定义:
对信息和信息载体根据重要性分级别保护的工作
对象平台:
基础信息、云计算、物联网、大数据、工控、移动互联等
系统定级:
受侵害客体 | 侵害程度 | ||
---|---|---|---|
一般 | 严重 | 特别严重 | |
公民、法人、其他合法组织等 | 第一级 | 第二级 | 第三级 |
社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
国家安全 | 第三级 | 第四级 | 第五级 |
定级流程:
确定定级对象——初步确认等级——(级别为二级及以上)专家评审——主管部门审核——公安备案审查——最终确定等级
不同级别自我保护能力:
第一级:自主保护。遭到攻击后能恢复主要功能。
第二级:指导保护。能防御个人/小型组织攻击,并在一定时间内恢复。
第三级:监督保护。防御团体攻击,并较快恢复。
第四级:强制保护。防御国家级对手攻击,并以秒为单位迅速恢复。
第五级:专控保护。免遭破坏。
安全要求:
包括通用要求和扩展要求(云计算安全扩展要求,物联网安全扩展要求,移动互联安全扩展要求,工控系统安全扩展要求),分为技术和管理两方面。
技术要求:物理环境、通信网络、计算环境、区域边界、管理中心
管理要求:管理制度、管理机构、管理人员、建设管理、运维管理
工作流程:
定级——备案——建设整改——等级测评——监督整改
其中安全承建单位工作涉及前三条,咨询机构全程,测评机构仅负责测评。
二级系统参考:(图片来源网络)