当前位置:文档之家 › 等级保护制度

等级保护制度

  • 格式:doc
  • 大小:50.00 KB
  • 文档页数:12

下载文档原格式

  / 12

合集下载

等级保护全套管理制度

等级保护全套管理制度

等级保护全套管理制度第一章绪论一、背景与意义等级保护是指对国家秘密实行等级划分、保密管理和保护措施的一种制度。

在信息化时代,各种敏感信息的保密工作越发重要,等级保护管理制度的建立与完善,对于保障国家安全、维护社会稳定、促进经济发展具有重要意义。

二、目的与基本原则等级保护全套管理制度的目的是为了有效管理和保护国家秘密,维护国家安全和社会稳定。

其基本原则包括依法保密、科学保密、统一领导、分级负责、保密责任和保密监督。

第二章等级保护的范围和对象一、等级保护的范围等级保护适用于国家秘密的划分、管理和保护,包括但不限于政治、军事、经济、科技、外交、安全等领域的机密、秘密和绝密信息。

二、等级保护的对象等级保护的对象包括国家机关、军队、企事业单位、社会团体和个人等。

第三章等级划分制度一、等级划分的标准等级划分应当依据信息的密级、重要性和时效性等因素来确定。

二、等级划分的程序等级划分应当由国家保密行政管理部门或者授权的其他机关进行,划分程序应当规范、规范、公开和透明。

三、等级文件的保管和管理等级文件应当按照其保密等级进行合理保管、流转和使用,严格控制等级文件的查阅、复制和传输。

第四章保密管理制度一、保密管理责任制度各级国家机关、军队以及企事业单位应当建立保密管理责任制度,规定保密工作的责任和义务。

明确保密责任人的权利和义务,规范其保密行为。

二、行政保密制度国家机关、军队、企事业单位应当建立健全保密管理规章制度和安全保密设施,加强对保密行政管理的监督和检查,并逐步实现信息化保密管理。

三、保密宣传教育和培训国家机关、军队、企事业单位应当加强对保密人员的宣传教育和培训,提高保密工作者的保密意识和能力,确保保密工作有效落实。

第五章等级保护的保密措施一、技术保密措施采取加密技术、网络安全技术、信息隐藏技术等技术手段,对国家秘密信息进行安全传输、存储和处理,保障信息的完整性和安全。

二、物理保密措施对国家秘密信息的存储、传输、处理等过程进行物理隔离、封闭和防护,建立健全保密措施设施和安保机制,防止信息泄漏和损坏。

等级保护管理制度模板

等级保护管理制度模板

等级保护管理制度模板一、总则1. 本制度旨在规范公司信息安全等级保护工作,确保公司信息资产的安全和完整。

2. 本制度适用于公司所有部门及员工,包括但不限于信息技术部门、人力资源部门、财务部门等。

二、组织机构与职责1. 成立等级保护管理委员会,负责制定和修订等级保护政策,监督执行情况。

2. 管理委员会下设等级保护工作小组,负责日常的等级保护工作实施。

三、等级划分与保护要求1. 根据信息资产的重要性和敏感性,将信息资产分为不同等级,并制定相应的保护措施。

2. 每个等级的保护要求应明确,包括物理安全、网络安全、数据安全等方面。

四、风险评估与处理1. 定期进行信息安全风险评估,识别潜在的安全威胁和漏洞。

2. 根据风险评估结果,制定相应的风险处理计划和应急预案。

五、安全培训与宣传1. 定期对员工进行信息安全意识培训,提高员工的安全防范意识。

2. 通过内部通讯、公告板等方式,宣传等级保护的重要性和相关知识。

六、资产管理与维护1. 对公司的信息资产进行登记管理,包括硬件、软件、数据等。

2. 定期对信息资产进行维护和检查,确保其安全性和可用性。

七、访问控制与权限管理1. 实施严格的访问控制策略,确保只有授权用户才能访问敏感信息。

2. 定期审查和更新用户权限,防止权限滥用。

八、安全事件处理1. 建立安全事件响应机制,一旦发现安全事件,立即启动应急预案。

2. 对安全事件进行记录和分析,总结经验教训,优化安全防护措施。

九、监督检查与考核1. 定期对等级保护工作进行监督检查,确保各项措施得到有效执行。

2. 将等级保护工作纳入员工绩效考核,对表现优秀的个人或团队给予奖励。

十、附则1. 本制度自发布之日起生效,由等级保护管理委员会负责解释。

2. 对本制度的任何修改和补充,需经管理委员会审议通过后实施。

