《信息系统安全等级保护讲义.pptx》由会员分享,可在线阅读,更多相关《信息系统安全等级保护讲义.pptx(50页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息系统安全等级信息系统安全等级保护保护讲义讲义沈阳实现科技发展有限公司刘志内容安全等级保护安全等级保护概述概述安全等级保护定级原理安全等级保护定级方法安全等级保护定级管理安全等级保护技术和管理要求原因计算机病毒、黑客攻击、各种软硬件故障等信息安全问题给各类组织造成了极大地风险。信息安全问题不仅仅是组织自身的事情,也涉及到国家和社会安全。基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全尤为重要。互联网安全环境网络安全是互联网应用发展的基础保障。网络安全是互联网应用发展的基础保障。20112011年上年上半年,遇到过病毒或木马攻击的网民达到半年,遇到过病毒或木马攻击的网民
2、达到2.17 2.17 亿。亿。发展史n1994年,国务院颁布计算机信息系统安全保护条例(147号令)n第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。n1999年9月13日,颁布计算机信息系统安全保护等级划分准则(GB/T 17859-1999),于2000年开始实施,它是我国计算机信息系统安全保护等级工作的基础。n2003年,国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号):明确提出“实行信息安全等级保护”。发展史n2004年,全国信息安全保障工作会议:专门将信息安全等级保护工作作为信息安全保障工作的一项
3、重要任务来部署。n2004年9月,公安部、保密局、密码管理局、国信办联合出台了关于信息安全等级保护工作的实施意见(公通字200466号):明确了信息安全等级保护制度的原则和基本内容,以及信息安全等级保护工作的职责分工、工作实施的要求等。n2007年,公安部、保密局、密码管理局、国信办联合制定了信息安全等级保护管理办法,标志着我国等级保护制度的初步形成定级范围n运营商和服务提供商n电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。n重要行业n铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革
4、、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。n重要机关n市(地)级以上党政机关的重要网站和办公信息系统。n涉密系统n涉及国家秘密的信息系统。职责分工n公安机关n负责信息安全等级保护工作的监督、检查、指导。n国家密码管理部门n负责等级保护工作中有关密码工作的监督、检查、指导。n其他相关部门n涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。n信息化领导机构n国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。n信息
5、系统主管部门n依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的等级保护工作。n信息系统的运营、使用单位n应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。政策法规n中华人民共和国计算机信息系统安全保护条例(国务院147号令)n国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号文件),中办、国办n关于信息安全等级保护工作的实施意见(公通字200466号文件)公安部、保密局、国密办以及国信办n信息系统安全等级保护基本要求(标准GB/T22239-2008)n信息系统安全等级保护定级指南(标准GB/T22240-2008)
6、n信息系统安全等级保护实施指南(标准GB/T25058-2010)n信息系统安全等级保护测评准则(报批稿)n信息安全等级保护管理办法(公通字200743号文件),公安部、保密局、国密办以及国信办n关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号文件),公安部、保密局、国密办以及国信办国家标准n信息技术 词汇 第8部分:安全(GB/T 5271.8)n信息技术 计算机信息系统安全保护等级划分准则(GB17859-1999)n信息技术 信息技术安全性评估准则(GB/T 18336-2000)n信息技术 信息安全管理实用规则(GB/T 19716-2005)n信息技术 信息
