等级保护与分级保护的区别修订版
等级保护与分级保护的
区别
集团标准化小组:[VVOPPT-JOPP28-JPPTL98-LOPPNN]
关于信息安全制度中等级保护与分级保护
的异同
时间:2013-04-15 11:41:06来源:作者:
等级保护和分级保护是在信息安全领域经常遇到的两个概念,那么这两个概念有什么区别与联系呢那些系统需要进行等级保护那些系统又需要进行分级保护涉密信息系统如何分级这都是时常困扰我们的问题,在此和大家一起探讨一个等保和分保的问题。
一、等保的全称是信息安全等级保护
1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号) 提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级。
第一级信息系统受到破坏后会对公民、法人和其他组织的合法权益造成损害但不损害国家安全、社会秩序和公共利益。
第二级信息系统受到破坏后会对公民、法人和其他组织的合法权益产生严重损害或者对社会秩序和公共利益造成损害但不损害国家安全。
第三级信息系统受到破坏后会对社会秩序和公共利益造成严重损害或者对国家安全造成损害。
第四级信息系统受到破坏后会对社会秩序和公共利益造成特别严重损害或者对国家安全造成严重损害。
第五级信息系统受到破坏后会对国家安全造成特别严重损害。
二、分保的全称是涉密信息系统分级保护
1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施,国家已经基本形成了完善的保密法规体系。
涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级:
秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。
机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。
绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。
三、等级保护和分级保护之间的关系
其实从名字中我们就可以看出,涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。
等级保护与分级保护的区别
关于信息安全制度中等级保护与分级保 护的异同 时间:2013-04-15 11:41:06 来源:作者: 等级保护和分级保护是在信息安全领域经常遇到的两个概念,那么这两个概念有什么区别与联系呢?那些系统需要进行等级保护?那些系统又需要进行分级保护?涉密信息系统如何分级?这都是时常困扰我 们的问题,在此和大家一起探讨一个等保和分保的问题。 一、等保的全称是信息安全等级保护 1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。 2003年中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。信息系统的安全保护等级 应当根据信息系统在国家安全、经济建设、社会生活中的重要程度信息系统遭到破坏后对国家安全、社 会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等 级分为五级。 第一级信息系统受到破坏后会对公民、法人和其他组织的合法权益造成损害但不损害国家安全、社会秩序和公共利益。 第二级信息系统受到破坏后会对公民、法人和其他组织的合法权益产生严重损害或者对社会 秩序和公共利益造成损害但不损害国家安全。 第三级信息系统受到破坏后会对社会秩序和公共利益造成严重损害或者对国家安全造成损害。 第四级信息系统受到破坏后会对社会秩序和公共利益造成特别严重损害或者对国家安全造成 严重损害。 第五级信息系统受到破坏后会对国家安全造成特别严重损害。 二、分保的全称是涉密信息系统分级保护 1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。 中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提 出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信 息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施,国家已经基本形成了完善的保密法规体系。 涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级 和机密级(增强)、绝密级三个等级: 秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三 级的要求,并且还必须符合分级保护的保密技术要求。 机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四 级的要求,还必须符合分级保护的保密技术要求。 绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五 级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。
等级保护与分级保护