请注意,这只是一个模板,具体内容需要根据公司的实际情况进行调整和完善。

等级保护管理制度模板

等级保护管理制度模板

一、总则1.1 为了加强我国信息安全等级保护工作,依据《中华人民共和国网络安全法》及相关法律法规,制定本制度。

1.2 本制度适用于我国境内所有网络运营者,包括但不限于政府机关、企事业单位、社会组织等。

1.3 本制度旨在明确网络运营者的安全责任,规范网络安全等级保护工作,保障国家、社会和公民合法权益。

二、组织架构与职责2.1 成立网络安全等级保护工作领导小组,负责组织、协调、指导网络安全等级保护工作。

2.2 设立网络安全等级保护办公室,负责具体实施网络安全等级保护工作。

2.3 各网络运营单位应设立网络安全管理部门,负责本单位网络安全等级保护工作的组织实施。

2.4 网络安全等级保护工作领导小组及办公室的职责如下:(1)制定网络安全等级保护工作的规划、方案和标准;(2)组织、协调、指导网络安全等级保护工作的实施;(3)监督、检查网络安全等级保护工作的执行情况;(4)处理网络安全等级保护工作中的重大问题。

三、安全等级划分与保护措施3.1 网络安全等级保护工作按照信息系统安全等级保护制度,将信息系统分为五个安全保护等级,分别为:(1)自主保护级;(2)基本保护级;(3)重要保护级;(4)核心保护级;(5)专控保护级。

3.2 各网络运营者应根据信息系统的重要性和敏感性,确定其安全保护等级,并采取相应的保护措施。

3.3 网络安全等级保护措施包括:(1)物理安全:包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电池防护等。

(2)网络安全:包括网络架构、通信传输、可信验证等。

(3)安全区域边界:包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证等。

(4)安全计算环境:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护等。

(5)安全管理中心:包括系统管理、审计管理等。

四、安全管理制度与实施4.1 网络安全等级保护工作应建立健全安全管理制度,包括:(1)安全策略;(2)管理制度;(3)制定和发布;(4)评审和修订。

学校等级保护制度

学校等级保护制度

一、制度背景随着信息技术的飞速发展,学校信息系统和数据资源日益丰富,网络安全风险也随之增加。

为保障学校信息系统和数据资源的安全,根据《中华人民共和国网络安全法》及相关法律法规,学校应建立健全等级保护制度。

二、制度目标1. 提高学校网络安全防护能力,降低网络安全风险;2. 保障学校信息系统和数据资源的安全、可靠、可控;3. 促进学校教育教学、管理和服务水平的提升。

三、制度内容1. 组织机构学校应成立网络安全领导小组,负责学校等级保护工作的组织、协调和监督。

领导小组下设办公室,负责具体工作。

2. 制度建设(1)制定学校网络安全等级保护制度,明确网络安全保护的目标、原则、任务和措施;(2)制定学校网络安全管理制度,包括安全责任制度、安全培训制度、安全检查制度、安全事件处理制度等;(3)制定学校信息系统和数据资源安全管理制度,包括信息系统安全管理制度、数据安全管理制度等。

3. 风险评估(1)开展学校网络安全风险评估,识别和评估学校信息系统和数据资源面临的网络安全风险;(2)针对评估结果,制定相应的风险控制措施。

4. 安全防护(1)加强网络安全设施建设,提高网络安全防护能力;(2)加强信息系统安全防护,确保信息系统安全可靠;(3)加强数据安全防护,确保数据安全可控。

5. 监督检查(1)定期开展网络安全检查,及时发现和整改安全隐患;(2)定期开展网络安全培训,提高师生网络安全意识。

6. 应急处置(1)建立健全网络安全事件应急预案,提高应急处置能力;(2)定期开展应急演练,提高应急处置效率。

四、制度实施1. 学校应根据实际情况,制定详细的等级保护实施方案,明确责任分工和时间节点;2. 学校应定期对等级保护制度实施情况进行检查,确保制度有效落实;3. 学校应加强与上级部门、相关企业的沟通与合作,共同推进等级保护工作。

