信息等级保护我国的信息系统安全保护等级共有几级?

信息安全等级保护的标准规范

原发布者:澄怀泊性 附件2信息系统安全保护等级定级指南（试用稿）公安部二〇〇五年十二月目次1范围112术语和定义112.1业务信息（BusinessInformation）112.2业务信息安全性（SecurityofBusinessInformation）112.3业务服务保证性（AssuranceofBusinessService）112.4信息系统（InformationSystem）112.5业务子系统（BusinessSubsystem）113定级对象113.1信息系统的划分123.2信息系统和业务子系统124决定信息系统安全保护等级的要素124.1决定信息系统重要性的要素134.2定级要素赋值135确定信息系统安全保护等级的步骤156信息系统安全保护等级的确定方法166.1确定业务信息安全性等级166.2确定业务服务保证性等级166.3确定信息系统安全保护等级187信息系统安全保护等级的调整188附录208.1实例1208.2实例221信息系统安全保护等级定级指南1范围本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。

有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统，该系统的安全保护等级定为5级，不再使用本指南的方法定级。

各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。

2术语和定义下列术语和定义适用于本指南。

2.1业务信息（BusinessInformat

信息安全等级保护需要什么资质认证？

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。

遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

信息安全等级保护一共分为五个级别： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息安全等级保护的办理流程： 一步：定级;（根据企业的系统评定办理级别） 二步：修改；（对系统经行大致的修改系统） 三步：评测；（评测商对系统评测，得分） 四步：备案；（在当地的网安部门备案） 五步：维护。

（定期对系统经行维护） 注：大致的流程如上述所说，也有先备案，后评测的，根据当地的规定来办理。

信息安全等级保护业务怎么开展

首先要明白： 为什么要开展等级保护工作呢？ 第一、开展等保的最重要原因是通过等级保护工作，发现单位信息系统与国家安全标准之间存在的差距，查明目前系统存在的安全隐患和不足，通过安全整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险。

第二、等级保护是我国关于网络安全的基本政策，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号，以下简称“27 号文件”）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

第三、很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育、电子政务等行业，还有一些主管单位发过相关文件或通知要求去做。

另外信息安全主管单位要求我们去开展等级保护工作开展网络安全工作，主要有：公安、网信办等行业主管单位。

不做等保的话，没法向相关主管单位及行业主管单位汇报自己单位的网络安全工作。

第四、合理地规避风险。

每年都会出现一些大的信息安全事件，我们日常经常听到或看到的有，某某网站网页被篡改了，用户敏感信息被泄露了，更多的一些小范围安全事件我们不清楚但是在发生。

对于发生比较大的安全事件，首先主管单位们要去现场调查，如果你没有开展等级保护工作，最直接的一个结论就是你的信息安全工作没有开展好，没有开展到位，国家最基本的等级保护工作都没做，你说你买了很多防火墙，很多安全设备，那都是说不清道不明的，不如你实实在在拿出备案证明，拿出测评报告说服力强。

如何开展等保工作？ 只找符合规定要求的等级保护测评机构。

找有测评资质的的测评公司去开展，该单位至少具有该省市信息安全等级保护协调小组办公室发放的《信息安全等级保护测评机构推荐证书》，同时部分省份要求测评机构在用户单位所在地级市公安网安部门备案，备案成功后方可在当地开展等级保护测评工作。

什么是信息安全、等级保护以及风险评估？

一、什么是信息安全? 信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。

信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。

网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至安全系统，如UniNAC、DLP等，只要存在安全漏洞便可以威胁全局安全。

信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。

信息安全学科可分为狭义安全与广义安全两个层次，狭义的安全是建立在以密码论为基础的计算机安全领域，早期中国信息安全专业通常以此为基准，辅以计算机技术、通信网络技术与编程等方面的内容；广义的信息安全是一门综合性学科，从传统的计算机安全到信息安全，不但是名称的变更也是对安全发展的延伸，安全不再是单纯的技术问题，而是将管理、技术、法律等问题相结合的产物。

本专业培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。

信息安全面临的主要威胁来源有环境因素和人为因素，而威胁最大的并不是恶意的外部人员，恰恰是缺乏责任心或专业技能不足的内部人员，由于没有遵循规章制度和操作流程或不具备岗位技能而导致信息系统故障或被攻击。

信息安全涉及到物理环境、网络、主机、应用等不同的信息领域，每个领域都有其相关的风险、威胁及解决方法。

信息安全是一个动态发展的过程，仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。

二、什么是等级保护? 信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。

等级保护是指导我国信息安全保障体系总体建设的基础管理原则，是围绕信息安全保障全过程的一项基础性管理制度，其核心内容是对信息安全分等级、按标准进行建设、管理和监督。

按照《计算机信息系统安全保护等级划分准则》规定的规定，我国实行五级信息安全等级保护。

第一级：用户自主保护级;第二级：系统审计保护级;第三级：安全标记保护级;第四级：结构化保护级;第五级：访问验证保护级; 信息系统的安全保护等级划分为五级，即：第一级：自主保护级;第二级：指导保护级;第三级：监督保护级;第四级：强制保护级;第五级：专控保护级。

66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的，是系统从应用需求出发必须纳入的安全业务等级，而不是GB17859中定义的安全技术等级。

三、什么是风险评估? 风险评估就是量化评判安全事件带来的影响或损失的可能程度。

从信息安全的角度来讲，风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。

作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

风险评估的主要任务包括：1)识别组织面临的各种风险;2)评估风险概率和可能带来的负面影响;3)确定组织承受风险的能力;4)确定风险消减和控制的优先等级;5)推荐风险消减对策。

在风险评估过程中需要考虑几个关键问题： 第一，要确定保护的对象(资产)是什么?它的直接和间接价值如何? 第二，资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大? 第三，资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何? 第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响? 第五，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度? 解决以上这些问题的过程，就是风险评估的过程。

我国的信息系统安全保护等级共有几级?

共有五级，见《信息安全等级保护管理办法》，其中规定等级分五级，按照信息系统受到破坏后，会对公民、法人、社会秩序、公共利益和国家安全造成的损害程度来确定其等级（见《 信息安全等级保护 定级指南》 GB/T22240-2008 标准）。

一级最低五级最高，其每一级的安全要求依据《信息安全等级保护基本要求》（GB/T22239-2008）中的要求来保护，但目前第五级系统的保护要求为“略”。