如何掌握等级保护
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生信息安全事件分等级相应处置。按照准确定级、严格审批、及时备案、认真整改、科学测评的要求对信息系统进行自主定级、备案、建设整改、等级测评和监督检查。
信息系统等级划分
信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全保护等级。
信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级,不以在其上运行的信息系统的最高等级或最低等级为标准。
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
等级保护政策依据
政策依据
1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行信息系统安全等级保护
2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发200327号)中明确指岀:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息系统安全等级保护制度,制定信息系统安全等级保护的管理办法和技术指南
2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》(公通字200466号)也指出:“信息系统安全等级保护制度是国家在囯民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度
标准政策
- 1999年9月13日《计算机信息系统安全等级划分准则》GB17859-1999
- 2003年9月,27号文明确提岀国家信息安全按照等级化保护的制度推行
- 2003年10月,公安部《关于信息安全等级保护政策建议》
- 2004年初,信息办领导开始在全国进行等级化保护巡讲(北京、上海、郑州
- 2004年4月,等级化保护制度开始在部分行业和省份进行试点
- 2004年6月,颁布《等级化保护实施指南》等文件
- 2005年8月,北戴河会议,初步通过了部分标准
- 2006年3月,颁布部分标准
- 2006年4月,试点工作启动
- 2007年6月,公安部等四部委联合下发《信息安全等级保护管理办法》
等级保护相关标准
标准
国家已出台70多个国标、行标以及报批标准,从基础、设计、实施、管理、制度等各个方面对等保系统提出了要求和建议。
- GB/T20009-2005信息安全技术操作系统安全评估准则
- GB17859-1999计算机信息系统安全保护等级划分准则
- GB/T20269-2006信息系统安全管理要求
- GB/T20282-2006信息安全技术信息系统安全工程管理要求
- GB/T20270-2006信息安全技术网络基础安全技术要求
- GB/T20271-2006信息安全技术信息系统通用安全技术要求
- GB/T20272-2006信息安全技术操作系统安全技术要求
- GB/T20273-2006信息安全技术数据库管理系统通用安全技术要求
- GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
- 信息系统安全等级保护实施指南
- 信息系统安全等级保护定级指南
基础类
- GB17859-1999
- GB/ T CCCC-CCCC报批稿-信安字[2007]10号
应用类
- 定级:GB/T22240-2008
- 建设:GB/T22239-2008
GB/T20271-2006
- 测评:GB/ T DDDD-DDDD报批稿
- 《信息系统安全等级保护测评过程指南》
- 管理:《信息系统安全管理要求》GB/T20269-2006
- 《信息系统安全工程管理要求》
管理类
- GB/T20269-2006信息安全技术信息系统安全管理要求
- GB/T20282-2006信息安全技术信息系统安全工程管理要求
技术类
- GB/T 20270-2006信息安全技术网络基础安全技术要求
- GB/T 20271-2006信息安全技术信息系统通用安全技术要求
- GB/T 20272-2006信息安全技术操作系统安全技术要求
- GB/T 20273-2006信息安全技术数据库管理系统安全技术要求