等級保護1.0時代---等級保護2.0時代
一、等級保護的定義
資訊安全等級保護:
- 對國家秘密資訊、法人和其他組織及公民的專有資訊以及公開資訊和存儲、傳輸、處理這些資訊的資訊系統分等級實行安全保護;
- 對資訊系統中使用的資訊安全産品實行按等級管理;
- 對資訊系統中發生的資訊安全事件分等級響應、處置。
政策依據:
國務院147号令-1994:第一次提出資訊系統要實行等級保護,并确定了等級保護的職責機關----公安部會同有關部門。
中辦發27号文-2003:将等級保護從計算機資訊系統安全保護的一項制度提升到國家資訊安全保障的一項基本制度。
四部委66号文-2004:等級保護工作的開展必須分步驟、分階段、有計劃的實施。明确了資訊安全等級保護制度的基本内容。
四部委43号文-2007:明确了資訊安全等級保護制度的基本内容、流程及工作要求,明确了資訊系統營運使用機關和主管部門、監管部門在資訊安全等級保護工作中的職責、任務。
等保工作依據(摘要):
基礎類
《計算機資訊系統安全保護等級劃分準則》(GB17859-1999)
《資訊系統安全等級保護基本要求》(GB/T22239-2008)
資訊系統定級
《資訊系統安全保護等級定級指南》(GB/T22240-2008)
等級保護實施
《資訊系統安全等級保護實施指南》(GB/T 25058-2010)
資訊系統安全建設
《資訊系統通用安全技術要求》(GB/T20271-2006)
《資訊系統等級保護安全設計技術要求》(GB/T 25070-2010)
等級測評
《資訊系統安全等級保護測評要求》
《資訊系統安全等級保護測評過程指南》
《資訊系統安全管理測評》(GA/T713-2007)
基本要求核心思路:
基本要求内容:
二、等級保護工作
等級保護工作流程:
- 一、定級。包括評審與審批。
- 二、備案(二級以上資訊系統)。
- 三、系統建設、整改。
- 四、開展等級測評。
- 五、資訊安全監管部門定期開展監督檢查。
定級流程:
- 定級工作為自主定級
- 确定(業務資訊安全/系統服務安全)受到破壞時所侵害的客體
- 綜合評定對客體的侵害程度(見下表)
- 确定(業務資訊安全/系統服務安全)安全等級
受侵害的客體 | 對客體的侵害程度 | ||
一般 損害 | 嚴重 損害 | 特别嚴重損害 | |
公民、法人和其他組織的合法權益 | 第一級 | 第二級 | 第二級 |
社會秩序 公共利益 | 第二級 | 第三級 | 第四級 |
國家安全 | 第三級 | 第四級 | 第五級 |
等級劃分表
- 定級結果
- 業務資訊安全保護等級(S)。
- 系統服務安全保護等級(A)。
- 系統安全保護最終等級(G)=MAX(S,A)
例:某資訊系統,業務資訊安全保護等級為三級(S3),系統服務安全保護等級為二級(A2),則系統安全保護等級應該是三級(G3),即S3A2G3。
備案:
- 已營運(運作)的第二級以上資訊系統,應當在安全保護等級确定後30日内,由其營運、使用機關到所在地設區的市級以上公安機關辦理備案手續。
- 建立的第二級以上資訊系統,應當在投入運作後30日内,由其營運、使用機關到所在地設區的市級以上公安機關辦理備案手續。
整改:
- 資訊系統的安全保護等級确定後,營運、使用機關應當按照國家資訊安全等級保護管理規範和技術标準,使用符合國家有關規定,滿足資訊系統安全保護等級需求的資訊技術産品,開展資訊系統安全建設或者改建工作。
測評:
- 資訊系統建設完成後,營運、使用機關或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《資訊系統安全等級保護測評要求》等技術标準,定期對資訊系統安全等級狀況開展等級測評。
- 第三級資訊系統應當每年至少進行一次等級測評,第四級資訊系統應當每半年至少進行一次等級測評。
- 第二級資訊系統應當參照第三級及以上資訊系統進行等級測評。
監督檢查:
- 受理備案的公安機關應當對二級及以上資訊系統的營運、使用機關的資訊安全等級保護工作情況進行檢查。