电子政务等级保护概念及级别划分 信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。27号文件对信息安全等级保护做出了系统的描述——“信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。” 电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,将其划分成不同的安全保护等级,采取相应的安全保护措施,以保障信息和信息系统的安全。 电子政务等级保护工作分为管理层面和用户层面两个方面的工作。管理层的主要工作是制定电子政务信息安全等级保护的管理办法、定级指南、基本安全要求、等级评估规范以及对电子政务等级保护工作的管理等。用户层的主要工作是依据管理层的要求对电子政务系统进行定级,确定系统应采取的安全保障措施,进行系统安全设计与建设,以及运行监控与改进。主要针对用户层面的工作。 电子政务信息安全等级保护遵循以下原则: a)重点保护原则 电子政务等级保护要突出重点。对关系国家安全、经济命脉、社会稳定等方面的重要电子政务系统,应集中资源优先建设。 b)“谁主管谁负责、谁运营谁负责”原则 电子政务等级保护要贯彻“谁主管谁负责、谁运营谁负责”的原则,由各主管部门和运营单位依照国家相关法规和标准,自主确定电子政务系统的安全等级并按照相关要求组织实施安全保障。 c)分区域保护原则 电子政务等级保护要根据各地区、各行业电子政务系统的重要程度、业务特点和不同发展水平,分类、分级、分阶段进行实施,通过划分不同的安全区域,实现不同强度的安全保护。 d)同步建设原则 电子政务系统在新建、改建、扩建时应当同步建设信息安全设施,保证信息安全与信息化建设相适应。 e) 动态调整原则 由于信息与信息系统的应用类型、覆盖范围、外部环境等约束条件处于不断变化与发展之中,因此信息与信息系统的安全保护等级需要根据变化情况,适时重新确定,并相应调整对应的保护措施。 电子政务安全等级的层级划分 66号文件中规定信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。按66号文件的规定,对电子政务的五个安全等级定义如下表所示。
电子政务等级保护基本安全要求是对各等级电子政务系统的一般性要求,分为五个等级,从第一级至第五级,对应于五个等级的电子政务系统。对特定电子政务系统的安全保护,以其相应等级的基本安全要求为基础,通过对安全措施的调整和定制,得到适用于该电子政务系统的安全保护措施。 电子政务等级保护基本安全要求分为安全策略、安全组织、安全技术和安全运行四个方面。 a)安全策略 安全策略是为了指导和规范电子政务信息安全工作而制定的安全方针、管理制度、规范标准、操作流程和记录模板等文档的总和。安全策略具有层次化的结构,包括整体安全策略、部门级安全策略、系统级安全策略等。 b)安全组织 安全组织是为了保障电子政务信息安全而建立的组织体系,包括各级安全组织机构、岗位安全职责、人员安全管理、第三方安全管理、安全合作与沟通等方面。 c)安全技术 安全技术是指保障电子政务信息安全的安全技术功能要求和安全技术保障要求,包括网络与通讯安全、主机与平台安全、数据库安全、应用安全、数据安全、物理环境安全等方面。 d)安全运行 安全运行是为了保障电子政务系统运行过程中的安全而制定的安全运维要求,包括风险管理、配置和变更管理、信息系统工程安全管理、日常运行管理、技术资料安全、应急响应等方面。 |