一���、概念
信息系統根據其在國家安全��、經(jīng)濟建設���、社會(huì )生活中的重要程度���,遭到破壞后對國家安全���、社會(huì )秩序����、公共利益及公民�、法人和其他組織的合法利益的危害程度�,由低到高劃分為五個(gè)等級���。分別是:
第一級:用戶(hù)自主保護級
第二級:系統審計保護級
第三級:安全標記保護級
第四級:結構化保護級
第五級:訪(fǎng)問(wèn)驗證保護級
不同級別的信息系統應該落實(shí)不同強度的安全要求���,為了規范安全要求的落實(shí)標準����,全國信息安全標準化技術(shù)委員會(huì )制訂了《信息系統安全等級保護基本要求》這個(gè)標準�,該標準對不同級別的信息系統應該落實(shí)的安全要求項進(jìn)行了明確而具體的規定���,將其分為管理要求和技術(shù)要求總共十個(gè)類(lèi)別���,分別是:
技術(shù)要求:
1���、物理安全
2��、主機安全
3��、應用安全
4����、網(wǎng)絡(luò )安全
5���、數據安全及備份回復
管理要求:
1����、安全管理制度
2����、安全管理機構
3���、人員安全管理
4�����、系統建設管理
5����、系統運維管理
二����、政策法規
中華人民共和國計算機信息系統安全保護條例
計算機信息系統保護等級劃分準則
國家信息化領(lǐng)導小組關(guān)于加強信息安全保障
工作的意見(jiàn)
關(guān)于加強信息安全等級保護
工作的實(shí)施意見(jiàn)
信息安全等級保護管理辦法
關(guān)于開(kāi)展全國重要信息系統安全等級保護定級工作的通知
關(guān)于開(kāi)展信息系統安全等級保護建設整改工作的指導意見(jiàn)
三�����、標準規范
計算機信息系統安全等級保護
劃分準則(基礎類(lèi)標準)
信息系統安全等級保護實(shí)施指南(基礎類(lèi)標準)
信息系統安全等級保護
定級指南(應用類(lèi)標準)
信息系統安全等級保護基本要求(應用類(lèi)建設標準)
信息系統通用安全技術(shù)要求(應用類(lèi)建設標準)
信息系統安全等級保護設計技術(shù)要求(應用類(lèi)建設標準)
信息系統安全等級保護測評要求(應用類(lèi)測評標準)
信息系統安全等級保護測評過(guò)程指南(應用類(lèi)測評標準)
信息系統安全管理要求(應用類(lèi)管理標準)
信息系統安全工程
管理要求(應用類(lèi)管理標準)
四���、工作流程
等級保護工作不是一件事�,而是由五件事組成的一個(gè)完整工作流程����。通常所說(shuō)的等級保護工作指的是等級保護測評這項工作流程���。根據信息系統等級保護相關(guān)標準�,等級保護工作總共分五個(gè)階段�����,分別為:
1��、定級
信息系統運營(yíng)使用單位按照等級保護管理辦法和定級指南�����,自主確定信息系統的安全保護等級�。有上級主管部門(mén)的���,應當經(jīng)上級主管部門(mén)審批�����??缡』蛉珖y一聯(lián)網(wǎng)運行的信息系統可以由其主管部門(mén)統一確定安全保護等級��。雖然是自主定級�����,但是也得根據系統實(shí)際情況去定級����,有行業(yè)指導文件的根據指導文件來(lái)��,沒(méi)有文件的根據定級指南來(lái)��,總之一句話(huà)合理定級�����。
二是備案�����。第二級以上信息系統定級單位到所在地所在地設區的市級以上公安機關(guān)辦理備案手續��。省級單位到省公安廳網(wǎng)安總隊備案�,各地市單位一般直接到市級網(wǎng)安支隊備案�����,也有部分地市區縣單位的定級備案資料是先交到區縣公安網(wǎng)監大隊的����,具體根據各地市要求來(lái)�����。
三是系統安全建設����。信息系統安全保護等級確定后���,運營(yíng)使用單位按照管理規范和技術(shù)標準�,選擇管理辦法要求的信息安全產(chǎn)品�,建設符合等級要求的信息安全設施�,建立安全組織����,制定并落實(shí)安全管理制度�����。
四是等級測評����。信息系統建設完成后���,運營(yíng)使用單位選擇符合管理辦法要求的檢測機構�,對信息系統安全等級狀況開(kāi)展等級測評���。
五是監督檢查��。公安機關(guān)依據信息安全等級保護管理規范���,監督檢查運營(yíng)使用單位開(kāi)展等級保護工作���,定期對信息系統進(jìn)行安全檢查�。運營(yíng)使用單位應當接受公安機關(guān)的安全監督���、檢查���、指導��,如實(shí)向公安機關(guān)提供有關(guān)材料��。
其中定級�、備案工作原則上是由用戶(hù)單位自己填寫(xiě)定級備案表交給公安網(wǎng)監部門(mén)去進(jìn)行備案工作��,但考慮到實(shí)際情況����,絕大多數情況下都是用戶(hù)單位在測評機構的協(xié)助下完成這些工作�。系統安全建設和等級測評
一����、概念
