信息安全-等级保护服务工程指引

一一. . 等级保护工作概述等级保护工作概述 1.11.1 等级保护发展概况等级保护发展概况 早在 1994 年国务院 147 号令中就明确提出国家计算机信息系统实行安全等级保护，安 全等级的划分标准和安全等级保护的具体办法， 由公安部会同有关部门制定； 随后发布了以 计算机信息系统安全保护等级划分准则 （GB17859-1999）为核心的一系列标准，并围绕 这些标准进行了一系列研究活动。 随着信息以及信息安全技术的发展，2003 年 7 月提出了国家信息化领导小组关于加 强信息安全保障工作的意见（中办发[2003]27 号）文件，明确要求我国信息安全保障工 作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管 理办法和技术指南”；2004 年 9 月发布的关于信息安全等级保护工作的实施意见（公 通字[2004]66 号，这个文件对信息等级保护工作做了更加具体的明确。这里明确指出，等 级保护制度是国家信息安全的基本制度， 首先要根据信息系统的重要性以及遭到破坏以后对 国计民生造成的危害性， 以及信息系统必须达到的安全保护水平的程度来确定信息安全的保 护等级。 明确规定分成五个等级， 同时进一步强调了开展信息安全等级保护工作的重要意义， 规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了 实施信息安全等级保护工作的操作办法。 27 号文件和 66 号文件不但为各行业开展信息安全 等级保护工作指明了方向， 同时也为各行业如何根据自身特点做好信息安全等级保护工作提 出了更高的要求。 作为过渡文件， 2006 年 1 月份还发布了 信息安全等级保护管理办法 （试 行）（公通字[2006]7 号）文件。 2007 年 6 月，公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合 下发了信息安全等级保护管理办法（公通字[2007]43 号）。将去年年初发布的信息 安全等级保护管理办法（试行） （公通字[2006]7 号）由试行文件转为正式文件，与2006 年 7 号文相比，43 号文无论从内容上还是结构上都作了比较大的调整。 43 号文是今年等级 保护工作发布的一项重要文件， 它很可能是最近几年等级保护工作主要依据文件， 从文件内 容看， 虽然作为一个管理办法， 它还没有真正解决等级保护工作中所一个管理办法应该解决 的问题，也没有从根本上解决等级保护所面临的主要矛盾。 但它从等级划分、等级保护的实 施与管理 、涉及国家秘密信息系统的分级保护管理 、信息安全等级保护的密码管理、 法律 责任等方面对等级保护工作中所涉及的各项工作如等级定义、 定级、 等级建设所依据的文件、 等级测评、四个部门的职责做了描述和规定，内容涵盖了等级保护工作的方方面面。 为贯彻落实 43 号文件精神，四部门又联合下发了关于开展全国重要信息系统安全等 级保护定级工作的通知（公信安[2007]861 号），要求在2007 年 7 月至 10 月在全国范围 内组织开展重要信息系统安全等级保护定级工作。 1.21.2 安全保护等级的划分及监管安全保护等级的划分及监管 43 号文中对信息系统的安全保护等级以及建设监管作了明确规定， 下表是原有等级与 43 号文中等级定义的对比以及各等级建设、 监管强度表 级别划分级别划分4343 号文件等级定义号文件等级定义原来等级定义原来等级定义 自主保护级，适用于一般的信息系统，其受到破自主保护级，适用于一般的信息系统，其受到破 建设、监督管理建设、监督管理 信息系统运营、使用单位或者个信息系统运营、使用单位或者个 信息系统受到破坏后，信息系统受到破坏后，会对公民、会对公民、法人和其他组织的合法权益法人和其他组织的合法权益 第一级第一级 造成损害，但不损害国家安全、社会秩序和公共利益造成损害，但不损害国家安全、社会秩序和公共利益 坏后，会对公民、法人和其他组织的合法权益产坏后，会对公民、法人和其他组织的合法权益产 人可以依据国家管理规范和技术人可以依据国家管理规范和技术 生损害，但不损害国家安全、社会秩序和公共利生损害，但不损害国家安全、社会秩序和公共利 标准进行保护。标准进行保护。 益。益。 信息系统运营、使用单位应当依信息系统运营、使用单位应当依 信息系统受到破坏后，信息系统受到破坏后，会对公民、会对公民、法人和其他组织的合法权益法人和其他组织的合法权益 第二级第二级产生严重损害，产生严重损害，或者对社会秩序和公共利益造成损害，或者对社会秩序和公共利益造成损害，但不损但不损 害国家安全害国家安全 指导保护级，适用于一般的信息系统，其受到破指导保护级，适用于一般的信息系统，其受到破 坏后，会对社会秩序和公共利益造成轻微损害，坏后，会对社会秩序和公共利益造成轻微损害， 但不损害国家安全。但不损害国家安全。 据国家管理规范和技术标准进行据国家管理规范和技术标准进行 保护。必要时，国家有关信息安保护。必要时，国家有关信息安 全职能部门可以对其信息安全等全职能部门可以对其信息安全等 级保护工作进行指导。级保护工作进行指导。 监督保护级，适用于涉及国家安全、社会秩序和监督保护级，适用于涉及国家安全、社会秩序和 信息系统受到破坏后，会对社会秩序和公共利益造成严重损信息系统受到破坏后，会对社会秩序和公共利益造成严重损 第三级第三级 害，或者对国家安全造成害，或者对国家安全造成 损害损害 国家安全、社会秩序和公共利益造成损害。国家安全、社会秩序和公共利益造成损害。 公共利益的重要信息系统，其受到破坏后，会对公共利益的重要信息系统，其受到破坏后，会对 信息系统运营、使用单位应当依信息系统运营、使用单位应当依 据国家管理规范和技术标准进行据国家管理规范和技术标准进行 保护，国家有关信息安全职能部保护，国家有关信息安全职能部 级别划分级别划分4343 号文件等级定义号文件等级定义原来等级定义原来等级定义建设、监督管理建设、监督管理 门对其信息安全等级保护工作进门对其信息安全等级保护工作进 行监督、检查。行监督、检查。 信息系统运营、使用单位应当依信息系统运营、使用单位应当依 强制保护级，适用于涉及国家安全、社会秩序和强制保护级，适用于涉及国家安全、社会秩序和 信息系统受到破坏后，信息系统受到破坏后， 会对社会秩序和公共利益造成特别严重会对社会秩序和公共利益造成特别严重 第四级第四级 损害，或者对国家安全造成严重损害损害，或者对国家安全造成严重损害 国家安全、社会秩序和公共利益造成严重损害。国家安全、社会秩序和公共利益造成严重损害。门对其信息安全等级保护工作进门对其信息安全等级保护工作进 行强制监督、检查。行强制监督、检查。 信息系统运营、使用单位应当依信息系统运营、使用单位应当依 专控保护级，适用于涉及国家安全、社会秩序和专控保护级，适用于涉及国家安全、社会秩序和 据国家管理规范和技术标准进行据国家管理规范和技术标准进行 公共利益的重要信息系统的核心子系统，公共利益的重要信息系统的核心子系统，其受到其受到 第五级第五级信息系统受到破坏后，会对国家安全造成特别严重损害信息系统受到破坏后，会对国家安全造成特别严重损害 破坏后，