总之,学校等级保护制度是保障学校信息系统和数据资源安全的重要举措。

通过建立健全制度,加强安全防护,提高应急处置能力,为学校教育教学、管理和服务提供有力保障。

我国安全等级保护制度的主要内容

我国安全等级保护制度的主要内容

我国安全等级保护制度的主要内容
我国安全等级保护制度是为了确保国家安全和社会稳定而建立的一系列规章制度。

它的主要内容包括以下几个方面:
1. 安全等级分类体系:制定适用于各个领域和行业的安全等级分类体系,根据相应领域和行业的特点和需要,将各类机构、设施、信息资源等划分为不同的安全等级。

这样可以更好地确定安全保护的标准和要求。

2. 安全评估和等级认定:建立安全评估和等级认定机制,通过对相关机构和设施的安全性、风险性进行评估,确定其所属的安全等级。

评估可以包括对设施的物理安全、信息安全和人员安全等方面进行综合考量,评估结果将作为确定安全等级的依据。

3. 安全保护措施:根据各个安全等级的要求,制定相应的安全保护措施,包括加强物理安全措施,加强网络安全措施,建立健全人员安全管理等。

这些措施应根据实际需要和可能存在的威胁,制定具体的要求和措施。

4. 安全管理责任:明确各个机构和单位的安全管理责任,包括组织机构建设、人员配备、责任制度等方面的规定。

建立健全安全管理体系,确保安全制度的有效实施和持续改进。

5. 安全监管和考核:建立安全监管和考核机制,加强对安全等级保护制度的实施和运行监督,及时发现安全问题和隐患,采取相应的整改措施。

定期对各个机构和设施的安全等级进行复评和重新认定,保证安全等级的准确性和及时性。

以上是我国安全等级保护制度的主要内容。

该制度的建立和实施,对于维护国家安全和社会稳定具有重要意义,不仅可以提高安全防范能力,减少安全风险,还能够推动我国安全保护工作的科学化、规范化和法治化。

通过建立安全等级保护制度,可以促进各个领域和行业的安全合作和信息共享,提升整个国家的综合安全水平。

等级保护制度

等级保护制度

等级保护制度等级保护制度是指为了保障特定群体的权益和需求,对其进行特殊的保障或限制的一种制度安排。

等级保护制度是社会管理和社会保障的一种具体表现形式,旨在促进社会和谐稳定,保护群体权益,实现社会公平和正义。

下面,我将就等级保护制度的意义和作用进行阐述。

首先,等级保护制度有利于保护弱势群体的权益。

在社会中,存在着一些特殊的群体,例如儿童、老年人、残疾人等,他们因为年龄或身体等特殊原因,处于弱势地位,容易受到欺凌和歧视。

等级保护制度可以通过为这些群体制定特殊的政策和措施,来保护他们的权益,确保他们能够享有基本的生活权利和尊严,促进社会公平和正义。

其次,等级保护制度有利于促进社会的和谐稳定。

在社会中,不同的群体存在着不同的需求和利益。

如果没有等级保护制度的存在,这些群体之间的矛盾和冲突很容易升级,甚至引发社会动荡和冲突。

通过等级保护制度,可以满足不同群体的特殊需求,减少不平等和歧视,促进社会的和谐稳定。

此外,等级保护制度有利于促进社会的可持续发展。

现代社会中,资源和机会的分配存在不平等现象。

一些群体由于受到各种不利条件的限制,无法充分享受社会发展的成果。

通过等级保护制度,可以为这些群体提供机会和资源,帮助他们实现自我发展,从而促进整个社会的可持续发展。

然而,等级保护制度也存在一些问题和挑战。

首先,制定和执行等级保护政策需要大量的人力、物力和财力资源,这对于社会管理和社会保障体制提出了更高要求。

