等級保護測評标準?一、定級概述2007年7月26日，公安部、國家保密局、國家密碼管理局和國務院信息化工作辦公室聯合發布《關于開展全國重要信息系統安全等級保護定級工作的通知》（公通字〔2007〕861号）該通知為全國重要信息系統等級保護開展定級工作給出要求頂層設計随後，2008 年6月19日國家标準發布《信息系統安全保護等級定級指南》（GB/T22240—2008），為全國定級工作給出方法指導，我來為大家科普一下關于等級保護測評标準?下面希望有你要的答案，我們一起來看看吧!

等級保護測評标準

一、定級概述

2007年7月26日，公安部、國家保密局、國家密碼管理局和國務院信息化工作辦公室聯合發布《關于開展全國重要信息系統安全等級保護定級工作的通知》（公通字〔2007〕861号）。該通知為全國重要信息系統等級保護開展定級工作給出要求頂層設計。随後，2008 年6月19日國家标準發布《信息系統安全保護等級定級指南》（GB/T22240—2008），為全國定級工作給出方法指導。

1、定級範圍

《關于開展全國重要信息系統安全等級保護定級工作的通知》（公通字〔2007〕861 号）中明确指出了我國的重要信息系統定級範圍。重要信息系統範圍如下：

① 電信、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡，經營性公衆互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統。

② 鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、财政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業、部門的生産、調度、管理、辦公等重要信息系統。

③ 市（地）級以上黨政機關的重要網站和辦公信息系統。

④ 涉及國家秘密的信息系統。

2、定級工作主要内容

（1）開展信息系統基本情況的摸底調查

各行業主管部門、運營使用單位要組織開展對所屬信息系統的摸底調查，全面掌握信息系統的數量、分布、業務類型、應用或服務範圍、系統結構等基本情況，按照《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》的要求，确定定級對象。各行業主管部門要根據行業特點提出指導本地區、本行業定級工作的具體意見。

（2）初步确定安全保護等級

各信息系統主管部門和運營使用單位要按照《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》，初步确定定級對象的安全保護等級，起草定級報告。跨省或者全國統一聯網運行的信息系統可以由主管部門統一确定安全保護等級。涉密信息系統的等級确定按照國家保密局的有關規定和标準執行。

（3）評審與審批

初步确定信息系統安全保護等級後，可以聘請專家進行評審。對拟确定為第四級以上信息系統的，由運營使用單位或主管部門請國家信息安全保護等級專家評審委員會評審。運營使用單位或主管部門參照評審意見最後确定信息系統安全保護等級，形成定級報告。當專家評審意見與信息系統運營使用單位或其主管部門意見不一緻時，由運營使用單位或主管部門自主決定信息系統安全保護等級。信息系統運營使用單位有上級行業主管部門的，所确定的信息系統安全保護等級應當報經上級行業主管部門審批同意。

（4）備案

根據《信息安全等級保護管理辦法》，信息系統安全保護等級為第二級以上的信息系統運營使用單位或主管部門到公安部網站下載《信息系統安全等級保護備案表》和輔助備案工具，持填寫的備案表和利用輔助備案工具生成的備案電子數據，到公安機關辦理備案手續，提交有關備案材料及電子數據文件。隸屬于中央的在京單位，其跨省或者全國統一聯網運行并由主管部門統一定級的信息系統，由主管部門向公安部辦理備案手續。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統，向當地設區的市級以上公安機關備案。

（5）備案管理

公安機關和國家保密工作部門負責受理備案并進行備案管理。信息系統備案後，公安機關應當對信息系統的備案情況進行審核，對符合等級保護要求的，頒發信息系統安全保護等級備案證明。發現不符合《信息安全等級保護管理辦法》及有關标準的，應當通知備案單位予以糾正。發現定級不準的，應當通知運營使用單位或其主管部門重新審核确定。各級保密工作部門加強對涉密信息系統定級工作的指導、監督和檢查。

（1）加強領導，落實保障

各地區、各部門要加強對本地區、本行業信息安全等級保護工作的組織領導，及時掌握工作進展情況，并可組織成立專家組，明确技術支持力量。信息系統運營使用單位要成立等級保護工作組，落實責任部門、責任人員和經費，保障定級工作順利進行。

（2）明确責任，密切配合

定級工作由各級公安機關牽頭，會同國家保密工作部門、國家密碼管理部門和信息化領導小組辦事機構共同組織實施。公安機關負責定級工作的監督、檢查、指導；國家保密工作部門負責涉密系統定級工作的監督、檢查、指導；國家密碼管理部門負責定級工作中有關密碼工作的監督、檢查、指導；信息化領導小組辦事機構負責定級工作的部門間協調。各信息系統主管部門組織本行業、本部門信息系統運營使用單位開展定級工作，督促其落實定級工作各項任務。各信息系統運營使用單位依據《信息安全等級保護管理辦法》和本通知要求，具體實施定級工作。

