信息安全等级保护测评

TopSec可信等级体系天融信等级保护方案

https://www.wendangku.net/doc/de11159313.html,更新时间:08-03-27 09:37 来源:硅谷动力作者:中安网

1.等级保护概述

1.1为什么要实行等级保护？

信息系统与社会组织体系是具有对应关系的，而这些组织体系是分层次和级别的，因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求，这就需要对信息系统进行分级、分区域、分阶段进行保护，这是做好国家信息安全的必要条件。

1.2等级保护的政策文件

信息安全等级保护工作非常重要，为此从2003年开始国家发布了一系列政策文件，具体如下：

2003年9月，中办国办颁发《关于加强信息安全保障工作的意见》（中办发[2003]27号），这是我国第一个信息安全保障工作的纲领性文件，战略目标为经过五年努力，基本形成国家信息安全保障体系，实行等级保护制度。

2004年11月，四部委会签《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）：等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意义、原则、基本内容、工作职责分工、工作要求和实施计划。

2005年9月，国信办文件，《关于转发《电子政务信息安全等级保护实施指南》的通知》（国信办[2004]25号）：基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。

2005年，公安部标准：《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。

2006年1月，四部委会签《关于印发《信息安全等级保护管理办法的通知》（公通字[2006]7号）。

1.3 等级保护的管理结构－北京为例

等级保护的实施和落实离不开各级管理机构的指导和监督，这在等级保护的相关文件中已经得到了规定，下面以北京市为例来说明管理机构的组成和职责，具体如下图所示：

1.4等级保护理论的技术演进

在等级保护理论被提出以后，经过相关部门的努力工作，逐渐提出了一系列原则、技术和框架，已经具备实施等级保护工作的基础条件了，其具体演进过程如下图所示：

1.5等级保护的基本需求

一个机构要实施等级保护，需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度，因此各级组织在这方面就存在如下需求：

（1）政策要求－符合等级保护的要求。系统符合《基本要求》中相应级别的指标，符合《测评准则》中的要求。

（2）实际需求－适应客户实际情况。适应业务特性与安全要求的差异性，可工程化实施。

1.6基本安全要求的结构

对系统进行定级后，需要通过努力达到相应等级的基本安全要求，在总体上分为技术要求和管理要求，技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全，在管理要求中又分为安全管理机构、安全管理制度等5项，具体如下图所示：

2.等级保护实施中的困难与出路

由于等级保护制度还处于探讨阶段，目前来看，尚存在如下困难：

1.标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统，否则：

a)各系统单独保护，将冲突和割裂，形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设，将造成分散、重复和低水平

2.在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善

3.管理难度太大，管理成本高

4.大型客户最关注的关键要求指标超出《基本要求》规定

针对上述问题，在下面几小节分别给出了坚决办法。

2.1安全体系设计方法

需求分析－1

问题1：标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统

a)各系统单独保护，将冲突和割裂，形成信息孤岛

需求：从组织整体出发，综合考核所有系统方法：引入体系设计方法

2.2保护对象框架设计方法

需求分析－2

1.标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统

a)各系统单独保护，将冲突和割裂，形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

需求：准确地进行大系统的分解和描述，反映实际特性和差异性安全要求方法：引入保护对象框架设计方法

保护对象框架－政府行业

保护对象框架－电信行业

保护对象框架－银行业

2.3安全平台的设计与建设方法

需求分析－3

1.标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统

a)各系统单独保护，将冲突和割裂，形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设，将造成分散、重复和低水平

需求：统一规划，集中建设，避免重复和分散，降低成本，提高建设水平

方法：引入安全平台的设计与建设方法

平台定义：为系统提供互操作性及其服务的环境

2.4建立安全运行体系

需求分析－4

1.标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统

a)各系统单独保护，将冲突和割裂，形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设，将造成分散、重复和低水平

2.在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善需求：建立长效机制，建立可持续运行、发展和完善的体系

方法：建立安全运行体系

2.5安全运维工作过程

需求分析－5

1.标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统

a)各系统单独保护，将冲突和割裂，形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设，将造成分散、重复和低水平

