信息安全等级保护的标准规范

1. 信息安全等级保护的标准规范

网络安全方案设计与实施-35.信息安全标准与等级保护

2. 信息安全等级保护管理办法

法律分析：等保三级又被称为国家信息安全等级保护三级认证，是中国最权威的信息产品安全等级资格认证，由公安机关依据国家信息安全保护条例及相关制度规定，按照管理规范和技术标准，对各机构的信息系统安全等级保护状况进行认可及评定。其中按照评定等级可以分为一至五级测评。法律依据：《信息安全等级保护管理办法》 第七条 信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

3. 信息安全等级保护管理办法

第一章 总则第一条 为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。第四条 信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。第二章 等级划分与保护第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第七条 信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。第三章 等级保护的实施与管理第九条 信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准 跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。第十一条 信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展信息系统安全建设或者改建工作。第十二条 在信息系统建设过程中，运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》等技术标准，参照《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006）、《信息安全技术 网络基础安全技术要求》（GB/T20270-2006）、《信息安全技术 操作系统安全技术要求》（GB/T20272-2006）、《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006）、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》（GA/T671-2006）等技术标准同步建设符合该等级要求的信息安全设施。第十三条 运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》（GB/T20269-2006）、《信息安全技术 信息系统安全工程管理要求》（GB/T20282-2006）、《信息系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全管理制度。第十四条 信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构，依据《信息系统安全等级保护测评要求》等技术标准，定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。 经测评或者自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位应当制定方案进行整改。第十五条 已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统，应当在投入运行后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统一定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。第十六条 办理信息系统安全保护等级备案手续时，应当填写《信息系统安全等级保护备案表》，第三级以上信息系统应当同时提供以下材料：（一）系统拓扑结构及说明；（二）系统安全组织机构和管理制度；（三）系统安全保护设施设计实施方案或者改建实施方案；（四）系统使用的信息安全产品清单及其认证、销售许可证明；（五）测评后符合系统安全保护等级的技术检测评估报告；（六）信息系统安全保护等级专家评审意见；（七）主管部门审核批准信息系统安全保护等级的意见。

4. 信息安全等级保护管理办法

各省、自治区、直辖市公安厅（局）、保密局、国家密码管理局（国家密码管理委员会办公室）、信息化领导小组办公室，新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室，中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室，各人民团体保密委员会办公室：
为加快推进信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了信息安全等级保护管理办法。 国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
拓展资料：信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
法律依据：《信息安全等级保护管理办法》第一章总则
第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

5. 信息安全等级保护管理办法

在我国等保分为五个等级，始终坚持自主定级、自主保护的原则。
信息系统的安全防护等级分为以下五个等级，等级一到等级五逐步提高。

第一级，信息系统被破坏后，会损害公民、法人和其他组织的合法权益，但不会损害国家安全、社会秩序和公共利益。使用第一级系统运用，应当按照国家有关管理规范和技术标准进行保护。
第二级，如果信息系统遭到破坏，将严重损害公民、法人和其他组织的合法权益，或者社会秩序和公共利益，但不会损害国家安全。国家信息安全监管部门指导本级信息系统的安全等级保护。
第三级，信息系统被破坏后，会对社会秩序和公共利益造成严重破坏，或者损害国家安全。国家信息安全监管部门应当对本级信息系统的安全等级保护情况进行监督检查。
第四级，信息系统被破坏后，会对社会秩序和公共利益造成特别严重的损害，或者严重损害国家安全。国家信息安全监管部门应当对本级信息系统的安全等级保护情况进行强制监督检查。
第五级，信息系统被破坏后，会对国家安全造成特别严重的破坏。国家信息安全监管部门对信息系统安全防护水平进行专项监督检查。

6. 信息安全等级保护的标准规范

 计算机信息系统安全等级保护划分准则 （GB 17859-1999） （基础类标准）信息系统安全等级保护实施指南 （GB/T 25058-2010） （基础类标准）信息系统安全保护等级定级指南 （GB/T 22240-2008） （应用类定级标准）信息系统安全等级保护基本要求 （GB/T 22239-2008） （应用类建设标准）信息系统通用安全技术要求 （GB/T 20271-2006） （应用类建设标准）信息系统等级保护安全设计技术要求 （GB/T 25070-2010） （应用类建设标准）信息系统安全等级保护测评要求 （GB/T 28448-2012）（应用类测评标准）信息系统安全等级保护测评过程指南 （GB/T 28449-2012）（应用类测评标准）信息系统安全管理要求 （GB/T 20269-2006） （应用类管理标准）信息系统安全工程管理要求 （GB/T 20282-2006） （应用类管理标准） GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求GB/T 20270-2006 信息安全技术 网络基础安全技术要求GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求GB/T 20272-2006 信息安全技术 操作系统安全技术要求GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求GB/T 20984-2007 信息安全技术 信息安全风险评估规范GB/T 20985-2007 信息安全技术 信息安全事件管理指南GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范

7. 信息安全的等级保护是什么？有什么标准？

信息安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。山东省软件评测中心就包含此方面的业务，希望能够帮到您。
 
十大重要标准　　
       计算机信息系统安全等级保护划分准则 （GB 17859-1999） （基础类标准）
　　信息系统安全等级保护实施指南 （GB/T 25058-2010） （基础类标准）
　　信息系统安全保护等级定级指南 （GB/T 22240-2008） （应用类定级标准）
　　信息系统安全等级保护基本要求 （GB/T 22239-2008） （应用类建设标准）
　　信息系统通用安全技术要求 （GB/T 20271-2006） （应用类建设标准） 
　　信息系统等级保护安全设计技术要求 （GB/T 25070-2010） （应用类建设标准）
　　信息系统安全等级保护测评要求 （应用类测评标准）
　　信息系统安全等级保护测评过程指南 （应用类测评标准）
　　信息系统安全管理要求 （GB/T 20269-2006） （应用类管理标准） 
　　信息系统安全工程管理要求 （GB/T 20282-2006） （应用类管理标准） 
 
其它相关标准
       GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求
　　GB/T 20270-2006 信息安全技术 网络基础安全技术要求
　　GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
　　GB/T 20272-2006 信息安全技术 操作系统安全技术要求
　　GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
　　GB/T 20984-2007 信息安全技术 信息安全风险评估规范
　　GB/T 20285-2007 信息安全技术 信息安全事件管理指南
　　GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
　　GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范
 
其中
信息系统安全等级保护测评要求 （应用类测评标准） 
信息系统安全等级保护测评过程指南 （应用类测评标准）
 
这两个标准就是具体的评价准则！
希望能帮到您！

8. 国家信息安全等级保护制度 的内容是什么？谢谢

国家信息安全等级保护制度分为五个阶段：
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。
企业办理等级保护的原因是：

1、通过等级保护工作发现单位信息系统存在的安全隐患和不足，进行安全整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险，维护单位良好的形象。
2、等级保护是我国关于信息安全的基本政策，国家法律法规、相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办法》和《中华人民共和国网络安全法》。
3、很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育等行业等。
4、落实个人及单位的网络安全保护义务，合理规避风险。