信息安全保障建设中的等级保护.pdfVIP

栏目编辑：李秋花 E—mail：Iiqh@cesJ．ac、crl Review 信息安全保障建设中的等级保护 The Grade Protection in the Construction of Information Security 国家信息化专家咨询委员会委员 沈昌祥院士 2004年9月15日，由公安部、国家保密局、国家密码 表2等级保护、保护级要求与管理之间的关系 管理委员会办公室、国务院信息化工作办公室联合下发了 等级 分级保护 保护级(GB 17859) 实麓与管理 《关于信息安全等级保护工作的实施意见》(公通字[2004]66 主管部门审批 ～ 级 自主保护 自主访问 号)，明确了实施等级保护的基本做法。2007年6月22日， 自定 上述四单位又联合下发了 《信息安全等级保护管理办法》 主管部门审批 二级 指导保护 审计(自主访问) (公通字[2007]43号)，规范了信息安全等级保护的管理。 公安备案 等级保护不仅是对信息安全产品或系统的检测、评估 主管部门审批 三级 监督检查 标记(强制访问) 以及定级，更重要的，它是围绕信息安全保障全过程的一 每年一次测评检查 项基础性的管理制度，是一项基础性和制度性的工作。 专家委评审 四级 强制监督检查 结构化保证 半年一次测评检查 1信息安全等级划分与保护 专家委评审 五级 专门监督检查 实时监控 国家信息安全等级坚持自主定级、自主保护的原则。 专门检查 应根据在国家安全、经济建设、社会生活中的重要程度，以 及系统遭受破坏后的危害程度等因素确定等级。 2等级保护与信息安全保障各环节的关系 在不同等级中，系统受到破坏后，会对公民、法人和 等级保护、风险评估、应急处理和灾难恢复是信息安 其他组织的合法权益、国家安全或者社会秩序和公共利益 全保障的主要环节，对等于 P．D．R．R模型的各要素。因 造成不同程度的损害，其相互关系如表1所示。 此，各环节应前后连接、融为一体。而现在往往各自独立 对信息系统进行分级分类是等级保护的关键。如果信 地制定标准、试点推广，导致保障目标混乱，保护策略相 息系统的分级分类不科学，则安全保障建设将事与愿违， 互冲突，达不到应有的效果，浪费资源，增大了保护成本。 甚至可能使我国的基础信息网络和重要信息系统面临严重 这种局面应加以纠正，学术上应重点研究各环节内涵的一 安全隐患。等级保护中的分级实际上涉及了三项工作：一 致性和外延