新匍京娱乐场最全网站-app下载手机版
文化理念
文化理念

文化理念

网络运营者不履行本法第二十一条新匍京娱乐场最全网站,也是国家和企业开展信息安全工作的基本方法和有效抓手

发布时间:2020-01-17 21:52    浏览次数 :

等级测评等级测评什么好,选择安信检测发布于:2018-10-21 14:42发布人:sen7guaiuo来源:安信检测编辑点击量:3281.杭州安信检测技术有限公司是一家专注于商务服务、其他商务服务、检测认证领域研发、生产、销售的高新技术企业,凭借强大的研发力量、严谨的生产管理经验以及“质量第一、信誉第一”的经营理念,成功地开发出一系列拥有各项专利的高质量产品,比如安全风险评估x46f27en、渗透测试等。2.系统安全信息等级保护划分:《系统安全信息等级保护管理办法》规定,国家系统安全信息等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。系统安全信息等级保护分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行等级保护。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级系统安全信息等级保护工作进行指导。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级系统安全信息等级保护工作进行监督、检查。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级系统安全信息等级保护工作进行强制监督、检查。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级系统安全信息等级保护工作进行专门监督、检查。安信检测主要开展等级保护机构哪个好排行、等保测评机构哪家好比较、等级测评厂家哪家好、有什么好的等保测评机构等项目运营。在项目高速发展的同时,安信检测始终强调外部机会与内部管理的平衡,十分注重企业核心竞争力的培养和塑造。公司将客户服务价值作为企业的核心竞争力,秉承“诚信正直、追求卓越、尊重个人”的企业精神,努力为客户提供诚信可靠的等级测评。3.安信检测人秉承着“敬业、勤俭、拼搏、创新”的企业精神,立足长远的发展,以技术为核心,市场为导向,不断开拓新的领域,为广大用户提供快捷、优质的服务。想了解更过关于安信检测网络安全评估的朋友们请访问我们的官网:www.axjc.net

