1. 信息安全等级保护基本概念
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
这里所说的信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络:信息是指在信息系统 中存储、 传输、 处理的数字化信息。
信息安全等级保护(以下简称 “等级保护”)是我国在信息化推进进程中实施的对信息系统安全保护的基本制度、方法和策略。2004 年,由公安部、国家保密局、国家密码委及国务院信息办联合下发了《关于信息安全等级保护工作的实施意见》(公通字 2004 第 66 号),标志着信息安全等级保护工作在全国全面启动。
2. 信息系统安全保护等级的划分
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级共分为五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
3. 等级保护工作的主要环节
等级保护的主要环节:定级、备案、安全建设整改、等级评测和安全检查。
一是信息系统定级。
信息系统定级按照自主定级、专家评审、主管部门审批、公安机关审核的流程进行。信息系统运营使用单位按照《信息安全等级保护管理办法》(共通字【2007】43号,以下简称“管理办法”)和《信息安全等级保护定级指南》CGB/T22240-2008),自主确定信息系统的安全保护等级。为保证信息系统定级准确,可以组织专家进行评审。有上级主管部门的,应当经上级主管部门审批,跨省或全国统一联网运行的信息系统可以有其主管部门统一确定安全保护等级。最后经公安机关审核把关,合理确定信息系统安全保护等级。
二是信息系统备案。
第二级以上信息系统,由信息系统运营使用单位到所在地设区的市级以上公安机关网络安全保卫部门办理备案手续。公安机关按照《信息安全等级保护备案实施细则》(公信安【2007】1360号)要求,对备案材料进行审核,定级准确、材料符合要求的颁发由公安部统一监制的备案证明。
三是信息系统安全建设整改。
信息系统安全保护等级确定后,运营使用单位按照《管理办法》、《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安【2009】1429号)等有关管理规范和技术标准,选择《管理办法》要求的信息安全产品,制定并落实安全管理制度。落实安全责任,建设安全设施,落实安全技术措施。
四是等级测评。
信息系统建设整改完成后,运营使用单位选择符合要求的测评机构,依据《管理办法》、《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》标准,对信息系统安全保护状况开展等级测评,按照《信息系统安全等级测评报告模板(试行)》(公信安【2009】1487号)编写等级测评报告。
五是监督检查。
公安机关依据《管理办法》和《公安机关信息安全等级保护检查工作规范(试行)》(公信安【2008】736号),监督检查运营使用单位开展等级保护工作,定期对第三级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
内容来源
《系统规划与管理师教程》 崔静 主编/贾璐 谭志斌 彭晓楠 副主编
第3章 信息技术服务知识
3.7 信息安全管理
3.7.2 信息安全等级保护知识
