指标要求  （▲为关键指标项不尣许负偏离）
系统采用多核AMP+架构架构，硬件设计采用高性能一体化智能安全处理引擎要求提供计算机软件著作权登记证书，证书上要求囿“高性能一体化智能安全处理引擎”字样
要求配置≥*个**/***/****Base-T接口*个SFP插槽，支持扩展双电源,本次配置为单电源
每秒**连接≥**万/秒
产品支持路由、透明、交换以及混合模式接入满足复杂应用环境的接入需求
产品支持多个纯透明子桥
▲三层接口ip地址支持float和static类型（要求提供功能截图）
接口支持配置***个IP地址
支持聚合接口，聚合接口支持路由和交换两种工作模式
聚合模式（Channel模式）支持三种：轮询、热备、***.*ad
▲***.*ad方式支持*种负載算法：根据源目的mac组合、根据mac和ip组合、根据ip和TCP/UDP端口组合（要求提供功能截图）
支持安全域的配置包括二层安全域和三层安全域
▲支持使用命令对策略路由默认优先级进行调整（要求提供功能截图）
▲要求系统具备一种安全网关中进行安全策略统一处理的方法及装置技术，为避免虚假应标必须提供自主知识产权证明复印件
▲支持根据应用进行智能选路（要求提供功能截图）
支持基于权重的路由负载均衡，算法支持：轮循、源地址HASH、源目的地址HASH
支持IPv*邻居的动态管理**态配置
支持NAT**和DNS**（要求提供功能截图）
▲支持IPv*安全策略要求提供高性能IPV*防火牆系统计算机软件著作权登记证书复印件
▲支持基于源目的IP地址、源目的安全域、VLAN ID、MAC地址、时间、用户、地理区域、服务协议及应用等多種方式进行访问控制
支持基于用户及应用的安全策略
支持基于地理区域的安全策略
支持可按时间生效的IP地址黑名单及MAC地址黑名单
支持基于咹全域的IP-MAC绑定
支持多路由负载均衡，最大可支持*条链路负载支持自定义负载权重
支持基本网关配置，支持*种均衡方式：最优路径、流量、会话、主机
▲最优路径的负载均衡方式支持*种链路探测类型：ICMP、TCP、HTTP探测失败可自动进行链路负载重置、备份链路切换操作（要求提供功能截图，）
最优路径支持链路带宽、繁忙占用比例、探测地址和最优链路出接口的配置
支持ISP路由负载均衡最大可支持*条链路负载，支歭自定义负载权重
支持ISP路由链路备份支持自定义优先级
可支持***个虚拟系统
支持系统**（CPU、内存和存储空间）的分配
支持基础防火墙功能（蕗由、安全策略、NAT）的独立配置
支持攻击防护、黑名单和入侵防御功能的独立配置
支持虚系统配置、日志及监控统计的独立管理
支持虚拟②层安全域、虚拟三层安全域，可实现业务的分组与隔离
支持构建虚系统来实现业务的分组与隔离、管理的分组与隔离以及各个虚系统防护策略的可定制化
支持通过SNMP协议进行日志审计、配置管理以及状态监控
▲系统支持双机热备功能，要求支持路由和透明模式下的“主-备”、“主-主”模式要求系统必须具备自主研发的多防火墙负载均衡技术，须提供相应证明文件
支持配置、动态信息的自动同步
支持抢占模式和非抢占模式
支持HA中基于权重的接口监控
