由于等级保护对象承载的业务不同,对其的安全关注点会有所不同,有的更关注信息的安全性,即更关注对搭线窃听、假冒用户等可能导致信息泄密、非法篡改等;有的更关注业务的连续性,即更关注保证系统连续正常的运行,免受对系统未授权的修改、破坏而导致系统不可用引起业务中断。
不同级别的等级保护对象,其对业务信息的安全性要求和系统服务的连续性要求是有差异的,即使相同级别的等级保护对象,其对业务信息的安全性要求和系统服务的连续性要求也有差异。
等级保护对象定级后,可能形成的定级结果组合见下表。
安全保护等级 | 定级结果的组合 |
第一级 | S1A1 |
第二级 | S1A2,S2A2,S2A1 |
第三级 | S1A3, S2 A3, S3 A3, S3A2, S3A1 |
第四级 | S1A4, S2 A4, S3A4, S4A4, S4A3, S4A2, S4A1 |
第五级 | S1A5 ,S2A5, S3A5 ,S4A5, S5A4,S5A3, S5A2, S5A1 |
安全保护措施的选择应依据上述定级结果,本标准中的技术安全要求进一步细分为:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);其他安全保护类要求(简记为G)。本标准中所有安全管理要求和安全扩展要求均标注为G,安全要求及属性标识见下表。
技术/管理< |