信息安全等級保護
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作,在中國、美國等很多國家都存在的一種信息安全領域的工作。在中國,信息安全等級保護廣義上為涉及到該工作的標準、產品、系統、信息等均依據等級保護思想的安全工作;狹義上一般指信息系統安全等級保護。
信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。
信息系統安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程。信息安全等級保護要求不同安全等級的信息系統應具有不同的安全保護能力,一方面通過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現;另一方面分佈在信息系統中的安全技術和安全管理上不同的安全控制,通過連接、交互、依賴、協調、協同等相互關聯關係,共同作用於信息系統的安全功能,使信息系統的整體安全功能與信息系統的結構以及安全控制間、層面間和區域間的相互關聯關係密切相關。因此,信息系統安全等級測評在安全控制測評的基礎上,還要包括系統整體測評。
《信息安全等級保護信息安全等級保護管理辦法》規定,國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。
根據《信息系統安全等級保護實施指南》精神,山東省軟體測評中心信息系統安全等級保護實施過程中,在工作手冊上明確了以下基本原則:
(一)自主保護原則
信息系統運營、使用單位及其主管部門按照國家相關法規和標準,自主確定信息系統的安全保護等級,自行組織實施安全保護。
(二)重點保護原則
根據信息系統的重要程度、業務特點,通過劃分不同安全保護等級的信息系統,實現不同強度的安全保護,集中資源優先保護涉及核心業務或關鍵信息資產的信息系統。
(三)同步建設原則
信息系統在新建、改建、擴建時應當同步規劃和設計安全方案,投入一定比例的資金建設信息安全設施,保障信息安全與信息化建設相適應。
(四)動態調整原則
要跟蹤信息系統的變化情況,調整安全保護措施。由於信息系統的應用類型、範圍等條件的變化及其他原因,安全保護等級需要變更的,應當根據等級保護的管理規範和技術標準的要求,重新確定信息系統的安全保護等級,根據信息系統安全保護等級的調整情況,重新實施安全保護。
信息安全等級保護十大重要標準
- 電腦信息系統安全等級保護劃分準則 (GB 17859-1999) (基礎類標準)
- 信息系統安全等級保護實施指南 (GB/T 25058-2010) (基礎類標準)
- 信息系統安全保護等級定級指南 (GB/T 22240-2008) (應用類定級標準)
- 信息系統安全等級保護基本要求 (GB/T 22239-2008) (應用類建設標準)
- 信息系統通用安全技術要求 (GB/T 20271-2006) (應用類建設標準)
- 信息系統安全等級保護測評要求 (GB/T 28448-2012)(應用類測評標準)
- 信息系統安全等級保護測評過程指南 (GB/T 28449-2012)(應用類測評標準)
- 信息系統安全工程管理要求 (GB/T 20282-2006) (應用類管理標準)
信息安全等級保護其它相關標準
- GB/T 21052-2007 信息安全技術 信息系統物理安全技術要求
- GB/T 20270-2006 信息安全技術 網路基礎安全技術要求
- GB/T 20271-2006 信息安全技術 信息系統通用安全技術要求
- GB/T 20272-2006 信息安全技術 操作系統安全技術要求
- GB/T 20273-2006 信息安全技術 資料庫管理系統安全技術要求
- GB/T 20984-2007 信息安全技術 信息安全風險評估規範
- GB/T 20985-2007 信息安全技術 信息安全事件管理指南
- GB/T 20988-2007 信息安全技術 信息系統災難恢復規範
