信息安全等级保护是指对信息和信息载体按照重要性等级分级别进行保护的一种工作,这是在中国、美国等很多国家都存在的一种信息安全领域的工作。
在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
信息系统安全等级保护具体分为五级,从低到高依次为:
第一级(用户自主保护级):信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。这类信息系统主要用于非涉密信息的存储、处理和传输,需要采取一定的技术和管理措施,确保系统的基本安全。
第二级(系统审计保护级):信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。这类信息系统可能涉及一定程度的国家秘密,需要更加严格的安全保护措施。
第三级(安全标记保护级):信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。这类信息系统涉及国家秘密,对系统的安全保护要求非常高。
第四级(结构化保护级):信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。这类信息系统涉及国家绝密信息,对系统的安全保护要求极其严格。
第五级(访问验证保护级):信息系统受到破坏后,会对国家安全造成特别严重损害。这是最高级别的安全保护等级。
信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,这主要通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现。
同时,分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能。
因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。