上一篇“什么是信息安全等级保护?”中我们了解了等级保护的定义及由来,本篇介绍信息系统等级保护的五个级别及定级原则。
信息系统安全保护等级
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级,从第一级到第五级逐级增高。
根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:
《计算机信息系统安全保护等级划分准则(GB 17859-1999)》中规定了计算机系统安全保护能力的五个等级,即:
- 第一级:用户自主保护级;
- 第二级:系统审计保护级;
- 第三级:安全标记保护级;
- 第四级:结构化保护级;
- 第五级:访问验证保护级。
《信息安全技术 信息系统安全等级保护定级指南(GB/T 22240—2008)》的4.1节内容如下:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统定级工作原则
信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。定级工作的主要内容包括:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核,具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)要求执行。各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,确定信息系统的安全保护等级。同时,按照所定等级,依照相应等级的管理规范和技术标准,建设信息安全保护设施,建立安全制度,落实安全责任,对信息系统进行保护。
在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。运营使用单位和主管部门是信息系统安全的第一责任人,对所属信息系统安全负有直接责任;公安、保密、密码部门对运营使用单位和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。由于重要信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也会影响国家安全、社会稳定、公共利益,因此,国家必然要对重要信息系统的安全进行监管。
信息系统安全保护等级的定级要素
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
1.受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:一是公民、法人和其他组织的合法权益;二是社会秩序、公共利益;三是国家安全。
2. 对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度有三种:
一是造成一般损害;
二是造成严重损害;
三是造成特别严重损害。
3.五级保护和监管
信息系统运营、使用单位依据国家信息安全等级保护政策和相关技术标准对信息系统进行保护,国家信息安全监管部门对其信息安全等级保护工作进行监督管理。
定级要素与信息系统安全保护等级的关系如下表所示。
|
等级
|
对象
|
侵害客体
|
侵害程度
|
监管强度
|
|
第一级
|
一般系统
|
合法权益
|
损害
|
自主保护
|
|
第二级
|
合法权益
|
严重损害
|
指导
|
|
|
社会秩序和公共利益
|
损害
|
|||
|
第三级
|
重要系统
|
社会秩序和公共利益
|
严重损害
|
监督检查
|
|
国家安全
|
损害
|
|||
|
第四级
|
社会秩序和公共利益
|
特别严重损害
|
强制监督检查
|
|
|
国家安全
|
严重损害
|
|||
|
第五级
|
极端重要系统
|
国家安全
|
特别严重损害
|
专门监督检查
|