信息安全等级保护管理办法 信息安全等级保护管理办法公安部信息安全等级保护管理办法信息安全等级保护管理办法 第一章 总则 第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条 信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。 第二章 等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。 第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。 第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。 第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。 第三章 等级保护的实施与管理 第九条 信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。 第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。 跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。 第十一条 信息系统的安全保护等级确定后,运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。 第十二条 在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术 信息系统通用安全技术要求》、《信息安全技术 网络基础安全技术要求》、《信息安全技术 操作系统安全技术要求》、《信息安全技术 数据库管理系统安全技术要求》、《信息安全技术 服务器技术要求》、《信息安全技术 终端计算机系统安全等级技术要求》等技术标准同步建设符合该等级要求的信息安全设施。 第十三条 运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》、《信息安全技术 信息系统安全工程管理要求》、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。 第十四条 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。 信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。 经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。 第十五条 已运营的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。 第十六条 办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:系统安全组织机构和管理制度;系统安全保护设施设计实施方案或者改建实施方案; 系统使用的信息安全产品清单及其认证、销售许可证明; 测评后符合系统安全保护等级的技术检测评估报告;信息系统安全保护等级专家评审意见;主管部门审核批准信息系统安全保护等级的意见。 第十七条 信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。 运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。 第十八条 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次,对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查,应当会同其主管部门进行。 对第五级信息系统,应当由国家指定的专门部门进行检查。 公安机关、国家指定的专门部门应当对下列事项进行检查: 信息系统安全需求是否发生变化,原定保护等级是否准确; 运营、使用单位安全管理制度、措施的落实情况; 运营、使用单位及其主管部门对信息系统安全状况的检查情况; 信息安全产品使用是否符合要求; 备案材料与运营、使用单位、信息系统的符合情况; 其他应当进行监督检查的事项。 第十九条 信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,如实向公安机关、国家指定的专门部门提供下列有关信息安全保护的信息资料及数据文件: 安全组织、人员的变动情况; 信息安全管理制度、措施变更情况; 运营、使用单位及主管部门定期对信息系统安全状况的检查记录; 对信息系统开展等级测评的技术测评报告; 信息安全事件应急预案,信息安全事件应急处置结果报告; 信息系统安全建设、整改结果报告。 第二十条 公安机关检查发现信息系统安全保护状况不符合信息安全等级保护有关管理规范和技术标准的,应当向运营、使用单位发出整改通知。运营、使用单位应当根据整改通知要求,按照管理规范和技术标准进行整改。整改完成后,应当将整改报告向公安机关备案。必要时,公安机关可以对整改情况组织检查。 第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品:产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;产品的核心技术、关键部件具有我国自主知识产权;产品研制、生产单位及其主要业务、技术人员无犯罪记录; 产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;对国家安全、社会秩序、公共利益不构成危害;对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。 第二十二条 第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评: 在中华人民共和国境内注册成立 由中国公民投资、中国法人投资或者国家投资的企事业单位 从事相关检测评估工作两年以上,无违法记录; 法人及主要业务、技术人员无犯罪记录; 使用的技术装备、设施应当符合本办法对信息安全产品的要求; 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度; 对国家安全、社会秩序、公共利益不构成威胁。 第二十三条 从事信息系统安全等级测评的机构,应当履行下列义务:遵守国家有关法律法规和技术标准,提供安全、客观、公正的检测评估服务,保证测评的质量和效果;保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险;对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。 第四章 涉及国家秘密信息系统的分级保护管理 第二十四条 涉密信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。非涉密信息系统不得处理国家秘密信息。 第二十五条 涉密信息系统按照所处理信息的最高密级,由低到高分为秘密、机密、绝密三个等级。 涉密信息系统建设使用单位应当在信息规范定密的基础上,依据涉密信息系统分级保护管理办法和国家保密标准BMB17-2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统,各安全域可以分别确定保护等级。 保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级。 第二十六条 涉密信息系统建设使用单位应当将涉密信息系统定级和建设使用情况,及时上报业务主管部门的保密工作机构和负责系统审批的保密工作部门备案,并接受保密部门的监督、检查、指导。 第二十七条 涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。 涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求,结合系统实际进行方案设计,实施分级保护,其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。 第二十八条 涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。 第二十九条 涉密信息系统建设使用单位在系统工程实施结束后,应当向保密工作部门提出申请,由国家保密局授权的系统测评机构依据国家保密标准BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。 涉密信息系统建设使用单位在系统投入使用前,应当按照《涉及国家秘密的信息系统审批管理规定》,向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统,其建设使用单位在按照分级保护要求完成系统整改后,应当向保密工作部门备案。 第三十条 涉密信息系统建设使用单位在申请系统审批或者备案时,应当提交以下材料:系统设计、实施方案及审查论证意见;系统建设和工程监理情况报告;系统安全保密组织机构和管理制度情况;其他有关材料。 第三十一条 涉密信息系统发生涉密等级、连接范围、环境设施、主要应用、安全保密管理责任单位变更时,其建设使用单位应当及时向负责审批的保密工作部门报告。保密工作部门应当根据实际情况,决定是否对其重新进行测评和审批。 第三十二条 涉密信息系统建设使用单位应当依据国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,加强涉密信息系统运行中的保密管理,定期进行风险评估,消除泄密隐患和漏洞。 第三十三条 国家和地方各级保密工作部门依法对各地区、各部门涉密信息系统分级保护工作实施监督管理,并做好以下工作:指导、监督和检查分级保护工作的开展;指导涉密信息系统建设使用单位规范信息定密,合理确定系统保护等级;参与涉密信息系统分级保护方案论证,指导建设使用单位做好保密设施的同步规划设计;依法对涉密信息系统集成资质单位进行监督管理;严格进行系统测评和审批工作,监督检查涉密信息系统建设使用单位分级保护管理制度和技术措施的落实情况;加强涉密信息系统运行中的保密监督检查。对秘密级、机密级信息系统每两年至少进行一次保密检查或者系统测评,对绝密级信息系统每年至少进行一次保密检查或者系统测评;了解掌握各级各类涉密信息系统的管理使用情况,及时发现和查处各种违规违法行为和泄密事件。 第五章 信息安全等级保护的密码管理 第三十四条 国家密码管理部门对信息安全等级保护的密码实行分类分级管理。根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质等,确定密码的等级保护准则。 信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。 第三十五条 信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。 第三十六条 信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的,应报经国家密码管理局审批,密码的设计、实施、使用、运行维护和日常管理等,应当按照国家密码管理有关规定和相关标准执行;采用密码对不涉及国家秘密的信息和信息系统进行保护的,须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准,其密码的配备使用情况应当向国家密码管理机构备案。 第三十七条 运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。 第三十八条 信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担,其他任何部门、单位和个人不得对密码进行评测和监控。 第三十九条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评,对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。 第六章 法律责任 第四十条 第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果: 未按本办法规定落实安全管理制度、措施的; 未按本办法规定开展系统安全状况检查的; 未按本办法规定开展系统安全技术测评的; 未按本办法规定选择使用信息安全产品和测评机构的; 未按本办法规定如实提供有关文件和证明材料的; 违反密码管理规定的; 违反本办法其他规定的。 违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。 第四十一条 信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。 第七章 附则 第四十二条 已运行信息系统的运营、使用单位自本办法施行之日起180日内确定信息系统的安全保护等级;新建信息系统在设计、规划阶段确定安全保护等级。 第四十三条 本办法所称“以上”包含本数。 第四十四条 本办法自发布之日起施行,《信息安全等级保护管理办法同时废止。

