鼠鼠百科--信息安全等级保护

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号，以下简称“27号文件”）明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。2004年9月发布的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号，以下简称“66号文件”）进一步强调了开展信息安全等级保护工作的重要意义，规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安全等级保护工作的操作办法。

一、信息安全等级保护定级原则

1.         重点保护原则

2.         “谁主管谁负责、谁运营谁负责”原则

3.         分区域保护原则

4.         同步建设原则

5.         动态调整原则

二、安全等级的层级划分

安全 等级	等级 名称	基本描述	安全保护要求
第一级	自主保护级	适用于一般的电子政务系统。系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成较小的负面影响。	参照国家标准自主进行保护。
第二级	指导保护级	适用于处理日常政务信息和提供一般政务服务的电子政务系统。系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响。	在主管部门的指导下，按照国家标准自主进行保护。
第三级	监督保护级	适用于处理重要政务信息和提供重要政务服务的电子政务系统。系统遭到破坏后可能对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，可能对国家安全造成一定程度的损害。	在主管部门的监督下，按国家标准严格落实各项保护措施进行保护。
第四级	强制保护级	适用于涉及国家安全、社会秩序、经济建设和公共利益的重要电子政务系统。系统遭到破坏后可能对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，可能对国家安全造成较大损害。	在主管部门的强制监督和检查下，按国家标准严格落实各项措施进行保护。
第五级	专控保护级	适用于关系国家安全、社会秩序、经济建设和公共利益的核心系统。系统遭到破坏后对政务机构履行其政务职能、机构财产、人员造成极其严重的负面影响，对国家安全造成严重损害。	根据安全需求，由主管部门和运营单位对电子政务系统进行专门控制和保护。

 

三、信息安全等级保护的基本安全要求

1.         安全策略

2.         安全组织

3.         安全技术

4.         安全运行

四、安全技术测评

1.         物理安全

2.         网络安全

3.         主机系统安全

4.         应用安全

5.    数据安全