一、概念信息系統(tǒng)根據(jù)其在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度,遭到破壞后對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法利益的危害程度,由低到高劃分為五個等級。
分別是:級:用戶自主保護(hù)級第二級:系統(tǒng)審計(jì)保護(hù)級第三級:安全標(biāo)記保護(hù)級第四級:結(jié)構(gòu)化保護(hù)級第五級:訪問驗(yàn)證保護(hù)級不同級別的信息系統(tǒng)應(yīng)該落實(shí)不同強(qiáng)度的安全要求,為了規(guī)范安全要求的落實(shí)標(biāo)準(zhǔn),全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會制訂了《信息系統(tǒng)安全等級保護(hù)基本要求》這個標(biāo)準(zhǔn),該標(biāo)準(zhǔn)對不同級別的信息系統(tǒng)應(yīng)該落實(shí)的安全要求項(xiàng)進(jìn)行了明確而具體的規(guī)定,將其分為管理要求和技術(shù)要求總共十個類別,分別是:技術(shù)要求:1、物理安全2、主機(jī)安全3、應(yīng)用安全4、網(wǎng)絡(luò)安全5、數(shù)據(jù)安全及備份回復(fù)管理要求:1、安全管理制度2、安全管理機(jī)構(gòu)3、人員安全管理4、系統(tǒng)建設(shè)管理5、系統(tǒng)運(yùn)維管理二、政策法規(guī)中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例計(jì)算機(jī)信息系統(tǒng)保護(hù)等級劃分準(zhǔn)則國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見關(guān)于加強(qiáng)信息安全等級保護(hù)工作的實(shí)施意見信息安全等級保護(hù)管理辦法關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見三、標(biāo)準(zhǔn)規(guī)范計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)劃分準(zhǔn)則(基礎(chǔ)類標(biāo)準(zhǔn))信息系統(tǒng)安全等級保護(hù)實(shí)施指南(基礎(chǔ)類標(biāo)準(zhǔn))信息系統(tǒng)安全等級保護(hù)定級指南(應(yīng)用類標(biāo)準(zhǔn))信息系統(tǒng)安全等級保護(hù)基本要求(應(yīng)用類建設(shè)標(biāo)準(zhǔn))信息系統(tǒng)通用安全技術(shù)要求(應(yīng)用類建設(shè)標(biāo)準(zhǔn))信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求(應(yīng)用類建設(shè)標(biāo)準(zhǔn))信息系統(tǒng)安全等級保護(hù)測評要求(應(yīng)用類測評標(biāo)準(zhǔn))信息系統(tǒng)安全等級保護(hù)測評過程指南(應(yīng)用類測評標(biāo)準(zhǔn))信息系統(tǒng)安全管理要求(應(yīng)用類管理標(biāo)準(zhǔn))信息系統(tǒng)安全工程管理要求(應(yīng)用類管理標(biāo)準(zhǔn))四、工作流程等級保護(hù)工作不是一件事,而是由五件事組成的一個完整工作流程。
通常所說的等級保護(hù)工作指的是等級保護(hù)測評這項(xiàng)工作流程。
根據(jù)信息系統(tǒng)等級保護(hù)相關(guān)標(biāo)準(zhǔn),等級保護(hù)工作總共分五個階段,分別為:1、定級信息系統(tǒng)運(yùn)營使用單位按照等級保護(hù)管理辦法和定級指南,自主確定信息系統(tǒng)的安全保護(hù)等級。
有上級主管部門的,應(yīng)當(dāng)經(jīng)上級主管部門審批。
跨省或全國統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由其主管部門統(tǒng)一確定安全保護(hù)等級。
雖然是自主定級,但是也得根據(jù)系統(tǒng)實(shí)際情況去定級,有行業(yè)指導(dǎo)文件的根據(jù)指導(dǎo)文件來,沒有文件的根據(jù)定級指南來,總之一句話合理定級。
二是備案。
第二級以上信息系統(tǒng)定級單位到所在地所在地設(shè)區(qū)的市級以上公安機(jī)關(guān)辦理備案手續(xù)。
省級單位到省公安廳網(wǎng)安總隊(duì)備案,各地市單位一般直接到市級網(wǎng)安支隊(duì)備案,也有部分地市區(qū)縣單位的定級備案資料是先交到區(qū)縣公安網(wǎng)監(jiān)大隊(duì)的,具體根據(jù)各地市要求來。
三是系統(tǒng)安全建設(shè)。
信息系統(tǒng)安全保護(hù)等級確定后,運(yùn)營使用單位按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn),選擇管理辦法要求的信息安全產(chǎn)品,建設(shè)符合等級要求的信息安全設(shè)施,建立安全組織,制定并落實(shí)安全管理制度。
四是等級測評。
信息系統(tǒng)建設(shè)完成后,運(yùn)營使用單位選擇符合管理辦法要求的檢測機(jī)構(gòu),對信息系統(tǒng)安全等級狀況開展等級測評。
五是監(jiān)督檢查。
公安機(jī)關(guān)依據(jù)信息安全等級保護(hù)管理規(guī)范,監(jiān)督檢查運(yùn)營使用單位開展等級保護(hù)工作,定期對信息系統(tǒng)進(jìn)行安全檢查。
運(yùn)營使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)的安全監(jiān)督、檢查、指導(dǎo),如實(shí)向公安機(jī)關(guān)提供有關(guān)材料。
其中定級、備案工作原則上是由用戶單位自己填寫定級備案表交給公安網(wǎng)監(jiān)部門去進(jìn)行備案工作,但考慮到實(shí)際情況,絕大多數(shù)情況下都是用戶單位在測評機(jī)構(gòu)的協(xié)助下完成這些工作。
系統(tǒng)安全建設(shè)和等級測評的工作不一定要嚴(yán)格按照這個順序開展,可以先測評再整改,也可以先建設(shè)再測評。
具體還是根據(jù)自身實(shí)際情況來辦。
注意了:選擇一家有實(shí)力的測評機(jī)構(gòu)很重要,測的好壞關(guān)系到單位信息系統(tǒng)后期整改內(nèi)容,問題發(fā)現(xiàn)多了提前發(fā)現(xiàn)了并整改了,可以有效降低被攻擊的風(fēng)險(xiǎn),提高信息安全防護(hù)能力。
所以等級保護(hù)工作是以上一個全流程,而不只是測評工作,測評的目的是發(fā)現(xiàn)問題,更重要的是我們在發(fā)現(xiàn)問題之后去持續(xù)的解決問題,完善我們的信息安全建設(shè)工作,保障應(yīng)用的正常服務(wù)以及數(shù)據(jù)的安全。