广东省信息安全等级测评机构管理办法

topsec可信等级体系天融信等级保护方案

hacker.cn更新时间：08-03-2709：37来源：硅谷动力作者：中安网

1.等级保护概述

1.1为什么要实行等级保护。

信息系统与社会组织体系是具有对应关系的，而这些组织体系是分层次和级别的，因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求，这就需要对信息系统进行分级、分区域、分阶段进行保护，这是做好国家信息安全的必要条件。

1.2等级保护的政策文件

信息安全等级保护工作非常重要，为此从2003年开始国家发布了一系列政策文件，具体如下：

2003年9月，中办国办颁发《关于加强信息安全保障工作的意见》（中办发[2003]27号），这是我国第一个信息安全保障工作的纲领性文件，战略目标为经过五年努力，基本形成国家信息安全保障体系，实行等级保护制度。

2004年11月，四部委会签《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）：等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。2005年9月，国信办文件，《关于转发《电子政务信息安全等级保护实施指南》的通知》（国信办[2004]25号）：基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。

2005年，公安部标准。《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。

2006年1月，四部委会签《关于印发《信息安全等级保护管理办法的通知》（公通字[2006]7号）。

1.3等级保护的管理结构－北京为例

等级保护的实施和落实离不开各级管理机构的指导和监督，这在等级保护的相关文件中已经得到了规定，下面以北京市为例来说明管理机构的组成和职责，具体如下图所示：

1.4等级保护理论的技术演进

在等级保护理论被提出以后，经过相关部门的努力工作，逐渐提出了一系列原则、技术和框架，已经具备实施等级保护工作的基础条件了，其具体演进过程如下图所示：

1.5等级保护的基本需求