信息安全等级保护基本概念
信息系统安全等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动,公安机关等安全监管部门进行信息安全等级保护监督检查时,系统运营使用单位必须提交具有等级测评资质的机构出具的等级测评报告。
信息安全等级保护分级
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息安全等级保护服务范围和内容
整个等级保护实施过程包括: 系统定级、安全规划设计、安全实施/实现、安全运行管理与系统终止。
系统定级:信息系统运营使用单位按照《信息系统信息安全等级保护定级指南》,确定信息系统安全等级。
安全规划设计: 根据信息系统的定级情况和安全需求等,设计合理的、满足等级保护要求的总体设计方案。
安全实施/实现:按照信息系统总体方案书的总体要求,结合信息系统安全建设方案,分期分步落实安全措施。
安全运行:在安全运行阶段主要是实施操作营理,变更管理和控制,安全状态监控,安全事件处置和应急预案,安全评估和持续改进以及监督检查等活动。
系统终止: 确保信息系统被转移、终止或废弃时,正确处理系统内的敏感信息。