For pers onal use only in study and research; not for commercial use 等级保护与分级保护 一、信息系统等级保护 1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年,中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。 由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。 信息系统安全等级保护将安全保护的监管级别划分为五个级别: 第一级:用户自主保护级完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。
新版等级保护分级保护.pdf
等级保护/分级保护
目录 1等级保护FAQ (3) 1.1什么是等级保护、有什么用? (3) 1.2信息安全等级保护制度的意义与作用? (3) 1.3等级保护与分级保护各分为几个等级,对应关系是什么? (3) 1.4等级保护的重要信息系统(8+2)有哪些? (4) 1.5等级保护的主管部门是谁? (4) 1.6国家密码管理部门在等级保护/分级保护工作中的职责是什么? (4) 1.7等级保护的政策依据是哪个文件? (4) 1.8公安机关对等级保护的管理模式是什么,等级保护定级到哪里备案? (5) 1.9等级保护是否是强制性的,可以不做吗? (5) 1.10等级保护的主要标准有哪些,是否已发布为正式的国家标准? (5) 1.11哪些单位可以做等级保护的测评? (6) 1.12做了等级测评之后,是否会给发合格证书? (6) 1.13是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内? (6) 1.14等级保护检查的责任单位是谁? (7) 2分级保护FAQ (7) 2.1分级保护是什么? (7) 2.2分级保护的主管部门是谁? (7) 2.3分级保护定级到哪里备案? (7) 2.4分级保护的政策依据是哪个文件? (7) 2.5分级保护与等级保护的适用对象分别是什么? (7) 2.6分级保护有关信息安全的标准相互关系是什么? (8) 2.7分级保护与等级保护的定级依据有何区别? (8) 2.8分级保护的建设依据、方案设计、测评分别依据哪些标准? (8) 2.9分级保护设计方案是否需要经过评审和审批,谁来评审和审批? (8) 2.10涉密信息系统投入使用前,是否需要经过审批,由谁来审批? (8) 2.11分级保护系统测评的作用是什么,是否必须做? (9) 2.12哪些单位可以做分级保护的测评,有什么资质要求? (9) 2.13分级保护对涉密系统中使用的安全保密产品有哪些要求? (9) 2.14涉密系统分级保护多长时间需进行一次安全保密检查? (9) 2.15各级保密局与各单位保密办的关系是什么? (10) 2.16分级保护的系统集成对厂商的资质有什么要求? (10) 2.17分级保护的安全建设是否必须监理,对监理资质有什么要求? (10) 2.18分级保护的哪些具体工作对厂商有单项资质的要求? (10) 3综合问题 (11) 3.1等保与分保的本质区别是什么? (11) 3.2等保与分保各有几种级别? (11) 3.3等级保护/分级保护什么区别哪些部门在管理,怎么做? (11) 3.4企业出现泄密事件上报那些单位? (11) 3.5等保定级备案是依据单位还是系统? (12) 3.6风险评估和等级保护的关系? (12) 3.7方案设计阶段及实施前是否需要报批? (12) 3.8对于等保中产品使用及密码产品是否有要求? (12)
等级保护与分级保护的区别修订稿
等级保护与分级保护的 区别 集团标准化工作小组 [Q8QX9QT-X8QQB8Q8-NQ8QJ8-M8QMN]
关于信息安全制度中等级保护与分级保护 的异同 时间:2013-04-15 11:41:06来源:作者: 等级保护和分级保护是在信息安全领域经常遇到的两个概念,那么这两个概念有什么区别与联系呢那些系统需要进行等级保护那些系统又需要进行分级保护涉密信息系统如何分级这都是时常困扰我们的问题,在此和大家一起探讨一个等保和分保的问题。 一、等保的全称是信息安全等级保护 1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号) 提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级。 第一级信息系统受到破坏后会对公民、法人和其他组织的合法权益造成损害但不损害国家安全、社会秩序和公共利益。 第二级信息系统受到破坏后会对公民、法人和其他组织的合法权益产生严重损害或者对社会秩序和公共利益造成损害但不损害国家安全。 第三级信息系统受到破坏后会对社会秩序和公共利益造成严重损害或者对国家安全造成损害。 第四级信息系统受到破坏后会对社会秩序和公共利益造成特别严重损害或者对国家安全造成严重损害。 第五级信息系统受到破坏后会对国家安全造成特别严重损害。 二、分保的全称是涉密信息系统分级保护 1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施,国家已经基本形成了完善的保密法规体系。 涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级: 秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。 机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。 绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。 三、等级保护和分级保护之间的关系 其实从名字中我们就可以看出,涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。
