信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
1级别划分计算机信息系统安全保护能力的五个等级即:第一级:用户自主保护级。信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级:系统审计保护级。信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级:安全标记保护级。信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级:结构化保护级。信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级:访问验证保护级。信息系统受到破坏后,会对国家安全造成特别严重损害。
2申请资料1.信息系统安全等级保护备案表三级以上信息系统应当提供以下材料:2.系统拓扑结构及说明3.系统安全组织机构和管理制度4.系统安全保护设施设计实施方案或者改建实施方案5.系统使用的信息安全产品清单及其认证、销售许可证明6.测评后符合系统安全保护等级的技术检测评估报告7.信息系统安全保护等级专家评审意见8.主管部门审核批准信息系统安全保护等级的意见
3监督管理第一至三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对二级信息系统信息安全等级保护工作进行指导;对三级的工作进行监督、检查。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对四级信息系统信息安全等级保护工作进行强制监督、检查。
第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。专门部门对五级信息系统信息安全等级保护工作进行专门监督、检查。
4认证流程
信息系统定级→总体安全规划→安全设计与实施→安全运行与维护→信息系统终止
5证书周期
证书长期有效,需依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
