保護相關標準 一、信息安全等級保護管理 信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。開展信息安全等級保護工作是保護信息化發(fā)展、維護國家信息安全的根本保障，是信息安全保障工作中國家意志的體現(xiàn)。 ? 1995年 2月 18日人大 12次會議通過并實施的 《 中華人民共和國警察法 》 第二章第六條第十二款規(guī)定，公安機關人民警察依法履行 “監(jiān)督管理計算機信息系統(tǒng)的安全保護工作 ”。 ? 1999年，強制性國家標準－ 《 計算機信息系統(tǒng)安全保護等級劃分準則 》 GB 17859）。 “要重點保護基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南 ” 。 用戶層面 ：公民、法人和其他組織應當按照國家有關等級保護的管理規(guī)范和技術標準開展等級保護工作，服從國家對信息安全等級保護工作的監(jiān)督、指導，保障信息系統(tǒng)安全。 等級保護制度的基本思想 信息安全等級保護的工作進展 一是 2023年 1月制定出臺了 《 信息安全等級保護管理辦法（試行） 》 。 三是制定了等級保護系列技術標準。 五是部署開展信息安全等級保護試點工作。 七是籌備召開全國信息系統(tǒng)定級工作。 ?（一）第一級為自主保護級 ? 其主要對象為一般的信息系統(tǒng)，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生損害，但 不危害國家安全、社會秩序和公共利益。 二、信息系統(tǒng)安全等級劃分 ?（二）第二級為指導保護級 ? 其主要對象為一般的信息系統(tǒng)，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對社會秩序和公共利益造成一定損害，但不損害國家安全。 二、信息系統(tǒng)安全等級劃分 ?（三）第三級為監(jiān)督保護級 ? 其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對國家安全、社會秩序和公共利益造成較大損害。 二、信息系統(tǒng)安全等級劃分 ?（四）第四級為強制保護級 ? 其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對國家安全、社會秩序和公共利益造成嚴重損害。 二、信息系統(tǒng)安全等級劃分 ?（五）第五級為?？乇Ｗo級 ? 其主要對象為涉及國家安全、社會秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其業(yè)務信息安全性或業(yè)務服務保證性受到破壞后，會對國家安全、社會秩序和公共利益造成特別嚴重損害。 二、安全保護等級的劃分 等級 對象 侵害客體 侵害程度 監(jiān)管強度 第一級 合法權益 損害 自主保護 合法權益 嚴重損害 第二級 一般系統(tǒng) 社會秩序和公共利益 損害 指導 社會秩序和公共利益 嚴重損害 第三級 國家安全 損害 監(jiān)督檢查 社會秩序和公共利益 特別嚴重損害 第四級 重要系統(tǒng) 國家安全 嚴重損害 強制監(jiān)督檢查 第五級 極端重要系統(tǒng) 國家安全 特別嚴重損害 專門監(jiān)督檢查 三、信息