信息安全等級保護
信息安全領域的工作
信息安全等級保護,是對信息和信息載體按照重要性等級分級別進行保護的一種工作,在中國、美國等很多國家都存在的一種信息安全領域的工作。
在中國,信息安全等級保護廣義上為涉及到該工作的標準、產品、系統、信息等均依據等級保護思想的安全工作;狹義上一般指信息系統安全等級保護。
信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。
信息系統安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程。信息安全等級保護要求不同安全等級的信息系統應具有不同的安全保護能力,一方面通過在安全技術和安全管理上選用與安全等級相適應的安全控制來實現;另一方面分佈在信息系統中的安全技術和安全管理上不同的安全控制,通過連接、交互、依賴、協調、協同等相互關聯關係,共同作用於信息系統的安全功能,使信息系統的整體安全功能與信息系統的結構以及安全控制間、層面間和區域間的相互關聯關係密切相關。因此,信息系統安全等級測評在安全控制測評的基礎上,還要包括系統整體測評。
《信息安全等級保護管理辦法》規定,國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度,信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。
信息系統的安全保護等級分為以下五級,一至五級等級逐級增高:
第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規範和技術標準進行保護。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。
第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。
第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。
第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。
根據《信息系統安全等級保護實施指南》精神,明確了以下基本原則:
自主保護原則:信息系統運營、使用單位及其主管部門按照國家相關法規和標準,自主確定信息系統的安全保護等級,自行組織實施安全保護。
重點保護原則:根據信息系統的重要程度、業務特點,通過劃分不同安全保護等級的信息系統,實現不同強度的安全保護,集中資源優先保護涉及核心業務或關鍵信息資產的信息系統。
同步建設原則:信息系統在新建、改建、擴建時應當同步規劃和設計安全方案,投入一定比例的資金建設信息安全設施,保障信息安全與信息化建設相適應。
動態調整原則:要跟蹤信息系統的變化情況,調整安全保護措施。由於信息系統的應用類型、範圍等條件的變化及其他原因,安全保護等級需要變更的,應當根據等級保護的管理規範和技術標準的要求,重新確定信息系統的安全保護等級,根據信息系統安全保護等級的調整情況,重新實施安全保護。
中華人民共和國計算機信息系統安全保護條例(1994年國務院147號令)
(“第九條 計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定”)
計算機信息系統安全保護等級劃分準則(GB 17859-1999)
(“第一級:用戶自主保護級;第二級:系統審計保護級;第三級:安全標記保護級;第四級:結構化保護級;第五級:訪問驗證保護級”)
國家信息化領導小組關於加強信息安全保障工作的意見 (中辦發[2003]27號)
關於信息安全等級保護工作的實施意見 (公通字[2004]66號)
信息安全等級保護管理辦法(公通字[2007]43號)
關於開展全國重要信息系統安全等級保護定級工作的通知 (公信安[2007]861號)
關於開展信息安全等級保護安全建設整改工作的指導意見 (公信安[2009]1429號)
中華人民共和國網路安全法(2017年6月1日實施)
關於加強國家電子政務工程建設項目信息安全風險評估工作的通知 (發改高技[2008]2071號)
關於進一步推進中央企業信息安全等級保護工作的通知
水利網路與信息安全體系建設基本技術要求 (2010年3月)
證券期貨業信息系統安全等級保護基本要求(試行) (JR/T 0060-2010)
山西省計算機信息系統安全保護條例(2009年1月)廣東省計算機信息系統安全保護條例(2008年4月)
寧夏回族自治區計算機信息系統安全保護條例(2009年10月)
徐州市計算機信息系統安全保護條例(2009年1月)
計算機信息系統安全等級保護劃分準則 (GB 17859-1999) (基礎類標準)
信息系統安全等級保護實施指南 (GB/T 25058-2010) (基礎類標準)
信息系統安全保護等級定級指南 (GB/T 22240-2008) (應用類定級標準)
信息系統安全等級保護基本要求 (GB/T 22239-2008) (應用類建設標準)
信息系統通用安全技術要求 (GB/T 20271-2006) (應用類建設標準)
信息系統等級保護安全設計技術要求 (GB/T 25070-2010) (應用類建設標準)
信息系統安全等級保護測評要求 (GB/T 28448-2012)(應用類測評標準)
信息系統安全等級保護測評過程指南 (GB/T 28449-2012)(應用類測評標準)
信息系統安全管理要求 (GB/T 20269-2006) (應用類管理標準)
信息系統安全工程管理要求 (GB/T 20282-2006) (應用類管理標準)
信息安全技術網路安全等級保護基本要求(GB/T 22239-2019)(基礎類標準)
信息安全技術網路安全等級保護安全設計技術要求(GB/T 25070-2019)(應用類建設標準)
信息安全技術網路安全等級保護測評要求(GB/T 28448-2019)(應用類測評標準)
GB/T 21052-2007 信息安全技術 信息系統物理安全技術要求
GB/T 20270-2006 信息安全技術 網路基礎安全技術要求
GB/T 20271-2006 信息安全技術 信息系統通用安全技術要求
GB/T 20272-2006 信息安全技術 操作系統安全技術要求
GB/T 20273-2006 信息安全技術 資料庫管理系統安全技術要求
GB/T 20984-2007 信息安全技術 信息安全風險評估規範
GB/T 20985-2007 信息安全技術 信息安全事件管理指南
GB/Z 20986-2007 信息安全技術 信息安全事件分類分級指南
GB/T 20988-2007 信息安全技術 信息系統災難恢復規範