2.在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善

3.管理难度太大，管理成本高

需求：需要高水平、自动化的安全管理工具

方法：TSM安全管理平台

2.6 TNA可信网络架构模型

需求分析－6

1.标准中从“单个系统”出发，但实际工作是从组织整体出发，整体考虑所有系统

a)各系统单独保护，将冲突和割裂，形成信息孤岛

b)复杂大系统的分解和差异性安全要求描述很困难

c)各系统安全单独建设，将造成分散、重复和低水平

2.在建立长效机制方面考虑较少，难以做到可持续运行、发展和完善

3.管理难度太大，管理成本高

4.大型客户最关注的关键指标超出《基本要求》规定

需求：在《基本要求》基础上提出更强的措施，满足客户最关注的指标

方法：引入可信计算的理念，提供可信网络架构

3.总体解决方案－TopSec可信等级体系

按照上面解决等级保护目前困难的方法，总体解决方案就是建立TopSec可信等级体系：

遵照国家等级保护制度、满足客户实际需求，采用等级化、体系化和可信保障相结合的方法，为客户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系。

实施后状态：一套持续运行、涵盖所有安全内容的安全保障体系，是企业或组织安全工作所追求的最终目标

特质：

等级化：突出重点，节省成本，满足不同行业、不同发展阶段、不同层次的要求

整体性：结构化，内容全面，可持续发展和完善，持续运行针对性：针对实际情况，符合业务特性和发展战略

3.1可信等级体系设计方法

3.2信息安全保障体系总体框架

3.3体系设计的成果安全组织体系

安全策略体系

安全技术体系

安全运行体系

信息安全技术 信息系统安全等级保护测评要求.doc

信息安全技术信息系统安全等级保护基本要求 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息系统安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号）等有关文件要求，制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南； ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求； ——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护实施指南。 一般来说，信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对信息系统中的单项安全措施和多个安全措施的综合防范，对应地提出单元测评和整体测评的技术要求，用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域 间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。本标准给出了等级测评结论中应包括的主要内容，未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定，本标准中的信息系统主要指计算机信息系统。在本标准文本中，黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 信息系统安全等级保护测评要求 1 范围 本标准规定了对信息系统安全等级保护状况进行安全测试评估的要求，包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测 评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使 用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否 可使用这些文件的最新版本。不注日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分：安全 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 3 术语和定义 GB/T 5271.8和GB/T 22239-2008所确立的以及下列术语和定义适用于本标准。

信息安全等级保护答案

一、单选题(题数:32,共64、0 分)1 信息安全等级保护工作直接作用的具体的信息与信息系统称为(2、0分) 2、0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务 正确答案:B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: (2、0分) A、 3 B、 4 C、 5 D、 6 正确答案:C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范与标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。(2、0分) A、公安机关 B、国家保密工作部门 C、国家密码管理部门 D、信息系统的主管部门 正确答案:D 4 对社会秩序、公共利益造成特别严重损害,定义为几级(2、0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:D 5 对国家安全造成特别严重损害,定义为几级(2、0分) A、第二级 B、第三级 C、第四级 D、第五级 正确答案:D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。(2、0分) A、二级及以上 B、三级及以上 C、四级及以上 D、五级 正确答案:B 7 计算机信息系统实行安全等级保护,安全等级的划分标准与安全

等级保护的具体办法,由( )合同有关部门制定。(2、0分) A、教育部 B、国防部 C、安全部 D、公安部 正确答案:B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。(2、0分) A、7 B、8 C、 6 D、 5 正确答案:D 9 信息系统受到破坏后,会对公民、法人与其她组织的合法权益造成损害,但不损害国家安全、社会秩序与公共利益,在等保定义中应定义为第几级(2、0分) A、第一级 B、第二级 C、第三级 D、第四级 正确答案:A 10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。(2、0分) A、安全定级 B、安全评估 C、安全规划 D、安全实施 正确答案:A 11 安全建设整改无论就是安全管理建设整改还就是安全技术建设整改,使用的与新标准就是( ) (2、0分) A、《计算机信息安全保护等级划分准则》 B、《信息系统安全等级保护基本要求》 C、《中华人民共与国计算机信息系统安全保护条例》 D、《信息安全等级保护管理办法》 正确答案:B 12 从系统服务安全角度反映的信息系统安全保护等级称(2、0分) A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级 正确答案:C 13 对拟确定为( )以上信息系统的,运营、使用单位或者主管部门应

