等级保护1.0时代---等级保护2.0时代
一、等级保护的定义
信息安全等级保护:
- 对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护;
- 对信息系统中使用的信息安全产品实行按等级管理;
- 对信息系统中发生的信息安全事件分等级响应、处置。
政策依据:
国务院147号令-1994:第一次提出信息系统要实行等级保护,并确定了等级保护的职责单位----公安部会同有关部门。
中办发27号文-2003:将等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障的一项基本制度。
四部委66号文-2004:等级保护工作的开展必须分步骤、分阶段、有计划的实施。明确了信息安全等级保护制度的基本内容。
四部委43号文-2007:明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务。
等保工作依据(摘要):
基础类
《计算机信息系统安全保护等级划分准则》(GB17859-1999)
《信息系统安全等级保护基本要求》(GB/T22239-2008)
信息系统定级
《信息系统安全保护等级定级指南》(GB/T22240-2008)
等级保护实施
《信息系统安全等级保护实施指南》(GB/T 25058-2010)
信息系统安全建设
《信息系统通用安全技术要求》(GB/T20271-2006)
《信息系统等级保护安全设计技术要求》(GB/T 25070-2010)
等级测评
《信息系统安全等级保护测评要求》
《信息系统安全等级保护测评过程指南》
《信息系统安全管理测评》(GA/T713-2007)
基本要求核心思路:
基本要求内容:
二、等级保护工作
等级保护工作流程:
- 一、定级。包括评审与审批。
- 二、备案(二级以上信息系统)。
- 三、系统建设、整改。
- 四、开展等级测评。
- 五、信息安全监管部门定期开展监督检查。
定级流程:
-
定级工作为自主定级
-
确定(业务信息安全/系统服务安全)受到破坏时所侵害的客体
-
综合评定对客体的侵害程度(见下表)
-
确定(业务信息安全/系统服务安全)安全等级
受侵害的客体 | 对客体的侵害程度 | ||
一般 损害 | 严重 损害 | 特别严重损害 | |
公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
社会秩序 公共利益 | 第二级 | 第三级 | 第四级 |
国家安全 | 第三级 | 第四级 | 第五级 |
等级划分表
- 定级结果
- 业务信息安全保护等级(S)。
- 系统服务安全保护等级(A)。
- 系统安全保护最终等级(G)=MAX(S,A)
例:某信息系统,业务信息安全保护等级为三级(S3),系统服务安全保护等级为二级(A2),则系统安全保护等级应该是三级(G3),即S3A2G3。
备案:
- 已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
- 新建的第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
整改:
- 信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
测评:
- 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
- 第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评。
- 第二级信息系统应当参照第三级及以上信息系统进行等级测评。
监督检查:
- 受理备案的公安机关应当对二级及以上信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。