等级保护与分级保护的区别
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关于信息安全制度中等级保护与分级保
护的异同
时间:2013-04-15 11:41:06 来源:作者:
等级保护和分级保护是在信息安全领域经常遇到的两个概念,那么这两个概念有什么区别与联系呢?那些系统需要进行等级保护?那些系统又需要进行分级保护?涉密信息系统如何分级?这都是时常困扰我们的问题,在此和大家一起探讨一个等保和分保的问题。
一、等保的全称是信息安全等级保护
1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。 2003年中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级。
第一级信息系统受到破坏后会对公民、法人和其他组织的合法权益造成损害但不损害国家安全、社会秩序和公共利益。
第二级信息系统受到破坏后会对公民、法人和其他组织的合法权益产生严重损害或者对社会秩序和公共利益造成损害但不损害国家安全。
第三级信息系统受到破坏后会对社会秩序和公共利益造成严重损害或者对国家安全造成损害。
第四级信息系统受到破坏后会对社会秩序和公共利益造成特别严重损害或者对国家安全造成严重损害。
第五级信息系统受到破坏后会对国家安全造成特别严重损害。
二、分保的全称是涉密信息系统分级保护
1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施,国家已经基本形成了完善的保密法规体系。
涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级:
秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。
机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。
绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。
从上表中我们可以看出,等级保护涉及到国家多个部门,而分级保护只涉及了保密部门。
五、等级保护与分级保护管理过程的异同
等保管理过程:
分级保护管理过程:
六、等保和分保对厂商和产品的资质管理的异同
等级保护对厂商和产品的资质管理:
分级保护对厂商和产品的资质管理:
由以上几点,我们可以看出国家信息安全等级保护是国家从整体上、根本上解决国家信息安全问题的办法, 进一步确定了信息安全发展的主线和中心任务, 提出了总体要求。对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。而涉密信息系统分级保护则是国家信息安全等级保护在涉及国家秘密信息的信息系统中的特殊保护措施与方法。由于国家秘密信息与公开信息在内容和特性上有着明显的区别,所以涉密信息系统和公众信息系统在保障安全的原则、系统和方法等方面也有不同的要求。既不能用维护国家秘密信息安全的办法去维护国家公众信息安全,以至于影响信息的合理利用,阻碍信息化的发展;也不能用维护公众信息安全的办法来维护国家的秘密信息安全,以至于窃密、泄密事件的发生,危害国家的安全和利益,同样影响信息化的健康发展。