一、信息安全等级保护概述
信息安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
二、信息安全等级保护的划分
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
三、信息安全等级保护的标准
•《信息安全等级保护管理办法》公通字[2007]43号
•《计算机信息系统安全保护等级划分准则》(GB17859-1999)
•《信息安全等级保护实施指南》(GB/T 25058-2010)
•《信息安全等级保护定级指南》(GB/T 22240-2008)
•《信息安全等级保护基本要求》(GB/T 22239-2008)
•《信息安全等级保护测评要求》(GB/T 28448-2012)
•《信息系统安全等级保护测评过程指南》(GB/T 28449-2012)
•《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)
•《信息安全技术 信息系统通用安全技术要求》GB/T20271-2006)
•《信息安全技术 操作系统安全技术要求》(GB/T20272-2006)
•《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006)
四、信息安全等级保护工作流程
1、信息系统定级
用户根据信息系统的现状,结合信息系统受到破坏后,所侵害的客体及对客体的侵害程度,对信息系统进行自主定级,主要包括信息系统描述、定级报告及备案表撰写、专家评审、主管部门审批等。
2、信息系统备案
根据信息系统安全等级保护定级备案要求,携带定级报告、备案表等相关材料到公安机关进行备案。
3、系统建设整改
安全整改建设是信息安全等级保护工作落实的关键,主要工作包括:首先由专业安全服务商进行等级保护安全评估,并依照等级保护相应等级的要求进行差距分析。根据安全评估的结果,对存在的差距进行提出安全整改建设方案,根据安全整改方案对信息系统进行安全整改建设,包括安全加固、制度体系完善、产品采购等相关工作。
4、信息系统测评
在安全整改完整后,委托具有等级测评资质的测评机构对信息系统进行等级测评。
5、监督检查
备案单位、行业主管部门、公安机关要分别建立并落实监督检查机制,定期对等级保护制度各项要求的落实情况进行自查和监督检查。
五、咨询电话:400-700-7300