一、信息安全等級保護概述
信息安全等級保護是指對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。
二、信息安全等級保護的劃分
信息系統(tǒng)的安全保護等級分為以下五級:
第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準進行保護。
第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行指導(dǎo)。
第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行監(jiān)督、檢查。
第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行強制監(jiān)督、檢查。
第五級,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行專門監(jiān)督、檢查。
三、信息安全等級保護的標(biāo)準
•《信息安全等級保護管理辦法》公通字[2007]43號
•《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859-1999)
•《信息安全等級保護實施指南》(GB/T 25058-2010)
•《信息安全等級保護定級指南》(GB/T 22240-2008)
•《信息安全等級保護基本要求》(GB/T 22239-2008)
•《信息安全等級保護測評要求》(GB/T 28448-2012)
•《信息系統(tǒng)安全等級保護測評過程指南》(GB/T 28449-2012)
•《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T20270-2006)
•《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》GB/T20271-2006)
•《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(GB/T20272-2006)
•《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)
四、信息安全等級保護工作流程
1、信息系統(tǒng)定級
用戶根據(jù)信息系統(tǒng)的現(xiàn)狀,結(jié)合信息系統(tǒng)受到破壞后,所侵害的客體及對客體的侵害程度,對信息系統(tǒng)進行自主定級,主要包括信息系統(tǒng)描述、定級報告及備案表撰寫、專家評審、主管部門審批等。
2、信息系統(tǒng)備案
根據(jù)信息系統(tǒng)安全等級保護定級備案要求,攜帶定級報告、備案表等相關(guān)材料到公安機關(guān)進行備案。
3、系統(tǒng)建設(shè)整改
安全整改建設(shè)是信息安全等級保護工作落實的關(guān)鍵,主要工作包括:首先由專業(yè)安全服務(wù)商進行等級保護安全評估,并依照等級保護相應(yīng)等級的要求進行差距分析。根據(jù)安全評估的結(jié)果,對存在的差距進行提出安全整改建設(shè)方案,根據(jù)安全整改方案對信息系統(tǒng)進行安全整改建設(shè),包括安全加固、制度體系完善、產(chǎn)品采購等相關(guān)工作。
4、信息系統(tǒng)測評
在安全整改完整后,委托具有等級測評資質(zhì)的測評機構(gòu)對信息系統(tǒng)進行等級測評。
5、監(jiān)督檢查
備案單位、行業(yè)主管部門、公安機關(guān)要分別建立并落實監(jiān)督檢查機制,定期對等級保護制度各項要求的落實情況進行自查和監(jiān)督檢查。
五、咨詢電話:400-700-7300