2004年9月15日,公安部联合国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室共同发布了公通字【2004】66号文-《关于信息安全等级保护工作的实施意见》,这份法规文件的发布标志着等级保护工作在我们国家已开始正式推动实施。自66号文发布至今已有14个年头了,等级保护制度也成为我们国家信息安全保障工作的一项基本制度、基本国策,促进国家信息化发展、维护国家信息安全的根本保障,也是国家和企业开展信息安全工作的基本方法和有效抓手。

《网络安全法》第二十一条规定,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。相信作为网络社会经营与服务活动的最重要主体,网络运营者最为关注的就是如何依据等保要求开展网络的建设、运营、维护和使用。

辽宁省计算机信息系统安全管理条例

正所谓“实践出真知”,十多年的等级保护制度实践成果,充分证明了这项基本制度很好的适应了我国国情,充分调动了国家、法人和其他组织及公民的积极性,有效发挥各方面的作用,达到关键信息基础设施的有效保护目的,增强安全保护的整体性、针对性和实效性,使得信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展起到了非常重要的推动作用。

第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

辽宁省人民代表大会常务委员会公告

那么,什么是信息安全等级保护制度,它包含哪些内容呢?在公通字【2004】66号文中已给出了明确了定义,信息安全等级保护主要包含三项内容:
对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护(这是信息安全等级保护制度的核心工作,也是最重要的工作);

随着网络安全上升成法律,可以体现出现在信息安全的重要性,而前段时间大范围爆发的勒索病毒也恰好说明了信息安全的大环境是亟待改善的!随着《网络安全法》的发布,网络上各式各样的信息系统都必须为自己的安全负责,所以就需要信息安全等级测评!

《辽宁省计算机信息系统安全管理条例》已由辽宁省第十二届人民代表大会常务委员会第四次会议于2013年9月27日审议通过,现予公布。本条例自2013年12月1日起施行。

对信息系统中使用的信息安全产品实行按等级管理(即各单位使用的安全产品应该是分等级的,定了三级的系统不能使用二级及以下的安全产品);

实施的基本流程为6个阶段:等级保护对象定级与备案、总体安全规划、安全设计与实施、安全运行与维护、应急响应与保障、定级对象终止;其中应急响应与保障是本次修订增加的阶段。

辽宁省人民代表大会常务委员会

对信息系统中发生的信息安全事件分等级响应、处置。

--------------------------------------------------我是分隔线-----------------

2013年9月27日

如果用一句话进行概括就是:信息和信息系统重要程度有多高,安全保护就应当有多强,既不能保护不足,也不能过渡保护。这其中的要点就是平衡安全与成本。
其中提到的信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
对信息和信息系统分等级实施保护。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益可能造成的危害程度,66号文中将信息和信息系统的安全保护等级共分五级:
第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。系统运营者可依照国家管理规范和技术标准进行自主保护。

等级保护对象定级与备案

等级保护对象定级备案,我们简称定级备案。定级备案是同一个阶段的两个过程,定级是根据保护对象(信息系统)收到损害时,所产生的危害确定的,等级保护对象分为5个等级,具体的划分标准如下:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

备案,是将保护对象的相关信息上报给公安机关做登记,生成备案号!

辽宁省计算机信息系统安全管理条例

第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。系统运营者要在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护。

等级保护测评

测评是对保护对象(信息系统)的全方面评估,包括服务器、网络设备、中间件、物理机房、管理制度人员等;例如一个OA系统,那测评的范围包括了这个系统所在的物理机房,系统流量经过的网络设备,整个网络的结构安全,系统所在机房的管理制度等。

每个测评对象包含了不同的控制点跟测评项,依据保护对象等级不同而差异!

假设:二级的一台liunx服务器 包含8个控制点和19个测评项,三级的liunx服务器控制点会更多,测评项也更多!

可能有朋友不明白控制点是什么,简单来说,控制点是一个大项,一个控制点下包含几个测评项,就像水果的是一个控制点,香蕉就是测评项!控制点和测评项是由相关法律法规决定的,保护对象的整改程度也有相关要求!

测评过程不是10天20天能走完的,这其中的决定要素,更大的一部分取决于保护对象主体,也就是客户的处理效率!