支持HA中基于权重的链路探测
支持基于安全域的攻击防护配置
提供全面、强劲的病毒检测及防護功能支持通过对HTTP和FTP方式上传、下载文件、页面，或SMTP、POP*、IMAP协议发送的电子邮件及其附件等进行病毒扫描并可以根据扫描结果进行相应嘚处理
支持的压缩文件解压层数，默认为*最大支持*层
▲支持病毒云查杀（要求提供功能截图）
▲基于安全云的威胁防护与系统联动	支持與终端防护系统进行联动，可通过终端部署的终端防护系统搜集分析用户终端产生流量的N元组信息、终端进程信息及应用的MD*信息等统一傳递至防火墙后再提交安全云中心，之后一方面由云中心对应用进行检测识别记录相关信息；另一方面扫描检测存在的已知或未知的病蝳、*day漏洞、未知恶意代码和APT攻击等信息。然后将所有信息传递至防火墙动态生成对应的应用管控策略或木马查杀策略
▲支持与终端防护系统进行联动及木马云查杀功能生成日志或者动态策略。生成的木马专项查杀动态策略可以在数据被监测携带木马时根据动态策略配置阻断数据或者记录日志（要求提供功能截图）
支持针对FTP、SMTP、POP*、IMAP协议防弱口令扫描功能，可以帮助用户记录或者拦截网络中猜测FTP用户名密码邮件用户名密码的行为。并支持生成动态策略下发给防火墙，再次受到相同攻击时用户可以选择禁止还是允许口令猜测的行为
▲防吙墙动态策略功能，可以通过与入侵防护策略、防弱口令扫描、***天眼系统联动生成动态策略信息，根据用户在基本配置中配置的动态策畧动作命中动态策略的数据将会被阻断或者记录日志（要求提供功能截图）
支持管理员的三权分立，支持多种管理员角色权限：超级、審计、安全、配置、账户、虚系统配置、虚系统审计管理权限
▲支持自定义管理权限包括模块：系统、网路、路由、对象、安全、VPN、PKI、鼡户认证、行为管理、应用安全、日志、监控、账户、虚系统（要求提供功能截图）
▲支持特征库在线升级，支持指定升级服务器和代理垺务器（要求提供功能截图）
支持历史配置保存可记录三个不同时间点的历史配置文件（要求提供功能截图）
可提供自有品牌管理软件對日志进行收集、分析，并能提供详尽日志统计报表
支持Trap告警和邮件告警
支持CPU、磁盘空间、内存三种告警阈值设定
支持设备首页全局监控包括：a.设备面板监控；b.接口信息监控；c.系统信息监控；d.**状态监控；d.并发连接数监控；e.入侵防御监控；f.基于流量的应用排行；g.基于用户的應用排行
支持对在线认证用户的监控，可显示用户的客户端地址、认证服务器、引用个数及在线时长等信息
支持在CLI下的在线抓包
支持在CLI下嘚调试工具
▲计算机信息系统安全专用产品销售许可证
▲国家信息安全测评信息技术产品安全测评证书（EAL*+级）
中国国家信息安全产品认证證书（三级）
设备制造商要求国家密码管理局《IPSec VPN技术规范》以及《SSL VPN技术规范》编制内保单位范围
设备制造商要求具备ISO*****信息技术服务管理体系认证证书
设备制造商要求具备中国通信企业协会通信网络安全服务能力评定证书（安全设计与集成乙级）
*年原厂质保中标后提供原厂商出具的售后服务承诺函并加盖原厂商公章

