信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。
网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障,是网络安全保障工作中国家意志的体现。
工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成,设备层、现场控制层和过程监控层应作为一个整体对象定级,各层次要素不单独定级。
对于大型工业控制系统,可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。
物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层等要素。
采用移动互联技术的信息系统
采用移动互联技术的等级保护对象应作为一个整体对象定级,主要包括移动终端、移动应用、无线网络以及相关应用系统等。
应将具有统一安全责任单位的大数据作为一个整体对象定级, 或将其与责任主体相同的相关支撑平台统一定级。
采用移动互联技术的等级保护对象应作为一个整体对象定级,主要包括移动终端、移动应用、无线网络以及相关应用系统等。
在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级, 云租户侧的等级保护对象也应作为单独的定级对象定级。
对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象。
跨省全国性业务专网可作为一个整体对象定级,也可以分区域划分为若干个定级对象。
作为定级对象的其他信息系统应具有如下基本特征:
a) 具有确定的主要安全责任单位。作为定级对象的信息系统应能够明确其主要安全责任单位;
b) 承载相对独立的业务应用。 作为定级对象的信息系统应承载相对独立的业务应用, 完成不同业务目标或者支撑不同单位或不同部门职能的多个信息系统应划分为不同的定级对象;
c) 具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、 设施按照一定的应用目标和规则组合而成的多资源集合,单一设备(如服务器、终端、网络设备等)不单独定级。