国家信息安全等级保护制度第三级要求

国家信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。

1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。 1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;

b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。

信息安全等级测评师测试(1)-管理初级

一、单选题（20分） 1、《基本要求》中管理要求中，下面那一个不是其中的内容？（） A、安全管理机构。 B、安全管理制度。 C、人员安全管理。 D、病毒安全管 理。 2、应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的 恶意攻击、一般的自然灾难，所造成的重要资源损害，能够发现重要的安 全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能 是几级要求？（） A、一级。 B、二级。 C、三级。 D、四级。 3、三级系统基本要求中管理要求控制类共有（）项？ A、32。 B、36。 C、37。 D、38。 4、《测评要求》和哪一个文件是对用户系统测评的依据？ A、《信息系统安全等级保护实施指南》。 B、《信息系统安全保护等级定级指 南》。C、《信息系统安全等级保护基本要求》。D、《信息系统安全等级保护 管理办法》。 5、安全运维阶段的主要活动包括运行管理和控制、变更管理和控制、安全状 态监控、（）、安全检查和持续改进、监督检查？ A、安全事件处置和应急预案。 B、安全服务。 C、网络评估。 D、安全加固。 6、如果一个信息系统，主要对象为涉及国家安全、社会秩序和公共利益的重 要信息系统，其业务信息安全性或业务服务保证性受到破坏后，会对国家 安全、社会秩序和公共利益造成较大损害；本级系统依照国家管理规范和 技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查。这

应当属于等级保护的什么级别？（） A、强制保护级。 B、监督保护级。 C、指导保护级。 D、自主保护级。 7、《信息系统安全等级保护实施指南》将（）作为实施等级保护的第一项重 要内容？ A、安全定级。 B、安全评估。 C、安全规划。 D、安全实施。 8、人员管理主要是对人员的录用、人员的离岗、（）、安全意识教育和培训、 第三方人员访问管理5各方面。 A、人员教育。 B、人员裁减。 C、人员考核。 D、人员审核。 9、根据《信息安全等级保护管理办法》，由以下哪个部门应当依照相关规范和 标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作？ A、公安机关。 B、国家保密工作部门。 C、国家密码管理部门。 D、信息系 统的主管部门。 10、计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、 社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。（） A、经济价值经济损失。 B、重要程度危害程度。 C、经济价值危害程度。 D、重要程度经济损失。 11、新建_______信息系统，应当在投入运行后_______，由其运营、使用单位 到所在地设区的市级以上公安机关办理备案手续。（） A、第一级以上30日内。 B、第二级以上60日内。 C、第一级以上60日内。 D、第二级以上30日内。

信息安全等级测评师测试题

信息安全等级测评师测试题

信息安全等级测评师测试 一、单选题（14分） 1、下列不属于网络安全测试范畴的是（ C ） A. 结构安全 B. 边界完整性检查 C. 剩余信息保护 D. 网络设备防护 2、下列关于安全审计的内容说法中错误的是（ D ）。 A. 应对网络系统中的网络设备运行情况、网络流量、用户行为等进行 日志记录。 B. 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否 成功及其他与审计相关的信息。 C. 应能根据记录数据进行分析，并生成报表。 D. 为了节约存储空间，审计记录可以随意删除、修改或覆盖。 3、在思科路由器中，为实现超时10分钟后自动断开连接，实现的命令应 为下列哪一个。（ A ） A. exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标。（ A ） A. ping扫描 B. 操作系统扫描 C. 端口扫描 D. 漏洞扫描 5、防火墙提供的接入模式中包括。（ ABCD ） A. 网关模式 B. 透明模式 C. 混合模式 D. 旁路接入模式 6、路由器工作在。( C ) A. 应用层 B. 链接层 C. 网络层 D. 传输层 7、防火墙通过＿＿控制来阻塞邮件附件中的病毒。( Ａ ) Ａ．数据控制Ｂ．连接控制Ｃ．ACL控制Ｄ．协议控制 二、多选题（36分） 1、不同设VLAN之间要进行通信，可以通过＿＿。( A B ) A交换机B路由器C网闸 D入侵检测 E入侵防御系统2、能够起到访问控制功能的设备有＿＿。( ABD ) A网闸 B三层交换机 C入侵检测系统 D防火墙 3、路由器可以通过来限制带宽。（ ABCD ） A．源地址 B.目的地址 C.用户 D.协议 4、IPSec通过实现密钥交换、管理及安全协商。（ＣＤ） A. AH B. ESP C. ISAKMP/Oakley D. SKIP 5、交换机可根据＿＿＿＿来限制应用数据流的最大流量。（ ACD ） A.IP地址 B.网络连接数 C.协议 D.端口 6、强制访问控制策略最显著的特征是＿＿＿＿＿。（ BD ） A.局限性 B.全局性 C.时效性 D.永久性 7、防火墙管理中具有设定规则的权限。（ CD ） A．用户 B.审计员 C.超级管理员 D.普通管理员 8、网络设备进行远程管理时，应采用协议的方式以防被窃听。 （ＡＣ） A. SSH B. HTTP C. HTTPS D. Telnet E.FTP 9、网络安全审计系统一般包括（ABC ）。 A.网络探测引擎 B.数据管理中心C审计中心 D声光报警系统

