信息安全等级保护

一：网络安全法

**背景：**等级保护工作是国家网络安全的基础性工作，是网络安全法要求我们履行的一项安全责任。网络安全法是网络安全领域的基本法，从国家层面对等级保护工作的法律认可，网络安全法中明确的提到信息安全的建设要遵照等级保护标准来建设。网络安全已经成为关系到国家安全和发展，关系到认命群众切身利益的重大问题。
时间：2014.2，第一次在政府中提出网络安全法，2017.6.1，我国正式出台网络安全法。共7章79条。
意义：网络安全法范围覆盖了网络空间主权，关键信息基础设施保护，数据和个人信息保护，安全预警应急能力等。

二：基本法律法规：

等级保护政策体系
《中华人民共和国计算机信息系统安全保护条例》（国务院[1994]147号）
《关于加强信息安全保障工作的意见》（中发办[2003]27号）
《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）
《信息安全等级保护管理办法》（公通字[2007]43号）
等级保护相关标准
《信息系统安全等级保护定级指南》
《信息系统安全等级保护基本要求》
《计算机信息系统安全保护等级划分准则》

三：等级保护工作内容及要求

等级保护五个环节：定级、备案、建设整改、测评、监督检查。
在等级保护环节中，涉及到三个不同的角色：运营、使用单位，公安机关和测评机构，每个角色分工如下：
定义：将信息系统分等级实行安全保护，把安全产品实行按等级管理；对信息安全事件分等级响应、处置。
原则：
（1）明确责任、共同保护
（2）依照标准、自行保护
（3）同步建设、动态调整
（4）指导监督、重点保护
所处地位：信息安全等级保护是我国的基本制度、基本国策，是信息安全工作的基本方法，是国家安全的根本保障。
信息安全等级保护意义
（1）响应国家法律法规要求
（2）降低风险，转移责任
（3）信息系统安全防范能力明显增强
（4）信息系统安全建设指明方向
（5）保障信息系统的安全性、可靠性、可用性
信息安全等级保护目的
（1）明确重点、突出重点、保护重点
（2）有利于同步建设、协调发展
（3）优化信息安全的配置
（4）明确信息安全责任
（5）推动信息安全产业的发展

特点：
紧迫性：信息化时代更新太快；
全面性：涉及到的面大，范围广；
基础性：是我国的基本制度、基本国策；
强制性：公安机关监督检查指导；
规范性：具有相关的政策指导和标准；
性质：信息安全等级保护工作是国家信息安全保障工作中的一项保障性、基础性、制度性和长效性工作，是提升国家信息安全保障水平和能力的重要举措；
等级划分参考表如下：

信息安全等级保护的核心：对信息系统分等级、按标准进行建设、监督和管理；
计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强；

定级：
确定定级对象：用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统；
定级原则：自主定级、专家审批、主管部门审批、公安机关审核；
定级参考表如下：