信息系统安全等级保护体系框架

信息系统安全等级保护通过三大功能和五个环节，对国家、社会、集团和个人所建立和使用的信息系统，分等级实施必要的安全保护。

实现信息系统安全等级保护的三大功能是：

防范与保护功能：从物理、网络、系统、应用和管理等组成部分，实现整体防范与保护；

监督与检查功能：各单位自我检查与政府职能部门监督检查相结合，从技术和管理两个方面 ，确保信息系统的安全性达到确定安全等级的要求；

响应与处置功能：信息系统拥有者，对系统的安全事件应有快速响应与处置的能力，并在发现重大问题时能及时向主管部门反映，与有关单位沟通。

实现信息系统安全等级保护的五个环节是指：

政策、法规环节：制定完善的信息安全等级保护政策、法规，建立专门的管理机构，明确实施的程序和方法；

规范化技术与管理环节：制定符合国情的信息系统安全等级保护技术和管理标准，并按标准要求实施安全管理，进行安全技术和产品的研究和开发；

系统构建过程控制环节：按照谁主管谁负责的要求，对安全信息系统的构建过程进行全方位控制，并通过检消机构严格的检测评估，确保所构建的安全信息系统达到所需要的安全性要求；

系统运行过程控制环节：按照谁运营谁负责的要求，对安全信息系统的运行过程进行全方位控制，并通过职能部门的监督检查，确保所运行的安全信息系统达到所设计的安全性要求；

系统监督、检查环节：信息安全相关职能部门，依照法律、法规和标准，制定完善信息安全监管规章制度，开展信息安全等级保护专项管理工作。督促安全等级保护责任制的落实，监督、检查并指导信息系统所属部门和单位的信息系统安全等级保护的建设和管理，对安全技术产品实行监管，对安全检测机构实施监管。建立非盈利的覆盖全国的系统安全等级保护执法检查与检测支持体系，使用统一标准对运行中的安全信息系统进行检查、检测、评估，确保其实际运行过程中的安全性达到设计的目标要求。