等级保护分级保护
等级保护/分级保护 ?目录 1?等级保护FAQ .................................................................................................................................................. 错误!未定义书签。 1、1?什么就是等级保护、有什么用??错误!未定义书签。 1、2信息安全等级保护制度得意义与作用? ........................................................................................... 错误!未定义书签。 1、3等级保护与分级保护各分为几个等级,对应关系就是什么? ........................................................... 错误!未定义书签。 1、4等级保护得重要信息系统(8+2)有哪些? .......................................................................................... 错误!未定义书签。 1、5?等级保护得主管部门就是谁? ........................................................................................................... 错误!未定义书签。 1、6国家密码管理部门在等级保护/分级保护工作中得职责就是什么? ............................................... 错误!未定义书签。 1、7等级保护得政策依据就是哪个文件??错误!未定义书签。 1、8?公安机关对等级保护得管理模式就是什么,等级保护定级到哪里备案??错误!未定义书签。 1、9?等级保护就是否就是强制性得,可以不做吗? ................................................................................... 错误!未定义书签。 1、10?等级保护得主要标准有哪些,就是否已发布为正式得国家标准?................................................. 错误!未定义书签。 1、11哪些单位可以做等级保护得测评??错误!未定义书签。 1、12做了等级测评之后,就是否会给发合格证书? ........................................................................... 错误!未定义书签。 1、13就是否只就是在政府行业实行?企业就是否也在等级保护与分级保护范畴之内??错误!未定义书签。 1、14等级保护检查得责任单位就是谁?............................................................................................. 错误!未定义书签。2?分级保护FAQ?错误!未定义书签。 2、1?分级保护就是什么? ........................................................................................................................... 错误!未定义书签。 2、2?分级保护得主管部门就是谁??错误!未定义书签。 2、3?分级保护定级到哪里备案? .............................................................................................................. 错误!未定义书签。 2、4?分级保护得政策依据就是哪个文件?................................................................................................ 错误!未定义书签。 2、5?分级保护与等级保护得适用对象分别就是什么??错误!未定义书签。 2、6?分级保护有关信息安全得标准相互关系就是什么??错误!未定义书签。 2、7分级保护与等级保护得定级依据有何区别? ................................................................................... 错误!未定义书签。 2、8分级保护得建设依据、方案设计、测评分别依据哪些标准??错误!未定义书签。 2、9?分级保护设计方案就是否需要经过评审与审批,谁来评审与审批? ............................................... 错误!未定义书签。 2、10?涉密信息系统投入使用前,就是否需要经过审批,由谁来审批??错误!未定义书签。 2、11分级保护系统测评得作用就是什么,就是否必须做??错误!未定义书签。 2、12哪些单位可以做分级保护得测评,有什么资质要求??错误!未定义书签。 2、13?