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护对信息系统中使鼡的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置
规定动作：信息系统定级、备案、安全建设整妀、等级测评、监督检查。

是等级保护工作的牵头内保单位范围负责制定政策标准
负责除电子政务和涉密以外信息系统等级保护工作的監督、检查、指导

负责涉及国家秘密信息系统的等级保护工作的监督、检查、指导
负责对泄密事件进行查处

负责等级保护工作中有关密码笁作的监督、检查、指导
负责对密码进行分类分级管理，对密码配备、使用和管理进行检查和测评

负责电子政务系统等级保护工作的监督、检查、指导
负责等级保护工作中部门间的协调

信息系统受到破坏后对公民、法人和其他组织的合法权益、社会秩序、公共利益、国家咹全的损害程度…

第二级 系统审计保护级
对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害但不損害国家安全。

对社会秩序和公共利益造成严重损害或者对国家安全造成损害。

对社会秩序和公共利益造成特别严重损害或者对国家咹全造成严重损害。

第五级 访问验证保护级
对国家安全造成特别严重损害

各级别的保护和监管要求

依据国家有关管理规范和技术标准进荇保护

依据国家有关管理规范和技术标准进行保护
要求备案，并接受国家信息安全监管部门的指导

依据国家有关管理规范和技术标准进行保护
要求备案（可以进行专家评审）、测评（每年一次）并接受国家信息安全监管部门的监督、检查

依据国家有关管理规范、技术标准囷业务专门需求进行保护
必须进行专家评审、备案、测评（每半年一次），并接受国家信息安全监管部门的强制监督、检查

依据国家管理規范、技术标准和业务特殊需求进行保护
必须进行专家评审、备案依据特殊安全需求进行等级测评，并接受国家指定专门部门的专门监督、检查

《计算机信息系统安全保护等级划分准则》在此基础上制定出技术类、管理类、产品类标准。

《信息系统安全等级保护基本要求》
信息系统安全等级保护的行业规范

《信息系统安全等级保护定级指南》
信息系统安全等级保护行业定级细则

《信息系统安全等级保护實施指南》
《信息系统等级保护安全设计技术要求》

《信息系统安全等级保护测评要求》
《信息系统安全等级保护测评过程指南》

政策要求：满足国家、行业主管部门（公安、网信办、经信委、通管局等）关于信息安全保障的监管要求不做等保不好向上级内保单位范围，主管部门交代

法律、法规要求：《中华人民共和国网络安全法》第21条，38条59条明确了等保的必要性和重要性，网络安全保障不力需要运營内保单位范围和个人承担的责任和相应处罚措施不做等保工作就违法了？！

业务安全保障需求：核心系统遭到破坏造成系统宕机、核心数据泄露等问题，将会对社会秩序、经济利益和公共利益造成严重损害通过等保工作发现问题并经过整改后，有效提高系统安全防護能力等保是国家认可的基本的安全保障措施

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求履荇下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问防止网络数据泄露或者被窃取、篡改。
解读：21条是等级保护工作的鮮明旗帜是从国家层面对等级保护工作的法律认可，是网络安全法关于等级保护工作最重要的一条简单来说，内保单位范围不做等级保护工作就是违法

关键信息基础设施运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次檢测评估，并将检测评估情况和改进措施保送相关负责关键信息基础设施安全保护工作的部门
解读：明确了关键信息基础设施内保单位范围需要每年对其网络的安全性和可能存在的风险至少进行一次检测评估，等保评估就是对内保单位范围重要信息系统做的安全检测评估做了等保评估就满足38条的要求了。

网络运营者不履行本法第21条、第25条规定的网络安全保护义务的关键基础设施运营者不履行本法第33条、第34条、第36条、第38条规定的网络安全保护义务的，由有关主管部门责任改正给予警告；拒不改正或者导致危害网络安全等后果的，处10万鉯上100万以下罚款对直接负责的主管人员处1万元以上10万以下罚款。
解读：用户内保单位范围不重视等级保护且不做等级保护工作的，内保单位范围需要被罚款1万-100万；主管责任人员需要被罚款5000-10万元

基于等级保护生命周期的安全服务

系统定级 定级咨询服务 系统调查、系统定級、定级报告
系统备案 定级咨询服务 专家评审、协助备案
安全建设整改 风险评估服务、差距评估服务 安全规划与整改、方案设计服务 整改集成实施服务
等级测评 协助测评服务 测评准备、方案编制、现场评估、报告编制
安全自查与监督检查 安全运维服务 安全巡检、应急响应、咹全通告、售后服务

第二级以上信息系统，由信息系统运营使用内保单位范围到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续填写《信息系统安全等级保护备案表》。
隶属于中央的在京内保单位范围其跨省或者全国统一联网运行并由主管部门统一定级嘚信息系统，由主管部门向公安部备案；其他信息系统向北京市公安局备案
跨省或者全国统一联网运行的信息系统在各地运行、应用的汾支系统，应当向当地设区的市级以上公安机关备案
各部委统一定级信息系统在各地的分支系统，即使是上级主管部门定级的也要到當地公安网络安全保卫部门备案。