信息安全等级保护初级测评师模拟试题

信息安全等级测评师模拟考试 考试形式：闭卷考试时间：120分钟 一、单选题（每题分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（ c） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（ A ） A.突出重要系统，涉及所有等级, 试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（B ）A A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4. 安全建设整改的目的是（ D） （1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5）

B.（3）、（4）、（5） C.（2）、（3）、（4）、（5） D.全部 5.下列说法中不正确的是（ A）B A. 定级/备案是信息安全等级保护的首要环节。 B. 等级测评是评价安全保护现状的关键。 C. 建设整改是等级保护工作落实的关键。 D. 监督检查是使信息系统保护能力不断提高的保障。 6.配置如下两条访问控制列表： access-list 1 permit access-list 2 permit 访问控制列表1和2，所控制的地址范围关系是：（ B ）A A. 1和2的范围相同 B. 1的范围在2的范围内 C. 2的范围在1的范围内 D. 1和2的范围没有包含关系 7. Oracle数据库中，以下（ B ）命令可以删除整个表中的数据，并且无法回滚。C A. Drop B. Delete C. Truncate D. Cascade 8.下面哪个不是生成树的优点（ C ）D A. 生成树可以管理冗余链路，在链路发生故障时可以恢复网络连接 B. 生成树可以防止环路的产生 C. 生成树可以防止广播风暴 D. 生成树能够节省网络带宽 9.关于以下配置

信息安全等级测评师初级试题

判断题（10×1=10分） 1、动态路由是网络管理员手工配置的路由信息，也可由路器自动地建立并且能够根据实际情况的变化适时地进行调整。（×） 2、星型网络拓扑结构中，对中心设备的性能要求比较高。（√ ） 3、访问控制就是防止未授权用户访问系统资源。（√ ） 4、考虑到经济成本，在机房安装过录像监控之后，可不再布置报警系统。（× ） 5、审计日志的主要功能是可以对安全事件进行追踪和发现入侵行为，降低安全事件的发生。（√ ） 6、在三级信息系统中，每个系统默认账户和口令原则上都是要进行修改的（√ ） 7、剩余信息保护是三级系统比二级系统新增内容。（√ ） 8、权限如果分配不合理，有可能会造成安全事件无从查找。（√ ） 9、三级信息系统中，为了数据的完整性，我们可以采用CRC的校验码措施（× ） 10、在进行信息安全测试中，我们一般不需要自己动手进行测试。（√ ） 二、单项选择题（15×2.5=30分） 1、测评单位开展工作的政策依据是（ C ） A.公通字[2004] 66号 C.公信安[2010] 303号 B.公信安[2008] 736 D发改高技[2008]2071 2、当信息系统受到，破坏后我们首先要确定是否侵害客体。( B ) A.公民、法人其他组织的合法权益 B.国家安全 C.社会秩序、公共利益 3、cisco的配置通过什么协议备份( A )