7、系统通用安全技术要求(GB/T20271-2006)n信息技术 网络基础安全技术要求(GB/T20270-2006)n信息技术 操作系统安全技术要求(GB/T20272-2006)n信息技术 数据库管理系统安全技术要求(GB/T20273-2006)n信息技术 服务器技术要求(GB/T21028-2007)n信息技术 终端计算机系统安全等级技术要求(GA/T671-2006)n信息技术 信息系统安全管理要求(GB/T20269-2006)n信息技术 信息系统安全工程管理要求(GB/T20282-2006)n 其他国家标准内容安全等级保护概述安全等级保护定级原理安全等级保护定级原理安全等级保护定
8、级方法安全等级保护定级管理安全等级保护技术和管理要求定级准则n坚持自主定级、自主保护的原则。n应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序和公共利益以及公民、法人和其他组织的合法权益(受侵害客体)的危害程度等因素确定。等级划分n第一级(自主保护级)n信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。n第二级(指导保护级)n信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。n第三级(监督保护级)n信息系统受到破坏后,会对社
9、会秩序和公共利益造成严重损害,或者对国家安全造成损害。n第四级(强制保护级)n信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。n第五级(专控保护级)n信息系统受到破坏后,会对国家安全造成特别严重损害。第五级第四级第三级第二级定级监管部门第一级单位自主公安部门公安部门和国密部门国密部门?定级要素n受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:n公民、法人和其他组织的合法权益;n社会秩序、公共利益;n国家安全。n对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定,表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以
10、描述。侵害程度归结为以下三种:n造成一般损害;n造成严重损害;n造成特别严重损害。定级要素与等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级等级、定级要素、监管关系等级等级受侵害客体受侵害客体侵害程度侵害程度监管强度监管强度第一级公民、法人和其他组织的合法权益一般损害自主保护第二级公民、法人和其他组织的合法权益严重损害、特别严重损害指导保护社会秩序和公共利益严重损害第三级社会秩序和公共利益严重损害监督保护国家安全一般损害第四级社会秩序和公共利益特别严重损害强制保护国家
11、安全严重损害第五级国家安全特别严重损害专控保护内容安全等级保护概述安全等级保护定级原理安全等级保护定级方法安全等级保护定级方法安全等级保护定级管理安全等级保护技术和管理要求确定安全对象n业务信息安全保护等级n从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。n以业务为主题,如不同应用系统n系统服务安全保护等级n从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。n以服务为主题,如不同子网、数据中心定级流程 3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全
12、等级4、业务信息安全等级8、定级对象的安全保护等级依据表A依据表B1、确定定级对象确定定级对象(流程1)n具有唯一确定的安全责任单位(一个单位)n这种定级对象是能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。n具有信息系统的基本要素(一个系统)n这种定级对象是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端
13、、网络设备等作为定级对象。n承载相对独立的业务应用(一种应用)n这种定级对象是指其业务应用的主要业务流程独立,同时与其他业务应用有一定的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。确定受侵害的客体(流程2、5)nA-侵害国家安全n影响国家政权稳固和国防实力;影响国家统一、民族团结和社会安定;影响国家对外活动中的政治、经济利益;影响国家重要的安全保卫工作;其他影响国家安全的事项。nB1-侵害社会秩序n影响国家机关社会管理和公共服务的工作秩序;影响各种类型的经济活动秩序;影响各行业的科研、生产活动秩序;影响公众在法律约束和道德规范下的正常生活秩序等;其他影响社会秩序的事
