信息安全等级保护大体框架

一：信息安全等级保护概念

信息安全等级保护，是指对国家安全、法人和其它组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件按等级进行相应、处置的综合性工作。

二：信息安全等级保护意义

（1）信息系统安全管理水平明显提高

（2）信息系统安全防范能力明显提高

（3）信息安全隐患和安全事故明显减少

（4）有效保障信息化健康发展

（5）有效维护国家安全、社会秩序和公共利益

• 实行等级保护，利于平衡成本与安全，既不能保护不足，使系统的使用与运行存在隐患，也不能过度保护，使得安全系统的建设和维护成本过高，要在安全与成本之间找到一个平衡点
• 实行等级保护，有助于突出重点，加强安全建设和管理，在安全管理建设中，强调“技管并重”，并提出来了具体的指标要求，按照等级保护的标准进行建设，将极大提升信息安全保障体系的广度与深度。 

三：信息安全等级保护工作内容

（1）定级 → 评审和审批

（2）备案 → 公安机关备案

（3）系统建设、整改 → 安全建设整改方案

（4）安全等级测评 → 等保测评---测试报告

（5）信息安全监管部门定期开展监督检查  三级一次/年  四级一次/半年

四：信息系统等级划分

信息系统的安全保护等级是信息系统的客观属性，不以采取的措施或即将采取的措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定和人民群众合法权益遭到破坏的危害程度为依据，确定信息系统安全保护的等级。

信息等级划分详解

五：信息安全等级

（1）测评准备阶段

（2）现场测评阶段

六：信息系统安全等级保护基本要求

七：等级要求

（1）物理安全

（2）网络安全

 （3）主机安全

（4） 应用安全

（5）安全管理制度

（6）人员安全管理 

（7）系统建设管理 

 （8）系统运维管理

八：测评方案

（1）访谈  通过与信息系统用户(个人/群体)进行交流、认论等活动，获取相关证据证明信息系统安全保护措施是否落实的一种方法。

（2）检查   通过对测评对象(设备、文档、现场等)进行观察、查验、分析等活动，获取相关证据证明信息系统安全保护措施是否有效的一种方法、

（3）测试  利用预定的方法或工具使测评对象产生特定的行为活动，查看输出结果与预期结果的差异，获取相关证据证明信息系统安全保护措施是否有效的一种方法、