信息安全等级保护政策培训教程

今后一段时期，公安机关、行业主管部门和信息系统运营使用单位将组织开展等级保护培训工作。编者结合近些年的工作实践，在公安部网络安全保卫局的指导下，编写了这本教程，对开展信息安全等级保护工作的主要内容、方法、流程、政策和标准等内容进行解读，对信息系统定级备案、安全建设整改、等级测评、安全检查等工作进行详细解释说明，供读者参考、借鉴。

本教程共6章，主要介绍开展信息安全等级保护工作的主要内容、信息安全等级保护政策体系和标准体系、信息系统定级与备案工作、信息安全等级保护安全建设整改工作、信息安全等级保护等级测评工作、安全自查和监督检查。
本教程对信息安全等级保护工作有关政策、标准进行解读，对主要工作环节进行解释说明，供有关部门在开展信息安全等级保护培训中使用。

第1章 信息安全等级保护制度的主要内容 1
1.1 信息安全保障工作概述 1
1.1.1 加强信息安全工作的必要性和紧迫性 1
1.1.2 信息安全基本属性 2
1.1.3 我国信息安全保障工作的确立 2
1.1.4 信息安全保障工作的主要内容 3
1.1.5 保障信息安全的主要措施 3
1.1.6 北京奥运会网络安全保卫成功经验给信息安全工作带来的启示 4
1.2 信息安全等级保护的基本含义 5
1.2.1 信息安全等级保护的法律和政策依据 5
1.2.2 什么是信息安全等级保护 6
1.2.3 公安机关组织开展等级保护工作的法律、政策依据 8
1.2.4 贯彻落实信息安全等级保护制度的原则 9
1.2.5 信息系统安全保护等级的划分与监管 10
1.3 实行信息安全等级保护制度的必要性和紧迫性 11
1.3.1 为什么要强制实行信息安全等级保护制度 11
1.3.2 实施信息安全等级保护制度能解决什么问题 14
1.3.3 国外实施等级保护的经验和做法 15
1.4 信息安全等级保护制度的主要内容 17
1.4.1 等级保护工作中有关部门的责任和义务 17
1.4.2 等级保护工作的主要环节和基本要求 18
1.5 实施等级保护制度的工作情况 20
1.5.1 基础调查 20
1.5.2 等级保护试点工作 20
1.5.3 部署定级备案工作 20
1.5.4 等级测评体系建设试点工作 21
1.5.5 等级保护协调（领导）机构和专家组建设 22
第2章 信息安全等级保护政策体系和标准体系 24
2.1 信息安全等级保护政策体系 24
2.1.1 总体方面的政策文件 24
2.1.2 具体环节的政策文件 26
2.2 信息安全等级保护标准体系 28
2.2.1 信息安全等级保护相关标准类别 28
2.2.2 相关标准与等级保护各工作环节关系 32
2.2.3 在应用有关标准中需要注意的几个问题 35
2.2.4 信息安全等级保护主要标准简要说明 36
第3章 信息系统定级与备案工作 60
3.1 信息系统安全保护等级的划分与保护 60
3.1.1 信息系统定级工作原则 60
3.1.2 信息系统安全保护等级 61
3.1.3 信息系统安全保护等级的定级要素 61
3.1.4 五级保护和监管 62
3.2 定级工作的主要步骤 62
3.2.1 开展摸底调查 62
3.2.2 确定定级对象 63
3.2.3 初步确定信息系统等级 64
3.2.4 信息系统等级评审 64
3.2.5 信息系统等级的审批 64
3.3 如何确定信息系统安全保护等级 65
3.3.1 如何理解信息系统的五个安全保护等级 65
3.3.2 定级的一般流程 66
3.4 信息系统备案工作的内容和要求 71
3.4.1 信息系统备案与受理 71
3.4.2 公安机关受理备案要求 72
3.4.3 对定级不准以及不备案情况的处理 73
第4章 信息安全等级保护安全建设整改工作 74
4.1 工作目标和工作内容 74
4.1.1 工作目标 74
4.1.2 工作范围和工作特点 75
4.1.3 工作内容 76
4.1.4 信息系统安全保护能力目标 78
4.1.5 基本要求的主要内容 81
4.2 工作方法和工作流程 85
4.2.1 工作方法 85
4.2.2 工作流程 86
4.4 安全管理制度建设 87
4.4.1 落实信息安全责任制 87
4.4.2 信息系统安全管理现状分析 89
4.4.3 制定安全管理策略和制度 89
4.4.4 落实安全管理措施 90
4.4.5 安全自查与调整 93
4.5 安全技术措施建设 93
4.5.1 信息系统安全保护技术现状分析 93
4.5.2 信息系统安全技术建设整改方案设计 95
4.5.3 安全建设整改工程实施和管理 99
4.5.4 信息系统安全建设整改方案要素 100
4.6 信息安全产品的选择使用 102
4.6.1 选择获得销售许可证的信息安全产品 102
4.6.2 产品分等级检测和使用 102
4.6.3 第三级以上信息系统使用信息安全产品问题 103
第5章 信息安全等级保护等级测评工作 104
5.1 等级测评工作概述 104
5.1.1 等级测评的基本含义 104
5.1.2 等级测评的目的 104
5.1.3 开展等级测评时机 105
5.1.4 等级测评机构的选择 105
5.1.5 等级测评依据的标准 106
5.2 等级测评机构及测评人员的管理与监督 107
5.2.1 为什么要开展等级测评体系建设工作 107
5.2.2 对测评机构和测评人员的管理 108
5.2.3 等级测评机构应当具备的基本条件 108
5.2.4 测评机构的业务范围和工作要求 109
5.2.5 测评机构的的禁止行为 110
5.2.6 测评机构的申请、受理、审核、推荐流程 110
5.2.7 对测评机构的监督管理 113
5.3 等级测评的工作流程和工作内容 113
5.3.1 基本工作流程和工作方法 113
5.3.2 系统信息收集 115
5.3.3 编制测评方案 118
5.3.4 现场测评 122
5.3.5 测评结果判断 126
5.3.6 测评报告编制 128
5.4 等级测评工作中的风险控制 129
5.4.1 存在的风险 129
5.4.2 风险的规避 129
5.5 等级测评报告的主要内容 131
5.5.1 等级测评报告的构成 131
5.5.2 等级测评报告的主要内容说明 131
第6章 安全自查和监督检查 134
6.1 定期自查与督导检查 134
6.1.1 备案单位的定期自查 134
6.1.2 行业主管部门的督导检查 135
6.2 公安机关的监督检查 135
6.2.1 检查的原则和方法 135
6.2.2 检查的主要内容 135
6.2.3 检查整改要求 136
6.2.4 检查工作要求 136
附录A 关于信息安全等级保护工作的实施意见 138
附录B 信息安全等级保护管理办法 148
附录C 关于开展全国重要信息系统安全等级保护定级工作的通知 162
附录D 信息安全等级保护备案实施细则（试行） 177
附录E 公安机关信息安全等级保护检查工作规范（试行） 186
附录F 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 201
附录G 关于开展信息安全等级保护安全建设整改工作的指导意见 222
附录H 信息系统安全等级测评报告模版（试行） 227
附录I 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知 249
附录J 信息安全等级保护测评工作管理规范（试行） 252
附录K 信息安全等级保护安全建设指导委员会专家名单 275