三网融合下的信息系统等级保护划分标准研究(3)
3 划分标准的规章依据与比较法研究
3.1我国有关等级保护划分标准的行政规章体系
《中华人民共和国计算机信息系统安全保护条例》(以下称《保护条例》)第九条规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。公安部会同国家保密局、国家密码管理局、国务院信息化办公室共同制定一系列关于信息安全等级划分标准的行政规章。信息安全等级保护体系由以下规章组成:《信息安全等级保护管理办法》(以下称《管理办法》)、《计算机信息系统安全保护划分准则》(以下称《划分准则》)、《信息安全等级保护实施指南》(以下称《实施指南》)、《信息安全等级保护定级指南》(以下称《定级指南》)、《信息安全等级保护基本要求》(以下称《基本要求》)《信息安全等级保护测评准则》(以下称《测评准则》)以及关于信息安全技术网络基础、信息系统、操作系统、管理系统的安全技术要求。
其中《保护条例》法律效力最高,具有基础性地位,对其他法律文件具有指导作用。《管理办法》依据信息系统的重要性和受威胁程度,将信息系统从高到底划分为五个等级,但是《管理办法》对五个等级规定的比较概括。《定级指南》给出了《管理办法》中五个等级的具体解释,并详细规定了认定定级的流程,具有较强的操作性。《划分准则》从安全保护能力角度,将安全保护能力从高到低划分为五个等级。但是《划分准则》只是粗线条式的描述了安全保护能力,由于规定的过于抽象和概括,不具有较强的操作性。《基本要求》在尊重《划分准则》五个保护能力等级的基础上,给出了安全保护能力的新定义,并且详细规定每个等级应该采取的安全保护措施和达到的保护效果。当信息系统依据上述法律定级后,需要按照所属级别的要求采取相应的安全保护措施,此时国家监管部门会依据《测评准则》对该信息系统运营商采取的安全保护措施是否符合该安全等级的保护要求进行测评。《实施指南》规定了信息系统等级保护整体流程:认定信息系统的重要性等级—依据信息系统重要性等级认定保护能力等级—实施安全措施整体规划—安全措施的实施、管理—对安全措施是否符合等级要求进行检查和测评。
3.2美国三网融合下的等级保护标准
三网融合下,美国在认定信息安全等级保护时考虑的因素和传统环境下并无差异。仍然考虑以下因素:资产(包括有形资产和无形资产),信息系统所包含的硬件设备、支撑系统以及各种无形资产的经济价值越大,适用的等级就越高;威胁,信息系统越容易遭受较大的威胁,适用等级应越高;破坏后对国家、社会公共利益和单位或个人的影响,遭遇破坏后造成的影响越恶劣,适用的等级就越高;单位业务对信息系统的依赖程度,单位业务对信息系统的依赖程度越高,适用的等级越高。
三网融合下的信息系统保护能力等级仍然遵守传统环境下的等级划分。保护能力依旧划分为四个等级:系统强健度等级、系统认证级、系统影响等级、全认证级。我国在信息系统的保护能力等级划分方面,将信息系统划分为五个等级,这样分类更加细化,使一些介于两个等级之间的运营商可以更加从容地评估和选择自己所属的等级。
我国是在借鉴美国等级保护制度的基础上,结合我国实际情况制定了信息安全等级保护一系列划分标准。美国的等级保护标准对我国的借鉴意义在于:三网融合后,在认定信息系统重要性时,不能仅仅将该系统对国家、公共利益的影响放在第一位,而应该重点考虑该信息系统的资产和受到威胁程度。三网融合下,多数运营商的业务部门都涉及公共利益,而且对公共利益影响程度的大小很难评测。对信息系统的保护,不只是保护信息系统本身,还间接保护社会公共利益,该信息系统本身也应具有较强的可保护性。如果该信息系统本身资产经济价值较大,若受到破坏,就会造成社会性损失。资产价值大小和受威胁程度相对比较容易评测,因此在进行评级时应适当增加这两个因素的比重。(责任编辑:admin)
- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。