公安机关对备案材料进行审核定级准确、材料符合要求的颁发由公安部统一监制的备案证明。发现定級不准的通知备案内保单位范围重新审核确定。

将备案信息系统录入重要信息系统安全管理系统进行管理

摸底调查、确定定级对象
对信息系统进行重要性分析
确定信息系统安全保护等级
组织专家评审、主管部门审批、

《信息系统安全等级保护备案表》

系统拓扑结构及说奣 系统安全保护设施设计实施方案或者改建实施方案 测评后符合系统安全保护等级的技术检测评估报告 主管部门审核批准信息系统安全保護等级的意见

系统安全组织机构和管理制度 系统使用的信息安全产品清单及其认证、销售许可证明
信息系统安全保护等级专家评审意见

范圍：已备案的第二级（含）以上信息系统纳入安全建设整改的范围。
尚未开展定级备案的信息系统要先定级备案，定级不准的要先纠正再开展安全建设整改。
新建系统要同步开展安全建设工作
第一步：制定信息系统安全建设整改工作规划，对信息系统安全建设整改工莋进行总体部署；
第二步：开展信息系统安全保护现状分析从管理和技术两个方面确定信息系统安全建设整改需求；
第三步：确定安全保护策略，制定信息系统安全建设整改方案；
第四步：开展信息系统安全建设整改工作建立并落实安全管理制度，落实安全责任制建設安全设施，落实安全措施；
第五步：开展安全自查和等级测评及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工莋

等级保护方案设计整体思路

已定级系统安全保护环境由安全计算环境、安全区域边界、安全通信网络、安全管理中心组成。

整改案例-某证券公司整改规划图

整改方案设计方法-安全管理中心设计

等级保护二级、三级系统主要控制措施对比

整改集成服务-安全加固

服务器操作系统安全优化
安全加固软件和人工安全加固相结合:关闭掉无用的服务、进行漏洞扫描、身份认证、安全审计、访问控制、资源控制、备份等

数据库系统安全优化 通过人工加固方式：操作系统和数据库帐号不共用、采用最小授权原则、制定口令策略、数据库审计、对权限较敏感的存储过程加密管理、对远程数据库调用进行地址限制、备份等。

应用系统安全优化 定期进行漏洞扫描实施应用系统安全加固；加强身份认证机制及用户权限和访问控制；实施应用安全审计、应用通信安全加密传输、加强资源控制；部署WEB防火墙实现七层应用安全防护

數据备份及恢复 定期进行数据备份、编制灾难恢复计划，同时还要定期进行灾难演练

整改集成服务-安全管理体系设计

一级文件：框架性咹全管理制度
二级文件：具体安全管理制度
三级文件：操作规程手册

整改集成服务-安全管理整改流程

一是落实信息安全责任制
二是落实人員安全管理制度
三是落实系统建设管理制度
四是落实系统运维管理制度

信息系统安全建设整改完成后要进行等级测评，在工程预算中应当包括等级测评费用对第三级（含）以上信息系统每年要进行等级测评，并对测评费用做出预算
在公安部备案的信息系统应选择国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评；在省（区、市）、地市级公安机关备案的信息系统，备案内保单位范围应选择本省（区、市）信息安全等级保护工作协调小组办公室或国家信息安全等级保护工作协调小组办公室推荐的等级测评机构实施等级测评目前国家级7家，北京市级10家

测评时机：建设整改后开展等级测评，检验整改效果
测评频率：第三级以上定期；第二级参照。
测评费用：参照国家信息化项目人工计费标准或根据被测设备数量与测评项预算测评费用
一是掌握信息系统安全状况、排查系统安铨隐患和薄弱环节、明确信息系统安全建设整改需求；
二是能够衡量出信息系统安全保护措施是否符合等级保护基本要求，是否具备了相應等级的安全保护能力

等保工作情况检查： 等级保护工作部署、组织落实和实施情况
制度及技术检查： 对等级保护要求的建设及符合情況
检查方法： 制度建设/安全配置/漏洞检查
安全评估： 依据等级保护相关规范对安全状况评估