A.ftp B.tftp C.telnet D.ssh 4、哪项不是开展主机工具测试所必须了解的信息(D ) A.操作系统 B.应用 C.ip D.物理位置 5、三级系统主机安全的访问控制有（ B ）个检查项。 A、6 B、7 C、8 D、9 6、某公司现有260台计算机，把子网掩码设计成多少最合适（ A ） A.255.255.254.0 C. 255.255.0.0 B.255.255.168.0 D.255.255.255.0 7、数据传输过程中不被篡改和修改的特性，是（ B ） A.保密性 B.完整性 C.可靠性 D.可用性 8、向有限的空间输入超长的字符串是哪一种攻击手段？ ( A ) A、缓冲区溢出 B、网络监听 C、拒绝服务 D、IP欺骗 9、关于备份冗余以下说法错误的是（ D ） A.三级信息系统应在异地建立备份站点 B.信息系统线路要有冗余 C.数据库服务器应冗余配置 D.应用软件应进行备份安装 10、下列不属于应用层的协议是（ C ） A.FTP B.TELNET C.SSL D.POP3 三、多项选择题（10×2=20分） 1、常见的数据备份有哪些形式（ ABC ） A、完全备份 B、差异备份 C、增量备份 D、日志备份 2、下列属于双因子认证的是（ AD ） A.口令和虹膜扫描 B.令牌和门卡 C.两次输入密码 D. 门卡和笔记（迹）

信息安全等级保护测评自查

信息系统安全等级保护测评自查 （三级） 单位全称：XXX 项目联系人：XX X ：XXX ：XXX 1被测信息系统情况 1.1承载的业务情况 市XXX系统，XX年投入使用，包括X台服务器、X台网络设备和X台安全设备。市XXX系统是为市XXX(系统简介)。 1.2网络结构 给出被测信息系统的拓扑结构示意图，并基于示意图说明被测信息系统的网络结构基本情况，包括功能/安全区域划分、隔离与防护情况、关键网络和主机设备的部署情况和功能简介、与其他信息系统的互联情况和边界设备以及本地备份和灾备中心的情况。 市XXX系统由边界安全域、核心安全域和服务器安全域等三个功能区域组成，主要有XXX功能。各功能区都位于XX机房。具体拓扑如下：

图2-1 市XXX系统拓扑图 备注：需注明网络出口（电信，电子资源政务中心、XXX等） 1.3系统备案情况 市XXX系统备案为X级，系统备案编号为X，备案软件显示系统防护为SXAXGX 2系统构成 2.1机房 2.2网络设备 以列表形式给出被测信息系统中的网络设备。

2.3安全设备 以列表形式给出被测信息系统中的安全设备。 2.4服务器/存储设备 以列表形式给出被测信息系统中的服务器和存储设备，描述服务器和存储设备的项目包括设备名称、操作系统、数据库管理系统以及承载的业务应用软件系统。 1设备名称在本报告中应唯一，如xx业务主数据库服务器或xx-svr-db-1。

2.5终端 以列表形式给出被测信息系统中的终端，包括业务管理终端、业务终端和运维终端等。 2.6 业务应用软件 以列表的形式给出被测信息系统中的业务应用软件（包括含中间件等应用平台软件），描述项目包括软件名称、主要功能简介。

信息安全等级保护初级测评师模拟试题

信息安全等级保护初级测评师模拟试题 集团档案编码：[YTTR-YTPT28-YTNTL98-UYTYNN08]

信息安全等级测评师模拟考试 考试形式：闭卷考试时间：120分钟 一、单选题（每题1.5分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（c） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2.以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（A） A.突出重要系统，涉及所有等级,试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（B）A A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4.安全建设整改的目的是（D） （1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5） B.（3）、（4）、（5）

信息安全等级保护培训试题集

信息安全等级保护培训试题集 一、法律法规 一、单选题 1．根据《信息安全等级保护管理办法》，（A）负责信息安全等级保护工作的监督、检查、指导。 A．公安机关 B．国家保密工作部门 C．国家密码管理部门 2．根据《信息安全等级保护管理办法》，（D）应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。 A．公安机关 B．国家保密工作部门 C．国家密码管理部门 D．信息系统的主管部门 3．计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的_______，计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。(B) A．经济价值经济损失 B．重要程度危害程度 C．经济价值危害程度 D．重要程度经济损失

