一、概念

信息系統(tǒng)根據(jù)其在國家安全、經濟建設、社會生活中的重要程度，遭到破壞后對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法利益的危害程度，由低到高劃分為五個等級。分別是:

第一級:用戶自主保護級

第二級:系統(tǒng)審計保護級

第三級:安全標記保護級

第四級:結構化保護級

第五級:訪問驗證保護級

不同級別的信息系統(tǒng)應該落實不同強度的安全要求，為了規(guī)范安全要求的落實標準，全國信息安全標準化技術委員會制訂了《信息系統(tǒng)安全等級保護基本要求》這個標準，該標準對不同級別的信息系統(tǒng)應該落實的安全要求項進行了明確而具體的規(guī)定，將其分為管理要求和技術要求總共十個類別，分別是:

技術要求:

1、物理安全

2、主機安全

3、應用安全

4、網絡安全

5、數(shù)據(jù)安全及備份回復

管理要求:

1、安全管理制度

2、安全管理機構

3、人員安全管理

4、系統(tǒng)建設管理

5、系統(tǒng)運維管理

二、政策法規(guī)

中華人民共和國計算機信息系統(tǒng)安全保護條例

計算機信息系統(tǒng)保護等級劃分準則

國家信息化領導小組關于加強信息安全保障

工作的意見

關于加強信息安全等級保護

工作的實施意見

信息安全等級保護管理辦法

關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知

關于開展信息系統(tǒng)安全等級保護建設整改工作的指導意見

三、標準規(guī)范

計算機信息系統(tǒng)安全等級保護

劃分準則(基礎類標準)

信息系統(tǒng)安全等級保護實施指南(基礎類標準)

信息系統(tǒng)安全等級保護

定級指南(應用類標準)

信息系統(tǒng)安全等級保護基本要求(應用類建設標準)

信息系統(tǒng)通用安全技術要求(應用類建設標準)

信息系統(tǒng)安全等級保護設計技術要求(應用類建設標準)

信息系統(tǒng)安全等級保護測評要求(應用類測評標準)

信息系統(tǒng)安全等級保護測評過程指南(應用類測評標準)

信息系統(tǒng)安全管理要求(應用類管理標準)

信息系統(tǒng)安全工程

管理要求(應用類管理標準)

四、工作流程

等級保護工作不是一件事，而是由五件事組成的一個完整工作流程。通常所說的等級保護工作指的是等級保護測評這項工作流程。根據(jù)信息系統(tǒng)等級保護相關標準，等級保護工作總共分五個階段，分別為：

1、定級

信息系統(tǒng)運營使用單位按照等級保護管理辦法和定級指南，自主確定信息系統(tǒng)的安全保護等級。有上級主管部門的，應當經上級主管部門審批?？缡』蛉珖y(tǒng)一聯(lián)網運行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護等級。雖然是自主定級，但是也得根據(jù)系統(tǒng)實際情況去定級，有行業(yè)指導文件的根據(jù)指導文件來，沒有文件的根據(jù)定級指南來，總之一句話合理定級。

二是備案。第二級以上信息系統(tǒng)定級單位到所在地所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。省級單位到省公安廳網安總隊備案，各地市單位一般直接到市級網安支隊備案，也有部分地市區(qū)縣單位的定級備案資料是先交到區(qū)縣公安網監(jiān)大隊的，具體根據(jù)各地市要求來。

三是系統(tǒng)安全建設。信息系統(tǒng)安全保護等級確定后，運營使用單位按照管理規(guī)范和技術標準，選擇管理辦法要求的信息安全產品，建設符合等級要求的信息安全設施，建立安全組織，制定并落實安全管理制度。

四是等級測評。信息系統(tǒng)建設完成后，運營使用單位選擇符合管理辦法要求的檢測機構，對信息系統(tǒng)安全等級狀況開展等級測評。

五是監(jiān)督檢查。公安機關依據(jù)信息安全等級保護管理規(guī)范，監(jiān)督檢查運營使用單位開展等級保護工作，定期對信息系統(tǒng)進行安全檢查。運營使用單位應當接受公安機關的安全監(jiān)督、檢查、指導，如實向公安機關提供有關材料。

其中定級、備案工作原則上是由用戶單位自己填寫定級備案表交給公安網監(jiān)部門去進行備案工作，但考慮到實際情況，絕大多數(shù)情況下都是用戶單位在測評機構的協(xié)助下完成這些工作。系統(tǒng)安全建設和等級測評