|
|
|
国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
|
|
|
|
《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下五级。
|
|
|
|
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
|
|
|
|
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
|
|
|
|
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
|
|
|
|
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
|
|
|
|
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
|
|
|
|
《信息安全等级保护管理办法》明确规定,在信息系统建设过程中,运营、使用单位应当按照《GB 17859—1999计算机信息系统安全保护等级划分准则》《GB/T 22239—2008信息系统安全等级保护基本要求》等技术标准,参照《GB/T 20271—2006信息安全技术信息系统通用安全技术要求》《GB/T 20270—2006信息安全技术网络基础安全技术要求》《GB/T 20272—2006信息安全技术操作系统安全技术要求》《GB/T 20273—2006信息安全技术数据库管理系统安全技术要求》《GB/T 21028-2007信息安全技术服务器安全技术要求》《GA/T 671—2006信息安全技术终端计算机系统安全等级技术要求》等技术标准同步建设符合该等级要求的信息安全设施。
|
|
|
|
《计算机信息系统安全保护等级划分准则》是计算机信息系统安全等级保护系列标准的核心,是施行计算机信息系统安全等级保护制度建设的重要基础。该标准规定了计算机系统安全保护能力的五个等级,即用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。
|
|
|