4．对拟确定为（D）以上信息系统的，运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 A．第一级 B．第二级 C．第三级 D．第四级 5．一般来说，二级信息系统，适用于（D） A．乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。 B．适用于地市级以上国家机关、企业、事业单位内部重要的信息系统；重要领域、重要部门跨省、跨市或全国（省）联网运行的信息系统；跨省或全国联网运行重要信息系统在省、地市的分支系统；各部委官方网站；跨省（市）联接的信息网络等。 C．适用于重要领域、重要部门三级信息系统中的部分重要系统。例如全国铁路、民航、电力等调度系统，银行、证券、保险、税务、海关等部门中的核心系统。 D．地市级以上国家机关、企业、事业单位内部一般的信息系统。例如小的局域网，非涉及秘密、敏感信息的办公系统等。 6．信息系统建设完成后，（A）的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。 A．二级以上 B．三级以上

信息安全等级保护各级对比表

目录 1概述 (2) 1.1 背景介绍 (2) 1.2 主要作用及特点 (2) 1.3 与其他标准的关系 (3) 1.4 框架结构 (3) 2描述模型 (4) 2.1 总体描述 (4) 2.2 保护对象 (5) 2.3 安全保护能力 (5) 2.4 安全要求 (7) 3逐级增强的特点 (8) 3.1 增强原则 (8) 3.2 总体描述 (9) 3.3 控制点增加 (10) 3.4 要求项增加 (10) 3.5 控制强度增强 (11) 4各级安全要求 (12) 4.1 技术要求 (12) 4.1.1 物理安全 (12) 4.1.2 网络安全 (18) 4.1.3 主机安全 (23) 4.1.4 应用安全 (28) 4.1.5 数据安全及备份恢复 (34) 4.2 管理要求 (37) 4.2.1 安全管理制度 (37) 4.2.2 安全管理机构 (39) 4.2.3 人员安全管理 (42) 4.2.4 系统建设管理 (46) 4.2.5 系统运维管理 (51)

本教材根据《信息系统安全等级保护管理办法》公通字[2007]43号和《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安[2007]861号文件，围绕信息安全等级工作，介绍信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》（以下简称《基本要求》），描述《基本要求》的技术要求分级思路、逐级增强特点以及具体各级安全要求。通过培训，使得用户能够了解《基本要求》在信息系统安全等级保护中的作用、基本思路和主要内容，以便正确选择合适的安全要求进行信息系统保护。 1概述 1.1背景介绍 2004年，66号文件中指出“信息安全等级保护工作是个庞大的系统工程，关系到国家信息化建设的方方面面，这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施，信息安全等级保护制度计划用三年左右的时间在全国范围内分三个阶段实施。”信息安全等级保护工作第一阶段为准备阶段，准备阶段中重要工作之一是“加快制定、完善管理规范和技术标准体系”。依据此要求，《基本要求》列入了首批需完成的6个标准之一。 1.2主要作用及特点 1.主要作用 《基本要求》对等级保护工作中的安全控制选择、调整、实施等提出规范性要求，根据使用对象不同，其主要作用分为三种： a)为信息系统建设单位和运营、使用单位提供技术指导 在信息系统的安全保护等级确定后，《基本要求》为信息系统的建设单位和运营、使用单位如何对特定等级的信息系统进行保护提供技术指导。 b)为测评机构提供评估依据 《基本要求》为信息系统主管部门，信息系统运营、使用单位或专门的等级测评机构对信息系统安全保护等级的检测评估提供依据。 c)为职能监管部门提供监督检查依据 《基本要求》为监管部门的监督检查提供依据，用于判断一个特定等级的信息系统是否按照国家要求进行了基本的保护。 2.主要特点 《基本要求》是针对每个等级的信息系统提出相应安全保护要求，“基本”意味着这些要求是针对该等级的信息系统达到基本保护能力而提出的，也就是说，这些要求的实现能够保证系统达到相应等级的基本保护能力，但反过来说，系统达到相应等级的保护能力并不仅仅完全依靠这些安全保护要求。同时，《基本要求》强调的是“要求”，而不是具体实施方案

信息系统安全等级保护测评过程指南

信息安全技术信息系统安全等级保护测评过程指南 引言 依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括： ——GB/T22240-2008信息安全技术信息系统安全等级保护定级指南； ——GB/T22239-2008信息安全技术信息系统安全等级保护基本要求； ——GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南； ——GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求。 信息安全技术 信息系统安全等级保护测评过程指南 1范围

