等級保護和分級保護

轉載  http://blog.51cto.com/370354761/1898774

目錄

1等級保護FAQ3

1.1什麼是等級保護、有什麼用？3

1.2信息安全等級保護制度的意義與做用？3

1.3等級保護與分級保護各分爲幾個等級，對應關係是什麼？3

1.4等級保護的重要信息系統（8+2）有哪些？4

1.5等級保護的主管部門是誰？4

1.6國家密碼管理部門在等級保護/分級保護工做中的職責是什麼？4

1.7等級保護的政策依據是哪一個文件？4

1.8公安機關對等級保護的管理模式是什麼，等級保護定級到哪裏備案？5

1.9等級保護是不是強制性的，能夠不作嗎？5

1.10等級保護的主要標準有哪些，是否已發佈爲正式的國家標準？5

1.11哪些單位能夠作等級保護的測評？6

1.12作了等級測評以後，是否會給發合格證書？6

1.13是否只是在政府行業實行？企業是否也在等級保護和分級保護範疇以內？6

1.14等級保護檢查的責任單位是誰？7

2分級保護FAQ7

2.1分級保護是什麼？7

2.2分級保護的主管部門是誰？7

2.3分級保護定級到哪裏備案？7

2.4分級保護的政策依據是哪一個文件？7

2.5分級保護與等級保護的適用對象分別是什麼？7

2.6分級保護有關信息安全的標準相互關係是什麼？8

2.7分級保護與等級保護的定級依據有何區別？8

2.8分級保護的建設依據、方案設計、測評分別依據哪些標準？8

2.9分級保護設計方案是否須要通過評審和審批，誰來評審和審批？8

2.10涉密信息系統投入使用前，是否須要通過審批，由誰來審批？8

2.11分級保護系統測評的做用是什麼，是否必須作？9

2.12哪些單位能夠作分級保護的測評，有什麼資質要求？9

2.13分級保護對涉密系統中使用的安全保密產品有哪些要求？9

2.14涉密系統分級保護多長時間需進行一次安全保密檢查？9

2.15各級保密局與各單位保密辦的關係是什麼？10

2.16分級保護的系統集成對廠商的資質有什麼要求？10

2.17分級保護的安全建設是否必須監理，對監理資質有什麼要求？10

2.18分級保護的哪些具體工做對廠商有單項資質的要求？10

3綜合問題11

3.1等保與分保的本質區別是什麼？11

3.2等保與分保各有幾種級別？11

3.3等級保護/分級保護什麼區別哪些部門在管理，怎麼作？11

3.4企業出現泄密事件上報那些單位？11

3.5等保定級備案是依據單位仍是系統？12

3.6風險評估和等級保護的關係？12

3.7方案設計階段及實施前是否須要報批？12

3.8對於等保中產品使用及密碼產品是否有要求？12

 

 

等級保護/分級保護FAQ

1 等級保護FAQ

1.1 什麼是等級保護、有什麼用？

【解釋】

是我國實施信息安全管理的一項法定製度，1994年147號令、2003年27號文件、2004年66號文件都有明確規定，信息系統安全實施等級化保護和等級化管理。

等級化管理是一種廣泛適用的管理方法，是適用於我國當前實際的一種有效的信息安全管理方法。

開展信息安全等級保護工做是保護信息化發展、維護國家信息安全的根本保障，是信息安全保障工做中國家意志的體現。

1.2 信息安全等級保護制度的意義與做用？

【解釋】

實施信息安全等級保護制度可以有效地提升我國信息和信息系統安全建設的總體水平。實施信息安全等級保護制度有利於在信息化建設過程當中同步建設信息安全設施，保障信息安全與信息化建設相協調，爲信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務，有效控制信息安全建設成本。

優化信息安全資源配置，對信息系統分級實施保護，重點保障基礎信息網絡和關係國家安全、經濟命脈、社會穩定等方面重要信息系統的安全。

明確國家、法人和其餘組織、公民的信息安全責任，增強信息安全管理，推進信息安全產業的發展，逐步探索出一條適應我國社會主義市場經濟發展的信息安全模式。

1.3 等級保護與分級保護各分爲幾個等級，對應關係是什麼？

【解釋】

等級保護分5個級別：一級（自主保護）、二級（指導保護）、三級（監督保護）、四級（強制保護）、五級（專控保護）。

分級保護分3個級別：祕密級、機密級（機密加強級）、絕密級。

分級保護與等級保護對應關係：祕密級對應三級、機密級對應四級、絕密級對應五級。

1.4 等級保護的重要信息系統（8+2）有哪些？

【解釋】

電信、廣電行業的公用通訊網、廣播電視傳輸網等基礎信息網絡，經營性公衆互聯網信息服務單位、互聯網接入服務單位、數據中心等單位的重要信息系統。

鐵路、銀行、海關、稅務、民航、電力、證券、保險、外交、科技、發展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業、部門的生產、調度、管理、辦公等重要信息系統。

