中华人民共和国国家标准信息安全技术信息系统安全等级保护实施指南发布实施中华人民共和国国家质量监督检验检疫总局发布中国国家标准化管理委员会目次前言引言范围规范性引用文件术语和定义等级保护实施概述基本原则角色和职责实施的基本流程信息系统定级信息系统定级阶段的工作流程信息系统分析系统识别和描述信息系统划分安全保护等级确定定级审核和批准形成定级报告总体安全规划总体安全规划阶段的工作流程安全需求分析基本安全需求的确定额外特殊安全需求的确定形成安全需求分析报告总体安全设计总体安全策略设计安全技术体系结构设计整体安全管理体系结构设计设计结果文档化安全建设项目规划安全建设目标确定安全建设内容规划形成安全建设项目计划安全设计与实施安全设计与实施阶段的工作流程安全方案详细设计技术措施实现内容设计管理措施实现内容设计设计结果文档化管理措施实现管理机构和人员的设置管理制度的建设和修订人员安全技能培训安全实施过程管理技术措施实现信息安全产品采购安全控制开发安全控制集成系统验收安全运行与维护安全运行与维护阶段的工作流程运行管理和控制运行管理职责确定运行管理过程控制变更管理和控制变更需求和影响分析变更过程控制安全状态监控监控对象确定监控对象状态信息收集监控状态分析和报告安全事件处置和应急预案安全事件分级应急预案制定安全事件处置安全检查和持续改进安全状态检查改进方案制定安全改进实施等级测评系统备案监督检查信息系统终止信息系统终止阶段的工作流程信息转移暂存和清除设备迁移或废弃存储介质的清除或销毁附录规范性附录主要过程及其活动输出前言略引言依据中华人民共和国计算机信息系统安全保护条例国务院号令国家信息化领导小组关于加强信息安全保障工作的意见中办发号关于信息安全等级保护工作的实施意见公通字号和信息安全等级保护管理办法公通字号制定本标准本标准是信息安全等级保护相关系列标准之一与本标准相关的系列标准包括信息安全技术信息系统安全等级保护定级指南信息安全技术信息系统安全等级保护基本要求在对信息系统实施信息安全等级保护的过程中除使用本标准外在不同的阶段还应参照其他有关信息安全等级保护的标准开展工作在信息系统定级阶段应按照介绍的方法确定信息系统安全保护等级在信息系统总体安全规划安全设计与实施安全运行与维护和信息系统终止等阶段应按照和等技术标准设计建设符合信息安全等级保护要求的信息系统开展信息系统的运行维护管理工作和等技术标准是信息系统安全等级保护的系列相关配套标准其中是基础性标准和等是对的进一步细化和扩展是以为基础根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求是其他标准的一个底线子集对信息系统的安全等级保护应从出发在保证信息系统满足基本安全要求的基础上逐步提高对信息系统的保护水平最终满足和等标准的要求除本标准和上述提到的标准外在信息系统安全等级保护实施过程中还可参照和使用和等其它等级保护相关技术标准信息系统安全等级保护实施指南范围本标准规定了信息系统安全等级保护实施的过程适用于指导信息系统安全等级保护的实施规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款凡是注日期的引用文件其随后所有的修改单不包括勘误的内容或修订版均不适用于本标准然而鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本凡是不注明日期的引用文件其最新版本适用于本标准信息技术词汇第部分安全计算机信息系统安全保护等级划分准则信息安全技术信息系统安全等级保护定级指南术语和定义和确立的以及下列术语和定义适用于本标准等级测评确定信息系统安全保护能力是否达到相应等级基本要求的过程等级保护实施概述基本原则信息系统安全等级保护的核心是对信息系统分等级按标准进行建设管理和监督信息系统安全等级保护实施过程中应遵循以下基本原则自主保护原则信息系统运营使用单位及其主管部门按照国家相关法规和标准自主确定信息系统的安全保护等级自行组织实施安全保护重点保护原则根据信息系统的重要程度业务特点通过划分不同安全保护等级的信息系统实现不同强度的安全保护集中资源优先保护涉及核心业务或关键信息资产的信息系统同步建设原则信息系统在新建改建扩建时应当同步规划和设计安全方案投入一定比例的资金建设信息安全设施保障信息安全与信息化建设相适应动态调整原则要跟踪信息系统的变化情况调整安全保护措施由于信息系统的应用类型范围等条件的变化及其他原因安全保护等级需要变更的应当根据等级保护的管理规范和技术标准的要求重新确定信息系统的安全保护等级根据信息系统安全保护等级的调整情况重新实施安全保护角色和职责信息系统安全等级保护实施过程中涉及的各类角色和职责如下国家管理部门公安机关负责信息安全等级保护工作的监督检查指导国家保密工作部门负责等级保护工作中有关保密工作的监督检查指导国家密码管理部门负责等级保护工作中有关密码工作的监督检查指导涉及其他职能部门管辖范围的事项由有关职能部门依照国家法律法规的规定进行管理国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调信息系统主管部门负责依照国家信息安全等级保护的管理规范和技术标准督促检查和指导本行业本部门或者本地区信息系统运营使用单位的信息安全等级保护工作信息系统运营使用单位负责依照国家信息安全等级保护的管理规范和技术标准确定其信息系统的安全保护等级有主管部门的应当报其主管部门审核批准根据