等级保护政策理解与解读
发布时间:2011-12-20   作者:启明星辰

 ● 等级保护的五级划分

 

根据对信息系统受到破坏的程度来划分,将信息系统的安全保护等级分为以下五级:

   等 级
                       
第一级
信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益
    第二级
信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全
   第三级
信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害
   第四级
信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害
   第五级
信息系统受到破坏后,会对国家安全造成特别严重损害

 

等 级
描 述
第一级信息系统
一般适用于乡镇所属信息系统、县级某些单位中一般的信息系统、小型私营、个体企业、中小学的信息系统。
第二级信息系统
一般适用于县级某些单位中的重要信息系统,地市级以上国家机关、企业、事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
第三级信息系统
一般适用于地市级以上国家机关、重要企事业单位内部重要的信息系统。例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,重要领域、重要部门跨省、跨市或全国(省)联网运行的用于生产、调度、管理、作业、指挥等方面的重要信息系统,跨省或全国联网运行的重要信息系统在省、地市的分支系统,中央各部委、省(区、市)门户网站和重要网站,跨省联接的网络系统等。
第四级信息系统
一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如全国铁路、民航、电力等部门的调度系统,银行、证券、保险、税务、海关等几十个重要行业、部门中的涉及国计民生的核心系统。
第五级信息系统
一般适用于国家重要领域、重要部门中的极端重要系统。

 ● 等级保护定级对象的特征

 

 

 

Ø 具有唯一确定的安全责任单位

 

作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。

 

Ø 具有信息系统的基本要素

 

作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。

 

Ø 承载单一或相对独立的业务应用

 

定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。

 

● 不同等级的安全保护能力

等级
安全保护能力
第一级安全保护能力
能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。
第二级安全保护能力
能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。
第三级安全保护能力
能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
第四级安全保护能力
能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。
第五级安全保护能力

 

● 等级保护定级的要素和方法

 

信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

 

等级保护对象受到破坏时所侵害的客体包括以下三个方面:

 

Ø 公民、法人和其他组织的合法权益;

 

Ø 社会秩序、公共利益;

 

Ø 国家安全。

 

对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过

 

对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。

 

 

 

受侵害的客体
对相应客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第三级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级

 

等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:

 

Ø 造成一般损害;

 

Ø 造成严重损害;

 

Ø 造成特别严重损害。

 

 两个定级要素与等级的关系如下表所示。

 

表 定级要素与等级的关系

 

 

                                                                             图定级阶段的步骤

 

● 等级保护总体整改要求

 

公通字 [2007]43号文、公信安[2007]861号文等文件规定了等级保护的各个层面工作。从总体看,等级保护总共包括了五个阶段的工作:

 

 

 

                                                            图  等级保护的五项工作

 

随着2007年7月开始在全国开展的重要信息系统等级保护定级工作,信息安全等级保护工作已经全面开始落实。在开展信息安全等级保护定级和备案工作基础上,各单位、各部门应正在按照信息安全等级保护有关政策规定和技术标准规范,开展信息系统安全建设整改等工作,建立、健全信息安全管理制度,落实安全保护技术措施,全面贯彻落实信息安全等级保护制度。

 

为了达到各级的安全保护能力要求,国家等级保护基本安全要求提出了技术要求和管理要求两大类,涵盖了安全管理要求、安全技术要求、安全运维要求、物理安全要求等四大方面的内容。如下图所示。 

                                                  图  等级保护整改技术和管理要求

 

在国家信息系统等级保护安全设计技术要求中,以纵深防御的思想为主线,扩展了信息系统等级保护安全设计技术要求,针对各个级别提出了“三重防护、一个中心”的安全保护环境思路,即:安全计算环境、安全区域边界、安全通信网络,以及安全管理中心。如下图所示。

 

                                                                      图:信息系统等级保护安全技术设计内容

                                   

 

受侵害的客体
对相应客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第三级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级

 

 需要特别留意的是,在国家发布的《定级指南》中,该表格要求对公民、法人和其他组织的合法权益造成“特别严重损害”的级别只是第二级,而在后续公安部主管领导所下发的解释中,将该级别提升到了第三级(上表中的加黑红字部分),以后在实际操作中也是按照这个要求实际执行的,因此我们应该以新的要求为准。

 

 ● 等级保护定级流程

 

信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也从“业务信息安全”和“系统服务安全”两方面确定。

 

Ø 从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。

 

Ø 从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。

 

信息系统定级的一般流程如下图所示:

 

 

● 哪些行业单位需要实施等级保护

 

Ø 政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等

 

Ø 金融行业:金融监管机构、各大银行、证券、保险公司等

 

Ø 电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等

 

Ø 能源行业:电力公司、石油公司、烟草公司

 

Ø 企业单位:大中型企业、央企、上市公司等

 

Ø 其它有信息系统定级需求的行业与单位

 

● 组织中哪些系统需要实施等级保护

 

Ø 电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

 

Ø 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统

 

Ø 市(地)级以上党政机关的重要网站和办公信息系统。

 

Ø 涉及国家秘密的信息系统(以下简称“涉密信息系统”)

 

● 等级保护定级的参考原则   

 

根据信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,将信息系统的安全等级分为以下五级:

文章来源:启明星辰
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号