信息安全等级保护制度和标准体系

1.等级保护概述

信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法，是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。国务院法规和中央文件明确规定，要实行信息安全等级保护，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度。信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法，也是我国多年来信息安全工作经验的总结。开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施，也是一项事关国家安全、社会稳定、国家利益的重要任务。

为组织各单位、各部门开展信息安全等级保护工作，公安部根据法律授权，会同国家保密局、国家商用密码管理办公室和原国务院信息办组织开展了基础调查、等级保护试点、信息系统定级备案、安全建设整改等重要工作，出台了一系列政策文件，构成了信息安全等级保护政策体系，为指导各地区、各部门开展等级保护工作提供了政策保障。同时，在国内有关部门、专家、企业的共同努力下，公安部和标准化工作部门组织制定了信息安全等级保护工作需要的一系列标准，形成了信息安全等级保护标准体系，为开展信息安全等级保护工作提供了标准保障。

信息安全等级保护广义上指涉及该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护，是指对国家安全、法人和其他组织及公民的专有信息及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应并处置的综合性工作。

2.等级保护的等级划分

《信息安全等级保护管理办法》规定，国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度和信息系统遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

3.信息系统安全保护等级的定级要素

信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

（1）受侵害的客体 等级保护对象受到破坏时所侵害的客体包括以下3个方面：

1）公民、法人和其他组织的合法权益。

2）社会秩序、公共利益。

3）国家安全。

（2）对客体的侵害程度 对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种：

1）造成一般损害。

2）造成严重损害。

3）造成特别严重损害。

4.等级保护的一般流程(www.xing528.com)

信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。

从业务信息安全角度反映的信息系统安全保护等级称为业务信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称为系统服务安全保护等级。确定信息系统安全保护等级的一般流程如下：

1）确定作为定级对象的信息系统。

2）确定业务信息安全受到破坏时所侵害的客体。

3）根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度。

4）得到业务信息安全保护等级。

5）确定系统服务安全受到破坏时所侵害的客体。

6）根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度。

7）得到系统服务安全保护等级。

8）将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。

5.等级保护的实施原则

根据《信息系统安全等级保护实施指南》，信息系统安全等级保护实施过程中，应坚持以下基本原则：

1）自主保护原则：信息系统运营、使用单位及其主管部门按照国家相关法规和标准，自主确定信息系统的安全保护等级，自行组织实施安全保护。

2）重点保护原则：根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。

3）同步建设原则：信息系统在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施，保障信息安全与信息化建设相适应。

4）动态调整原则：要跟踪信息系统的变化情况，调整安全保护措施。由于信息系统的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的，应当根据等级保护的管理规范和技术标准的要求，重新确定信息系统的安全保护等级，根据信息系统安全保护等级的调整情况，重新实施安全保护。

6.等级保护基本要求

信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力，不同安全保护等级的信息系统要求具有不同的安全保护能力。

基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求，根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确地配置其安全功能来实现；管理类安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程及记录等方面做出规定来实现。

基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出；基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出；基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。

基本安全要求从各个层面或方面提出了系统的每个组件应该满足的安全要求，信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。除了保证系统的每个组件满足基本安全要求外，还要考虑组件之间的相互关系，来保证信息系统的整体安全保护能力。