全国网信系统网络安全协调指挥技术系统建设指南 1 范围 统安全等级保护的实施。 2 规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是 注日期的引用文件，其随后所有 的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓 励根据本标准达成协议的各方研究 是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新 饭本适用于本标准。 GB/T5271.8信息技术词汇第8部分：安全 GB17859-1999计算机信息系统安全保护等级划分准则 GB/TAAAA-AAAA信息安全技术信息系统安全等级保护定级指南 3术语和定义 GB/T 5271.8 和GB 17859-1999 确立的以及下列术语和定义适用于 本标准。 3.1 等级测评 classified security testing and evaluation 确定信息系统安全保护能力是否达到相应等级基本要求的过程 4等级保护实施概述 4.1基本原则 信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设 管理和监督。信息系统安全等 级保护实施过程中应遵循以下基本原则： a）自主保护原则 信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自 王确定信息系统的安全保护等级，自行组织实施安全保护。 b）重点保护原则 根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的 信息系统，实现不同强度的安全 保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统 c）同步建设原则 信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入 一定比例的资金建设信息安全设 施，保障信息安全与信息化建设相适应 d）动态调整原则 要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应 用类型、范围等条件的变化及其 他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技 标准的要求，重新确定信息系统 的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安 全保护。 4.2角色和职责 信息系统安全等级保护实施过程中涉及的各类角色和职责如下： a）国家管理部门 公安机关负责信息安全等级保护工作的监督、检查、指导；国家保密 工作部门负责等级保护工作中有 关保密工作的监督、检查、指导；国家密码管理部门负责等级保护工 作中有关密码工作的监督、检查、指 导；涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法 律法规的规定进行管理；国务院信息 化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部 门间协调。 b）信息系统主管部门 负责依照国家信息安全等级保护的管理规范和技术标准，督促、检查 和指导本行业、本部门或者本地 区信息系统运营、使用单位的信息安全等级保护工作。 c）信息系统运营、使用单位 负责依照国家信息安全等级保护的管理规范和技术标准，确定其信息 系统的安全保护等级，有主管部 门的，应当报其主管部门审核批准；根据已经确定的安全保护等级，到 公安机关办理备案手续；按照国家 信息安全等级保护管理规范和技术标准，进行信息系统安全保护的规 划设计；使用符合国家有关规定，满 足信息系统安全保护等级需求的信息技术产品和信息安全产品，开展 信息系统安全建设或者改建工作；制 定、落实各项安全管理制度，定期对信息系统的安全状况、安全保护 制度及措施的落实情况进行自查，选 择符合国家相关规定的等级测评机构，定期进行等级测评；制定不同 等级信息安全事件的响应、处置预案，对信息系统的信息安全事件分等级 进行应急处置。 d）信息安全服务机构 负责根据信息系统运营、使用单位的委托，依照国家信息安全等级保 护的管理规范和技术标准，协助 信息系统运营、使用单位完成等级保护的相关工作，包括确定其信息 系统的安全保护等级、进行安全需求 分析、安全总体规划、实施安全建设和安全改造等。 e）信息安全等级测评机构 负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权 协助信息系统运营、使用单位 或国家管理部门，按照国家信息安全等级保护的管理规范和技术标准 对已经完成等级保护建设的信息系 统进行等级测评；对信息安全产品供应商提供的信息安全产品进行安 全测评。 f）信息安全产品供应商 负责按照国家信息安全等级保护的管理规范和技术标准，开发符合等 级保护相关要求的信息安全产品 接受安全测评；按照等级保护相关要求销售信息安全产品并提供相关 服务。 4.3实施的基本流程 系统的安全保护等级并未改变 应从安全运行与维护阶段进入安全设计与实施阶段，重新设计、调整 和实施安全措施，确保满足等级保护 的要求；但信息系统发生重大变更导致系统安全保护等级变化时，应 从安全运行与维护阶段进入信息系统 定级阶段，重新开始一轮信息安全等级保护的实施过程 5信息系统定级 5.1信息系定级阶段的工作流程 信息系统定级阶段的自标是信息系统运营、使用单位按照国家有关管 理规范和GB/TAAAA-AAAA，确定信息系统的安全保护等级，信息系统运 营、使用单位有主管部门的，应当经主管部门审核批准。 5.2信息系统分析 5.2.1 系统识别和描述 活动目标： 本活动的自标是通过从信息系统运营、使用单位相关人员处收集有关 信息系统的信息，并对信息进行 总体描述性文档。 参与角色：信息系统运营、使用单位，信息安全服务机构。 活动输入：信息系统的立项、建设和管理文档。 活动描述： 本活动主要包括以下子活动内容 a）识别信息系统的基本信息 调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及 信息系统基本情况，获得信息系 统的背景信息和联络方式。 b）识别信息系统的管理框架 了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运 行中的作用、岗位职责，获得支 持信息系统业务运营的管理特征和管理框架方面的信息，从而明确信 息系统的安全责任主体。 ）识别信息系统的网络及设备部署 了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况，在 此基础上明确信息系统的边界, 即确定定级对象及其范围。 d）识别信息系统的业务种类和特性 了解机构内主要依靠信息系统处理的业务种类和数量，这些业务各自 的社会属性、业务内容和业务流 程等，从中明确支持机构业务运营的信息系统的业务特性，将承载比较 单一的业务应用或者承载相对独立