信息系统安全等级化保护原理与实践推荐:本书通过分析当今信息安全的严峻形势以及其重要特性,并结合我国信息系统等级化的管理历程,提出了适应我国国情的全新的等级化保护体系。首先明确了等级保护的体系构建,包括其整体结构以及各模块内容,接着对等级保护对象进行了相应的明确,包括对象框架,对象模型以及对象的分类等特性,然后从策略体系,技术体系,运作体系这三方面对等级化的内容进行明确与划分。
1、等级保护和分级保护有什么区别?分级保密是针对涉密网来说,等级保护是针对非涉密网来说,并且分级保护是由国家保密局发起的,推广带有强制性的,等级保护是公安部门发起的,执行力相对分保要弱一点。信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;
《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
2、等级保护基本要求的管理部分包括法律分析:等级保护测评一般是指信息安全等级保护测评工作,即对信息和信息载体按照重要性等级分级别进行保护的一种测评工作法律依据:信息安全等级保护管理办法》第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
3、信息安全等级保护的工作内容信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程,信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。
