【转载】信息系统 分级保护和等级保护

一、什么是信息安全等级保护?

2003年，中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)，提出实行信息安全等级保护，建立国家信 息安全保障体系的明确要求。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人 和其他组织的合法权益的危害程度等因素确定。

信息系统的安全保护等级分为五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

二、什么是涉密信息系统分级保护?

2004年，中保委下发《关于加强信息安全保障工作中保密管理的若干意见》(中保委发〔2004〕7号)，明确提出建立健全涉密信息系统分级保护制度。

涉及国家秘密的信息系统要按照党和国家有关保密规定进行保护。我国的国家秘密分为秘密、机密、绝密三级，涉密信息系统也按照秘密、机密、绝密三级进行分级 管理，其防护水平不低于国家信息安全等级保护三、四、五级的要求。

涉密信息系统的等级由系统使用单位确定，按照“谁主管、谁负责”的原则进行管理。

实现对不同等级的涉密信息系统进行分级保护，对涉密信息系统使用的安全保 密产品进行分级管理，对涉密信息系统发生的泄密事件进行分级处置。

三、信息安全等级保护与涉密信息系统分级保护的关系?

涉密信息系统分级保护与国家信息安全等级保护是两个既联系又有区别的概念。

涉密信息系统分级保护是国家信息安全等级保护的重要组成部分，是等级保护在涉密 领域的具体体现，涉密信息分级是按照信息的密级进行划分的，保护水平分别不低于等级保护三、四、五级的要求，除此之外，还必须符合分级保护的保密技术要 求。对于防范网络泄密，加强信息化条件下的保密工作，具有十分重要的意义。

四、为什么要开展涉密信息系统分级保护工作?

不同类别、不同层次的国家秘密信息，对于维护国家安全和利益具有不同的价值，因而需要不同的保护强度种措施。对不同密级的信息，应当合理平衡安全风险与成 本，采取不同强度的保护措施，这就是分级保护的核心思想。

对涉密信息系统的保护，既要反对只重应用不讲安全，防护措施不到位造成各种泄密隐患和漏洞的“弱 保护”现象；同时也要反对不从实际出发，防护措施“一刀切”，造成经费与资源浪费的“过保护”现象。对涉密信息系统实行分级保护，就是要使保护重点更加突 出，保护方法更加科学，保护的投入产出比更加合理，从而彻底解决长期困扰涉密单位在涉密信息系统建设使用中的网络互联与安全保密问题。

五、涉密信息系统分级保护总体目标是什么?

涉密信息系统分级保护的总体目标是：到2008年末，完成涉密信息系统定级、方案设计、工程实施、系统测评和系统审批五个阶段的分级保护推进工作，使涉密 信息系统普遍达到分级保护的要求，保密技术防护能力明显增强，系统管理水平明显提高。

。

全部