其次,等级保护制度容易产生分裂和偏见,甚至导致不公平现象的产生。

因此,在建立等级保护制度时,需要确保合理性和公正性。

政府应该加强管理和监督,确保等级保护制度的实施能够真正达到保护群体权益和促进社会和谐稳定的目标。

同时,也需要加强对公众的教育和宣传,消除对等级保护制度的误解和偏见,促进社会共识和共同参与。

总而言之,等级保护制度在促进社会公平、保护弱势群体权益、促进社会和谐稳定、实现社会可持续发展等方面发挥着重要的作用。

等级保护管理制度模板

等级保护管理制度模板第一章总则第一条为了保护国家重要机密资料和信息的安全,维护国家安全和利益,制定本制度。

第二条本制度适用于受国家机密保护的各级单位、部门和个人。

第三条国家机密等级划分为绝密、机密、内部、一般等级。

具体划分标准由国家保密局和相关行业主管部门确定。

第四条对于执行国家秘密任务,需要知悉、处理、保管国家秘密信息的工作人员,必须经过专门的保密培训和考核,凭有效保密资格证书才可从事相关工作。

第五条需要掌握国家秘密信息的人员,在获得授权或者明确需要的前提下,才可以查阅、复制、传输相关信息。

第六条国家秘密信息的保护责任在整个生命周期内贯彻始终,包括信息的采集、传输、存储和销毁等环节。

第七条国家机密信息不得以任何方式外泄或利用,一经发现将依法追究责任。

第八条违反国家保密法律法规和本制度规定的,将受到相应的纪律处分或者刑事处罚。

第二章保密管理第九条每个单位应当设立保密管理机构,负责本单位的保密工作。

保密管理机构由专职的保密管理人员组成。

第十条保密管理机构负责制定本单位的保密工作规章制度,指导、监督、检查本单位的保密工作。

第十一条保密管理人员应当认真履行保密管理职责,保护国家机密信息的安全。

第十二条保密管理人员应当保守秘密,不得向无关人员透露国家机密信息。

第十三条保密管理人员应当接受专门的保密培训,提高保密管理水平。

第十四条保密管理人员应当采取必要的措施,确保本单位内部人员对国家机密信息的知悉和利用得到有效控制。

第十五条保密管理人员应当及时报告和处理国家机密信息遗失、泄露、缺失等情况。

第十六条保密管理人员应当对其他工作人员进行保密培训。

确保他们知晓国家机密信息的保护要求。

第十七条保密管理人员应当加强与其他单位的保密协作,共同维护国家机密信息的安全。

第三章信息采集和传输保密第十八条在采集国家机密信息的过程中,应当遵循保密原则,确保信息的安全性。

第十九条采集国家机密信息的人员应当经过层层审批,确保其具备相应的授权和资质。

等级保护制度介绍

等级保护制度介绍
等级保护制度是指根据个人的能力、资历和职务等级,对其进行特定的保护和福利待遇的一种制度。

其主要目的是确保人力资源的合理配置,提高员工的工作积极性和幸福感,同时促进组织的稳定发展。

等级保护制度通常适用于政府机关、企事业单位等组织中的工作人员。

根据不同的岗位等级、职务级别和工作年限等因素,员工被分为不同的等级。

不同等级的员工享受不同的保护和福利待遇。

等级保护制度一般包括以下方面:
1. 薪资待遇保护:员工的薪资水平与其等级相匹配,不会因为其他因素而降低或受到不公平待遇。

一般来说,较高等级的员工享受较高的薪资水平。

2. 晋升机会保护:等级较高的员工有更多的晋升机会,可以提升职务及工资水平。

这种制度可以激励员工努力工作,提高自身能力水平,从而获得更好的职业发展。

3. 福利保障:等级较高的员工通常享受更多的福利待遇,包括但不限于年终奖金、住房补贴、医疗保险等。

