1 、信息安全等级保护的概述
v什么是信息安全等级保护:v
根据信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。
2、信息安全等级保护的意义
v为什么要进行信息安全等级保护工作:v
l信息安全形势严峻
Ø敌对势力的入侵攻击破坏Ø针对基础信息网络和重要信息系统的违法犯罪持续上升Ø基础信息网络和重要信息系统安全隐患严重
l维护国家安全的需要
Ø基础信息网络与重要信息系统已成为国家关键基础设施。Ø信息安全是国家安全的重要组成部分。Ø信息安全是非传统安全,信息安全本质是信息对抗、技术对抗。
v为什么要进行信息安全等级保护工作:v
l信息安全形势严峻
Ø敌对势力的入侵攻击破坏
Ø针对基础信息网络和重要信息系统的违法犯罪持续上升
Ø基础信息网络和重要信息系统安全隐患严重
l维护国家安全的需要
Ø基础信息网络与重要信息系统已成为国家关键基础设施。
Ø信息安全是国家安全的重要组成部分。
Ø信息安全是非传统安全,信息安全本质是信息对抗、技术对抗。
v等级保护的作用v
- 是信息安全工作的基本制度、基本国策,是国家意志的体现。
- 是开展信息安全工作的基本方法。
- 是促进信息化、维护国家信息安全的根本保障。
3、信息安全等级保护的基本要求
v基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。
v基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。
v基本技术要求的三种类型v
l根据保护侧重点的不同,技术类安全要求进一步细分为:
- 保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);
- 保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);
- 通用安全保护类要求(简记为G)。
4、 信息安全等级保护的流程
v主要流程包括五项内容:v
l一、定级。
l二、备案。
l三、系统安全建设。
l四、等级测评。
l五、监督检查。
5、信息安全等级保护的等级划分
v信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。v
l受侵害的客体。等级保护对象受到破坏时所侵害的客体包括以下三个方面:一是公民、法人和其他组织的合法权益;二是社会秩序、公共利益;三是国家安全。
l对客体的侵害程度。对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度为三种:一是造成一般损害;二是造成严重损害;三是造成特别严重损害。
6、信息安全等级保护的发展历程