分级保护对涉密系统中使用得安全保密产品有哪些要求??错误!未定义书签。 2、14?涉密系统分级保护多长时间需进行一次安全保密检查??错误!未定义书签。 2、15各级保密局与各单位保密办得关系就是什么??错误!未定义书签。 2、16分级保护得系统集成对厂商得资质有什么要求??错误!未定义书签。 2、17分级保护得安全建设就是否必须监理,对监理资质有什么要求? ............................................ 错误!未定义书签。 2、18?分级保护得哪些具体工作对厂商有单项资质得要求?................................................................ 错误!未定义书签。3综合问题..................................................................................................................................................... 错误!未定义书签。 3、1等保与分保得本质区别就是什么? ................................................................................................... 错误!未定义书签。 3、2?等保与分保各有几种级别? .............................................................................................................. 错误!未定义书签。 3、3等级保护/分级保护什么区别哪些部门在管理,怎么做? .............................................................. 错误!未定义书签。 3、4企业出现泄密事件上报那些单位? ................................................................................................... 错误!未定义书签。 3、5?等保定级备案就是依据单位还就是系统??错误!未定义书签。 3、6风险评估与等级保护得关系??错误!未定义书签。 3、7方案设计阶段及实施前就是否需要报批??错误!未定义书签。 3、8对于等保中产品使用及密码产品就是否有要求? ........................................................................... 错误!未定义书签。 等级保护/分级保护FAQ
信息安全等级保护管理制度
信息安全等级保护 管理制度 1
?更多资料请访问.(.....) ?更多资料请访问.(.....) 2
关于开展保险业信息系统安全等级保护定级工作的通知 保监厅发〔〕45号 各保监局,各保险公司、保险资产管理公司,中国保险行业协会: 为贯彻落实国家信息安全等级保护制度,按照<关于开展全国重要信息系统安全等级保护定级工作的通知>(公信安〔〕861号)要求,中国保监会将在保险行业 3
内开展信息系统安全等级保护定级工作。现将有关事项通知如下: 一、等级保护定级工作的要求及组织方式 各单位应按照”准确定级、严格审批、及时备案、认真整改、科学测评”的要求和”自主定级、自主保护”的工作原则,成立相应的领导及实施机构,结合本单位的实际情况,准确开展信息系统等级保护定级工作。 保监会成立等级保护定级工作领导小组,统一领导、解决保险行业信息安全等级保护定级工作中的重大问题;保监会等级保护定级工作领导小组下设办公室,具体负责保监会机关信息系统等级保护定级的具体实施工作和行业定级工作的指导审核。 各保监局负责本局内独立运行的信息系统等级保护定级工作,并对各自辖区内的保险公司分支机构的等级保护定级工作进行指导审核。 各保险集团公司、保险控股公司负责本公司信息系统等级保护定级工作以及其下属子公司信息系统等级保护定级工作的组织协调和指导。各保险总公司统一部署本公司和分公司的信息系统等级保护定级工作。 二、定级工作安排及定级范围 (一)定级工作安排 为稳妥做好等级保护定级工作,拟在保险行业内分步分批实施。 保险行业第一批定级单位包括:保监会及各保监局,中国保险行业协会,中国人民保险集团公司、中国人寿保险(集团)公司、中国再保险(集团)公司、中国出口信用保险公司、民生人寿保险股份有限公司、阳光保险控股股份有限公司、中国平安保险(集团)股份有限公司、中国太平洋(集团)股份有限公司及其下属各子公司和分公司。 4
等级保护与分级保护
等级保护与分级保护 一、信息系统等级保护 1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年,中办、国办转发《国家信息化领导小组关 于加强信息安全保障工作的意见》(中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。 由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。 信息系统安全等级保护将安全保护的监管级别划分为五个级别: 第一级:用户自主保护级完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。 第二级:系统审计保护级本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统
