法律规范和技术标准是贯彻落实信息安全等级保护制度的法律依据和技术保障。公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合印发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)中指出,信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。目前,国家已经出台了与等级保护有关的技术标准50多个,信息安全等级保护标准体系基本形成。其中,《信息系统安全等级保护基本要求》(以下简称《基本要求》)是重要的基础性标准之一。为更好地帮助各单位、各部门依据《基本要求》开展安全技术和管理建设等相关工作,现就其主要内容进行解释说明。
一、《基本要求》的地位及其作用
《基本要求》以《计算机信息系统安全保护等级划分准则》(GB17859-1999)强制性国标为基础研究制定。根据目前信息技术的发展水平,《基本要求》提出了不同安全保护等级信息系统的最低保护要求,适用于指导不同安全保护等级信息系统的安全建设和管理。可以说,《基本要求》是进行信息系统分等级保护、信息系统等级测评和自纠自查的一个基本标线。开展系统安全保护、等级测评和自纠自查工作的不同主体,对于同样级别的信息系统使用统一的《基本要求》作为“标尺”来衡量,确保了安全保护、等级测评和自纠自查结果的一致性,有利于对信息系统进行整体保护,有效优化资源配置,同时,为信息系统建设单位和运营使用单位提供技术指导和支持,为测评机构提供检测评估的依据和标准,为国家信息安全监管部门提供监督检查的依据和规范。由于各行业、单位信息系统自身安全保障的侧重点各有不同,各信息系统运营使用单位可以结合自身安全需求,对《基本要求》进行补充、完善,使信息系统的保护水平既达到标准要求,又满足行业自身特殊的安全需求。
二、《基本要求》的框架结构及内容
《基本要求》是五个安全保护等级信息系统的基本安全保护技术和管理要求,是构建信息系统安全技术体系和安全管理体系的出发点,提出了各级信息系统应当具备的基本安全保护能力和技术管理措施。
在内容结构上,《基本要求》按照“级别--大类--小类--控制点--基本要求项”的形式组织,“大类”上分为基本技术要求和基本管理要求两大类,其中技术要求分为物理安全、网络安全、主机安全、应用安全和数据安全五“小类”,管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运行维护管理五“小类”。不同级别的信息系统具备的不同安全保护能力,级别越高,安全保护能力越强。不同级别保护要求的区别体现在三个方面,即控制点的不同、要求项的不同和控制强度的不同。控制点增加,表明对系统的关注点增加;控制点之下的安全要求项的增加,体现出系统保护的逐级增强。安全要求逐级增强主要表现在控制点的增加、同一控制点的要求项增加、同一要求项强度增强。控制点、要求项和控制强度之间的区别,综合体现出不同等级信息系统的安全要求级差。
