由於等級保護對象承載的業務不同,對其的安全關注點會有所不同,有的更關注信息的安全性,即更關注對搭線竊聽、假冒用戶等可能導致信息泄密、非法篡改等;有的更關注業務的連續性,即更關注保證系統連續正常的運行,免受對系統未授權的修改、破壞而導致系統不可用引起業務中斷。
不同級別的等級保護對象,其對業務信息的安全性要求和系統服務的連續性要求是有差異的,即使相同級別的等級保護對象,其對業務信息的安全性要求和系統服務的連續性要求也有差異。
等級保護對象定級後,可能形成的定級結果組合見下表。
安全保護等級 | 定級結果的組合 |
第一級 | S1A1 |
第二級 | S1A2,S2A2,S2A1 |
第三級 | S1A3, S2 A3, S3 A3, S3A2, S3A1 |
第四級 | S1A4, S2 A4, S3A4, S4A4, S4A3, S4A2, S4A1 |
第五級 | S1A5 ,S2A5, S3A5 ,S4A5, S5A4,S5A3, S5A2, S5A1 |
安全保護措施的選擇應依據上述定級結果,本標準中的技術安全要求進一步細分爲:保護數據在存儲、傳輸、處理過程中不被泄漏、破壞和免受未授權的修改的信息安全類要求(簡記爲S);保護系統連續正常的運行,免受對系統的未授權修改、破壞而導致系統不可用的服務保證類要求(簡記爲A);其他安全保護類要求(簡記爲G)。本標準中所有安全管理要求和安全擴展要求均標註爲G,安全要求及屬性標識見下表。
技術/管理 | 分類 | 安全控制點 | 屬性標識 |
安全技術要求 | 安全物理環境 | 物理位置選擇 | G |
物理訪問控制 | G | ||
防盜竊和防破壞 | G | ||
防雷擊 | G | ||
防火 | G | ||
防水和防潮 | G | ||
防靜電 | G | ||
溫溼度控制 | G | ||
電力供應 | A | ||
電磁防護 | S | ||
安全通信網絡 | 網絡架構 | G | |
通信傳輸 | G | ||
可信驗證 | S | ||
安全區域邊界 | 邊界防護 | G | |
訪問控制 | G | ||
入侵防範 | G | ||
可信驗證 | S | ||
惡意代碼防範 | G | ||
安全審計 | G | ||
安全計算環境 | 身份鑑別 | S | |
訪問控制 | S | ||
安全審計 | G | ||
可信驗證 | S | ||
入侵防範 | G | ||
惡意代碼防範 | G | ||
數據完整性 | S | ||
數據保密性 | S | ||
數據備份恢復 | A | ||
剩餘信息保護 | S | ||
個人信息保護 | S | ||
安全管理中心 | 系統管理 | G | |
審計管理 | G | ||
安全管理 | G | ||
集中管控 | G | ||
安全管理要求 | 安全管理制度 | 安全策略 | G |
管理制度 | G | ||
制定和發佈 | G | ||
評審和修訂 | G | ||
安全管理機構 | 崗位設置 | G | |
人員配備 | G | ||
授權和審批 | G | ||
溝通和合作 | G | ||
審覈和檢査 | G | ||
安全管理人員 | 人員錄用 | G | |
人員離崗 | G | ||
安全意識教育和培訓 | G | ||
外部人員訪問管理 | G | ||
安全建設管理 | 定級和備案 | G | |
安全方案設計 | G | ||
產品採購和使用 | G | ||
自行軟件開發 | G | ||
外包軟件開發 | G | ||
工程實施 | G | ||
測試驗收 | G | ||
系統交付 | G | ||
等級測評 | G | ||
服務供應商管理 | G | ||
安全運維管理 | 環境管理 | G | |
資產管理 | G | ||
介質管理 | G | ||
設備維護管理 | G | ||
漏洞和風險管理 | G | ||
網絡與系統安全管理 | G | ||
惡意代碼防範管理 | G | ||
配置管理 | G | ||
密碼管理 | G | ||
變更管理 | G | ||
備份與恢復管理 | G | ||
安全事件處置 | G | ||
應急預案管理 | G | ||
外包運維管理 | G |
對於確定了級別的等級保護對象,應依據第一張表的定級結果,結合第二張表使用安全要求,應按照以下過程進行安全要求的選擇:
a)根據等級保護對象的級別選擇安全要求。方法是根據本標準,第一級選擇第一級安全要求,第二級選擇第二級安全要求,第三級選擇第三級安全要求,第四級選擇第四級安全要求,以此作爲出發點。
b)根據定級結果,基於第一張表和第二張表對安全要求進行調整。根據系統服務保證性等級選擇相應級別的系統服務保證類(A類)安全要求;根據業務信息安全性等級選擇相應級別的業務信息安全類(S類)安全要求;根據系統安全等級選擇相應級別的安全通用要求(G類)和安全擴展要求(G類)。
c)根據等級保護對象採用新技術和新應用的情況,選用相應級別的安全擴展要求作爲補充。採 用雲計算技術的選用雲計算安全擴展要求,採用移動互聯技術的選用移動互聯安全擴展要求, 物聯網選用物聯網安全擴展要求,工業控制系統選用工業控制系統安全擴展要求。
d)針對不同行業或不同對象的特點,分析可能在某些方面的特殊安全保護能力要求,選擇較高級別的安全要求或其他標準的補充安全要求。對於本標準中提出的安全要求無法實現或有更加有效的安全措施可以替代的,可以對安全要求進行調整,調整的原則是保證不降低整體安全保護能力。
總之,保證不同安全保護等級的對象具有相應級別的安全保護能力,是安全等級保護的核心。選用本標準中提供的安全通用要求和安全擴展要求是保證等級保護對象具備一定安全保護能力的一種途徑和出發點,在此出發點的基礎上,可以參考等級保護的其他相關標準和安全方面的其他相關標準,調整和補充安全要求,從而實現等級保護對象在滿足等級保護安全要求基礎上,又具有自身特點的保護。