等级保护与分级保护的区别
等级保护与分级保护的 区别 Revised as of 23 November 2020
关于信息安全制度中等级保护与分级保护 的异同 时间:2013-04-15 11:41:06来源:作者: 等级保护和分级保护是在信息安全领域经常遇到的两个概念,那么这两个概念有什么区别与联系呢那些系统需要进行等级保护那些系统又需要进行分级保护涉密信息系统如何分级这都是时常困扰我们的问题,在此和大家一起探讨一个等保和分保的问题。 一、等保的全称是信息安全等级保护 1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级。 第一级信息系统受到破坏后会对公民、法人和其他组织的合法权益造成损害但不损害国家安全、社会秩序和公共利益。 第二级信息系统受到破坏后会对公民、法人和其他组织的合法权益产生严重损害或者对社会秩序和公共利益造成损害但不损害国家安全。 第三级信息系统受到破坏后会对社会秩序和公共利益造成严重损害或者对国家安全造成损害。 第四级信息系统受到破坏后会对社会秩序和公共利益造成特别严重损害或者对国家安全造成严重损害。 第五级信息系统受到破坏后会对国家安全造成特别严重损害。 二、分保的全称是涉密信息系统分级保护 1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施,国家已经基本形成了完善的保密法规体系。 涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级: 秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。 机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。 绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。 三、等级保护和分级保护之间的关系 其实从名字中我们就可以看出,涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。
等级保护分级保护
. 等级保护/分级保护
目录 1等级保护FAQ (4) 1.1什么是等级保护、有什么用? (4) 1.2信息安全等级保护制度的意义与作用? (4) 1.3等级保护与分级保护各分为几个等级,对应关系是什么? (5) 1.4等级保护的重要信息系统(8+2)有哪些? (5) 1.5等级保护的主管部门是谁? (5) 1.6国家密码管理部门在等级保护/分级保护工作中的职责是什么? (6) 1.7等级保护的政策依据是哪个文件? (6) 1.8公安机关对等级保护的管理模式是什么,等级保护定级到哪里备案? (6) 1.9等级保护是否是强制性的,可以不做吗? (7) 1.10等级保护的主要标准有哪些,是否已发布为正式的国家标准? (7) 1.11哪些单位可以做等级保护的测评? (8) 1.12做了等级测评之后,是否会给发合格证书? (8) 1.13是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内? (9) 1.14等级保护检查的责任单位是谁? (9) 2分级保护FAQ (9) 2.1分级保护是什么? (9) 2.2分级保护的主管部门是谁? (9) 2.3分级保护定级到哪里备案? (10) 2.4分级保护的政策依据是哪个文件? (10) 2.5分级保护与等级保护的适用对象分别是什么? (10) 2.6分级保护有关信息安全的标准相互关系是什么? (10) 2.7分级保护与等级保护的定级依据有何区别? (10) 2.8分级保护的建设依据、方案设计、测评分别依据哪些标准? (11) 2.9分级保护设计方案是否需要经过评审和审批,谁来评审和审批? (11) 2.10涉密信息系统投入使用前,是否需要经过审批,由谁来审批? (11) 2.11分级保护系统测评的作用是什么,是否必须做? (12) 2.12哪些单位可以做分级保护的测评,有什么资质要求? (12) 2.13分级保护对涉密系统中使用的安全保密产品有哪些要求? (12) 2.14涉密系统分级保护多长时间需进行一次安全保密检查? (12) 2.15各级保密局与各单位保密办的关系是什么? (13) 2.16分级保护的系统集成对厂商的资质有什么要求? (13) 2.17分级保护的安全建设是否必须监理,对监理资质有什么要求? (13) 2.18分级保护的哪些具体工作对厂商有单项资质的要求? (14) 3综合问题 (14) 3.1等保与分保的本质区别是什么? (14) 3.2等保与分保各有几种级别? (14)
如何理解信息安全等级保护与分级保护
《电信交换》2009年第2期 如何理解信息安全等级保护 与分级保护 在日常工作中和为用户提供服务的过程中,什么是信息系统等级保护?什么是涉密信息系统分级保护?这两者之间有什么关系?那些系统需要进行等级保护?涉密信息系统如何分级?这是时常困扰我们的问题。 一、信息系统等级保护 1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年,中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。 由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。 信息系统安全等级保护将安全保护的监管级别划分为五个级别: 第一级:用户自主保护级完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。 第二级:系统审计保护级本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有
