等級保護基本概念 

概念

對國家安全、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全産品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。

由來

《中華人民共和國計算機信息系統安全保護條例》(中辦發【1994】147號)第一次提出了“計算機系統分等級保護”的概念。

思想

是指對信息系統特別是對業務應用系統安全分等級、按標准進行建設、管理和監督。

核心

是對信息系統特別是對業務應用系統安全分等級、按標准進行建設、管理和監管。

目標

突出重點,保障重要信息資源和重要信息系統的安全。

等級保護的必要性  

國家要求

國家法律法規和政策規範要求開展等級保護工作,如《中華人民共和國網絡安全法》、《信息安全等級保護管理辦法》等。

行業監管

各行業監管部門在等級保護方面均有相關的監管要求和政策文件要求,部分行業存在等級保護行業標准,以指導行業開展等級保護工作。

安全能力提升

等級保護制度體系是目前我國唯一成體系化的信息安全政策和標准,通過開展等級保護工作,能夠提升信息安全保障能力,保障信息系統安全穩定運行。

規避法律風險

《中華人民共和國網絡安全法》落地以後,等級保護工作已經上升到法律層面,網絡運營者不開展等級保護工作可能違法並追究網絡運營者及主管人員的法律責任。

核心內容 

1、依據國家網絡安全法律法規和等級保護政策標准開展等級保護工作。

2、確定等級保護對象。

3、依然采用“一個中心、三重防護”的理念。

4、建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網絡安全綜合防禦體系。

5、開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。