以上皆是个人分享,各位看官轻点喷,如有不当之处,欢迎指出错误!O(∩_∩)O谢谢

2013年9月27日辽宁省第十二届人民代表大会常务委员会第四次会议通过

第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。系统运营者依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。

第一条 为了保护计算机信息系统安全,保障公民、法人和其他组织的合法权益,维护国家安全、社会秩序和公共利益,促进计算机应用和信息化建设的健康发展,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律、法规,结合本省实际,制定本条例。

第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。系统运营者依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查。

第二条 本条例适用于本省行政区域内计算机信息系统的安全管理。

第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。系统运营者依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督。

存储、处理国家秘密的信息系统为涉密信息系统,按照涉密程度实行分级保护,其安全保密管理按照国家有关保密法律、法规和标准执行。

在我们国家1999年出台的第一个关于等级保护的标准《GB/T 17859 计算机信息系统安全等级划分准则》中又按照信息系统安全机制的多与少, 强与弱也划分了五个等级,由于这个标准是99年制定的,当时对一些问题考虑得还是不完善的,所以现在已经很少这么提了。
第一级:用户自主保护级

第三条 省、市、县公安机关负责信息系统安全管理工作。

第二级:系统审计保护级

国家安全、电信、保密、密码管理等部门,在各自职责范围内做好信息系统安全管理的有关工作。

第三级:安全标记保护级

第四条 信息系统运营、使用单位应当保障计算机及其相关和配套的设备、设施安全,运行环境安全和信息安全,维护信息系统安全运行。

第四级:结构化保护级

第五条 任何组织和个人不得实施危害信息系统安全的行为,不得利用信息系统从事危害国家安全、社会秩序和公共利益,以及侵害公民、法人和其他组织合法权益的活动。

第五级:访问验证保护级

第六条 省公安机关和省电信主管部门应当建立工作协调机制,完善信息安全保障措施。有关行政部门应当配合公安机关做好惩治侵害信息系统安全违法犯罪的工作。

这五个等级和66号文中划分的1、2、3、4、5既有相通的地方,又有不同的地方。66号文中的五个等级的确并不是根据采取的安全机制的多少和强弱来确定等级,而是根据你的信息资产的重要程度来确定安全等级的。

第二章 安全等级保护

后来,在公通字[2007]43号文-《信息安全等级保护管理办法》中又把这些名字都去掉了,只是叫一级、二级、三级、四级、五级,这五个级别了。

第七条 信息系统实行安全等级保护制度。根据信息系统的重要程度和信息系统受到破坏后对国家安全、社会秩序和公共利益,以及公民、法人和其他组织的合法权益的危害程度等因素,分为下列五级:

国家对信息安全产品的使用实行分等级管理。按照信息安全产品的使用要根据可控性、可靠性、安全性和可监督性这四个属性确定信息系统使用的安全产品等级。这四个属性在正式的文件里没有体现,43 号文里没有提到这四个属性。但是43号文里指了信息系统安全专用产品应该是国内生产的,源代码这些东西应该是国内生产的。具体条文如下:
第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。

信息系统受到破坏后,将对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益的,为第一级;

可以看出,43号文里只是就安全性这个角度,给出了企业使用安全产品必须是国产这样一个要求,但是还没有明确这个信息安全产品等级究竟应该怎么划分。

信息系统受到破坏后,将对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全的,为第二级;

很多安全厂商都会碰到这样的场景:用户跑过来问“我买了你的安全产品是不是达到了XXX等级?你的安全产品是不是符合XXX等级?”,我给他们的回答是否定的。要知道,看一款安全产品是否符合XXX等级,要看该产品是否符合国家制定的标准中对于XXX等级的要求,如果符合了标准,那就符合XXX安全等级。如果没有符合标准要求那就不符合XXX安全等级。举例来说,第三级从技术的角度应该对应着安全标记保护级,安全标记保护级里是要求实行最小授权,那就不应该再有超级管理员的身份。超级管理员必须分别为系统管理员、系统安全员和审计员。权限低的人活动都可以查询。但是管理员本人做的坏事,要把这个痕迹都擦掉,这个问题怎么解决?对于三级以上的信息系统,我们就要求这些东西是不能擦掉的,至少审计员必须是独立出来的。目前我们的安全产品虽然也设了审计员,但是超级用户还是存在的。这个问题就没有达到安全标记保护级的要求。若要安全产品与标准要求完全对应,是有点不太现实的,而且这也必将是一个漫长的过程,安全产品提升是需要过程的。

信息系统受到破坏后,将对社会秩序和公共利益造成严重损害,或者对国家安全造成损害的,为第三级;

信息安全事件实行分等级响应、处置的制度。目前,我们国家已经把信息安全事件以国标的形式进行了分类和分等级。依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围来确定事件等级。根据不同安全保护等级的信息系统中发生的不同等级事件制定相应的预案,确定事件响应和处置的范围、程度以及适用的管理制度等。信息安全事件发生后,分等级按照预案响应和处置,由国家监管部门牵头组织全社会的应急响应资源和你单位的应急响应能力相结合,最大限度的减轻信息安全事件造成的损失。

信息系统受到破坏后,将对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害的,为第四级;

信息系统受到破坏后,将对国家安全造成特别严重损害的,为第五级。

第八条 信息系统运营、使用单位应当依据国家信息系统安全等级保护管理规范和技术标准,按照自主定级、自主保护、履行义务、承担责任的原则,确定信息系统安全保护等级。