等级保护安全培训规划

《信息系统安全等级保护实施指南》

培训教材

本教材主要通过对《信息系统安全等级保护实施指南》（以下简称《实施指南》）的主要作用、内容等进行介绍，使培训人员能够清楚了解等级保护的整个实施过程，以便各项工作的开展。

1概述

1.1主要作用

信息安全等级保护工作的先行工作之一是“加快制定、完善管理规范和技术标准体系”，管理规范和技术标准体系是等级保护工作的基础，在《关于信息安全等级保护工作的实施意见》（公通字[2004]66号，以下简称“66号文件”）的职责分工和工作要求中指出：

。信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准，确定其信

息和信息系统的安全保护等级；

。信息和信息系统的运营、使用单位按照等级保护的管理规范和技术标准对新建、改

建、扩建的信息系统进行信息系统的安全规划设计、安全建设施工；

。信息和信息系统的运营、使用单位及其主管部门按照与信息系统安全保护等级相对

应的管理规范和技术标准的要求，定期进行安全状况检测评估；

。国家指定信息安全监管职能部门按照等级保护的管理规范和技术标准的要求，对信

息和信息系统的安全等级保护状况进行监督检查。

从上述“66号文件”描述的内容中可以看出，信息安全等级保护工作的主要内容包括“等级确定”、“安全建设”、“安全测评”和“监督检查”等，完成上述工作的主要依据是等级保护的管理规范和技术标准。

信息安全等级保护的实施过程中涉及到的各类组织、需完成的工作以及依据的基础如下图所示：

1

主管部门运营、使用单位安全服务商监管部门系统定级安全保护检测评估监督检查技术标准管理规范

图1-1技术标准和管理规范的作用

除了“66号文件”中提到的“信息和信息系统的运营、使用单位”、“国家指定信息安全监管职能部门”外，信息安全等级保护的实施过程中涉及到各类组织和人员实际还包括信息安全服务商、安全测评机构等，它们配合“信息和信息系统的运营、使用单位”、“国家指定信息安全监管职能部门”共同进行信息安全等级保护工作。

为使信息安全等级保护的实施过程中涉及到的各类组织和人员能够顺利地完成信息安全等级保护工作，需要一个技术标准为实施的各方提供指导，这个标准就是《实施指南》。

《实施指南》的主要作用包括：

1）作为系统等级保护实施的指南性文件

指导对一个信息系统实施安全等级保护的参与各方，如何在等级保护实施过程的各个阶段开展相应的活动，给出阶段活动的内容、控制方法和输出结果。

2）作为等级保护标准体系的指引性文件

介绍实施信息系统等级保护过程中，在不同阶段和从事不同活动中，如何使用等级保护标准体系中的其他等级保护相关标准。

2

1.2主要思路

对信息系统实施等级保护的过程是一个工程过程，其工程活动将覆盖到信息系统生命周期的各个阶段，其核心内容是对信息系统实施安全保护，到目前为止，对信息系统实施安全保护的方法论有很多，主要流行的方法包括风险管理方法和安全工程方法。

1.风险管理的思路

介绍风险管理的材料有很多，其中iso/iec13335、nist-sp800-30、“加拿大风险管理工作指南”等是典型的通过风险管理的手段对信息系统实施保护的参考材料。各种资料介绍的风险管理方法在细节方面可能有所差别，但是总体思路基本一致。

采用风险管理方法对信息系统进行保护的基本步骤是：

1）风险分析和风险评估

可以采用各种方法（iso/iec13335等）对信息系统面临的风险进行分析，包括资产分析、弱点分析、威胁分析、现有保护措施分析、风险分析，得到现有系统的安全风险状况。

2）风险规避