已经确定的安全保护等级到公安机关办理备案手续按照国家信息安全等级保护管理规范和技术标准进行信息系统安全保护的规划设计使用符合国家有关规定满足信息系统安全保护等级需求的信息技术产品和信息安全产品开展信息系统安全建设或者改建工作制定落实各项安全管理制度定期对信息系统的安全状况安全保护制度及措施的落实情况进行自查选择符合国家相关规定的等级测评机构定期进行等级测评制定不同等级信息安全事件的响应处置预案对信息系统的信息安全事件分等级进行应急处置信息安全服务机构负责根据信息系统运营使用单位的委托依照国家信息安全等级保护的管理规范和技术标准协助信息系统运营使用单位完成等级保护的相关工作包括确定其信息系统的安全保护等级进行安全需求分析安全总体规划实施安全建设和安全改造等信息安全等级测评机构负责根据信息系统运营使用单位的委托或根据国家管理部门的授权协助信息系统运营使用单位或国家管理部门按照国家信息安全等级保护的管理规范和技术标准对已经完成等级保护建设的信息系统进行等级测评对信息安全产品供应商提供的信息安全产品进行安全测评信息安全产品供应商负责按照国家信息安全等级保护的管理规范和技术标准开发符合等级保护相关要求的信息安全产品接受安全测评按照等级保护相关要求销售信息安全产品并提供相关服务实施的基本流程对信息系统实施等级保护的基本流程见图信息系统定级总体安全规划等级变更安全设计与实施局部调整安全运行与维护信息系统终止图信息系统安全等级保护实施的基本流程在安全运行与维护阶段信息系统因需求变化等原因导致局部调整而系统的安全保护等级并未改变应从安全运行与维护阶段进入安全设计与实施阶段重新设计调整和实施安全措施确保满足等级保护的要求但信息系统发生重大变更导致系统安全保护等级变化时应从安全运行与维护阶段进入信息系统定级阶段重新开始一轮信息安全等级保护的实施过程信息系统定级信息系统定级阶段的工作流程信息系统定级阶段的目标是信息系统运营使用单位按照国家有关管理规范和确定信息系统的安全保护等级信息系统运营使用单位有主管部门的应当经主管部门审核批准信息系统定级阶段的工作流程见图主要过程输入信息系统立项文档信息系统建设文档信息系统管理文档输出信息系统总体描述文件信息系统详细描述文件信息系统总体描述文件信息系统详细描述文件信息系统分析安全保护等级确定信息系统安全保护等级定级报告图信息系统定级阶段工作流程信息系统分析系统识别和描述活动目标本活动的目标是通过从信息系统运营使用单位相关人员处收集有关信息系统的信息并对信息进行综合分析和整理依据分析和整理的内容形成组织机构内信息系统的总体描述性文档参与角色信息系统运营使用单位信息安全服务机构活动输入信息系统的立项建设和管理文档活动描述本活动主要包括以下子活动内容识别信息系统的基本信息调查了解信息系统的行业特征主管机构业务范围地理位置以及信息系统基本情况获得信息系统的背景信息和联络方式识别信息系统的管理框架了解信息系统的组织管理结构管理策略部门设置和部门在业务运行中的作用岗位职责获得支持信息系统业务运营的管理特征和管理框架方面的信息从而明确信息系统的安全责任主体识别信息系统的网络及设备部署了解信息系统的物理环境网络拓扑结构和硬件设备的部署情况在此基础上明确信息系统的边界即确定定级对象及其范围识别信息系统的业务种类和特性了解机构内主要依靠信息系统处理的业务种类和数量这些业务各自的社会属性业务内容和业务流程等从中明确支持机构业务运营的信息系统的业务特性将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象识别业务系统处理的信息资产了解业务系统处理的信息资产的类型这些信息资产在保密性完整性和可用性等方面的重要性程度识别用户范围和用户类型根据用户或用户群的分布范围了解业务系统的服务范围作用以及业务连续性方面的要求等信息系统描述对收集的信息进行整理分析形成对信息系统的总体描述文件一个典型的信息系统的总体描述文件应包含以下内容系统概述系统边界描述网络拓扑设备部署支撑的业务应用的种类和特性处理的信息资产用户的范围和用户类型信息系统的管理框架活动输出信息系统总体描述文件信息系统划分活动目标本活动的目标是依据信息系统的总体描述文件在综合分析的基础上将组织机构内运行的信息系统进行合理分解确定所包含可以作为定级对象的信息系统的个数参与角色信息系统运营使用单位信息安全服务机构活动输入信息系统总体描述文件活动描述本活动主要包括以下子活动内容划分方法的选择一个组织机构可能运行一个大型信息系统为了突出重点保护的等级保护原则应对大型信息系统进行划分进行信息系统划分的方法可以有多种可以考虑管理机构业务类型物理位置等因素信息系统的运营使用单位应该根据本单位的具体情况确定一个系统的分解原则信息系统划分依据选择的系统划分原则将一个组织机构内拥有的大型信息系统进行划分划分出相对独立的信息系统并作为定级对象应保证每个相对独立的信息系统具备定级对象的基本特征在信息系统划分的过程中应该首先考虑组织管理的要素然后考虑业务类型物理区域等要素信息系统详细描述在对信息系统进行划分并确定定级对象后应在信息系统总体描述文件的基础上进一步增加信息系统划分信息的描述准确描述一个大型信息系统中包括的定级对象的个数进一步的信息系统详细描述文件应包含以下内容相对独立信息系统列表每个定级对象的概述每个定级对象的边界每个定级对象的设备部署每个定级对象支撑的业务应用及其处理的信息资产类型每个定级对象的服务范围和用户类型其他内容活动输出信息系