这些福利可以提高员工的生活质量,增强其对组织的归属感和忠诚度。

4. 工作环境保护:等级较高的员工通常享受较好的工作环境,包括舒适的办公场所、配备完善的办公设备等。

这些条件可以
提高员工的工作效率和工作满意度。

5. 培训和发展机会:等级较高的员工通常享有更多的培训和发展机会,可以提高自身的能力和知识水平。

这有助于员工不断提升自己,适应组织的发展需要。

通过等级保护制度,组织可以更好地管理人力资源,激发员工的工作动力,提高员工的工作积极性和职业发展机会。

同时,该制度也能够增强员工对组织的归属感和忠诚度,促进组织的稳定发展。

等级保护管理制度全套

等级保护管理制度全套第一章总则第一条为加强对国家重要机构、涉密单位和要害部位等重要目标的保护,维护国家安全和社会稳定,根据相关法律法规,制定本制度。

第二条本制度适用于国家重要机构、涉密单位和要害部位等各类重要目标的等级保护管理工作。

第三条等级保护管理应当坚持以法律法规为依据,坚持保密工作原则,科学合理确定等级保护要求,积极开展等级保护工作,确保安全稳定。

第四条等级保护管理应当遵循分类管理、等级保护、差异化操作的原则,根据不同等级的保护对象和具体情况,合理确定等级保护措施。

第五条国家安全部门负责统一领导等级保护工作,各地政府和有关部门负责履行等级保护管理职责。

第六条等级保护管理应当加强组织领导,健全工作机制,确保工作有效开展。

第七条本制度自颁布之日起实施,其他相关规章制度与本制度不符的,以本制度为准。

第二章等级保护范围第八条以国家重要机构、涉密单位和要害部位等重要目标为重点,对其进行等级保护管理。

第九条国家重要机构包括但不限于国家权力机关、军队机构、司法机构、党政机构等;涉密单位包括但不限于国家机密单位、涉外单位、科研单位、高校等;要害部位包括但不限于机场、火车站、隧道、水库等。

第十条等级保护范围根据不同情况和实际需要,结合评估结果和风险管控情况,确定具体的等级保护对象。

第十一条对于重要目标的等级保护,要根据其性质、规模、重要性等因素进行综合评估,确定相应的等级保护等级。

第三章等级保护等级第十二条等级保护等级分为特级、一级、二级和三级四个等级。

第十三条特级等级保护对象为国家最重要的机构和要害部位,涉及国家重要机密和国家核心利益的,享有最高级别的保护。

第十四条一级等级保护对象为国家重要机构、涉密单位和要害部位,涉及国家秘密和重要利益的,享有高级别的保护。

第十五条二级等级保护对象为一般涉密单位和要害部位,涉及一般秘密和公共利益的,享有中等级别的保护。

第十六条三级等级保护对象为一般机构和地方单位,不涉密但具有一定风险的,享有低级别的保护。

等级保护安全管理制度

一、总则为加强我单位网络安全管理,确保网络信息系统的安全稳定运行,根据《中华人民共和国网络安全法》、《信息安全技术信息系统安全等级保护基本要求》等法律法规,结合我单位实际情况,特制定本制度。

二、适用范围本制度适用于我单位所有网络信息系统,包括但不限于内部办公网、业务系统、数据中心等。

三、组织机构与职责1. 网络安全领导小组网络安全领导小组负责组织、协调、指导网络安全管理工作,对网络安全重大事项进行决策。

2. 网络安全管理部门网络安全管理部门负责网络安全日常管理工作,包括但不限于:(1)制定网络安全管理制度、操作规程和应急预案;(2)组织实施网络安全防护措施;(3)开展网络安全培训和宣传教育;(4)定期开展网络安全检查和评估;(5)协调解决网络安全问题。