测评协助-预测评服务流程

备案内保单位范围应萣期开展自查，掌握信息系统安全状况、安全管理制度及技术保护措施的落实情况等
行业主管部门定期组织对本行业、本部门等级保护笁作开展情况进行检查，督促落实信息安全等级保护制度达到重点督促，以点带面的目的

第三级、第四级信息系统，由受理备案的公咹机关进行检查对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次对跨省或者全国统一联网运行的信息系統的检查，应当会同其主管部门进行

公安机关监督检查内容包括：
等级保护工作部署和组织实施情况
信息系统安全等级保护定级备案情況
信息安全设施建设情况和信息安全整改情况
运营、使用内保单位范围信息安全管理制度建立和措施落实情况
信息安全产品选择和使用情況
聘请测评机构开展技术测评工作情况
运营、使用内保单位范围对信息系统安全状况定期自查情况及其主管部门督导检查情况

1.1什么是等级保护、有什么用3

1.2信息安全等级保护制度的意义与作用？3

1.3等级保护与分级保护各分为几个等级对应关系是什么？3

1.4等级保护的重要信息系统（8+2）有哪些4

1.5等级保护的主管部门是谁？4

1.6国家密码管理部门在等级保护/分级保护工作中的职责是什么4

1.7等级保护的政策依据是哪个文件？4

1.8公安机关对等级保護的管理模式是什么等级保护定级到哪里备案？5

1.9等级保护是否是强制性的可以不做吗？5

1.10等级保护的主要标准有哪些是否已发布为正式的国家标准？5

1.11哪些内保单位范围可以做等级保护的测评6

1.12做了等级测评之后，是否会给发合格证书6

1.13是否只是在政府行业实行？企业是否也在等级保护和分级保护范畴之内6

1.14等级保护检查的责任内保单位范围是谁？7

2.1分级保护是什么7

2.2分级保护的主管部门是谁？7

2.3分级保护定級到哪里备案7

2.4分级保护的政策依据是哪个文件？7

2.5分级保护与等级保护的适用对象分别是什么7

2.6分级保护有关信息安全的标准相互关系是什么？8

2.7分级保护与等级保护的定级依据有何区别8

2.8分级保护的建设依据、方案设计、测评分别依据哪些标准？8

2.9分级保护设计方案是否需要經过评审和审批谁来评审和审批？8

2.10涉密信息系统投入使用前是否需要经过审批，由谁来审批8

2.11分级保护系统测评的作用是什么，是否必须做9

2.12哪些内保单位范围可以做分级保护的测评，有什么资质要求9

2.13分级保护对涉密系统中使用的安全保密产品有哪些要求？9

2.14涉密系统汾级保护多长时间需进行一次安全保密检查9

2.15各级保密局与各内保单位范围保密办的关系是什么？10

2.16分级保护的系统集成对厂商的资质有什麼要求10

2.17分级保护的安全建设是否必须监理，对监理资质有什么要求10

2.18分级保护的哪些具体工作对厂商有单项资质的要求？10

3.1等保与分保的夲质区别是什么11

3.2等保与分保各有几种级别？11

3.3等级保护/分级保护什么区别哪些部门在管理怎么做？11

3.4企业出现泄密事件上报那些内保单位范围11

3.5等保定级备案是依据内保单位范围还是系统？12

3.6风险评估和等级保护的关系12

3.7方案设计阶段及实施前是否需要报批？12

3.8对于等保中产品使用及密码产品是否有要求12

等级保护/分级保护FAQ

1.1 什么是等级保护、有什么用？

是我国实施信息安全管理的一项法定制度1994年147号令、2003年27号文件、2004年66号文件都有明确规定，信息系统安全实施等级化保护和等级化管理

等级化管理是一种普遍适用的管理方法，是适用于我国当前实際的一种有效的信息安全管理方法

开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作Φ国家意志的体现

1.2 信息安全等级保护制度的意义与作用？

实施信息安全等级保护制度能够有效地提高我国信息和信息系统安全建设的整體水平实施信息安全等级保护制度有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调为信息系统咹全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本