关于涉密信息系统分级保护的几个问题
关于涉密信息系统分级保护的几个问题 2003年9月7日,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强国家信息安全保障工作的意见》,其中明确提出了开展信息安全等级保护的任务,并指出涉及国家秘密的信息系统(以下简称涉密信息系统)要按照党和国家的有关保密规定进行保护。在已经开展的分级保护的具体工作中,有几个问题需要引起重视。 一、分级保护与等级保护的关系 2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责负责的管理职责和要求。其中明确规定:涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。 为贯彻落实两办文件精神,中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,颁布了国家保密标准《涉及国家秘密的信息系统分级保护技术要求》。目前,正在制订并将颁布两个国家保密标准:《涉及国家秘密的信息系统分级保护管理规范》和《涉及国家秘密的信息系统分级保护测平指南》。2007年将制订其他标准,进一步完善标准体系。 ????????我国信息安全等级保护与涉密信息系统分级保护关系?????????????????????等级保护???????? ???分级保护 保护对象不同 ??????非涉密信息系统 ???????涉密信息系统 管理体系不同?????? 公安机关 ?????????????国家保密工作部门 标准体系不同 ??????国家标准(GB、GB/T) ?国家保密标准(BMB,强制执行) 级别划分不同 ??????第一级:自主保护级 ??????????????????第二级:指导保护级 ??????????????????第三级:监督保护级????????秘密级 ??????????????????第四级:强制保护级????????机密级 ??????????????????第五级:专控保护级????????绝密级
等级保护和分级保护
1等级保护FAQ3 什么是等级保护、有什么用?3 信息安全等级保护制度的意义与作用?3 等级保护与分级保护各分为几个等级,对应关系是什么?3 等级保护的重要信息系统(8+2)有哪些?4 等级保护的主管部门是谁?4 国家密码管理部门在等级保护/分级保护工作中的职责是什么?4 等级保护的政策依据是哪个文件?4 公安机关对等级保护的管理模式是什么,等级保护定级到哪里备案?5 等级保护是否是强制性的,可以不做吗?5 等级保护的主要标准有哪些,是否已发布为正式的国家标准?5 哪些单位可以做等级保护的测评?6 做了等级测评之后,是否会给发合格证书?6 是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内?6等级保护检查的责任单位是谁?7 2分级保护FAQ7 分级保护是什么?7 分级保护的主管部门是谁?7 分级保护定级到哪里备案?7 分级保护的政策依据是哪个文件?7 分级保护与等级保护的适用对象分别是什么?7 分级保护有关信息安全的标准相互关系是什么?8 分级保护与等级保护的定级依据有何区别?8 分级保护的建设依据、方案设计、测评分别依据哪些标准?8 分级保护设计方案是否需要经过评审和审批,谁来评审和审批?8 涉密信息系统投入使用前,是否需要经过审批,由谁来审批?8 分级保护系统测评的作用是什么,是否必须做?9 哪些单位可以做分级保护的测评,有什么资质要求?9 分级保护对涉密系统中使用的安全保密产品有哪些要求?9 涉密系统分级保护多长时间需进行一次安全保密检查?9
各级保密局与各单位保密办的关系是什么?10 分级保护的系统集成对厂商的资质有什么要求?10 分级保护的安全建设是否必须监理,对监理资质有什么要求?10 分级保护的哪些具体工作对厂商有单项资质的要求?10 3综合问题11 等保与分保的本质区别是什么?11 等保与分保各有几种级别?11 等级保护/分级保护什么区别哪些部门在管理,怎么做?11 企业出现泄密事件上报那些单位?11 等保定级备案是依据单位还是系统?12 风险评估和等级保护的关系?12 方案设计阶段及实施前是否需要报批?12 对于等保中产品使用及密码产品是否有要求?12 等级保护/分级保护FAQ 1 等级保护FAQ 什么是等级保护、有什么用? 【解释】 是我国实施信息安全管理的一项法定制度,1994年147号令、2003年27号文件、2004年6 6号文件都有明确规定,信息系统安全实施等级化保护和等级化管理。 等级化管理是一种普遍适用的管理方法,是适用于我国当前实际的一种有效的信息安全管理方法。 开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。 信息安全等级保护制度的意义与作用? 【解释】 实施信息安全等级保护制度能够有效地提高我国信息和信息系统安全建设的整体水平。实施信息安全等级保护制度有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调,为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本。
等级保护和分级保护
