中国的信息安全等级保护的源头最早可以追溯到1994年国务院发布的147号令,规定计算机信息系统必须实行等级保护。等级的管理办法和等级的划分标准,由公安部门和有关部门制定。1998年,公安部制定了等级保护制度建设的纲要,对等级标准划分作了一个基本规划。2003年9月发布的27号文,是国家信息安全建设方面重要的指导文件,其中明确提出了“积极防御、综合防范”的安全方针,2004年11月发布的66号文,明确提出了“等级保护是今后我们国家信息安全基本政策和根本方法。”
根据“定级――管理要求――建设方案”三步走的原则,形成等级化安全体系,可以满足大系统的复杂要求。依据信息系统的使命与目标和系统重要程度,将系统划分为不同的安全等级,并综合平衡考虑系统安全要求、系统所面临安全风险和实施安全保护措施的成本,进行安全措施的调整和定制,形成不同等级的安全措施进行保护。(钟晓军)
 |
