風險咨詢服務
?軟件安全開發度量模型解析 ?信息科技風險管理咨詢 ?信息科技風險全面審計咨詢 ?金融行業電子銀行安全風險評估服務 ?關鍵信息基礎設施用戶單位風險評估服務 ?信息安全風險管理及流程優化 ?信息安全風險審計及合規檢查咨詢 ?數據全生命周期防護咨詢 ?等級保護咨詢及服務 ?IT多管理體系融合咨詢 ?信息安全有效性測量咨詢 ?IT風險管理整體規劃咨詢
認證咨詢服務
?TISAX——可信信息安全評估交換 ?ISO27001管理體系咨詢 ?ISO22301管理體系咨詢 ?ISO20000管理體系咨詢 ?安全運維服務資質咨詢服務 ?軟件安全開發服務資質咨詢服務 ?風險評估服務資質咨詢服務 ?應急處理服務資質咨詢服務 ?信息系統災難備份與恢復服務資質咨詢服務 ?信息系統安全集成服務資質咨詢服務 ?PCI-DSS評估及認證咨詢
安全培訓服務
?CISAW 信息安全保障人員認證體系（總則） ?CISAW之信息系統安全集成人員認證課程介紹 ?CISAW之信息系統安全運維人員認證課程介紹 ?CISAW之信息安全風險管理人員認證課程介紹 ?CISAW之軟件安全開發保障人員認證課程介紹 ?CISAW之預備級人員認證課程介紹 ?企業信息安全意識培訓解決方案
安全技術服務
?信息系統生命周期安全基線技術評估服務 ?信息安全代碼安全審計技術評估服務 ?網絡信息系統滲透性測試安全評估
IT-GRC風險管理平臺
?安瑞思檢查管理 ?安瑞思培訓管理 ?安瑞思合規管理 ?安瑞思風險管理 ?安瑞思制度管理 ?安瑞思軟件整體解決方案

信息安全等級保護

來源：發布日期：2015.01.30 點擊量：

什么是信息安全等級保護？

從外部環境來看，信息安全已經成為近幾年信息化建設的熱點話題，如何保障信息系統的安全已經成為國家關注的焦點，從27號文件開始，國家陸續出臺了一系列的安全政策和標準，提出了以“適度安全、分級保護”為核心的等級保護建設思路，公安部、保密局、國密辦以及國信辦陸續出臺政策，要求國內重要的信息系統應按照等級保護的辦法和要求，進行相關安全防護系統的建設，并于2007年啟動了等級保護的定級備案工作。等級保護針對信息安全系統建設的過程，提出了具體的管理辦法和實施指南，并對信息安全系統提出了技術和管理方面的建設要求。

信息安全等級保護系列標準關系圖

等級保護實施內容

l 信息系統等級保護定級方法

信息系統等級保護實施方法

企業將在下階段逐步啟動安全等級評估、安全體系設計、安全體系建設和安全運維建設等活動，各階段的主要工作應包括：

安全等級評估

該階段可由企業信息管理部門牽頭，應針對企業信息網絡進行安全風險評估服務，完

成安全等級評估和安全保障體系的規劃工作，具體任務包括：

對信息系統進行安全等級評估是國家推行等級保護制度的一個重要環節，也是對信息

系統進行安全建設和管理的重要組成部分。通過等級評估可以發現信息系統的安全現

狀與需要達到的安全等級或目標的差異，使企業信息系統在在技術和管理方面進行有

針對性的加強和完善，使企業的信息系統安全工作有的放矢。主要評估內容包括：

了解企業信息系統的管理、網絡和系統安全現狀；

確定可能對企業信息資產造成危害的威脅；

確定威脅實施的可能性；

對企業最重要的、最敏感的資產，確定一旦威脅發生其潛在的損失或破壞；

明確企業信息系統的已有安全措施的有效性；

明晰企業信息系統的安全管理需求。

安全體系設計

企業在完成安全等級評估后，將對等級評估的結果進行全面分析，確認安全需求，并

根據公安部的等級保護基本要求進行方案的設計和規劃，主要內容包括：

資產分析與賦值：對信息資產、威脅、弱點和安全風險進行總體分析，并根據重要

性確定其賦值。

安全需求分析：根據信息系統的安全保護等級，判斷信息系統現有的安全保護水平與

國家等級保護管理規范和技術標準之間的差距，提出信息系統的基本安全保護需求。

總體安全設計：形成機構綱領性的安全策略文件，包括確定安全方針，制定安全策

略，以便結合等級保護基本要求和安全保護特殊要求，構建機構信息系統的安全技術

體系結構和安全管理體系結構。

安全建設規劃：形成可操作的安全建設項目，覆蓋國家等級保護的基本要求，同時也

要滿足企業的實際需求。

安全技術體系結構設計：根據信息系統安全等級保護基本要求、安全需求分析報告、

機構總體安全策略文件等，提出系統需要實現的安全技術措施，形成機構特定的系統

安全技術體系結構，用以指導信息系統分等級保護的具體實現。

整體安全管理體系結構設計：根據等級保護基本要求、安全需求分析報告、機構總體

安全策略文件等，調整原有管理模式和管理策略，既從全局高度考慮為每個等級信息

系統制定統一的安全管理策略，又從每個信息系統的實際需求出發，選擇和調整具體

的安全管理措施，最后形成統一的整體安全管理體系結構。

安全體系建設

企業應充分結合信息化建設的中長期發展規劃和安全建設資金狀況，確定各個時期的

安全建設目標，將建設內容組合成不同的項目，然后分階段完成安全體系的建設，最

終實現整體的安全建設目標，具體過程包括：

安全建設目標確定：完成信息化建設中長期發展規劃和安全需求分析，提出信息系統

安全建設分階段目標，制定系統在規劃期內所要實現的總體安全目標，制定系統短期

要實現的安全目標，主要解決目前急迫和關鍵的問題。

安全建設內容規劃：根據信息系統安全總體方案明確主要的安全建設內容，并將其適

當的分解；組合安全建設內容為不同的安全建設項目，描述項目所解決的主要安全問

題及所要達到的安全目標。

形成安全建設項目計劃：根據等級保護的建設目標和建設內容，在時間和經費上對安

全建設項目列表進行總體考慮，分到不同的時期和階段，設計建設順序，進行投資估

算，形成安全建設項目計劃。

技術措施實現：完成信息安全產品采購；完成安全控制開發；完成安全控制集成；完

成策略配置；完成總體驗收；

管理措施實現：完成管理機構和人員的設置；完成管理制度的建設和修訂；定期進行

人員安全技能培訓；進行安全實施過程管理等內容

安全運維建設

安全運行與維護是等級保護實施過程中確保信息系統正常運行的必要環節，對于企業

信息系統，在安全運維方面，重點是安全運行與維護機構和安全運行與維護機制的建

立，環境、資產、設備、介質的管理，網絡、系統的管理，密碼、密鑰的管理，運

行、變更的管理，安全狀態監控和安全事件處置，安全審計和安全檢查等內容。

分享到：

相關客戶案例：