信息安全等级保护重要标准解读(精).doc

收稿日期:2014-10-08 作者简介:韩雪红 ,处级正职。 文章编号 :1005-8451(2015 02-0041-04 信息安全等级保护重要标准解读 韩雪红 (铁路公安局,北京 100844 摘 要:我国已形成了一套以信息安全等级保护为基础,包含基础、应用、产品等类别的信息安全 等级保护标准体系,将标准体系的若干重要标准在按照其在等级保护实施的不同阶段的作用划分为定 级、规划、设计与建设以及运维阶段标准,从标准框架、主要内容、行业指导意义 3个方面对标准进行解 读,旨在以点带面阐述各类标准在信息等级保护不同阶段的应用和对行业开展等级保护工作的指导意义。 关键词: 信息安全;等级保护;标准解读 中图分类号:U29-39 文献标识码:A Interpretation on important standards for information security level protection HAN Xuehong ( Railway Public Security Administration, Beijing 100844, China Abstract: A set of standard system for information security level protection was built including theoretical principle classes, application classes and production classes in our country. Several standards included in the standard system were divided into several phases as grading, planning, design, construction and operation, the proposed standards would be interpreted from three aspects as framework, main content and industry guidance. The purpose of this paper was to elaborate standards applications and industry guidance at different stages in security level protection.Key words: information security; level protection; interpretation on standard 信息安全等级保护工作是我国在信息化发展过 程中对信息系统实施安全保护的基本制度、应对方 法和实施策略。 2004 年 9月,我国颁布了《关于信 息安全等级保护工作的实施意见》 ,随后于 2007年 6月颁布了《信息安全等级保护管理办法》 (公通字 [2007]43号文件,该文件确定了等级保护制度的基 本内容、要求和工作流程,而后颁布了定级、等级 划分、实施和测评相关的多个多家标注你,初步形 成了我国信息安全等级保护工作的标准体系。 1 标准体系 目前国家已经出台 60余个信息安全等级保护 标准,包括基础类、应用类、产品类等类别的标准, 在信息安全等级保护定级规划、设计和运维 4个阶 段发挥重要作用的标准目前共 8个,本文旨在对这 8类标准从标准框架、标准内容和对行业指导意义 3个方面进行解读。 2 各阶段标准解读 各阶段依据的重要标准如图 1所示。 2.1 定级阶段 图 1 信息安全等级保护各阶段依据的重要标准 第24卷第2期 Vol.24?No.2 等级保护 LEVEL?PROTECTION 铁路 RAILWAY COMPUTER APPLICATION 计 算 机 应 用 信息安全等级保护第一个环节是定级,定级是 开展等级测评、建设监督和检查整改等工作的基础。 在定级阶段, 应依据《信息系统等级保护定级指南》 [1] (简称:定级指南对信息系统进行等级评估和认定。 2.1.1 总体框架 《定级指南》是在《信息安全等级保护管理办法》 的基础上,主要从定级原理、定级方法和等级变更 3个方面描述了如何对信息系统进行等级确认,为等 级保护定级工作提供有效指导。 2.1.2 标准内容 在《定级指南》的定级原理一节,定义了信息 系统的 5个安全等级,在定级方法一节中,说明了 信息系统的安全包括系统服务安全和业务信息安全, 并根据受侵害客体和对客体的侵害程度,来确定信 息系统的服务安全保护级别和安全保护级别,最后 综合考虑取较高者为安全保护等级。 2.1.3 行业指导意义 各行业结合行业自身的特点和行