文档介绍:信息安全等级保护信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。基本信息中文名称信息安全等级保护外文名称InformationSecurityProtection第一级用户自主保护级第二级系统审计保护级工作内容信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段,作为公安部授权的第三方测评机构,为企事业单位提供免费专业的信息安全等级测评咨询服务。信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。等级划分《信息安全等级保护信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。实施原则根据《信息系统安全等级保护实施指南》精神,山东省软件测评中心信息系统安全等级保护实施过程中,在工作手册上明确了以下基本原则:自主保护原则:信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。重点保护原则:根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。同步建设原则:信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。动态调整原则:要跟踪信息系统的变化情况,调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。政策标准折叠政策法规中华人民共和国计算机信息系统安全保护条例 (1994年国务院147号令)("第九条计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定")计算机信息系统安全保护等级划分准则 (GB17859-1999)("第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级")国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)关于信息安全等级保护工作的实施意见(公通字[2004]66号)定级标准信息安全等级保护管理办法 (公通字[2007]43号)关于开展全国重要信息系统安全等级保护定级工作的通知(公信安[2007]861号)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)折叠地方及行业范例关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)关于进一步推进中央企业信息安全等级保护工作的通知水利网络与信息安全体系建设基本技术要求(2010年3月)证券期货业信息系统安全等级保护基本要求(试行)(JR/T0060-2010)山西省计算机信息系统安全保护条例 (2009年1月) 广东省计算机信息系统安全保护条例 (2008年4月)宁夏回族自治区计算机信息系统安全保护条例(2009年10月)徐州市计算机信息系统安全保护条例 (2009年1月)标准规范折叠十大重要标准计算机信息系统安全等级保护划分准则(GB17859-1999)(基础类标准)信息系统安全等级保护实施