信息系統根據其在國家安全��、經(jīng)濟建設����、社會(huì )生活中的重要程度�����,遭到破壞后對國家安全�����、社會(huì )秩序���、公共利益及公民�����、法人和其他組織的合法利益的危害程度����,由低到高劃分為五個(gè)等級����。分別是:
第一級:用戶(hù)自主保護級
第二級:系統審計保護級
第三級:安全標記保護級
第四級:結構化保護級
第五級:訪(fǎng)問(wèn)驗證保護級
不同級別的信息系統應該落實(shí)不同強度的安全要求��,為了規范安全要求的落實(shí)標準����,全國信息安全標準化技術(shù)委員會(huì )制訂了《信息系統安全等級保護基本要求》這個(gè)標準�����,該標準對不同級別的信息系統應該落實(shí)的安全要求項進(jìn)行了明確而具體的規定��,將其分為管理要求和技術(shù)要求總共十個(gè)類(lèi)別���,分別是:
技術(shù)要求:
1���、物理安全
2����、主機安全
3�����、應用安全
4��、網(wǎng)絡(luò )安全
5�、數據安全及備份回復
管理要求:
1�����、安全管理制度
2����、安全管理機構
3�、人員安全管理
4�、系統建設管理
5�����、系統運維管理
二���、政策法規
中華人民共和國計算機信息系統安全保護條例
計算機信息系統保護等級劃分準則
國家信息化領(lǐng)導小組關(guān)于加強信息安全保障
工作的意見(jiàn)
關(guān)于加強信息安全等級保護
工作的實(shí)施意見(jiàn)
信息安全等級保護管理辦法
關(guān)于開(kāi)展全國重要信息系統安全等級保護定級工作的通知
關(guān)于開(kāi)展信息系統安全等級保護建設整改工作的指導意見(jiàn)
三����、標準規范
計算機信息系統安全等級保護
劃分準則(基礎類(lèi)標準)
信息系統安全等級保護實(shí)施指南(基礎類(lèi)標準)
信息系統安全等級保護
定級指南(應用類(lèi)標準)
信息系統安全等級保護基本要求(應用類(lèi)建設標準)
信息系統通用安全技術(shù)要求(應用類(lèi)建設標準)
信息系統安全等級保護設計技術(shù)要求(應用類(lèi)建設標準)
信息系統安全等級保護測評要求(應用類(lèi)測評標準)
信息系統安全等級保護測評過(guò)程指南(應用類(lèi)測評標準)
信息系統安全管理要求(應用類(lèi)管理標準)
信息系統安全工程
管理要求(應用類(lèi)管理標準)
四�、工作流程
等級保護工作不是一件事���,而是由五件事組成的一個(gè)完整工作流程���。通常所說(shuō)的等級保護工作指的是等級保護測評這項工作流程���。根據信息系統等級保護相關(guān)標準��,等級保護工作總共分五個(gè)階段�����,分別為:
1�����、定級
信息系統運營(yíng)使用單位按照等級保護管理辦法和定級指南���,自主確定信息系統的安全保護等級��。有上級主管部門(mén)的����,應當經(jīng)上級主管部門(mén)審批�?����?缡』蛉珖y一聯(lián)網(wǎng)運行的信息系統可以由其主管部門(mén)統一確定安全保護等級�����。雖然是自主定級�����,但是也得根據系統實(shí)際情況去定級�����,有行業(yè)指導文件的根據指導文件來(lái)��,沒(méi)有文件的根據定級指南來(lái)��,總之一句話(huà)合理定級���。
二是備案���。第二級以上信息系統定級單位到所在地所在地設區的市級以上公安機關(guān)辦理備案手續��。省級單位到省公安廳網(wǎng)安總隊備案���,各地市單位一般直接到市級網(wǎng)安支隊備案�,也有部分地市區縣單位的定級備案資料是先交到區縣公安網(wǎng)監大隊的�,具體根據各地市要求來(lái)����。
三是系統安全建設�����。信息系統安全保護等級確定后�����,運營(yíng)使用單位按照管理規范和技術(shù)標準�����,選擇管理辦法要求的信息安全產(chǎn)品���,建設符合等級要求的信息安全設施�,建立安全組織�,制定并落實(shí)安全管理制度�。
四是等級測評�。信息系統建設完成后����,運營(yíng)使用單位選擇符合管理辦法要求的檢測機構����,對信息系統安全等級狀況開(kāi)展等級測評��。
五是監督檢查�����。公安機關(guān)依據信息安全等級保護管理規范���,監督檢查運營(yíng)使用單位開(kāi)展等級保護工作�����,定期對信息系統進(jìn)行安全檢查��。運營(yíng)使用單位應當接受公安機關(guān)的安全監督���、檢查�、指導��,如實(shí)向公安機關(guān)提供有關(guān)材料�。
其中定級����、備案工作原則上是由用戶(hù)單位自己填寫(xiě)定級備案表交給公安網(wǎng)監部門(mén)去進(jìn)行備案工作����,但考慮到實(shí)際情況���,絕大多數情況下都是用戶(hù)單位在測評機構的協(xié)助下完成這些工作��。系統安全建設和等級測評
