TopSec可信等级体系 天融信等级保护方案-金融证券解决方案.doc

TopSec 可信等级体系 天融信等级保护方案 -金融证券解决方案 1.等级保护概述 1.1 为什么要实行等级保护？ 信息系统与社会组织体系是具有对应关系的，而这些组织体系是分层次和级别的，因此各种信息系统是具有不同等级的重要性和社会、经济价值的。对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待就是级别的客观要求。信息安全必须符合这些客观要求，这就需要对信息系统进行分级、分区域、分阶段进行保护，这是做好国家信息安全的必要条件。 1.2 等级保护的政策文件 信息安全等级保护工作非常重要，为此从 2003 年开始国家发布了一系列政策文件，具体如下： 2003 年 9 月，中办国办颁发《关于加强信息安全保障工作的意见》（中办发 [2003]27 号），这是我国第一个信息安全保障工作的纲领性文件，战略目标为经过五年努力，基本形成国家信息安全保障体系，实行等级保护制度。 2004 年 11 月，四部委会签《关于信息安全等级保护工作的实施意见》（公通字 [2004]66 号）：等级保护是今后国家信息安全的基本制度也是根本方法、等级保护制度的重要意 义、原则、基本内容、工作职责分工、工作要求和实施计划。 2005 年 9 月，国信办文件，《关于转发《电子政务信息安全等级保护实施指南》的通知》（国信办 [2004]25 号）：基本原理、定级方法、安全规划与设计、实施与运营、大型复杂电子政务系统等级保护过程。 2005 年，公安部标准：《等级保护安全要求》、《等级保护定级指南》、《等级保护实施指南》、《等级保护测评准则》。 2006 年 1 月，四部委会签《关于印发《信息安全等级保护管理办法的通知》（公通字 [2006]7 号）。 1.3 等级保护的管理 结构－北京为例 等级保护的实施和落实离不开各级管理机构的指导和监督，这在等级保护的相关文件中已经得到了规定，下面以北京市为例来说明管理机构的组成和职责，具体如下图所示： 1.4 等级保护理论的技术演进 在等级保护理论被提出以后，经过相关部门的努力工作，逐渐提出了一系列原则、技术和框架，已经具备实施等级保护工作的基础条件了，其具体演进过程如下图所示： 1.5 等 级保护的基本需求 一个机构要实施等级保护，需要基本需求。由于等级保护是国家推动的旨在规范安全工作的基本工作制度，因此各级组