信息系统安全等级保护实施指南

1  范围

本标准规定了信息系统安全等级保护实施的过程，适用于指导信息系统安全等级保护的实施。

2  规范性引用文件

下 列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然 而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分：安全

GB17859-1999 计算机信息系统安全保护等级划分准则

GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南

3  术语和定义

GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。

3.1等级测评 classified security testing and evaluation

确定信息系统安全保护能力是否达到相应等级基本要求的过程。

4  等级保护实施概述

4.1  基本原则

信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息系统安全等级保护实施过程中应遵循以下基本原则：

a)   自主保护原则

信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。

b)   重点保护原则

根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。

c)   同步建设原则

信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。

d)   动态调整原则

要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。

4.2  角色和职责