本标准规定了信息系统安全等级保护测评（以下简称等级测评）工作的测评过程，既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价，也适用于信息系统的运营使用单位在信息系统定级工作完成之后，对信息系统的安全保护现状进行的测试评价，获取信息系统的全面保护需求。 2规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件， 其最新版本适用于本标准。 GB/T5271.8信息技术词汇第8部分：安全GB17859-1999计算机信息系统安全保护等级划分准则GB/T22240-2008信息安全技术信息系统安全等级保护定级指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/TCCCC-CCCC信息安全技术信息系统安全等级保护实施指南GB/TDDDD-DDDD信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》（公通字[2007]43号） 3术语和定义 GB/T5271.8、GB17859-1999、GB/TCCCC-CCCC和GB/TDDDD-DDDD确立的以及下列的术语和定义适用于本标准。 3.1

信息安全等级保护答案

一、单选题（题数：32，共64.0 分）1 信息安全等级保护工作直接作用的具体的信息和信息系统称为（2.0分） 2.0 分 A、客体 B、客观方面 C、等级保护对象 D、系统服务 正确答案：B 2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: （2.0分） A、 3 B、 4 C、 5 D、 6 正确答案：C 3 根据《信息安全等级保护管理办法》,( )应当依照相关规范和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。（2.0分） A.公安机关 B.国家保密工作部门 C.国家密码管理部门 D.信息系统的主管部门 正确答案：D 4 对社会秩序、公共利益造成特别严重损害,定义为几级（2.0分） A、第一级 B、第二级 C、第三级 D、第四级 正确答案：D 5 对国家安全造成特别严重损害,定义为几级（2.0分） A、第二级 B、第三级 C、第四级 D、第五级 正确答案：D 6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。（2.0分） A.二级及以上 B.三级及以上 C.四级及以上 D.五级 正确答案：B

7 计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由( )合同有关部门制定。（2.0分） A、教育部 B、国防部 C、安全部 D、公安部 正确答案：B 8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。（2.0分） A、7 B、8 C、 6 D、 5 正确答案：D 9 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益,在等保定义中应定义为第几级（2.0分） A、第一级 B、第二级 C、第三级 D、第四级 正确答案：A 10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要内容。（2.0分） A、安全定级 B、安全评估 C、安全规划 D、安全实施 正确答案：A 11 安全建设整改无论是安全管理建设整改还是安全技术建设整改,使用的和新标准是( ) （2.0分） A、《计算机信息安全保护等级划分准则》 B、《信息系统安全等级保护基本要求》 C、《中华人民共和国计算机信息系统安全保护条例》 D、《信息安全等级保护管理办法》 正确答案：B 12 从系统服务安全角度反映的信息系统安全保护等级称（2.0分） A、安全等级保护 B、信息系统等级保护 C、系统服务安全保护等级 D、业务信息安全保护等级 正确答案：C

《信息安全等级保护测评机构管理办法》最新

信息安全等级保护测评机构管理办法 第一条为加强信息安全等级保护测评机构管理，规范等级测评行为，提高测评技术能力和服务水平，根据《信息安全等级保护管理办法》等有关规定，制定本办法。 第二条等级测评工作，是指等级测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 等级测评机构，是指依据国家信息安全等级保护制度规定，具备本办法规定的基本条件，经审核推荐，从事等级测评等信息安全服务的机构。 第三条等级测评机构推荐管理工作遵循统筹规划、合理布局、安全规范的方针，按照“谁推荐、谁负责，谁审核、谁负责”的原则有序开展。 第四条等级测评机构应以提供等级测评服务为主，可根据信息系统运营使用单位安全保障需求，提供信息安全咨询、应急保障、安全运维、安全监理等服务。 第五条国家信息安全等级保护工作协调小组办公室（以下简称“国家等保办”）负责受理隶属国家信息安全职能部门和重点行业主管部门申请单位提出的申请，并对其推荐 1的等级测评机构进行监督管理。 省级信息安全等级保护工作协调（领导）小组办公室（以下简称“省级等保办”）负责受理本省（区、直辖市）申请单位提出的申请，并对其推荐的等级测评机构进行监督管理。 第六条申请成为等级测评机构的单位（以下简称“申请单位”）应具备以下基本条件： （一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位；

