1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行信息系统安全等级保护。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)中明确指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息系统安全等级保护制度,制定信息系统安全等级保护的管理办法和技术指南”。2004年公安部等四部委《关于信息系统安全等级保护工作的实施意见》(公通字[2004]66号)也指出:“信息系统安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度”。
公安部等相关部门依据国家的等级保护要求制定了定级指南及其它相关文件,但这些文件的要求是从国家这个层面提出来的,相对比较宏观,对于许多组织而言,要结合自身的实际情况来落实就比较困难,因此,基于对等级保护的深入研究,以及与国家相关部门的合作基础,协会为客户提供等级保护合规性咨询服务。
等级保护合规性咨询服务指基于国家信息系统安全等级保护相关文件的要求,结合被咨询单位的组织架构、管理运作模式、业务要求等特点,为被咨询单位制定适合自身特点的信息系统定级指南和等级保护基本要求,并协助被咨询单位进行关键信息系统的等级评定工作,从而促进等级保护制度的有效落实。
等级保护合规性咨询服务包括如下内容:
1) 确定不同级别的信息系统安全保护等级定义;
2) 分析最新的国家等级保护相关文件精神、要求及客户的组织架构、管理运作模式、业务要求等特点;
3) 综合以上信息,创建信息系统安全保护等级定级指南;
4) 基于国家等级保护基本要求,结合客户的实际状况,创建信息系统安全等级保护基本要求;
5) 针对关键信息系统,基于定级指南协助系统负责人确定等级。
通过所提供的等级保护合规性咨询服务,被咨询单位可以:
-
奠定有效落实国家等级保护文件精神的基础
-
在整个组织范围内一致地开展等级评定工作
-
确保突出重点保护对象并进行适度保护
-
提高内部人员对信息安全的认识
1) 奠定有效落实国家等级保护文件精神的基础
信息系统定级是整个等级保护工作的开始,等级保护基本要求是对不同等级信息系统实行等级保护的基础。客户可以基于定级指南对信息系统定级,基于等级保护基本要求实施保护措施,从而将有效落实国家有关等级保护的文件精神。
2) 在整个组织范围内一致地开展等级评定工作
基于客户的组织架构、运作模式等特点,信息系统安全保护等级定级指南明确了在组织内开展等级评定工作的原则、方法和流程,从而使得客户的等级评定工作能够在整个组织范围内一致地开展。
3) 确保突出重点保护对象并进行适度保护
信息系统安全等级保护基本要求明确了不同等级信息系统的技术要求和管理要求,基于信息系统安全等级保护基本要求,客户可为不同等级信息系统采取相应等级的保护措施,从而确保重点突出、适度保护。
4) 提高内部人员对信息安全的认识
咨询过程中咨询人员将与被咨询单位人员密切合作。通过回答咨询人员提出的有针对性的问题、填写精心设计的调查问卷等,被咨询单位的管理、业务、技术等人员将逐步提高对信息安全的认识。
等级保护合规性咨询分为计划准备、信息收集、分析报告、系统定级、项目验收5个阶段,每个阶段由不同的任务组成,如下图所示:
等级保护合规性咨询服务主要成果为:
-
信息系统安全保护等级定级指南
-
信息系统安全等级保护基本要求
-
信息系统安全保护等级定级报告