1,等級保護
等級保護的全稱是信息安全等級保護,是指對國家秘密信息、法人、其他組織和公民的專有信息、公共信息以及存儲、傳輸和處理這些信息的信息系統進行分級安全保護,對信息系統中使用的信息安全產品進行分級管理,對信息系統中的信息安全事件進行分級響應和處置。等級保護堅持自主分級、自主保護的原則。
分級保護分為五個等級(從低到高):壹級(獨立保護等級)、二級(引導保護等級)、三級(監督保護等級)、四級(強制保護等級)、五級(特別控制保護等級)。
2.分類保護
等級保護的全稱是涉密信息系統的等級保護,是指涉密信息系統的建設和使用單位根據《等級保護管理辦法》和相關標準對涉密信息系統實施等級保護,各級保密部門根據涉密信息系統的保護等級實施監督管理,確保系統和信息安全。
等級保護分為秘密級、秘密級、絕密級(從低到高)三個等級。
需要特別註意的是:分級保護的級別與分級保護的級別之間存在對應關系;
二、等級保護和分級保護的不同適用對象
等級保護和等級保護的本質區別在於它們適用的對象不同:
(1)等級保護是實施信息安全管理的法律制度,重點保護對象為不涉密、涉及國計民生的重要信息系統和通信基礎信息系統。
②等級保護是國家信息安全等級保護的重要組成部分,是等級保護在涉密領域的具體體現。
三、不同部門和主管部門的等級保護和分類保護。
1,等級保護
等級保護由國家保密局啟動,其主管單位及相應管理職責如下:
①國家保密局和地方各級保密局:監督、檢查和指導;
②中央和國家機關(部門):負責和指導;
③施工用戶:具體實施。
2.等級保護
等級保護由公安部門發起,其主管單位和相應的管理職責如下:
①公安機關:等級保護主管部門,負責信息安全等級保護的監督、檢查和指導;
(2)國家保密部門和國家密碼管理部門:負責等級保護工作中保密和密碼工作的監督、檢查和指導;
(三)國家信息辦和地方信息化領導小組辦公室:負責等級保護部門間的協調,涉及國家秘密信息系統的等級保護監督管理由國家保密部門負責。
四、等級保護和分級保護的不同政策基礎
1,等級保護政策依據
《中華人民共和國計算機信息系統安全保護條例》(國務院令第147號、第1994號);
《全國加強信息安全工作領導小組意見》(中辦[2003]27號);
《信息安全等級保護實施意見》(工通字[2004]66號);
《信息安全等級保護管理辦法》(工通字[2007]43號);
《關於開展國家重要信息系統安全等級保護分級工作的通知》(龔欣安[2007]861號);
《關於加強國家電子政務建設項目信息安全風險評估的通知》(發改高技[2008]2071號)。
2、分類保護政策依據
《關於加強信息安全保密管理的意見》(保監發[2004]7號);
《涉及國家秘密信息系統等級保護管理辦法》(鮑國發[2005]16號)。
五、等級保護和分類保護的工作內容和評估頻率不同。
等級保護包括制度分級、制度備案、安全建設整改、等級評定和監督檢查五個環節。
等級保護工作包括制度分級、方案設計、項目實施、制度評估、制度審批、日常管理、評估檢查、制度廢止八個環節。
不同等級保護的評估頻率:
(1)二級信息系統:至少每兩年進行壹次等級評估;
②三級信息系統:每年至少進行壹次等級評估;
③四級信息系統:至少每半年進行壹次等級評估。
壹級信息系統不需要評估。第五級信息系統壹般適用於國家重要領域和部門的極其重要的系統,有特殊行業的特殊要求,不在評估機構的評估範圍內。
等級保護評估機構的資格由國家信息安全等級保護協調小組辦公室授予。
不同等級保護的評估頻率:
①保密和機密信息系統:至少每兩年進行壹次安全評估或安全檢查;
②絕密信息系統:每年至少進行壹次安全評估或安全檢查。
等級保護評估機構的資格由國家保密部門授予。