安全分级的策略至上.docVIP

安全分级的策略至上 　　实行信息安全产品的分级认证是推行信息安全产品等级保护的关键问题，而在这其中，尤为关键的是：我们不能将分级管理停留在概念上。 　　 　　信息安全是当前的一个热门话题。究其原因，其一是人们意识的提高，开始关心自己的和客户的信息安全了，其二就是当前普遍存在的问题是信息不安全。 　　数据显示，全球每年由于安全事件的损失高达数百亿美元，而这些安全事件中，由于管理缺乏所致的比例高达70%。 　　目前，保障信息安全有三个支柱，一个是技术、一个是管理、一个是法律法规。而我们日常提及信息安全时，多是在技术相关的领域，例如IDS技术、Firewall技术、Anti-Virus技术、加密技术、CA认证技术等等。 　　其实，在安全领域，技术提供商在培育市场，同时国家的法律法规、有专门的部门在研究和制定推广相关政策和标准的同时，必须划分一个可以分级管理的区域，以实现信息安全认证和管理的需要。 　　 　　分级而治 　　 　　信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 　　当前，我国计算机信息系统的建设和使用正向互联互通、信息共享的方向发展，特别是电子政务的快速发展，对信息系统的安全保护工作提出了前所未有的强烈需求。重要信息系统使用单位可根据其信息化建设工作的重要程度和自身安全需求，确定安全等级，选择符合该级别要求的安全产品，并按照相关建设和管理的标准规范进行安全建设和安全管理。实行信息安全产品分级认证，有利于建立长效机制，保证信息安全工作稳固、持久地进行;也有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调。 　　实行信息安全产品分级认证是推行等级保护的关键问题，对信息系统的安全建设起着至关重要的作用，关系到我国的基础信息网络和重要信息系统是否足以应对相应级别的安全隐患。等级保护体系建立后，既要“一手要抓发展”，又要“一手要抓安全”，必须具备有效的、持续性的验证方法，确保信息系统在不断发展的同时保证符合安全等级要求，因此，开展分级认证是实行等级保护的一项重要具体措施。 　　 　　策略为先 　　 　　根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素，信息和信息系统的安全保护等级共分五级： 　　第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。 　　第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。 　　第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。 　　第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。 　　第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。 　　在2006年3月颁布的规则（试行）中，国家通过制定统一的管理规范和技术标准，组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策。第一级依照国家管理规范和技术标准进行自主保护;第二级在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护;第三级依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查;第四级依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查；第五级依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督。 　　同时，对于信息安全事件，也将实行分等级响应、处置的制度。依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围，确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案，确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生