等级保护和分级保护是在信息安全领域经常遇到的两个概念,那么这两个概念有什么区别与联系呢?那些系统需要进行等级保护?那些系统又需要进行分级保护?涉密信息系统如何分级?这都是时常困扰我们的问题,北京拥有多年的等保和分保经验,在此和大家一起探讨一个等保和分保的问题。
一、等保的全称是信息安全等级保护
1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。 2003年中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)?提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度?信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为五级。
第一级?信息系统受到破坏后?会对公民、法人和其他组织的合法权益造成损害?但不损害国家安全、社会秩序和公共利益。
第二级?信息系统受到破坏后?会对公民、法人和其他组织的合法权益产生严重损害?或者对社会秩序和公共利益造成损害?但不损害国家安全。
第三级?信息系统受到破坏后?会对社会秩序和公共利益造成严重损害?或者对国家安全造成损害。
第四级?信息系统受到破坏后?会对社会秩序和公共利益造成特别严重损害?或者对国家安全造成严重损害。
第五级?信息系统受到破坏后?会对国家安全造成特别严重损害。
二、分保的全称是涉密信息系统分级保护
1997年《中共中央关于加强新形势下保密工作的决定》明确了在新形势下保密工作的指导思想和基本任务,提出要建立与《保密法》相配套的保密法规体系和执法体系,建立现代化的保密技术防范体系。中央保密委员会于2004年12月23日下发了《关于加强信息安全保障工作中保密管理若干意见》明确提出要建立健全涉密信息系统分级保护制度。2005年12月28日,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》,同时,《保密法》修订草案也增加了网络安全保密管理的条款。随着《保密法》的贯彻实施,国家已经基本形成了完善的保密法规体系。
涉密信息系统安全分级保护根据其涉密信息系统处理信息的最高密级,可以划分为秘密级、机密级和机密级(增强)、绝密级三个等级:
秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。
机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。
绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。
三、等级保护和分级保护之间的关系
其实从名字中我们就可以看出,涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。
国家安全信息等级保护重点保护的对象是涉及国计民生的重要信息系统和通信基础信息系统,而不论它是否涉密。如:
(1) 国家事务处理信息系统(党政机关办公系统);
(2) 金融、税务、工商、海关、能源、交通运输、社会保障、教育等基础设施的信息系统;
(3) 国防工业企业、科研等单位的信息系统;
(4) 公用通信、广播电视传输等基础信息网络中的计算机信息系统;
(5) 互联网网络管理中心、关键节点、重要网站以及重要应用系统;
(6)其他领域的重要信息系统。
涉密信息系统分级保护保护的对象是所有涉及国家秘密的信息系统,重点是党政机关、军队和军工单位,由各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全,确保国家秘密不被泄漏。
四、等级保护与分级保护职能分工
等级保护与分组保护在职能分工上的不同我们用一张图表就能清楚的展现。
|
|
等级保护
|
分级保护
|
|
职能部门
|
公安机关
|
国家保密工作部门
|
|
国这有保密工作部门
|
地方各级保密工作部门
|
|
国家密码管理部门
|
中央和国家机关
|
|
国务院信息办
|
建设使用单位
|
|
管理职责
|
公安机关
|
监督、检查、指导
|
国家保密局(全国)
|
监督、检查、指导
|
|
国家保密工作部门
|
保密工作的监督、检查、指导
|
地方各级保密局(本行政区域)
|
监督、检查、指导
|
|
国家密码管理部门
|
密码工作的监督、检查、指导
|
中央和国家机关(本部门/本系统)
|
主管和指导
|
|
国务院信息办
|
部门间的协调
|
建设使用单位(本单位)
|
具体实施
|
从上表中我们可以看出,等级保护涉及到国家多个部门,而分级保护只涉及了保密部门。
五、等级保护与分级保护管理过程的异同
等保管理过程:
分级保护管理过程:
六、等保和分保对厂商和产品的资质管理的异同
等级保护对厂商和产品的资质管理:
分级保护对厂商和产品的资质管理:
由以上几点,我们可以看出国家信息安全等级保护是国家从整体上、根本上解决国家信息安全问题的办法, 进一步确定了信息安全发展的主线和中心任务, 提出了总体要求。对信息系统实行等级保护是国家法定制度和基本国策,是开展信息安全保护工作的有效办法,是信息安全保护工作的发展方向。而涉密信息系统分级保护则是国家信息安全等级保护在涉及国家秘密信息的信息系统中的特殊保护措施与方法。由于国家秘密信息与公开信息在内容和特性上有着明显的区别,所以涉密信息系统和公众信息系统在保障安全的原则、系统和方法等方面也有不同的要求。既不能用维护国家秘密信息安全的办法去维护国家公众信息安全,以至于影响信息的合理利用,阻碍信息化的发展;也不能用维护公众信息安全的办法来维护国家的秘密信息安全,以至于窃密、泄密事件的发生,危害国家的安全和利益,同样影响信息化的健康发展。
