等級保護的概念
信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級回響、處置。等級保護工作的重要性
信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法。開展信息安全等級保護工作是保護信息化發展、維護國家信息安全的根本保障,是信息安全保障工作中國家意志的體現。公安機關開展信息安全等級保護監管工作是代表國家履行對重要信息系統和基礎信息網路的安全監督檢查職能,是在市場經濟條件下和信息網路領域開展的一項面向全社會的、全新的專業化工作,是黨中央、國務院交給公安機關的一項新的職責、任務。等級保護工作的意義
能夠有效地提高我國信息和信息系統安全建設的整體水平。有利於在信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協調;有利於為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務,有效控制信息安全建設成本;有利於最佳化信息安全資源的配置,對信息系統分級實施保護,重點保障基礎信息網路和關係國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全。能夠有效地提高我國信息和信息系統安全建設的整體水平。有利於明確國家、法人和其他組織、公民的信息安全責任,加強信息安全管理;有利於推動信息安全產業的發展,逐步探索出一條適應社會主義市場經濟發展的信息安全模式。實施信息安全等級保護制度的主要目的
通過開展信息安全等級保護工作,可以充分體現“明確重點、突出重點、保護重點”的目的,將有限的財力、物力、人力投入到重要信息系統安全保護中,按標準建設安全保護措施,建立安全保護制度,落實安全責任,有效保護基礎信息網路和關係國家安全、經濟命脈、社會穩定的重要信息系統的安全,有效提高我國信息安全保障工作的整體水平,有效解決我國信息安全面臨的威脅和存在的主要問題。等級保護工作中的相關工作主體
制度制定及推行主體——公安部網路安全保衛局(管理員)制度落實及執行主體——系統運營與使用單位(運動員)
標準驗證主體——測評機構(裁判員)
與信息安全相關的各方主體明確在信息安全工作中分別承擔的責任,可依據的工作指導、規範及需履行的職責等。
保護措施分類
信息安全類要求(S):是指保護數據在存儲、傳輸、處理過程中不被泄露、破壞和免受未授權的修改。服務保證類要求(A):是指保護系統連續正常的運行,免受對系統的未授權修改、破壞而導致系統不可用。
通用安全保護類要求(G):管理類安全要求與信息系統中各種較色參與的活動有關,主要通過控制各種角色的活動,從政策、制度、規範、流程以及記錄等方面作出規定來實現。
公安機關組織開展等級保護工作的依據
國家層面:《中華人民共和國計算機信息系統安全保護條例 》(國務院147號令)、《國家信息化領導小組關於加強信息安全保障工作的意見》(中辦發[2003]27號)、《關於信息安全等級保護工作的實施意見》(公通字[2004] 66號)、《信息安全等級保護管理辦法》(公通字[2007]43號)、《信息安全等級保護備案實施細則》(公信安[2007] 1360號)、《公安機關信息安全等級保護檢查工作規範(試行)》(公信安[2008]736號)、《關於開展信息安全等級保護安全建設整改工作的指導意見》(公信安[2009]1429號)、《政府信息系統安全檢查辦法》(國辦發[2009]28號)。北京層面:《北京市公共服務網路與信息系統安全管理規定》(市政府第163號令)、《關於開展信息安全等級保護工作的通知》(京公網監字 [2006]208號)、《北京市開展信息安全等級保護工作實施方案的通知》(京公網監字[2007]788號)、《北京市信息化促進條例》。
北京市信息安全等級保護組織體系
信息安全等級保護制度的原則明確責任,共同保護;依照標準,自行保護;同步建設,動態調整;指導監督,重點保護。
等級保護的主要環節
信息安全等級保護工作是一項全新的工作,技術性強、專業程度高、內容涉及面廣,涉及多個部門、多個領域和多個系統,難度很大。信息系統運營使用單位和主管部門按照“誰主管誰負責,誰運營誰負責”的原則開展工作,並接受信息安全監管部門對開展等級保護工作的監管。等級保護的主要環節是:定級、備案、安全建設整改、等級測評和監督檢查。
