信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。信息安全等级保护实施过程中应遵循以下基本原则。
自主保护原则
信息系统的安全责任主体是信息系统运营、使用单位及其主管部门。“自主”体现在运营使用单位及其主管部门按照相关标准自主定级、自主保护。在等级保护工作中,信息系统运营使用单位及其主管部门按照相关标准自主定级、自主保护。在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监督。运营使用单位和主管部门是信息系统安全的第一负责人,对所属信息安全系统安全负有直接责任;公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也影响国家安全、社会稳定、公共利益,因此,国家需要对重要信息系统的安全进行监管。
重点保护原则
重点保护就是要解决我国信息安全面临的主要威胁和存在的主要问题,实行国家对重要信息系统进行重点安全保障的重大措施,有效体现“适度安全、保护重点”的目的,将有限的财力、物力、人力投放到重要信息系统安全保护中,依据相关标准建设安全保护体系,建立安全保护制度,落实安全责任,加强监督检查,有效保护重要信息系统安全,有效保护重要信息系统安全,有效提高我国信息系统安全建设的整体水平。优化信息安全资源的配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全。
同步建设原则
信息安全建设的特点要求在信息化建设中必须同步规划、同步实施,信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应,避免重复建设而带来的资源浪费。
动态调整原则
跟踪信息系统的变化,调整安全保护措施。由于信息系统的应用类型、数量、范围等会根据实际需要而发生相应调整,当调整和变更的内容发生较大变化时,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。同时,信息安全本身也具有动态性,不是一成不变的,当信息安全技术、外部环境、安全威胁等因素发生变化时,需要信息安全策略、安全措施进行相应的调整,以满足安全需求的变化。
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
