信息安全等級保護政策培訓教程

本教程共6章，主要介紹開展信息安全等級保護工作的主要內容、信息安全等級保護政策體系和標準體系、信息系統定級與備案工作、信息安全等級保護安全建設整改工作、信息安全等級保護等級測評工作、安全自查和監督檢查。

本教程對信息安全等級保護工作有關政策、標準進行解讀，對主要工作環節進行解釋說明，供有關部門在開展信息安全等級保護培訓中使用。

第1章 信息安全等級保護制度的主要內容 1

1.1 信息安全保障工作概述 1

1.1.1 加強信息安全工作的必要性和緊迫性 1

1.1.2 信息安全基本屬性 2

1.1.3 我國信息安全保障工作的確立 2

1.1.4 信息安全保障工作的主要內容 3

1.1.5 保障信息安全的主要措施 3

1.1.6 北京奧運會網路安全保衛成功經驗給信息安全工作帶來的啟示 4

1.2 信息安全等級保護的基本含義 5

1.2.1 信息安全等級保護的法律和政策依據 5

1.2.2 什麼是信息安全等級保護 6

1.2.3 公安機關組織開展等級保護工作的法律、政策依據 8

1.2.4 貫徹落實信息安全等級保護制度的原則 9

1.2.5 信息系統安全保護等級的劃分與監管 10

1.3 實行信息安全等級保護制度的必要性和緊迫性 11

1.3.1 為什麼要強制實行信息安全等級保護制度 11

1.3.2 實施信息安全等級保護制度能解決什麼問題 14

1.3.3 國外實施等級保護的經驗和做法 15

1.4 信息安全等級保護制度的主要內容 17

1.4.1 等級保護工作中有關部門的責任和義務 17

1.4.2 等級保護工作的主要環節和基本要求 18

1.5 實施等級保護制度的工作情況 20

1.5.1 基礎調查 20

1.5.2 等級保護試點工作 20

1.5.3 部署定級備案工作 20

1.5.4 等級測評體系建設試點工作 21

1.5.5 等級保護協調（領導）機構和專家組建設 22

第2章 信息安全等級保護政策體系和標準體系 24

2.1 信息安全等級保護政策體系 24

2.1.1 總體方面的政策檔案 24

2.1.2 具體環節的政策檔案 26

2.2 信息安全等級保護標準體系 28

2.2.1 信息安全等級保護相關標準類別 28

2.2.2 相關標準與等級保護各工作環節關係 32

2.2.3 在套用有關標準中需要注意的幾個問題 35

2.2.4 信息安全等級保護主要標準簡要說明 36

第3章 信息系統定級與備案工作 60

3.1 信息系統安全保護等級的劃分與保護 60

3.1.1 信息系統定級工作原則 60

3.1.2 信息系統安全保護等級 61

3.1.3 信息系統安全保護等級的定級要素 61

3.1.4 五級保護和監管 62

3.2 定級工作的主要步驟 62

3.2.1 開展摸底調查 62

3.2.2 確定定級對象 63

3.2.3 初步確定信息系統等級 64

3.2.4 信息系統等級評審 64

3.2.5 信息系統等級的審批 64

3.3 如何確定信息系統安全保護等級 65

3.3.1 如何理解信息系統的五個安全保護等級 65

3.3.2 定級的一般流程 66

3.4 信息系統備案工作的內容和要求 71

3.4.1 信息系統備案與受理 71

3.4.2 公安機關受理備案要求 72

3.4.3 對定級不準以及不備案情況的處理 73

第4章 信息安全等級保護安全建設整改工作 74

4.1 工作目標和工作內容 74

4.1.1 工作目標 74

4.1.2 工作範圍和工作特點 75

4.1.3 工作內容 76

4.1.4 信息系統安全保護能力目標 78

4.1.5 基本要求的主要內容 81

4.2 工作方法和工作流程 85

4.2.1 工作方法 85

4.2.2 工作流程 86

4.4 安全管理制度建設 87

4.4.1 落實信息安全責任制 87

4.4.2 信息系統安全管理現狀分析 89

4.4.3 制定安全管理策略和制度 89

4.4.4 落實安全管理措施 90

4.4.5 安全自查與調整 93

4.5 安全技術措施建設 93

4.5.1 信息系統安全保護技術現狀分析 93

4.5.2 信息系統安全技術建設整改方案設計 95

4.5.3 安全建設整改工程實施和管理 99

4.5.4 信息系統安全建設整改方案要素 100

4.6 信息安全產品的選擇使用 102

4.6.1 選擇獲得銷售許可證的信息安全產品 102

4.6.2 產品分等級檢測和使用 102

4.6.3 第三級以上信息系統使用信息安全產品問題 103

第5章 信息安全等級保護等級測評工作 104

5.1 等級測評工作概述 104

5.1.1 等級測評的基本含義 104

5.1.2 等級測評的目的 104

5.1.3 開展等級測評時機 105

5.1.4 等級測評機構的選擇 105

5.1.5 等級測評依據的標準 106

5.2 等級測評機構及測評人員的管理與監督 107

5.2.1 為什麼要開展等級測評體系建設工作 107

5.2.2 對測評機構和測評人員的管理 108

5.2.3 等級測評機構應當具備的基本條件 108

5.2.4 測評機構的業務範圍和工作要求 109

5.2.5 測評機構的的禁止行為 110

5.2.6 測評機構的申請、受理、審核、推薦流程 110

5.2.7 對測評機構的監督管理 113

5.3 等級測評的工作流程和工作內容 113

5.3.1 基本工作流程和工作方法 113

5.3.2 系統信息收集 115

5.3.3 編制測評方案 118

5.3.4 現場測評 122

5.3.5 測評結果判斷 126

5.3.6 測評報告編制 128

5.4 等級測評工作中的風險控制 129

5.4.1 存在的風險 129

5.4.2 風險的規避 129

5.5 等級測評報告的主要內容 131

5.5.1 等級測評報告的構成 131

5.5.2 等級測評報告的主要內容說明 131

第6章 安全自查和監督檢查 134

6.1 定期自查與督導檢查 134

6.1.1 備案單位的定期自查 134

6.1.2 行業主管部門的督導檢查 135

6.2 公安機關的監督檢查 135

6.2.1 檢查的原則和方法 135

6.2.2 檢查的主要內容 135

6.2.3 檢查整改要求 136

6.2.4 檢查工作要求 136

附錄A 關於信息安全等級保護工作的實施意見 138

附錄B 信息安全等級保護管理辦法 148

附錄C 關於開展全國重要信息系統安全等級保護定級工作的通知 162

附錄D 信息安全等級保護備案實施細則（試行） 177

附錄E 公安機關信息安全等級保護檢查工作規範（試行） 186

附錄F 關於加強國家電子政務工程建設項目信息安全風險評估工作的通知 201

附錄G 關於開展信息安全等級保護安全建設整改工作的指導意見 222

附錄H 信息系統安全等級測評報告模版（試行） 227

附錄I 關於推動信息安全等級保護測評體系建設和開展等級測評工作的通知 249

附錄J 信息安全等級保護測評工作管理規範（試行） 252

附錄K 信息安全等級保護安全建設指導委員會專家名單 275