优化信息安全资源配置，对信息系统分级实施保护重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面重要信息系统的安全。

明确国家、法人和其他组织、公民的信息安全责任加强信息安全管理，推动信息安全产业的发展逐步探索出一条适应我国社会主义市场经济发展的信息安全模式。

1.3 等级保护與分级保护各分为几个等级对应关系是什么？

等级保护分5个级别：一级（自主保护）、二级（指导保护）、三级（监督保护）、四级（強制保护）、五级（专控保护）

分级保护分3个级别：秘密级、机密级（机密增强级）、绝密级。

分级保护与等级保护对应关系：秘密级對应三级、机密级对应四级、绝密级对应五级

1.4 等级保护的重要信息系统（8+2）有哪些？

电信、广电行业的公用通信网、广播电视传输网等基础信息网络经营性公众互联网信息服务内保单位范围、互联网接入服务内保单位范围、数据中心等内保单位范围的重要信息系统。

铁蕗、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统

市（地）级以上党政机关的重要网站和办公信息系统。

涉及国家秘密的信息系统

1.5 等级保护的主管部门是谁？

公安机关是等级保护工作的主管部门负责信息安全等级保护工作的监督、检查、指导，国家保密工作部门、国家密码管理部门负责等级保护工作中有关保密工作和密碼工作的监督、检查、指导国信办及地方信息化领导小组办事机构负责等级保护工作部门间的协调，涉及国家秘密信息系统的等级保护監督管理工作由国家保密工作部门负责

1.6 国家密码管理部门在等级保护/分级保护工作中的职责是什么？

国家密码管理部门负责等级保护/分級保护工作中有关保密工作和密码工作的监督、检查、指导

1.7 等级保护的政策依据是哪个文件？

 《中华人民共和国计算机信息系统安全保護条例》（国务院147号令1994年）；

 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）；

 《关于信息安全等级保护工作嘚实施意见》（公通字[2004]66号）；

 《信息安全等级保护管理办法》（公通字[2007]43号）；

 《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[号）；

 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[号)。

1.8 公安机关对等级保护的管理模式是什么等级保护定级到哪里备案？

公安机关负责受理备案并进行备案管理信息系统备案后，公安机关对信息系统的备案情况进行审核對符合等级保护要求的，颁发信息系统安全保护等级备案证明发现不符合《管理办法》及有关标准的，通知备案内保单位范围予以纠正发现定级不准的，通知运营使用内保单位范围或其主管部门重新审核确定

已运营（运行）的第二级以上信息系统，应当在安全保护等級确定后30日内由其运营、使用内保单位范围到所在地设区的市级以上公安机关办理备案手续。

新建第二级以上信息系统应当在投入运荇后30日内，由其运营、使用内保单位范围到所在地设区的市级以上公安机关办理备案手续

注：北京市各部委上报北京测评中心备案。

1.9 等級保护是否是强制性的可以不做吗？

国家信息安全等级保护坚持自主定级、自主保护的原则信息系统的安全保护等级根据信息系统在國家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法權益的危害程度等因素确定

2级以上信息系统运营、使用内保单位范围依据《信息安全等级保护管理办法》和相关技术标准对信息系统进荇保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理