市（地）級以上黨政機關的重要網站和辦公信息系統。

涉及國家祕密的信息系統。

1.5 等級保護的主管部門是誰？

【解釋】

公安機關是等級保護工做的主管部門，負責信息安全等級保護工做的監督、檢查、指導，國家保密工做部門、國家密碼管理部門負責等級保護工做中有關保密工做和密碼工做的監督、檢查、指導，國信辦及地方信息化領導小組辦事機構負責等級保護工做部門間的協調，涉及國家祕密信息系統的等級保護監督管理工做由國家保密工做部門負責。

1.6 國家密碼管理部門在等級保護/分級保護工做中的職責是什麼？

【解釋】

國家密碼管理部門負責等級保護/分級保護工做中有關保密工做和密碼工做的監督、檢查、指導。

1.7 等級保護的政策依據是哪一個文件？

【解釋】

 《中華人民共和國計算機信息系統安全保護條例》（國務院147號令，1994年）；

 《國家信息化領導小組關於增強信息安全保障工做的意見》（中辦發[2003]27號）；

 《關於信息安全等級保護工做的實施意見》（公通字[2004]66號）；

 《信息安全等級保護管理辦法》（公通字[2007]43號）；

 《關於開展全國重要信息系統安全等級保護定級工做的通知》（公信安[2007]861號）；

 《關於增強國家電子政務工程建設項目信息安全風險評估工做的通知》(發改高技[2008]2071號)。

1.8 公安機關對等級保護的管理模式是什麼，等級保護定級到哪裏備案？

【解釋】

公安機關負責受理備案並進行備案管理。信息系統備案後，公安機關對信息系統的備案狀況進行審覈，對符合等級保護要求的，頒發信息系統安全保護等級備案證實。發現不符合《管理辦法》及有關標準的，通知備案單位予以糾正。發現定級不許的，通知運營使用單位或其主管部門從新審覈肯定。

已運營（運行）的第二級以上信息系統，應當在安全保護等級肯定後30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。

新建第二級以上信息系統，應當在投入運行後30日內，由其運營、使用單位到所在地設區的市級以上公安機關辦理備案手續。

注：北京市各部委上報北京測評中心備案。

1.9 等級保護是不是強制性的，能夠不作嗎？

【解釋】

國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其餘組織的合法權益的危害程度等因素肯定。

2級以上信息系統運營、使用單位依據《信息安全等級保護管理辦法》和相關技術標準對信息系統進行保護，國家有關信息安全監管部門對其信息安全等級保護工做進行監督管理。

備案後3級系統每一年進行一次監督檢查，4級每半年進行一次監督檢查。

1.10 等級保護的主要標準有哪些，是否已發佈爲正式的國家標準？

【解釋】

 《信息系統安全等級保護基本要求》（GB/T22239-2008）；

 《信息系統安全等級保護定級指南》（GB/T22240-2008）；

 《信息系統安全等級保護實施指南》（GB/T25058-2010 ）；

 《信息系統安全等級保護測評要求》（GB/T28448-2012 ）；

  《信息系統安全等級保護測評過程指南》（GB/T28449-2012 ）；

 《信息安全等級保護實施指南》（GB/T25058-2010 ）；

 《計算機信息系統安全保護等級劃分準則》（GB 17859-1999）。

1.11 哪些單位能夠作等級保護的測評？

【解釋】

第三級以上信息系統等級保護測評機構應符合下列條件：

 在中華人民共和國境內註冊成立（港澳臺地區除外）；

 由中國公民投資、中國法人投資或者國家投資的企事業單位（港澳臺地區除外）；

 從事相關檢測評估工做兩年以上，無違法記錄；

 工做人員僅限於中國公民；

 法人及主要業務、技術人員無犯罪記錄；

 使用的技術裝備、設施應當符合本辦法對信息安全產品的要求；

 具備完備的保密管理、項目管理、質量管理、人員管理和培訓教育等安全管理制度；

 對國家安全、社會秩序、公共利益不構成威脅。

1.12 作了等級測評以後，是否會給發合格證書？

【解釋】

目前，公安機關只對信息系統的備案狀況進行審覈，對符合等級保護要求的，頒發信息系統安全等級保護備案證實，發現不符合有關標準的，通知備案單位予以糾正，發現定級不許的，通知備案單位從新審覈肯定。沒有發測評合格證書。

