《信息安全等级保护管理办法》(公通字[2007]43号)(以下简称《管理办法》)已于6月22日,由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室等四部委制定完成。
经过一年多的试行,《管理办法》有了很大的改进,主要体现在它进一步规范和明确了等级保护工作的实施原则。
与试行版本相比,《管理办法》定级时将不会出现“强制保护级”、“专控保护级”等根据监管强度划分的说法,而是更为客观地描述信息系统安全保护等级,直接表示为第一级、第二级……第五级,这是一个重大的变化。
第二个变化则体现在对信息系统的划分依据上,新办法将不再将监管强度、保护措施与系统定级标准相对应,而是根据信息系统被侵害客体的受侵害程度进行划分。信息系统受侵害客体分为公民、法人及其他组织的合法权益,社会秩序和公共利益,以及国家安全三个层次。信息系统遭受损坏后,客体受损程度分为损害、严重损害、特别严重损害,综合几个因素对系统进行定级。
另外,等级保护工作的主要内容是定级、备案、系统建设整改、等级测评、监督检查,而科学、准确、公正地确定信息系统的安全等级是开展信息安全等级保护工作的关键。
值得注意的是,《管理办法》只是等级保护工作中的指导方针和原则,在具体实施过程中,不同行业不同用户需要根据自身的特点对《管理办法》进行细化,才能进而真正有效地开展和落实等级保护工作。 |