. /
信息系统全生命周期分为“信息系统定级、总体安全规划、安全设计与实施、安全运行维护、信息系统终止”等五个阶段。
在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求。但是信息系统发生重大变更导致信息系统等级变化是,应从安全运行维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程。
2.1 信息系统定级
定级备案是信息安全等级保护的首要环节。信息系统定级工作应按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。在等级保护工
/ v .
. /
作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。
2.1.1 定级
定级工作的主要内容包括:确定定级对象、确定信息系统安全保护等级、组织专家评审、主管部门审批、公安机关审核,具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》要求执行。
等级的确定是不依赖于安全保护措施的,具有一定的“客观性”,即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级,而非由“后天”的安全保护措施决定。不同级别的信息系统应具备相应级别的安全保护能力。
/ v .
. /
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级,从第一级到第五级逐级增高。
/ v .
. /
/ v .
. /
定级方法包括:确定定级对象、确定业务信息安全受到破坏时所侵害的客体、综合评定业务信息安全被破坏对客体的侵害程度等。
信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T 22240-2008,确定信息系统的安全保护等级,信息系统运营、使用单位有主管部门的,应当经主管部门审核批准。
/ v .
国家等级保护政策标准解读