1.13 是否只是在政府行業實行？企業是否也在等級保護和分級保護範疇以內？

【解釋】

等級保護涉及全部行業，只要有信息系統的單位都在等級保護覆蓋範圍（涉密系統除外）。

1.14 等級保護檢查的責任單位是誰？

【解釋】

是公安機關，在檢查中須要穿警服及佩帶有效證件，協同技術支持單位到單位檢查。同時鼓勵各行業開展自查。

2 分級保護FAQ

2.1 分級保護是什麼？

【解釋】

涉密信息系統依據國家信息安全等級保護的基本要求，按照國家保密工做部門有關涉密信息系統分級保護的管理規定和技術標準，實施信息安全分級保護的強制執行制度。涉密信息系統按照所處理信息的最高密級，由低到高分爲祕密、機密、絕密三個等級。

2.2 分級保護的主管部門是誰？

【解釋】

國家保密工做部門（國家保密局、各省保密局、各地市市保密局）。

2.3 分級保護定級到哪裏備案？

【解釋】

涉密信息系統建設使用單位將涉密信息系統定級和建設使用狀況，上報業務主管部門的保密工做機構和負責系統審批的保密工做部門備案，並接受保密部門的監督、檢查、指導。

2.4 分級保護的政策依據是哪一個文件？

【解釋】

 《涉及國家祕密的信息系統分級保護管理辦法》（國保發[2005]16號）。

2.5 分級保護與等級保護的適用對象分別是什麼？

【解釋】

標準體系	國家標準（GB、GB/T）	國家保密標準（BMB，強制執行）
適用對象	非涉密信息系統	涉密信息系統

2.6 分級保護有關信息安全的標準相互關係是什麼？

【解釋】

BMB1七、BMB20爲分級保護設計基本依據，BMB23是把BMB1七、BMB20技術與管理要求實施落地，BMB18是系統建設實施過程當中工程監理依據，BMB22爲系統上線前和系統變動中的測評依據。

2.7 分級保護與等級保護的定級依據有何區別？

【解釋】

等級保護定級是依據重要業務系統與承載業務運行的網絡、設備、系統及單位屬性、遭到破壞後所影響的主、客體關係等。

分級保護定級是依據信息的重要性，以信息最高密級肯定受保護的級別。

2.8 分級保護的建設依據、方案設計、測評分別依據哪些標準？

【解釋】

BMB23是把BMB1七、BMB20技術與管理實施落地的建設與設計依據，BMB22爲系統上線前和系統變動中的測評依據。

2.9 分級保護設計方案是否須要通過評審和審批，誰來評審和審批？

【解釋】

涉密信息系統建設使用單位應對系統設計方案進行審查論證，保密工做 部門應當參與方案審查論證，在系統整體安全保密性方面增強指導，嚴格把關。

2.10 涉密信息系統投入使用前，是否須要通過審批，由誰來審批？

【解釋】

涉密信息系統投入使用前，必須通過審批。未經保密工做部門的審批，涉密信息系統不得投入使用。

審批單位：

 國家保密局：負責審批中央和國家機關各部委及其所屬單位、國防武器裝備科研生產一級保密資格單位的涉密信息系統；

 省（自治區、直轄市）保密局：負責審批省及機關及其所屬單位、國防武器科研生產2、三級保密資格單位的涉密信息系統；

 市（地）級保密局：負責審批市（地）直機關及其所屬單位、縣直機關所屬單位的涉密信息系統。

2.11 分級保護系統測評的做用是什麼，是否必須作？

【解釋】

涉密系統的分級保護測評是全面地驗證所採起的安全保密措施可否知足安全保密需求和安全目標，爲涉密信息系統審批提供依據。

系統測評是系統審批的必要環節。沒有通過測評，涉密信息系統將沒法經過投入運行的審批。

2.12 哪些單位能夠作分級保護的測評，有什麼資質要求？

【解釋】

目前，國家保密工做部門及國家保密局受權的系統測評機構負責測評，測評機構應具有涉及國家祕密的計算機信息系統集成風險評估單項資質。

2.13 分級保護對涉密系統中使用的安全保密產品有哪些要求？

【解釋】

涉密信息系統使用的信息安全保密產品原則上應當選用國產品，並應當經過國家保密局受權的檢測機構依據有關國家保密標準進行的檢測，經過檢測的產品由國家保密局審覈發佈目錄。

