一、信息系统安全等级保护的必要性

随着我国信息技术的快速发展，为维护国家安全和社会稳定，维护信息网络安全，国务院于1994年颁布了《中华人民共和国计算机信息系统安全?；ぬ趵罚ü裨?47号令）。

2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级?；ぁ?。

    2007年公安部会同国家保密局、国家密码管理局和国务院信息化工作办公室下发《信息安全等级?；す芾戆旆ā罚üㄗ諿2007]43号）明确规定“定期对信息系统安全等级状况开展等级测评”?！暗谌缎畔⑾低秤Φ泵磕曛辽俳幸淮蔚燃恫馄?，第四级信息系统应当每半年至少进行一次等级测评……”。并制定了包括《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》等50多个国家标准和行业标准，形成了信息安全等级?；け曜继逑?。具体如下图所示：

2012年，CSDN网站因未落实国家信息安全等级?；ぶ贫?，造成了大量用户信息泄露的严重后果。依据《中华人民共和国计算机信息系统安全?；ぬ趵?，北京市公安局对CSDN网站运营公司做出行政警告处罚?？杉?，开展等级保护工作是单位义不容辞的信息安全义务。

二、等级?；げ馄赖墓ぷ髂谌?

为了达到各级的安全?；つ芰σ?，国家等级?；せ景踩筇岢隽思际跻蠛凸芾硪罅酱罄?，涵盖了物理（机房）、网络、主机、应用、数据安全、安全管理制度、安全管理机构、人员、系统建设、系统运维十个方面的内容。

§ 保障基础设施安全，保障网络周边环境和物理特性引起的网络设备和线路的持续使用。

§ 保障网络连接安全，保障网络传输中的安全，尤其保障网络边界和外部接入中的安全。

§ 保障计算环境的安全，保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。

§ 保障应用系统安全，保障应用程序层对网络信息的保密性、完整性和信源的真实的?；ず图穑乐购偷钟髦职踩埠凸セ魇侄?，在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。

§ 保障数据安全及备份恢复，保障数据完整性、数据保密性、备份和恢复等。

§ 安全管理体系保障。根据国家有关信息安全等级?；し矫娴谋曜己凸娣兑螅⒁惶浊惺悼尚械陌踩芾硖逑?，加强安全管理机制。

如下图所示

信息系统安全等级?；げ馄?/span>(简称“等级?；げ馄馈?包括系统定级、系统备案、安全建设整改、等级?；げ馄?、定期安全检查五个阶段。等级?；すぷ鞯氖凳┕倘缦峦妓荆?

等级?；げ馄朗侵感畔⑾低吃擞?、使用单位委托具有等级?；げ馄雷手实牟馄阑苟云浣ㄉ璧囊讯兜男畔⑾低辰械燃侗；げ馄拦?，测评机构在测评过程中采用访谈、检查和测试三大类的测评方法，具体细分为人员访谈、文档审查、配置核查、现场观测和工具测试等五个小类，对信息系统进行安全测评和风险评估，验证信息系统是否满足相应安全?；さ燃兑螅⑿纬尚畔踩燃侗；げ馄辣ǜ?。其所包含的测评工作流程可参考下图：

公安机关等安全监管部门进行信息安全等级?；ぜ喽郊觳槭保低吃擞?、使用单位必须提交由具有等级测评资质的机构出具的等级测评报告。

三、开展等级?；げ馄赖囊娲?

对于单位来说，实施信息安全等级?；げ馄滥芄挥行У靥岣叩ノ恍畔⒑托畔⑾低嘲踩ㄉ璧恼逅?，有效控制单位信息安全建设成本；有利于明确国家、法人和其他组织、公民的信息安全责任，加强单位信息安全管理。

对于信息系统来说，通过等级?；げ馄揽杉笆狈⑾中畔⑾低嘲踩纯霾⒅贫ǚ桨附姓?，当信息系统完全达到安全?；つ芰σ笫保畔⑾低尘突究勺龅?/span>“进不来、拿不走、改不了、可审计”。