上一篇“什么是信息安全级别的保护? ”中理解了等级保护的定义和由来。 本文介绍了信息系统级保护的五个层次和分级原则。
信息系统的安全级别
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度、被破坏后对国家安全、社会秩序、公共利益、公民、法人和其他组织合法权益的危害程度等因素确定。 信息系统的安全等级分为五个等级,从一级到五级逐步提高。
根据与级别保护相关的管理文件,信息系统的安全级别分为以下五个级别:
一级:用户自主保护等级
二级:系统审核保护级别
第3级:安全标志保护级别
四级:结构化保护级
第5级:访问认证保护级别。
一级在信息系统被破坏后,损害公民、法人和其他组织的合法权益,但不损害国家安全、社会秩序和公共利益。
二级、信息系统被破坏,将严重损害公民、法人和其他组织的合法权益,或者损害社会秩序和公共利益,但不损害国家安全。
三级是信息系统被破坏后,严重损害社会秩序和公共利益,或者损害国家安全。
四级在信息系统被破坏后,对社会秩序和公共利益造成特别严重的损害,或者对国家安全造成严重的损害。
在五级,信息系统被破坏后,将对国家安全造成特别严重的损害。
信息系统分级工作原则
信息系统定级工作应当按照“自主定级、专家评审、主管部门评审、公安机关评审”的原则进行。 级别工作的主要内容包括确定级别对象、确定信息系统安全保护等级、专家评审、主管部门评审、公安机关评审,具体按照《关于开展全国重要信息系统安全等级保护定级工作的通知》 (公通字(2007 ) 861号)的要求执行。 各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和破坏后的危害程度,决定信息系统的安全等级。 同时,根据规定的等级,按照相应等级的管理规范和技术标准,建设信息安全保护设施,建立安全制度,落实安全责任,保护信息系统。
在等级保护工作中,信息系统运营使用部门和主管部门按照“谁主管、谁运营、谁负责”的原则开展工作,接受信息安全监管部门对等级保护工作开展的监督管理。 运营单位和主管部门是信息系统安全的第一责任人,对所属信息系统安全直接负责的公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负责监督管理。 重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也影响国家安全、社会稳定、公共利益,国家必须监督管理重要信息系统的安全。
信息系统安全等级分级元素
信息系统的安全级别由两个分级元素确定:等级保护对象被破坏时受到侵害的对象和对对象的侵害程度。
1 .受侵害的客体
等级保护对象被破坏时被侵害的对象包括以下三个方面。 一是公民、法人和其他组织的合法权益; 二是社会秩序、公共利益;三是国家安全。
2 .对客体的侵害程度
对客体的侵害程度由客观方面不同的外在表现综合决定。 由于对客体的侵害是通过对等级保护对象的破坏来实现的,所以对客体的侵害在外在上表现为对等级保护对象的破坏,通过危害方式、危害结果和危害程度来描述。
等级保护对象被破坏后,对对象造成侵害的程度有三种。
一是造成一般损害;
二是造成严重损害
三是造成特别严重的损害。
3 .五级保护和监督
信息系统的运营、使用单位按照国家信息安全等级保护政策和有关技术标准保护信息系统,国家信息安全监督管理部门对其信息安全等级保护工作进行监督管理。
等级判定要素与信息系统的安全等级的关系如下表所示。
水平
对象
侵害来宾
侵害的程度
监管力度
一级
一般系统
合法权益
损害
自主保护
二级
合法权益
重大损害
指导
社会秩序和公共利益
损害
第三级
重要系统
社会秩序和公共利益
重大损害
监督检查
国家安全
损害
第四级
社会秩序和公共利益
特别严重的损害
强制监督检查
国家安全
重大损害
五级
极端重要的系统
国家安全
特别严重的损害
专门监督检查