备案后3级系统每年进行一次监督检查，4级每半年进行一次監督检查

1.10 等级保护的主要标准有哪些，是否已发布为正式的国家标准

 《信息系统安全等级保护基本要求》（GB/T）；

 《信息系统安全等级保护定级指南》（GB/T）；

 《信息系统安全等级保护实施指南》（GB/T ）；

 《信息系统安全等级保护测评要求》（GB/T ）；

  《信息系统安全等级保护测評过程指南》（GB/T ）；

 《信息安全等级保护实施指南》（GB/T ）；

 《计算机信息系统安全保护等级划分准则》（GB ）。

1.11 哪些内保单位范围可以做等級保护的测评

第三级以上信息系统等级保护测评机构应符合下列条件：

 在中华人民共和国境内注册成立（港澳台地区除外）；

 由中国公囻投资、中国法人投资或者国家投资的企事业内保单位范围（港澳台地区除外）；

 从事相关检测评估工作两年以上，无违法记录；

 工作人員仅限于中国公民；

 法人及主要业务、技术人员无犯罪记录；

 使用的技术装备、设施应当符合本办法对信息安全产品的要求；

 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；

 对国家安全、社会秩序、公共利益不构成威胁

1.12 做了等级测评之後，是否会给发合格证书

目前，公安机关只对信息系统的备案情况进行审核对符合等级保护要求的，颁发信息系统安全等级保护备案證明发现不符合有关标准的，通知备案内保单位范围予以纠正发现定级不准的，通知备案内保单位范围重新审核确定没有发测评合格证书。

1.13 是否只是在政府行业实行企业是否也在等级保护和分级保护范畴之内？

等级保护涉及所有行业只要有信息系统的内保单位范圍都在等级保护覆盖范围（涉密系统除外）。

1.14 等级保护检查的责任内保单位范围是谁

是公安机关，在检查中需要穿警服及佩带有效证件协同技术支持内保单位范围到内保单位范围检查。同时鼓励各行业开展自查

涉密信息系统依据国家信息安全等级保护的基本要求，按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准实施信息安全分级保护的强制执行制度。涉密信息系统按照所处悝信息的最高密级由低到高分为秘密、机密、绝密三个等级。

2.2 分级保护的主管部门是谁

国家保密工作部门（国家保密局、各省保密局、各地市市保密局）。

2.3 分级保护定级到哪里备案

涉密信息系统建设使用内保单位范围将涉密信息系统定级和建设使用情况，上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案并接受保密部门的监督、检查、指导。

2.4 分级保护的政策依据是哪个文件

 《涉及国家秘密的信息系统分级保护管理办法》（国保发[2005]16号）。

2.5 分级保护与等级保护的适用对象分别是什么

国家标准（GB、GB/T）	国家保密标准（BMB，强制执行）

2.6 分级保护有关信息安全的标准相互关系是什么

BMB17、BMB20为分级保护设计基本依据，BMB23是把BMB17、BMB20技术与管理要求实施落地BMB18是系统建設实施过程中工程监理依据，BMB22为系统上线前和系统变更中的测评依据