（二）产权关系明晰，注册资金100万元以上；（三）从事信息系统安全相关工作两年以上，无违法记录； （四）测评人员仅限于中华人民共和国境内的中国公民，且无犯罪记录； （五）具有信息系统安全相关工作经验的技术人员，不少于10人； （六）具备必要的办公环境、设备、设施，使用的技术装备、设施应满足测评工作需求； （七）具有完备的安全保密管理、项目管理、质量管理、人员管理和培训教育等规章制度； （八）自觉接受等保办的监督、检查和指导，对国家安全、社会秩序、公共利益不构成威胁； （九）不涉及信息安全产品开发、销售或信息系统安全 2集成等业务； （十）应具备的其他条件。 第七条申请时，申请单位应向等保办提交以下材料：（一）《信息安全等级保护测评机构申请表》； （二）从事信息系统安全相关工作情况； （三）检测评估工作所需软硬件及其他服务保障设施配备情况； （四）有关管理制度建设情况； （五）申请单位及其测评人员基本情况； （六）应提交的其他材料。 等保办收到申请材料后，应在10个工作日内组织初审，并出具初审结果告知书。

信息安全等级保护制度

第一条 为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条

信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

信息安全等级测评机构能力要求使用说明(试 行)

信息安全等级保护测评体系建设与测评工作规范性文件 信息安全等级测评机构 能力要求使用说明 （试行） 200×-××-××发布200×-××-××实施公安部信息安全等级保护评估中心

信息安全等级测评机构能力要求使用说明 目录 1范围 (3) 2名词解释 (3) 3基本条件 (3) 4组织管理能力 (4) 5测评实施能力 (6) 6设施和设备安全与保障能力 (10) 7质量管理能力 (12) 8规范性保证能力 (13) 9风险控制能力 (16) 10可持续性发展能力 (17) 11测评机构能力约束性要求 (18)

信息安全等级测评机构能力要求使用说明 前言 公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号），决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容，为确保有效指导测评机构的能力建设，规范其测评活动，满足信息安全等级保护工作要求，特制定本规范。 《信息安全等级测评机构能力要求》（以下简称《能力要求》）是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容，结合信息安全等级测评工作的特点，对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续性发展能力等提出基本能力要求，为规范等级测评机构的建设和管理，及其能力评估工作的开展提供依据。

信息安全等级测评机构能力要求使用说明 信息安全等级测评机构能力要求使用说明 1范围 本规范规定了测评机构的能力要求。 本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。 2名词解释 2.1等级测评 等级测评是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 2.2等级测评机构 等级测评机构，是指具备测评机构基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室推荐，从事等级测评工作的机构。 3基本条件 依据《信息安全等级保护测评工作管理规范》（试行），信息安全等级测评机构（以下简称测评机构）应当具备以下基本条件： a)在中华人民共和国境内注册成立（港澳台地区除外）； b)由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；（具 体要求参见8.2.1） c)产权关系明晰，注册资金100万元以上；（具体要求参见8.2.2） d)从事信息系统检测评估相关工作两年以上，无违法记录；（具体要求参见5.2.1） e)工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（具体要求参见 8.2.1） f)具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人； g)具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等 级保护管理办法》对信息安全产品的要求；（具体要求参见6.1） h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； （具体要求参见4.5） i)对国家安全、社会秩序、公共利益不构成威胁;

信息安全等级保护标准规范

信息安全等级保护标准规范 一、开展信息安全等级保护工作的重要性和必要性 信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。 二、信息安全等级保护相关法律和文件 1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。1999年9月13日国家发布《计算机信息系统安全保护等级划分准则》。2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）明确指出，“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2007年6月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》（以下简称《管理办法》），明确了信息安全等级保护的具体要求。 三、工作分工和组织协调 （一）工作分工。公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 信息系统主管部门应当督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 信息系统的运营、使用单位应当履行信息安全等级保护的义务和责任。 （二）组织协调。省公安厅、省国家保密局、省国家密码管理局、省信息化领导小组办公室联合成立信息安全等级保护工作协调小组，负责信息安全等级保护工作的组织部署，由省公安厅主管网监工作的领导任组长，省国家保密局、省国家密码管理局、省信息化领导小组办公室主管领导任副组长。办公室设在省公安厅网警总队，负责信息安全等级保护工作的具体组织实施。各行业主管部门要成立行业信息安全等级保护工作小组，组织本系统和行业