3. 网络安全责任人网络安全责任人负责组织实施网络安全防护措施,确保网络安全。

四、安全管理制度1. 网络安全等级保护根据《信息安全技术信息系统安全等级保护基本要求》,将我单位网络信息系统划分为四个等级,分别采取相应的安全保护措施。

2. 安全防护措施(1)物理安全:确保网络设备、服务器、存储设备等物理安全,防止非法入侵、破坏和盗窃。

(2)网络安全:采用防火墙、入侵检测系统、漏洞扫描等网络安全设备和技术,防范网络攻击、病毒、恶意代码等。

(3)主机安全:对服务器、工作站等主机进行安全加固,包括操作系统、数据库、应用程序等。

(4)数据安全:对重要数据进行加密存储、传输和备份,防止数据泄露、篡改和丢失。

(5)应用安全:对业务系统进行安全设计和开发,防止安全漏洞。

3. 安全检查与评估(1)定期开展网络安全检查,发现问题及时整改;(2)对重要系统进行安全评估,确保安全等级符合要求;(3)对网络安全事件进行调查和处理,总结经验教训。

4. 安全培训和宣传教育(1)定期组织网络安全培训,提高员工安全意识和技能;(2)开展网络安全宣传教育活动,普及网络安全知识。

五、应急处理1. 网络安全事件应急预案制定网络安全事件应急预案,明确事件分类、应急响应流程、应急资源等。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

等级保护制度等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。

如何对信息系统实行分等级保护一直是社会各方关注的热点。

美国,作为一直走在信息安全研究前列的大国,近几年来在计算机信息系统安全方面,突出体现了系统分类分级实施保护的发展思路,并根据有关的技术标准、指南,对国家一些重要的信息系统实现了安全分级、采用不同管理的工作模式,并形成了体系化的标准和指南性文件。

一、美国信息系统分级的思路从目前的资料上看,美国在计算机信息系统的分级存在多样性,但基本的思路是一致的,只不过分级的方法不同而已,已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括:资产(包括有形资产和无形资产)(使用资产等级作为判断系统等级重要因素的文件如FIPS199,IATF,DITSCAP,NIST800-37等);威胁(使用威胁等级作为判断系统等级重要因素的文件如IATF等);破坏后对国家、社会公共利益和单位或个人的影响(使用影响等级作为判断系统等级重要因素的文件如FIPS199,IATF等);单位业务对信息系统的依赖程度(DITSCAP);根据对上述因素的不同合成方式,分别可以确定:系统强健度等级(IATF):由信息影响与威胁等级决定;系统认证级(DITSCAP):由接口模式、处理模式、业务依赖、三性、不可否认性等七个方面取权值决定;系统影响等级(FIPS199):根据信息三性的影响确定;安全认证级(NIST800-37):根据系统暴露程度与保密等级确定。

由于不同的信息系统所隶属的机构不同,美国两大类主要信息系统:联邦政府机构的信息系统及国防部信息系统所参照的分级标准不尽相同,即:所有联邦政府机构按照美国国家标准与技术研究所(NIST)有关标准和指南的分级方法和技术指标;而国防部考虑到本身信息系统及所处理信息的特殊性,则是按照DoD 8500.2的技术方法进行系统分级。

下面重点介绍美国联邦政府和国防部的有关标准和指南性文件。

美国联邦信息处理标准(FIPS)是(NIST)制定的一类安全出版物,多为强制性标准。

FIPS 199 《联邦信息和信息系统安全分类标准》(2003年12月最终版)描述了如何确定一个信息系统的安全类别。

确定系统级别的落脚点在于系统中所处理、传输、存储的所有信息类型的重要性。

信息和信息系统的“安全类别”是FIPS 199中提出的一种系统级别概念。

该定义是建立在某些事件的发生会对机构产生潜在影响的基础之上。

具体以信息和信息系统的三类安全目标(保密性、完整性和可用性)来表现,即,丧失了保密性、完整性或可用性,对机构运行、机构资产和个人产生的影响。

FIPS 199定义了三种影响级:低、中、高。

FIPS 199按照“确定信息类型——确定信息的安全类别——确定系统的安全类别”三个步骤进行系统最终的定级。

首先,确定系统内的所有信息类型。

FIPS 199指出,一个信息系统内可能包含不止一种类型的信息(例如隐私信息、合同商敏感信息、专属信息、系统安全信息等)。

其次,根据三类安全目标,确定不同信息类型的潜在影响级别(低、中、高)。

最后,整合系统内所有信息类型的潜在影响级,按照“取高”原则,即选择较高影响级别作为系统的影响级(低、中、高)。

最终,系统安全类别(SC)的通用表达式为:SC需求系统={(保密性,影响级),(完整性,影响级),(可用性,影响级)} 为配合FIPS 199的实施,NIST分别于2004年6月推出了SP 800-60第一、二部分,《将信息和信息系统映射到安全类别的指南》及其附件。

其中详细的介绍了联邦信息系统中可能运行的所有信息类型;并针对每一种信息类型,介绍了如何去选择其影响级别,并给出了推荐采用的级别。

这样,系统在确定等级的第一步—确认信息类型,并确定其影响级别时,有了很好的参考意见。

而美国国防部对信息系统的分级与联邦政府有所不同,主要把信息系统的信息分类为业务保障类和保密类,同时对这两类进行了分级的要求,该分级要求发布在2003年2月的信息保障实施指导书(8500.2)中。

总的来讲,8500.2也采用了三性:完整性、可用性和保密性对国防部的信息系统进行级别划分。

需要特别提出的是,考虑到完整性和可用性在很多时候是相互联系的,无法完全分出,故在8500.2中将二者合为一体,提出一个新概念“业务保障类”。

同时考虑到国防部信息系统所处理的信息的特殊性,故其分级依据为系统其对业务保障类的要求及所处理信息的保密程度,分别分为三个等级。

保密类级别根据系统处理信息的保密类型:机密类、敏感类和公开类来确定级别(高、中、基本)。

业务保障级别和保密级别是相互独立的,也就是说业务保障类I可以处理公共信息,而业务保障类III可以处理机密信息。

不同级别的业务保障类和保密类相互组合,形成九种组合,体现不同系统的等级要求。

综上所述,无论是联邦政府还是国防部,在考虑系统分级因素的时候,都给予了信息系统所处理、传输和存储的信息以很大的权重。

NIST的系统影响级是完全建立在信息影响级基础之上的;而国防部考虑到其所处理的信息的密级,故将信息的保密性单独作为一项指标。

可见,系统所处理的信息的重要性可作为我们划分等级时的重要依据。

二、安全措施的选择信息系统的保护等级确定后,有一整套的标准和指南规定如何为其选择相应的安全措施。

NIST 的SP 800-53《联邦信息系统推荐安全控制》为不同级别的系统推荐了不同强度的安全控制集(包括管理、技术和运行类)。

为帮助机构对它们的信息系统选择合适的安全控制集,该指南提出了基线这一概念。

基线安全控制是基于FIPS 199中的系统安全分类方法的最小安全控制集。

针对三类系统影响级,800-53列出三套基线安全控制集(基本、中、高),分别对应于系统的影响等级。

800-53中提出了三类安全控制:管理、技术和运行。

每类又分若干个族(共18个),每个族又由不同的安全控制组成(共390个)。

集合了美国各方面的控制措施的要求,来源包括: FISCAM (联邦信息系统控制审计手册);DOD 8500 (信息保障实施指导书);SP 800-26(信息技术系统安全自评估指南);CMS (公共健康和服务部,医疗保障和公共医疗补助,核心安全需求);DCID 6/3 (保护信息系统的敏感隔离信息);ISO 17799 (信息系统安全管理实践准则)。

来源的广泛性,体现了安全控制措施的适用性和恰当性。

需要指出的是,800-53只是作为选择最小安全控制的临时性指南,NIST将于2005年12月推出FIPS 200 《联邦信息系统最小安全控制》标准,以进一步完善信息系统的安全控制。

区别于SP 800-53中“类”的概念,国防部8500.2提出了“域”的概念,八个主题域分别为:安全设计与配置、标识与鉴别、飞地与计算环境、飞地边界防御、物理和环境、人员、连续性、脆弱性和事件管理。

每个主题域包含若干个安全控制。

对应系统的业务保障类级别和保密类级别,安全控制也分为业务保障类安全控制I、II、III级和保密类安全控制三级。

机构可根据自身对业务保障类和保密类安全要求,选择相应的安全控制。

由以上介绍可以看出,美国在推行系统分级实施不同安全措施方面,虽然只是近几年才开展,但已经积累了一些成熟的经验,并形成了一套完整的体系。

尤其是联邦政府的信息系统,根据2002年《联邦信息安全管理法案》(FISMA)(公共法律107-347),赋予了NIST以法定责任开发一系列的标准和指南。

因此,从系统信息类型定义,到如何确定影响级,到安全控制的选择,直至最终的系统安全验证和授权,NIST都给出了配套的指南或标准来支持。

这些都为我国推行等级保护铺垫了良好的基础,提供了有效的经验。

温家宝总理在国家信息化领导小组第三次会议上曾经指出,信息安全的保障工作要坚持积极防御、综合方法的方针重点保障基础网络和重要系统的安全,并完善信息安全监控体系,建立信息安全的有效机制和应急处理机制。

因此,如何使计算机信息网络等级保护制度更为有效地保护重要领域的信息网络,建立安全保障的长效机制将是今后我国信息安全建设的重点。

为此,公安部公共信息网络安全监察局局长李昭就等级保护制度进行了解释。

计算机信息网络安全等级保护的主要内容和基本思路答:1994年国务院颁布的《计算机信息系统安全保护条例》中已经规定:我国的“计算机信息系统实行安全等级保护。

等级划分标准和等级管理办法由公安部会同有关部门制定”。

等级保护的主要内容可以从五个方面来概括。

首先,公安、国家保密、国家密码管理、技术监督、信息产业等国家有关信息网络安全的行政主管部门要在国家信息化领导小组的统一领导下,制定我国开展信息网络安全等级保护工作的发展政策,统一制定针对不同安全保护等级的管理规定和技术标准,对不同信息网络确定不同安全保护等级和实施不同的监督管理措施。

公安机关作为计算机信息网络安全保护工作的主管部门,要代表国家依法履行对计算机信息网络安全等级保护工作的监督管理和服务保障职能,依据管理规定和技术标准的具体等级,对单位、企业、个人计算机信息网络的安全保护状况进行监督和检查,并为落实等级保护制度提供指导和服务保障。

国家保密、密码管理、技术监督、信息产业等部门也要根据各自职能,在等级保护中各自发挥重要作用。

其次,等级保护坚持“谁主管、谁负责,谁经营、谁负责,谁建设、谁负责,谁使用、谁负责”的原则。

计算机信息网络的建设和使用单位要依照等级保护管理规定和香港技术标准,根据其单位在国民经济和社会发展中的地位作用、信息网络依赖程度和重要程度、信息内容或数据的重要程度、系统遭到攻击破坏后造成的危害程度等因素,科学、准确地设定其安全保护等级,开展安全等级波阿訇设施和制度建设,落实安全管理措施和相关责任。

重要领域和重点要害信息网络的上级主管部门要对所属信息网络的安全负起领导和管理责任,提高自主管理、自我保护能力。

第三,等级保护实行“国家主导、重点单位强制、一般单位自愿;高保护级别强制、低保护级别自愿”的监管原则。

计算机信息网络安全涉及国家安全、国家利益和社会稳定,信息网络安全等级保护是国家安全战略的重要组成部分。

国家根据信息网络的重要程度和保护价值实行分等级逐步加重的保护措施。

涉及国家安全和利益的重要信息网络,必须按照管理规定设定相应的安全保护制度,并由国家主管部门予以核准;其他信息网络自行设定安全等级,报国家主管部门备案。

重要信息网络要按照国家有关法规和技术标准建设安全保护设施和进行安全保护管理,国家主管部门依法对其进行监督和检查;一般使用单位可以自愿按照国家制度的标准,在国家主管部门的制度或帮助下,实施自我保护和共同保护。

第四,信息网络安全状况等级的技术检测是等级保护的重点。

信息网络的技术安全等级是信息网络安全状况等级的主要指标,由国家授权的技术检测机构通过技术检测来进行评定。