14、项。nB2-影响公共利益n影响社会成员使用公共设施;影响社会成员获取公开信息资源;影响社会成员接受公共服务等方面;其他影响公共利益的事项。nC-影响公民、法人和其他组织的合法权益n指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。确定对客体的侵害程度(流程3、6)n一般损害n工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。n严重损害n工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和
15、个人造成较严重损害。n特别严重损害n工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。确定对客体的危害后果n影响行使工作职能;n导致业务能力下降;n引起法律纠纷;n导致财产损失;n造成社会不良影响;n对其他组织和个人造成损失;n其他影响。确定定级对象的安保等级(流程4、7)n业务信息安全保护等级矩阵表n系统服务安全保护等级矩阵表表A-业务信息安全保护等级矩阵表 业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级
16、第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级表B-系统服务安全保护等级矩阵表 系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级内容安全等级保护概述安全等级保护定级原理安全等级保护定级方法安全等级保护定级管理安全等级保护定级管理安全等级保护技术和管理要求定级监督管理n第一级n信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。n国家信息安全监管部门对该级信息系统信息安全等级保护工作进行备案。n第二级n信息系统运营
17、、使用单位应当依据国家有关管理规范和技术标准进行保护。n国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。n第三级n信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。n国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。n第四级n信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。n国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。n第五级n信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。n国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。等级
18、测评与自查 n第三方测评n运营、使用单位或者其主管部门应当选择符合规定条件的测评机构,依据信息系统安全等级保护测评要求等技术标准,定期对信息系统安全等级状况开展等级测评。n测评周期n第三级:每年至少一次n第四级:每半年至少一次n第五级:应当依据特殊安全需求进行等级测评。n自查n信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。n自查周期n第三级:每年至少一次n第四级:每半年至少一次n第五级:应当依据特殊安全需求进行自查。定级申报材料n编写信息系统安全等级保护定级报告n填写信息系统安全等级保护备案表n第三级以上信息系统应当同时提供以下材料:n系统
19、拓扑结构及说明;n系统安全组织机构和管理制度;n系统安全保护设施设计实施方案或者改建实施方案;n系统使用的信息安全产品清单及其认证、销售许可证明;n测评后符合系统安全保护等级的技术检测评估报告;n信息系统安全保护等级专家评审意见;n主管部门审核批准信息系统安全保护等级的意见。信息系统安全等级保护定级报告n一、XXX信息系统描述n简述确定该系统为定级对象的理由:1.描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该系统为本单位或部门的定级对象;2.定级对象具有的信息系统基本要素,描述基本要素、系统网络结构、系统边界和边界设备;3.定级对象是否承载着单一或
20、相对独立的业务,业务情况描述。n二、XXX信息系统安全保护等级确定n(一)业务信息安全保护等级的确定:n1、业务信息描述、2、业务信息受到破坏时所侵害客体的确定、3、信息受到破坏后对侵害客体的侵害程度的确定、4、业务信息安全等级的确定n(二)系统服务安全保护等级的确定:n1、系统服务描述、2、系统服务受到破坏时所侵害客体的确定、3、系统服务受到破坏后对侵害客体的侵害程度的确定、4、系统服务安全等级的确定n(三)整体安全保护等级的确定:n由业务信息安全等级和系统服务安全等级较高者决定,最终确定该系统的安全保护等级。信息系统名称安全保护等级业务信息安全等级系统服务安全等级XXX信息系统XXX信息系