2.14 涉密系統分級保護多長時間需進行一次安全保密檢查？

【解釋】

涉密信息系統投入運行後的安全保密測評，由負責該系統審批的保密工做部門組織系統評測機構進行，以檢驗系統安全保密措施的有效性和對環境變化的適應性。

祕密級、機密級信息系統：應每兩年至少進行一次安全保密測評或保密檢查；

絕密級信息系統：應每一年至少進行一次安全保密測評或保密檢查。

2.15 各級保密局與各單位保密辦的關係是什麼？

【解釋】

各級保密局：國家保密工做部門，負責監督、檢查、指導；

各單位保密辦：保密工做機構，負責具體實施。

2.16 分級保護的系統集成對廠商的資質有什麼要求？

【解釋】

甲級資質單位可在全國範圍內承接涉密信息系統的規劃、設計和實施業務，並僅可承擔本單位承建的涉密信息系統的系統服務和系統諮詢工做，不得從事其它單項資質業務。

乙級資質單位可在所限定的行政區域內承接涉密信息系統的規劃、設計和實施業務，並僅可承擔本單位承接的涉密信息系統的系統服務和系統諮詢工做，不得從事其它單項資質業務。

2.17 分級保護的安全建設是否必須監理，對監理資質有什麼要求？

【解釋】

在系統建設進行時，應選擇具備涉密工程監理單項資質的單位或組織自身力量依據BMB18-2006的要求在安全保密控制、質量控制、進度控制、成本控制、合同管理和文檔管理六個方面增強監督檢查。

2.18 分級保護的哪些具體工做對廠商有單項資質的要求？

【解釋】

單項業務：（全國，僅限所批准業務）

軍工、軟件開發、綜合佈線、系統服務、系統諮詢、風險評估、工程監理、數據恢復、屏蔽室建設、保密安防監控。

3 綜合問題

3.1 等保與分保的本質區別是什麼？

【解釋】

等級保護適用的對象爲非涉密信息系統，分級保護適用的對象爲涉密信息系統。

3.2 等保與分保各有幾種級別？

【解釋】

等級保護分5個級別：一級（自主保護）、二級（指導保護）、三級（監督保護）、四級（強制保護）、五級（專控保護）。

分級保護分3個級別：祕密級、機密級（機密加強級）、絕密級。

分級保護與等級保護對應關係：祕密級對應三級、機密級對應四級、絕密級對應五級。

3.3 等級保護/分級保護什麼區別哪些部門在管理，怎麼作？

【解釋】

標準體系	國家標準（GB、GB/T）	國家保密標準（BMB，強制執行）
適用對象	非涉密信息系統	涉密信息系統

等保標準體系爲國家標準（GB、GB/T），分保標準爲國家保密標準（BMB，強制執行），等保適用的對象非涉密信息系統，分保適用的對象涉密信息系統。

公安機關是等級保護工做的主管部門，國家保密工做部門、國家密碼管理部門、信息化領導小組負責協調、監督、檢查、指導工做。

國家保密工做部門是分級保護工做的主管部門，各省保密局、各地市市保密局負責本轄區監督、檢查、指導工做。

3.4 企業出現泄密事件上報那些單位？

【解釋】

等級保護歸公安十一局，涉及到案件一般是北京地區內保負責。

3.5 等保定級備案是依據單位仍是系統？

【解釋】

等級保護備案是依據系統。

3.6 風險評估和等級保護的關係？

【解釋】

風險評估是等級保護中的一項重要工做，發改高技[2008]2071號。

3.7 等級保護方案設計階段及實施前是否須要報批？

【解釋】

國家正在制定相關標準預計3年內能夠推出GB標準。

3.8 對於等保中產品使用及密碼產品是否有要求？

【解釋】

密碼產品不在等級保護管理範圍以內，等保中沒有明確對安全產品作要求，在安全產品開發中能夠參考《信息安全技術信息系統安全等級保護基本要求》。