由于等级保护对象承载的业务不同,对其的安全关注点会有所不同,有的更关注信息的安全性,即更关注对搭线窃听、假冒用户等可能导致信息泄密、非法篡改等;有的更关注业务的连续性,即更关注保证系统连续正常的运行,免受对系统未授权的修改、破坏而导致系统不可用引起业务中断。
不同级别的等级保护对象,其对业务信息的安全性要求和系统服务的连续性要求是有差异的,即使相同级别的等级保护对象,其对业务信息的安全性要求和系统服务的连续性要求也有差异。
等级保护对象定级后,可能形成的定级结果组合见下表。
安全保护等级 | 定级结果的组合 |
第一级 | S1A1 |
第二级 | S1A2,S2A2,S2A1 |
第三级 | S1A3, S2 A3, S3 A3, S3A2, S3A1 |
第四级 | S1A4, S2 A4, S3A4, S4A4, S4A3, S4A2, S4A1 |
第五级 | S1A5 ,S2A5, S3A5 ,S4A5, S5A4,S5A3, S5A2, S5A1 |
安全保护措施的选择应依据上述定级结果,本标准中的技术安全要求进一步细分为:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);其他安全保护类要求(简记为G)。本标准中所有安全管理要求和安全扩展要求均标注为G,安全要求及属性标识见下表。
技术/管理 | 分类 | 安全控制点 | 属性标识 |
安全技术要求 | 安全物理环境 | 物理位置选择 | G |
物理访问控制 | G | ||
防盗窃和防破坏 | G | ||
防雷击 | G | ||
防火 | G | ||
防水和防潮 | G | ||
防静电 | G | ||
温湿度控制 | G | ||
电力供应 | A | ||
电磁防护 | S | ||
安全通信网络 | 网络架构 | G | |
通信传输 | G | ||
可信验证 | S | ||
安全区域边界 | 边界防护 | G | |
访问控制 | G | ||
入侵防范 | G | ||
可信验证 | S | ||
恶意代码防范 | G | ||
安全审计 | G | ||
安全计算环境 | 身份鉴别 | S | |
访问控制 | S | ||
安全审计 | G | ||
可信验证 | S | ||
入侵防范 | G | ||
恶意代码防范 | G | ||
数据完整性 | S | ||
数据保密性 | S | ||
数据备份恢复 | A | ||
剩余信息保护 | S | ||
个人信息保护 | S | ||
安全管理中心 | 系统管理 | G | |
审计管理 | G | ||
安全管理 | G | ||
集中管控 | G | ||
安全管理要求 | 安全管理制度 | 安全策略 | G |
管理制度 | G | ||
制定和发布 | G | ||
评审和修订 | G | ||
安全管理机构 | 岗位设置 | G | |
人员配备 | G | ||
授权和审批 | G | ||
沟通和合作 | G | ||
审核和检査 | G | ||
安全管理人员 | 人员录用 | G | |
人员离岗 | G | ||
安全意识教育和培训 | G | ||
外部人员访问管理 | G | ||
安全建设管理 | 定级和备案 | G | |
安全方案设计 | G | ||
产品采购和使用 | G | ||
自行软件开发 | G | ||
外包软件开发 | G | ||
工程实施 | G | ||
测试验收 | G | ||
系统交付 | G | ||
等级测评 | G | ||
服务供应商管理 | G | ||
安全运维管理 | 环境管理 | G | |
资产管理 | G | ||
介质管理 | G | ||
设备维护管理 | G | ||
漏洞和风险管理 | G | ||
网络与系统安全管理 | G | ||
恶意代码防范管理 | G | ||
配置管理 | G | ||
密码管理 | G | ||
变更管理 | G | ||
备份与恢复管理 | G | ||
安全事件处置 | G | ||
应急预案管理 | G | ||
外包运维管理 | G |
对于确定了级别的等级保护对象,应依据第一张表的定级结果,结合第二张表使用安全要求,应按照以下过程进行安全要求的选择:
a)根据等级保护对象的级别选择安全要求。方法是根据本标准,第一级选择第一级安全要求,第二级选择第二级安全要求,第三级选择第三级安全要求,第四级选择第四级安全要求,以此作为出发点。
b)根据定级结果,基于第一张表和第二张表对安全要求进行调整。根据系统服务保证性等级选择相应级别的系统服务保证类(A类)安全要求;根据业务信息安全性等级选择相应级别的业务信息安全类(S类)安全要求;根据系统安全等级选择相应级别的安全通用要求(G类)和安全扩展要求(G类)。
c)根据等级保护对象采用新技术和新应用的情况,选用相应级别的安全扩展要求作为补充。采 用云计算技术的选用云计算安全扩展要求,采用移动互联技术的选用移动互联安全扩展要求, 物联网选用物联网安全扩展要求,工业控制系统选用工业控制系统安全扩展要求。
d)针对不同行业或不同对象的特点,分析可能在某些方面的特殊安全保护能力要求,选择较高级别的安全要求或其他标准的补充安全要求。对于本标准中提出的安全要求无法实现或有更加有效的安全措施可以替代的,可以对安全要求进行调整,调整的原则是保证不降低整体安全保护能力。
总之,保证不同安全保护等级的对象具有相应级别的安全保护能力,是安全等级保护的核心。选用本标准中提供的安全通用要求和安全扩展要求是保证等级保护对象具备一定安全保护能力的一种途径和出发点,在此出发点的基础上,可以参考等级保护的其他相关标准和安全方面的其他相关标准,调整和补充安全要求,从而实现等级保护对象在满足等级保护安全要求基础上,又具有自身特点的保护。