@Allure
1年前 提问
1个回答

如何理解等级保护制度

Ann
1年前

等级保护制度就是对信息系统实行分等级保护、分等级监管,是将全国的信息系统(包括网络)按照重要性和遭受损坏后的危险程度分为五个安全保护等级,从第一级到第五级,逐级增高;等级保护制度是由于信息系统结构是分层次和级别的,而其中各种信息系统具有重要的社会和经济价值,信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好国家信息安全保护制度的前提。

信息安全等级保护实施过程中应遵循以下基本原则;

  • 自主保护原则:信息系统的安全责任主体是信息系统运营、使用单位及其主管部门。“自主”体现在运营使用单位及其主管部门按照相关标准自主定级、自主保护。在等级保护工作中,信息系统运营使用单位及其主管部门按照相关标准自主定级、自主保护。在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监督。运营使用单位和主管部门是信息系统安全的第一负责人,对所属信息安全系统安全负有直接责任;公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也影响国家安全、社会稳定、公共利益,因此,国家需要对重要信息系统的安全进行监管。

  • 重点保护原则:重点保护就是要解决我国信息安全面临的主要威胁和存在的主要问题,实行国家对重要信息系统进行重点安全保障的重大措施,有效体现“适度安全、保护重点”的目的,将有限的财力、物力、人力投放到重要信息系统安全保护中,依据相关标准建设安全保护体系,建立安全保护制度,落实安全责任,加强监督检查,有效保护重要信息系统安全,有效保护重要信息系统安全,有效提高我国信息系统安全建设的整体水平。优化信息安全资源的配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全。

  • 同步建设原则:信息安全建设的特点要求在信息化建设中必须同步规划、同步实施,信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应,避免重复建设而带来的资源浪费。

  • 动态调整原则:跟踪信息系统的变化,调整安全保护措施。由于信息系统的应用类型、数量、范围等会根据实际需要而发生相应调整,当调整和变更的内容发生较大变化时,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。同时,信息安全本身也具有动态性,不是一成不变的,当信息安全技术、外部环境、安全威胁等因素发生变化时,需要信息安全策略、安全措施进行相应的调整,以满足安全需求的变化。