21、统安全等级保护备案表 涉及国家秘密的信息系统分级保护备案表内容安全等级保护概述安全等级保护定级原理安全等级保护定级方法安全等级保护定级管理安全等级保护技术和管理安全等级保护技术和管理要求要求安全保护能力总体要求n第一级安全保护能力n应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害。n在系统遭到损害后,能够恢复部分功能。n第二级安全保护能力n应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件。n在系
22、统遭到损害后,能够在一段时间内恢复部分功能。n第三级安全保护能力n应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件n在系统遭到损害后,能够较快恢复绝大部分功能。n第四级安全保护能力n应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件。n在系统遭到损害后,能够迅速恢复所有功能。n第五级安全保护能力n(略)由国家指定部门或机构
23、确定。基本安全要求结构某级系统某级系统物物理理安安全全技术要求技术要求管理要求管理要求基本要求基本要求网网络络安安全全主主机机安安全全应应用用安安全全数数据据安安全全安安全全管管理理机机构构安安全全管管理理制制度度人人员员安安全全管管理理系系统统建建设设管管理理系系统统运运维维管管理理基本技术要求的三种类型类型保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改的信息安全类要求(简记为S)。保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致的系统不可用的服务保证类要求(简记为A)。通用安全保护类要求(简记为G)。第一级基本技术要求n物理安全n物理访问控制(G1)、防盗窃和防
24、破坏(G1)、防雷击(G1)、防火(G1)、防水和防潮(G1)、温湿度控制(G1)、电力供应(A1)n网络安全n结构安全(G1)、访问控制(G1)、设备防护(G1)n主机安全n身份鉴别(S1)、访问控制(S1)、入侵防范(G1)、恶意代码防范(G1)n应用安全n身份鉴别(S1)、访问控制(S1)、通信完整性(S1)、软件容错(A1)、数据安全及备份恢复、数据完整性(S1)、备份和恢复(A1)第一级基本管理要求n安全管理制度n管理制度(G1)、制定和发布(G1)n安全管理机构n岗位设置(G1)、人员配备(G1)、授权和审批(G1)、沟通和合作(G1)n人员安全管理n人员录用(G1)、人员离岗(G
25、1)、安全意识教育和培训(G1)、外部人员访问管理(G1)n系统建设管理n系统定级(G1)、安全方案设计(G1)、产品采购和使用(G1)、自行软件开发(G1)、外包软件开发(G1)、工程实施(G1)、测试验收(G1)、系统交付(G1)、安全服务商选择(G1)n系统运维管理n环境管理(G1)、资产管理(G1)、设备管理(G1)、网络安全管理(G1)、系统安全管理(G1)、恶意代码防范管理(G1)、备份与恢复管理(G1)、安全事件处置(G1)第二级基本技术要求n物理安全n物理位置的选择(G2)、物理访问控制(G2)、防盗窃和防破坏(G2)、防雷击(G2)、防火(G2)、防水和防潮(G2)、防静电(
26、G2)、温湿度控制(G2)、电力供应(A2)、电磁防护(S2)n网络安全n结构安全(G2)、访问控制(G2)、安全审计(G2)、边界完整性检查(S2)、入侵防范(G2)、网络设备防护(G2)n主机安全n身份鉴别(S2)、访问控制(S2)、安全审计(G2)、入侵防范(G2)、恶意代码防范(G2)、资源控制(A2)n 应用安全n身份鉴别(S2)、访问控制(S2)、安全审计(G2)、通信完整性(S2)、通信保密性(S2)、软件容错(A2)、资源控制(A2)n数据安全及备份恢复n数据完整性(S2)、数据保密性(S2)、备份和恢复(A2)第二级基本管理要求n安全管理制度n管理制度(G2)、制定和发布(G
27、2)、评审和修订(G2)n安全管理机构n岗位设置(G2)、人员配备(G2、授权和审批(G2)、沟通和合作(G2)、审核和检查(G2)n人员安全管理n人员录用(G2)、人员离岗(G2)、人员考核(G2)、安全意识教育和培训(G2)、外部人员访问管理(G2)n 系统建设管理n系统定级(G2)、安全方案设计(G2)、产品采购和使用(G2)、自行软件开发(G2)、外包软件开发(G2)、工程实施(G2)、测试验收(G2)、系统交付(G2)、安全服务商选择(G2)n系统运维管理n环境管理(G2)、资产管理(G2)、介质管理(G2、设备管理(G2)、网络安全管理(G2)、系统安全管理(G2)、恶意代码防范管
