收稿日期:2014-10-08作者简介:韩雪红,处级正职。文章编号:1005-8451(201502-0041-04信息安全等级保护重要标准解读韩雪红(铁路公安局,北京100844摘要:我国已形成了一套以信息安全等级保护为基础,包含基础、应用、产品等类别的信息安全等级保护标准体系,将标准体系的若干重要标准在按照其在等级保护实施的不同阶段的作用划分为定级、规划、设计与建设以及运维阶段标准,从标准框架、主要内容、行业指导意义3个方面对标准进行解读,旨在以点带面阐述各类标准在信息等级保护不同阶段的应用和对行业开展等级保护工作的指导意义。关键词:信息安全;等级保护;标准解读中图分类号:U29-39文献标识码:AInterpretationonimportantstandardsforinformationsecuritylevelprotectionHANXuehong(RailwayPublicSecurityAdministration,Beijing100844,ChinaAbstract:Asetofstandardsystemforinformationsecuritylevelprotectionwasbuiltincludingtheoreticalprincipleclasses,applicationclassesandproductionclassesinourcountry.Severalstandardsincludedinthestandardsystemweredividedintoseveralphasesasgrading,planning,design,constructionandoperation,theproposedstandardswouldbeinterpretedfromthreeaspectsasframework,maincontentandindustryguidance.Thepurposeofthispaperwastoelaboratestandardsapplicationsandindustryguidanceatdifferentstagesinsecuritylevelprotection.Keywords:informationsecurity;levelprotection;interpretationonstandard信息安全等级保护工作是我国在信息化发展过程中对信息系统实施安全保护的基本制度、应对方法和实施策略。2004年9月,我国颁布了《关于信息安全等级保护工作的实施意见》,随后于2007年6月颁布了《信息安全等级保护管理办法》(公通字[2007]43号文件,该文件确定了等级保护制度的基本内容、要求和工作流程,而后颁布了定级、等级划分、实施和测评相关的多个多家标注你,初步形成了我国信息安全等级保护工作的标准体系。1标准体系目前国家已经出台60余个信息安全等级保护标准,包括基础类、应用类、产品类等类别的标准,在信息安全等级保护定级规划、设计和运维4个阶段发挥重要作用的标准目前共8个,本文旨在对这8类标准从标准框架、标准内容和对行业指导意义3个方面进行解读。2各阶段标准解读各阶段依据的重要标准如图1所示。2.1定级阶段图1信息安全等级保护各阶段依据的重要标准第24卷第2期Vol.24No.2等级保护LEVELPROTECTION铁路RAILWAYCOMPUTERAPPLICATION计算机应用信息安全等级保护第一个环节是定级,定级是开展等级测评、建设监督和检查整改等工作的基础。在定级阶段,应依据《信息系统等级保护定级指南》[1](简称:定级指南对信息系统进行等级评估和认定。2.1.1总体框架《定级指南》是在《信息安全等级保护管理办法》的基础上,主要从定级原理、定级方法和等级变更3个方面描述了如何对信息系统进行等级确认,为等级保护定级工作提供有效指导。2.1.2标准内容在《定级指南》的定级原理一节,定义了信息系统的5个安全等级,在定级方法一节中,说明了信息系统的安全包括系统服务安全和业务信息安全,并根据受侵害客体和对客体的侵害程度,来确定信息系统的服务安全保护级别和安全保护级别,最后综合考虑取较高者为安全保护等级。2.1.3行业指导意义各行业结合行业自身的特点和行业特殊性,出台行业自己的定级指导意见或定级指南,被定级信息系统需要结合行业特点,综合考虑,做到全地区信息系统等级保护定级的一致性。2.2规划阶段在规划阶段,可依据GB/T22239-2008—《信息安全技术信息系统安全等级保护基本要求》[2](简称:基本要求来明确安全等级保护的基本需求。2.2.1总体框架在《基本要求》中,将基本要求划分为技术要求和管理要求,总计10个方面。技术要求分别为物理层安全要求、主机层安全要求、应用层安全要求、网络层安全要求、数据安全及备份恢复要求5个方面;管理要求分别为管理制度要求、管理机构要求、人员管理要求、建设管理要求和运行维护管理要求5个方面。2.2.2标准内容在《基本要求》中,根据侧重点不同,技术类安全要求可进一步划分为3个保护类,分别...