目录
前言
信息安全等级保护定义
广义上
狭义上
技术和管理
信息安全的基本要素
信息安全等级保护的意义
当前形式
形式严峻
国家安全
三个基本一个根本
预期目标
最终效果
实际意义
前言
信息安全等级保护是对信息和信息载体按照重要性等级分级进行保护的一种工作,在中国、美国等很多国家都存在一种信息安全领域的工作。
信息安全等级保护定义
广义上
信息安全等级保护广义上涉及到该工作的标准、产品、系统等依据等级保护思想的安全工作:
狭义上
信息安全等级保护狭义上一般指信息系统安全等级保护,是指:
- 对国家安全、法人和其他组织及公民的专有信息及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护
- 对信息系统中使用的信息安全产品实行按等级管理,
- 对信息系统中发生的信息安全事件分等级响应、处置的综合性工作:
在信息安全系统保障的过程中分为六个步骤:
1、定级:单位(公司等)对产品(系统等)进行自主定级
2、备案:填写备案表交给当地网监,获得系统的备案证明
3、差距测评:测评机构亲临用户现场进行测评工作,从技术和管理两大层面对用户进行差距测评
4、整改:对测评机构得出的评估进行整改
5、验收测评:测评机构再次检查
6、自查和检测:运营单位自查,网警定期抽查
技术和管理
信息安全等级保护工作是一项由信息系统主管部分、运营单位、使用单位、安全产品提供方、安全服务提供方、测评评估机构、信息安全监督管理部门等多方参与,涉及技术和管理两个领域的复杂系统工程,对于不同的信息系统划分不同的安全等级,提出逐级增强的安全指标基本要求:
信息安全的基本要素
信息安全的三大基本要素:
- 机密性:信息传输过程中,不能被外人读取
- 完整性:信息在传递过程中不能受到恶意破坏或篡改
- 可用性:整个信息系统/业务都必须可用(最基本要素)
简称:CIA
信息安全等级保护的意义
当前形式
形式严峻
1、敌对势力的入侵攻击破坏
2、违法犯罪持续上升
3、基础信息网络和重要信息系统安全隐患严重
国家安全
1、基础信息网络与重要信息系统已成为国家关键基础设施
2、信息安全是国家安全的重要组成部分
3、信息安全是非传统安全,信息安全本质是信息对抗、技术对抗
三个基本一个根本
信息安全等级保护是国家信息安全保障工作的基本制度、基本国策
信心安全等级保护是开展信息安全保障工作的基本方法
信息安全等级保护是维护国家信息安全的根本保障
预期目标
1、能够掌握信息系统安全状况
2、排查系统安全隐患和薄弱环节
3、明确信息系统安全建设整改需求
4、能够衡量出信息系统安全保护措施是否符合等级保护基本要求
5、是否具备了响应等级的安全保护能力
最终效果
1、信心安全管理水平明显提高
2、信息系统安全防范能力明显增强
3、信息系统安全隐患和安全事故明显减少
4、有效保障信息化健康发展
5、有效维护国家安全、社会秩序和公共利益
实际意义
1、有利于平衡安全与成本:既不能保护不足,导致信息系统的使用、运行存在安全隐患;也不能过度保护,导致信息系统的建设,运维成本过高(寻找安全与成本之间的平衡点)
2、有利于突出重点:加强安全建设和管理,等级保护强调,在安全建设中必须做到”技管并重“,并提出了具体的指标要求(提升安全保障体系的广度和深度)
~over~