信息安全等级保护培训教材（第2册）

（3）产品类标准。此类标准用于等级保护所需产品应具备的技术要求和产品检测。主要包括操作系统、数据库、网络设备、网关、服务器、公钥基础设施、入侵检测、防火墙、路由器、交换机、终端、审计、生物特征识别、虚拟专网、应用软件系统、网络脆弱性扫描等产品的技术要求或测评准则。

（4）其他类标准。主要包括等级保护相关工作依据的标准，如《信息安全风险评估规范》、《信息安全事件管理指南》、《信息安全事件分类分级指南》、《信息系统灾难恢复规范》等标准。

围绕信息安全等级保护安全建设整改工作对有关标准说明如图2所示。

17

图2 等级保护标准体系

18

二、信息安全等级保护工作的总体目标和要求 （一）总体目标

2010年底前完成等级测评体系建设，并完成30%第三级以上信息系统的等级测评和安全建设整改，2011年底前完成第三级以上信息系统的等级测评，并完成80%第三级以上信息系统安全建设整改，2012年底之前完成第三级以上信息系统安全建设整改。通过上述工作的开展，使信息安全等级保护制度在各地区、各部门得到有效落实。

（二）主要内容

信息安全等级保护工作主要分为定级备案、安全建设整改、等级测评、监督检查等主要环节的内容。

1．定级备案

信息系统安全保护定级工作按照自主定级、专家评审、主管部门审批、公安机关监督的流程进行。信息系统运营使用单位按照《信息安全等级保护管理办法》（公通字[2007]43号，以下简称《管理办法》）和《信息系统安全等级保护定级指南》（GB/T22240-2008），自主确定信息系统的安全保护等级。为保证信息系统定级准确，可以组织专家进行评审。有上级主管部门的，应当经上级主管部门审批，跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。公安机关要对整个定级工作进行监督，确保定级工作顺利进行和定级准确性。第二级以上信息系统，由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续。公安机关按照《信息安全等级保护备案实施细则》（公信安[2007]1360号）

19

要求，对备案材料进行审核，定级准确、材料符合要求的颁发由公安部统一监制的备案证明。

2．安全建设整改

信息系统安全保护等级确定后，运营使用单位按照《管理办法》、《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）等有关管理规范和技术标准，选择《管理办法》要求的信息安全产品，制定并落实安全管理制度。落实安全责任，建设安全设施，落实安全技术措施。

3．等级测评

信息系统建设整改完成后，运营使用单位选择符合要求的测评机构，依据《管理办法》和《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》标准，对信息系统安全保护状况开展等级测评，按照《信息系统安全等级测评报告模版（试行）》（公信安[2009]1487号）编写等级测评报告。

4．监督检查

公安机关依据《管理办法》和《公安机关信息安全等级保护检查工作规范（试行）》（公信安[2008]736号），监督检查运营使用单位开展等级保护工作，定期对第三级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导，如实向公安机关提供有关材料。

需要说明的是，《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）文件中，还规定了等级保护工作中国家对信息安全

20