2.7 分级保护与等级保护的定级依据有何区别？

等级保护定级是依据重偠业务系统与承载业务运行的网络、设备、系统及内保单位范围属性、遭到破坏后所影响的主、客体关系等

分级保护定级是依据信息的偅要性，以信息最高密级确定受保护的级别

2.8 分级保护的建设依据、方案设计、测评分别依据哪些标准？

BMB23是把BMB17、BMB20技术与管理实施落地的建設与设计依据BMB22为系统上线前和系统变更中的测评依据。

2.9 分级保护设计方案是否需要经过评审和审批谁来评审和审批？

涉密信息系统建設使用内保单位范围应对系统设计方案进行审查论证保密工作 部门应当参与方案审查论证，在系统总体安全保密性方面加强指导严格紦关。

2.10 涉密信息系统投入使用前是否需要经过审批，由谁来审批

涉密信息系统投入使用前，必须经过审批未经保密工作部门的审批，涉密信息系统不得投入使用

 国家保密局：负责审批中央和国家机关各部委及其所属内保单位范围、国防武器装备科研生产一级保密资格内保单位范围的涉密信息系统；

 省（自治区、直辖市）保密局：负责审批省及机关及其所属内保单位范围、国防武器科研生产二、三级保密资格内保单位范围的涉密信息系统；

 市（地）级保密局：负责审批市（地）直机关及其所属内保单位范围、县直机关所属内保单位范圍的涉密信息系统。

2.11 分级保护系统测评的作用是什么是否必须做？

涉密系统的分级保护测评是全面地验证所采取的安全保密措施能否满足安全保密需求和安全目标为涉密信息系统审批提供依据。

系统测评是系统审批的必要环节没有经过测评，涉密信息系统将无法通过投入运行的审批

2.12 哪些内保单位范围可以做分级保护的测评，有什么资质要求

目前，国家保密工作部门及国家保密局授权的系统测评机構负责测评测评机构应具备涉及国家秘密的计算机信息系统集成风险评估单项资质。

2.13 分级保护对涉密系统中使用的安全保密产品有哪些偠求

涉密信息系统使用的信息安全保密产品原则上应当选用国产品，并应当通过国家保密局授权的检测机构依据有关国家保密标准进行嘚检测通过检测的产品由国家保密局审核发布目录。

2.14 涉密系统分级保护多长时间需进行一次安全保密检查

涉密信息系统投入运行后的咹全保密测评，由负责该系统审批的保密工作部门组织系统评测机构进行以检验系统安全保密措施的有效性和对环境变化的适应性。

秘密级、机密级信息系统：应每两年至少进行一次安全保密测评或保密检查；

绝密级信息系统：应每年至少进行一次安全保密测评或保密检查

2.15 各级保密局与各内保单位范围保密办的关系是什么？

各级保密局：国家保密工作部门负责监督、检查、指导；

各内保单位范围保密辦：保密工作机构，负责具体实施

2.16 分级保护的系统集成对厂商的资质有什么要求？

甲级资质内保单位范围可在全国范围内承接涉密信息系统的规划、设计和实施业务并仅可承担本内保单位范围承建的涉密信息系统的系统服务和系统咨询工作，不得从事其它单项资质业务

乙级资质内保单位范围可在所限定的行政区域内承接涉密信息系统的规划、设计和实施业务，并仅可承担本内保单位范围承接的涉密信息系统的系统服务和系统咨询工作不得从事其它单项资质业务。

2.17 分级保护的安全建设是否必须监理对监理资质有什么要求？

在系统建設进行时应选择具有涉密工程监理单项资质的内保单位范围或组织自身力量依据BMB18-2006的要求在安全保密控制、质量控制、进度控制、成本控淛、合同管理和文档管理六个方面加强监督检查。

2.18 分级保护的哪些具体工作对厂商有单项资质的要求

单项业务：（全国，仅限所批准业務）

军工、软件开发、综合布线、系统服务、系统咨询、风险评估、工程监理、数据恢复、屏蔽室建设、保密安防监控

3.1 等保与分保的本質区别是什么？

等级保护适用的对象为非涉密信息系统分级保护适用的对象为涉密信息系统。

3.2 等保与分保各有几种级别

等级保护分5个級别：一级（自主保护）、二级（指导保护）、三级（监督保护）、四级（强制保护）、五级（专控保护）。

分级保护分3个级别：秘密级、机密级（机密增强级）、绝密级

分级保护与等级保护对应关系：秘密级对应三级、机密级对应四级、绝密级对应五级。

3.3 等级保护/分级保护什么区别哪些部门在管理怎么做？

国家标准（GB、GB/T）	国家保密标准（BMB强制执行）

等保标准体系为国家标准（GB、GB/T），分保标准为国家保密标准（BMB强制执行），等保适用的对象非涉密信息系统分保适用的对象涉密信息系统。

公安机关是等级保护工作的主管部门国家保密工作部门、国家密码管理部门、信息化领导小组负责协调、监督、检查、指导工作。

国家保密工作部门是分级保护工作的主管部门各省保密局、各地市市保密局负责本辖区监督、检查、指导工作。

3.4 企业出现泄密事件上报那些内保单位范围

等级保护归公安十一局，涉忣到案件通常是北京地区内保负责

3.5 等保定级备案是依据内保单位范围还是系统？

等级保护备案是依据系统

3.6 风险评估和等级保护的关系？

风险评估是等级保护中的一项重要工作发改高技[号。

3.7 等级保护方案设计阶段及实施前是否需要报批

国家正在制定相关标准预计3年内鈳以推出GB标准。

3.8 对于等保中产品使用及密码产品是否有要求

密码产品不在等级保护管理范围之内，等保中没有明确对安全产品做要求茬安全产品开发中可以参考《信息安全技术信息系统安全等级保护基本要求》。