信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭受到破坏对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的危害程度等因素确定。我国把信息系统的安全等级保护分为以下五个级别。:
1. 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
2. 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
3. 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
4. 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
5. 第五级,信息系统收到破坏后,会对国家安全造成特别严重损害。
特别强调的是:《关于信息安全等级保护工作的实施意见》(简称66号文)中的这种分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB 17859-1999中定义的系统已具备的安全等级技术等级。
正是因为不同级别的信息系统受到攻击造成的损害不同,所以对它们进行监督管理的强度也不同,因此这五个等级也分别称为:自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。
1. 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
2. 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
3. 第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该信息安全等级保护工作进行监督规范。
4. 第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
5. 第五级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
