信息安全讲座课件ISM03信息安全等级保护与风险评估.ppt

第三章信息平安等级保护与风险评估;1.信息平安等级保护定义

信息平安等级保护，是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行平安保护，对信息系统中使用的信息平安产品实行按等级管理，对信息系统中发生的信息平安事件按照等级进行响应和处置等。;2.国家关于信息平安等级保护管理的举措

1994年国务院发布的?计算机信息系统平安保护条例?第9条规定：“计算机信息系统实行平安等级保护。平安等级的划分标准和平安等级保护的具体方法，由公安部会同有关部门制定。〞

1999年，公安部正式发布信息系统平安等级保护的国家标准GB17859—1999，将计算机信息系统的平安级别明确划分为五级并且提出了具体要求。;2003年中央办公厅、国务院办公厅转发的?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发〔2003〕27号〕中明确指出：“要重点保护根底信息网络和关系国家平安、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息平安等级保护制度，制定信息平安等级保护的管理方法和技术指南。〞

2004年公安部等四部委?关于信息平安等级保护工作的实施意见?〔公通字〔2004〕66号〕也指出，信息平安等级保护制度是国家在国民经济和社会信息化的开展过程中，提高信息平安保障能力和水平，维护国家平安、社会稳定和公共利益，保障和促进信息化建设健康开展的一项根本制度。;2007年6月公安部、国家保密局、国家密码管理局和国务院信息工作办公室联合制定并下发了?信息平安等级保护管理方法?〔公通字〔2007〕43号〕，以期加快推进信息平安等级保护，标准信息平安等级保护管理，提高信息平安保障能力和水平，维护国家平安、社会稳定和公共利益，保障和促进信息化建设。;3.信息系统平安等级划分

根据?信息系统平安等级保护实施指南?的规定，信息系统可以分为五个平安等级，国家对不同级别的信息和信息系统实行不同强度的监管政策。

第一级：自主保护级

其主要对象为一般的信息系统，该信息系统受到破坏后，会对公民、法人??其他组织的合法权益造成损害，但不损害国家平安、社会秩序和公共利益。本级系统依照国家管理标准和技术标准进行自主保护。;第二级：指导保护级

其主要对象为一般的信息系统，该信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家平安。本级系统依照国家管理标准和技术标准进行自主保护，必要时信息平安监管职能部门对其进行指导。

第三级：监督保护级

其主要对象为涉及国家平安、社会秩序和公共利益的重要信息系统，该信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家平安造成损害。本级系统依照国家管理标准和技术标准进行自主保护，信息平安监管职能部门对其进行监督、检查。;第四级：强制保护级

其主要对象为涉及国家平安、社会秩序和公共利益的重要信息系统，该信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家平安造成严重损害。本级系统依照国家管理标准和技术标准进行自主保护，信息平安监管职能部门对其进行强制监督、检查。

第五级：专控保护级

其主要对象为涉及国家平安、社会秩序和公共利益的重要信息系统的核心子系统，该信息系统受到破坏后，会对国家平安造成特别严重损害。本级系统依照国家管理标准和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督、检查。;4.信息系统平安等级保护相关标准

到目前为止，我国正式公布的信息系统平安等级保护的强制性国家标准是GB17859—1999?计算机信息系统平安保护等级划分准那么?，该准那么于1999年9月13日经国家质量技术监督局发布，2001年1月1日起实施。随后围绕GB17859—1999编写和制定了一系列与信息系统平安等级保护有关的标准和指南，旨在标准和指导信息系统平安等级保护实施过程中的活动。目前，这一系列的标准和指南包括：;GB17859-1999?计算机信息系统平安保护等级划分准那么?

GA/T390-2002?计算机信息系统平安等级保护通用技术要求?

GA/T388-2002?计算机信息系统平安等级保护操作系统技术要求?

GA/T389-2002?计算机信息系统平安等级保护数据库管理系统技术要求?

GA/T387-2002?计算机信息系统平安等级保护网络技术要求?

GA/T391-2002?计算机信息系统平安等级保护管理要求?

?信息平安技术——信息系统平安等级保护实施指