一、什么是等级保护?
我国实施信息安全管理的法定制度:信息系统安全实施等级化保护和等级化管理。等级化管理是一种普遍适用的管理方法,是适用于我国当前实际的一种有效的信息安全管理方法。
主管部门为公安机关。国家保密工作部、国家密码管理部负责其中有关保密工作和密码工作,国信办及地方信息化领导小组办事机构负责其中协调工作。
二、什么是分级保护?
涉密信息系统依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分别保护的管理规定和技术标准,实施信息安全分级保护的强制执行制度。
主管部门为国家保密工作部门(国家保密局、各省保密局、各地市市保密局)。
三、等级保护与分级保护各分为几个等级,对应关系是什么,如何定级?
等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护)。
分级保护分3个级别:秘密级、机密级(机密增强级)、绝密级。其中秘密级对应等保三级,以此向上类推。
等级保护定级是依据重要业务系统与承载业务运行的网络、设备、系统及单位属性、遭到破坏后所影响的主、客体关系等;
分级保护定级是依据信息的重要性,以信息最高密级确定受保护的级别。
四、等级保护与分级保护的适用对象
|
标准体系 |
国家标准(GB、GB/T) |
国家保密标准(BMB,强制执行) |
|
适用对象 |
非涉密信息系统 |
涉密信息系统 |
五、分级保护测评及安全保密产品要求
涉密信息系统投入使用前是需要审批的,而系统测评是系统审批的必要环节。没有经过测评,涉密信息系统将无法通过投入运行的审批。目前,国家保密工作部门及国家保密局授权的系统测试机构负责测评,测评机构应具备涉及国家机密的计算机系统集成风险评估单项资质。
涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测架构依据有关国家保密保准进行的检测,通过检测的产品由国家保密局审核发布目录。
秘密级、机密级信息系统:每两年至少一次;绝密级信息系统:每一年至少一次。