28、理(G2)、密码管理(G2)、变更管理(G2)、备份与恢复管理(G2)、安全事件处置(G2)、应急预案管理(G2)第三级基本技术要求n物理安全n物理位置的选择(G3)、物理访问控制(G3)、防盗窃和防破坏(G3)、防雷击(G3)、防火(G3)、防水和防潮(G3)、防静电(G3)、温湿度控制(G3)、电力供应(A3)、电磁防护(S3)n网络安全n结构安全(G3)、访问控制(G3)、安全审计(G3)、边界完整性检查(S3)、入侵防范(G3)、恶意代码防范(G3)、网络设备防护(G3)n主机安全n身份鉴别(S3)、访问控制(S3)、安全审计(G3)、剩余信息保护(S3)、入侵防范(G3)、恶意代码防
29、范(G3)、资源控制(A3)n应用安全n身份鉴别(S3)、访问控制(S3)、安全审计(G3)、剩余信息保护(S3)、通信完整性(S3)、通信保密性(S3、抗抵赖(G3)、软件容错(A3)、资源控制(A3)、n数据安全及备份恢复n数据完整性(S3)、数据保密性(S3)、备份和恢复(A3)第三级基本管理要求n安全管理制度n管理制度(G3)、制定和发布(G3)、评审和修订(G3)n安全管理机构n岗位设置(G3)、人员配备(G3)、授权和审批(G3)、沟通和合作(G3)、审核和检查(G3)n人员安全管理n人员录用(G3)、人员离岗(G3)、人员考核(G3)、安全意识教育和培训(G3)、外部人员访问管理
30、(G3)n系统建设管理n系统定级(G3)、安全方案设计(G3)、产品采购和使用(G3)、自行软件开发(G3)、外包软件开发(G3)、工程实施(G3)、测试验收(G3)、系统交付(G3)、系统备案(G3)、等级测评(G3)、安全服务商选择(G3)n系统运维管理n环境管理(G3)、资产管理(G3)、介质管理(G3)、设备管理(G3)、监控管理和安全管理中心(G3)、网络安全管理(G3)、系统安全管理(G3)、恶意代码防范管理(G3)、密码管理(G3)、变更管理(G3)、备份与恢复管理(G3)、安全事件处置(G3)、应急预案管理(G3)第四级基本技术要求n物理安全n物理位置的选择(G4)、物理访问控
31、制(G4)、防盗窃和防破坏(G4)、防雷击(G4)、防火(G4)、防水和防潮(G4)、防静电(G4)、温湿度控制(G4)、电力供应(A4)、电磁防护(S4)n网络安全n结构安全(G4)、访问控制(G4)、安全审计(G4)、边界完整性检查(S4、入侵防范(G4)、恶意代码防范(G4)、网络设备防护(G4)n主机安全n身份鉴别(S4)、安全标记(S4)、访问控制(S4)、可信路径(S4)、安全审计(G4)、剩余信息保护(S4)、入侵防范(G4)、恶意代码防范(G4)、资源控制(A4)n应用安全n身份鉴别(S4)、安全标记(S4)、访问控制(S4)、可信路径(S4)、安全审计(G4)、剩余信息保护(
32、S4)、通信完整性(S4)、通信保密性(S4)、抗抵赖(G4)、软件容错(A4)、资源控制(A4)n数据安全及备份恢复n数据完整性(S4)、数据保密性(S4)、备份和恢复(A4)第四级基本管理要求n安全管理制度n管理制度(G4)、制定和发布(G4)、评审和修订(G4)n安全管理机构n岗位设置(G4)、人员配备(G4)、授权和审批(G4)、沟通和合作(G4)、审核和检查(G4)n人员安全管理n人员录用(G4)、人员离岗(G4)人员考核(G4)、安全意识教育和培训(G4)、外部人员访问管理(G4)n系统建设管理n系统定级(G4)、安全方案设计(G4)、产品采购和使用(G4)、自行软件开发(G4)、
33、外包软件开发(G4)、工程实施(G4)、测试验收(G4)、系统交付(G4)、系统备案(G4)、等级测评(G4)、安全服务商选择(G4)n系统运维管理n环境管理(G4)、资产管理(G4)、介质管理(G4)、设备管理(G4)、监控管理和安全管理中心(G4)、网络安全管理(G4、系统安全管理(G4)、恶意代码防范管理(G4)、密码管理(G4)、变更管理(G4)、备份与恢复管理(G4)、安全事件处置(G4)、应急预案管理(G4)、第五级基本要求n第五级信息系统是涉及到国家安全、社会次序、经济建设和公共利益的重要的信息系统,对第五级信息系统的安全要求由国家指定的专门部门或者专门机构另行专门制定规范。各等级信息系统定级结果组合 安全保护等级安全保护等级信息系统定级结果的组合信息系统定级结果的组合第一级第一级S1A1G1第二级第二级S1A2G2,S2A2G2,S2A1G2第三级第三级S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四级第四级S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4第五级第五级/等级保护的基本含义 “信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。”-“27号文”Q&A谢谢!