概念

等级保护概念

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息的存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

法律依据

《中华人民共和国网络安全法》第21条和第31条

“国家实行网络安全等级保护制度，要求网络运营者应当按照网络安全等级制度要求，履行安全保护义务”

“对于国家关键信息基础设施，在网络安全等级保护制度的基础桑拿，实行重点保护”

五个规定动作以及延伸

五个动作是最基本的要求

定级、备案、安全建设整改、等级测评和监督检查。

等级保护工作内涵

是否对国家？

是否对社会公共？

是否对公民利益？

等级保护测评参与方

国家部门主要负责指导监督国家等保工作开展、推进；

公安信安等保部门负责修订、培训测评单位

国家测评机构，地方测评机构的区分

政策

《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）规定了开展等保的定级范围。

以及

《信息系统安全等级保护定级报告》和《信息安全等级保护备案表》是备案的最基本要求的文件，不同等级的系统定级报告要求不同。

系统定级

定级工作原则

“自主定级、专家评审、主管部门审批、公安机关审核监督”

定级对象具备的基本特征

谁承担的信息安全建设：“具有唯一确定的安全责任单位”

具有哪些基本网络系统：“具有信息系统的基本要素”

业务关联性：“承载单一或相对独立的业务应用”

定级流程

1. 确定定级对象 (基础信息网络、云计算平台、物联网？)
2. 初步确定等级 (根据保护对象的数据规模因素等判定）
3. 专家评审
4. 主管部门审核
5. 公安机关备案审查（不通过则重新确认等级） 参考： 《信息安全等级保护备案实施细则》（公信安【2007】1360号） 《网络安全等级保护条例》（征求意见稿）第十七、十八、十九条 实际根据公安机关当地要求
6. 最终确定等级

安全建设整改

流程

1. 建设整改工作计划部署
2. 安全保护现状分析
3. 确定安全策略、指定安全建设整改方案 包括安全技术建设（物理、网络、主机等等）和安全管理建设（安全管理制度、安全管理机构等等）

等级测评/差距分析

频率：第三级以上信息系统每年一次

等级测评主要是对于等级测评机构

差距分析主要是对于等级保护服务安全建设机构及安全产品/服务商

模板

《信息安全等级保护测评报告模板2015年版》

《等级测评报告模板2019版》（试用版）

监督检查

《网络安全法》

等级保护主要准则

分为：通用基础标准、系统定级标准、安全建设标准、等级测评标准

（理想化）唯一强制标准：GB17859-1999

定级指南: GA/T 1389-2017

设计技术要求：GB/T 25070-2019

实施指南：GB/T 25058-2010

（最低）基本要求：GB/T 22239-2019

定级要素与安全保护等级的关系