（3）動員部署，開展培訓

各地區、各部門要按照統一部署廣泛進行宣傳動員，舉辦形式多樣的培訓班、研讨班等，層層培訓。公安部會同國家保密局、國家密碼管理局、國務院信息化工作辦公室對國家有關部委、各省級公安、保密、密碼和信息化領導小組辦事機構就《信息安全等級保護管理辦法》和《信息系統安全等級保護定級指南》等内容進行培訓。信息系統主管部門對所管轄的信息系統運營使用單位進行培訓。各地參照上述培訓模式開展培訓工作。

（4）及時總結，提出建議

各地區、各部門要結合本地區、本行業開展定級工作的實際，認真總結經驗和不足，提出改進和完善定級方法的意見和建議。各地區、各部門負責等級保護的領導機構要及時總結定級工作經驗，形成定級工作總結報告，并及時報送公安部。

在通知中明确指出，在“此次定級工作完成後，請各主管部門、運營使用單位按照《信息安全等級保護管理辦法》和有關技術标準，繼續開展信息系統安全等級保護的系統建設或整改、等級測評、自查自糾等後續工作”，同時要求“各級公安、保密、密碼部門要開展等級保護工作的監督、檢查和指導”。

二、如何理解定級對象

1、基本概念

定級工作開展之前，需要弄清楚下面幾個基本概念：什麼是定級對象？什麼是重要信息系統破壞後影響的客體？客體造成侵害的客觀方面是什麼？

信息系統，是指由計算機及其相關和配套的設備、設施構成的，按照一定的應用目标和規則對信息進行存儲、傳輸、處理的系統或者網絡；信息是指在信息系統中存儲、傳輸、處理的數字化信息。

等級保護對象，是指信息安全等級保護工作直接作用的具體的信息和信息系統。

客體，是指受法律保護的、等級保護對象受到破壞時所侵害的社會關系，如國家安全、社會秩序、公共利益以及公民、法人或其他組織的合法權益。

客觀方面，是指對客體造成侵害的客觀外在表現，包括侵害方式和侵害結果等。

系統服務，是指信息系統為支撐其所承載業務而提供的程序化過程。

2、定級對象的基本特征

一個單位内運行的信息系統可能比較龐大，為了體現重要部分重點保護，有效控制信息安全建設成本，優化信息安全資源配置的等級保護原則，可将較大的信息系統劃分為若幹較小的、可能具有不同安全保護等級的定級對象。

作為定級對象的信息系統應具有如下基本特征：

① 具有唯一确定的安全責任單位。作為定級對象的信息系統應能夠唯一地确定其安全責任單位。如果一個單位的某個下級單位負責信息系統安全建設、運行維護等過程的全部安全責任，則這個下級單位可以成為信息系統的安全責任單位；如果一個單位中的不同下級單位分别承擔信息系統不同方面的安全責任，則該信息系統的安全責任單位應是這些下級單位共同所屬的單位。

② 具有信息系統的基本要素。作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目标和規則組合而成的有形實體。應避免将某個單一的系統組件，如服務器、終端、網絡設備等作為定級對象。

③ 承載單一或相對獨立的業務應用。定級對象承載“單一”的業務應用是指該業務應用的業務流程獨立，且與其他業務應用沒有數據交換，且獨享所有信息處理設備。定級對象承載“相對獨立”的業務應用是指其業務應用的主要業務流程獨立，同時與其他業務應用有少量的數據交換，定級對象可能會與其他業務應用共享一些設備，尤其是網絡傳輸設備。

3、定性對象的确定原則和方法

信息系統包括起支撐、傳輸作用的基礎信息網絡和各類應用系統。具體工作中，通常按如下原則确定定級對象：

一是起支撐、傳輸作用的基礎信息網絡要作為定級對象。但不是将整個網絡作為一個定級對象，而是要從安全管理和安全責任的角度将基礎信息網絡劃分成若幹個最小安全域或最小單元去定級。

二是專網、内網、外網等網絡系統（包括網管系統）要作為定級對象。同基礎信息網絡一樣，也不能将整個網絡系統作為一個定級對象，而是要從安全管理和安全責任的角度将網絡系統劃分成若幹個最小安全域或最小單元去定級。

三是各單位網站要作為獨立的定級對象。如果網站的後台數據庫管理系統安全級别高，也要作為獨立的定級對象。網站上運行的信息系統（如對社會服務的報名考試系統）也要作為獨立的定級對象。

四是用于生産、調度、管理、作業、指揮、辦公等目的的各類應用系統，要按照不同業務類别單獨确定為定級對象，不以系統是否進行數據交換、是否獨享設備為确定定級對象條件。不能将某一類信息系統作為一個定級對象去定級。

五是确認負責定級的單位是否對所定級系統負有業務主管責任。也就是說，業務部門應主導對業務信息系統定級，運維部門（如信息中心、托管方）可以協助定級并按照業務部門的要求開展後續安全保護工作。

六是具有信息系統的基本要素。作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目标和規則組合而成的有形實體。應避免将某個單一的系統組件（如服務器、終端、網絡設備等）作為定級對象。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!