目录 1等级保护FAQ3 1.1什么是等级保护、有什么用?3 1.2信息安全等级保护制度的意义与作用?3 1.3等级保护与分级保护各分为几个等级,对应关系是什么?3 1.4等级保护的重要信息系统(8+2)有哪些?4 1.5等级保护的主管部门是谁?4 1.6国家密码管理部门在等级保护/分级保护工作中的职责是什么?4 1.7等级保护的政策依据是哪个文件?4 1.8公安机关对等级保护的管理模式是什么,等级保护定级到哪里备案?5 1.9等级保护是否是强制性的,可以不做吗?5 1.10等级保护的主要标准有哪些,是否已发布为正式的国家标准?5 1.11哪些单位可以做等级保护的测评?6 1.12做了等级测评之后,是否会给发合格证书?6 1.13是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内?6 1.14等级保护检查的责任单位是谁?7 2分级保护FAQ7 2.1分级保护是什么?7 2.2分级保护的主管部门是谁?7 2.3分级保护定级到哪里备案?7 2.4分级保护的政策依据是哪个文件?7 2.5分级保护与等级保护的适用对象分别是什么?7 2.6分级保护有关信息安全的标准相互关系是什么?8 2.7分级保护与等级保护的定级依据有何区别?8 2.8分级保护的建设依据、方案设计、测评分别依据哪些标准?8 2.9分级保护设计方案是否需要经过评审和审批,谁来评审和审批?8 2.10涉密信息系统投入使用前,是否需要经过审批,由谁来审批?8 2.11分级保护系统测评的作用是什么,是否必须做?9 2.12哪些单位可以做分级保护的测评,有什么资质要求?9 2.13分级保护对涉密系统中使用的安全保密产品有哪些要求?9
等级保护与分级保护(精编文档).doc
【最新整理,下载后即可编辑】 等级保护与分级保护 一、信息系统等级保护 1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。2003年,中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。 由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。系统基础资源和信
息资源的价值大小、用户访问权限的大小、大系统中各子系统重要程度的区别等就是级别的客观体现。信息安全保护必须符合客观存在和发展规律,其分级、分区域、分类和分阶段是做好国家信息安全保护的前提。 信息系统安全等级保护将安全保护的监管级别划分为五个级别: 第一级:用户自主保护级完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。 第二级:系统审计保护级本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题时,可以根据审计记录,分析追查事故责任人,使所有的用户对自己行为的合法性负责。 第三级:安全标记保护级除具有第二级系统审计保护级的所有功能外,还它要求对访问者和访问对象实施强制访问控制,并能够进行记录,以便事后的监督、审计。通过对访问者和访问对象指定不同安全标记,监督、限制访问者的权限,实现对访问对象的强制访问控制。
等级保护与分级保护的区别
关于信息安全制度中等级保护与分级保护 的异同 时间:2013-04-15 11:41:06 来源:作者: 等级保护和分级保护是在信息安全领域经常遇到的两个概念,那么这两个概念有什么区别与联系呢?那些系统需要进行等级保护?那些系统又需要进行分级保护?涉密信息系统如何分级?这都是时常困扰我们的问题,在此和大家一起探讨一个等保和分保的问题。 一、等保的全称是信息安全等级保护 1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。 2003年中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级。 第一级信息系统受到破坏后会对公民、法人和其他组织的合法权益造成损害但不损害国家安全、社会秩序和公共利益。 第二级信息系统受到破坏后会对公民、法人和其他组织的合法权益产生严重损害或者对社会秩序和公共利益造成损害但不损害国家安全。 第三级信息系统受到破坏后会对社会秩序和公共利益造成严重损害或者对国家安全造成损害。 第四级信息系统受到破坏后会对社会秩序和公共利益造成特别严重损害或者对国家安全造成严重损害。 第五级信息系统受到破坏后会对国家安全造成特别严重损害。 二、分保的全称是涉密信息系统分级保护 1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施,国家已经基本形成了完善的保密法规体系。 涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级: 秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。 机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。 绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。 三、等级保护和分级保护之间的关系 其实从名字中我们就可以看出,涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。 国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信息系统,而不论它是否涉密。如: