信息安全等级保护概述
Information Security Level Protection Overview
信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护信息安全的根本保障,是信息安全保障工作中国家意志的体现。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家要求的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
等级保护发展历程
-
1994年
1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》(147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”,要求实行安全等级保护。
-
1999年
1999年,国家质量技术监督局正式发布了强制性国家标准:GB17859-1999:《计算机信息系统安全保护等级划分准则》。
-
2003年
2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文件)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
-
2004年
2004年9月15日,由公安部、国家保密局、国家密码管理局和国信办联合下发《关于信息安全等级保护工作的实施意见》(66号文件),明确实施等级保护的基本做法。
-
2007年
2007年6月22日又由四单位联合下发《信息安全等级保护管理办法》(43号文件),规范了信息安全等级保护的管理。
-
2007年
2007年7月20日,公安部、国务院信息办等4部门在北京联合召开“全国重要信息系统安全等级保护定级工作电视电话会议”,部署在全国范围内开展重要信息系统安全等级保护定级工作。
-
2008年
2008年《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008):明确对于各等级信息系统的安全保护基本要求。
-
2017年
2017年《中华人民共和国网络安全法》:第二十一条明确国家实行等级保护制度,三十一条要求关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护,落实等级保护制度已经上升到法律层面。
等级保护工作意义
-
(1)责任更清晰
完成等保测评意味着当前的安全状况被公安机关认可,一旦发生安全事件则是天灾与意外;如果没有进行等级保护测评意味安全状况没有达到国家要求,一旦发生安全事件则是人祸,需要自己承担相关责任。
-
(2)安全建设体系化
以等级保护为标准开展安全建设,可以让安全建设更加体系化。通过从物理、网络、主机、应用和数据等多个方面成体系的进行安全建设,打破了传统头痛医头脚痛医脚的建设状况,能对各单位的安全建设提出整体的规划和思路。
-
(3)合规合法
履行国家《网络安全法》法律义务、满足行业监管机构在信息安全领域的合规要求,开展等级保护建设工作可以有效规避组织所面临的信息安全法律及合规风险。