等级保护

1．基本概念

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。信息安全等级保护是提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。

依据《计算机信息系统安全保护等级划分准则》，计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

2．核心内涵

国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。在国家统一政策指导下，各单位、各部门依法开展等级保护工作，有关职能部门对信息安全等级保护工作实施监督管理。实行信息安全等级保护，是在信息安全保障工作中国家意志的体现，具有明显的强制性。

3．等级划分

信息安全等级保护是将全国的信息系统（包括网络）按照重要性和遭受损坏后的危害程度分成五个安全保护等级，从第一级到第五级，逐级增高。各信息系统在坚持自主定级、自主保护的原则下，应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定保护等级。

根据信息系统在国家安全、经济建设、社会生活中的重要程度，以及信息系统遭到破坏后对国家安全、社会秩序、公共利益，以及公民、法人和其他组织的合法权益的危害程度等因素，将信息系统安全等级由低到高分为五个等级。

第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。

第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。

第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。

第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。

第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。

4．等级监管

国家通过制定统一的管理规范和技术标准，组织行政机关、公民、法人和其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家对不同安全保护级别的信息和信息系统实行不同强度的监管政策。

第一级依照国家管理规范和技术标准进行自主保护；

第二级在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护；

第三级依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行监督、检查；

第四级依照国家管理规范和技术标准进行自主保护，信息安全监管职能部门对其进行强制监督、检查；

第五级依照国家管理规范和技术标准进行自主保护，国家指定专门部门、专门机构进行专门监督。

5．等级保护的五目标

通过实施信息安全等级保护，信息系统需要达到如下五方面的目标：一是信息系统安全管理水平明显提高；二是信息系统安全防范能力明显增强；三是信息系统安全隐患和安全事故明显减少；四是有效保障信息化健康发展；五是有效维护国家安全、社会秩序和公共利益。

6．等级保护制度特点

等级保护制度的特点如下：

一是紧迫性，信息安全滞后于信息化发展，重要信息系统的安全保障需求迫切；

二是全面性，内容涉及广泛，各单位各部门落实；

三是基础性，等级保护是国家的一项基本制度、基本国策；

四是强制性，要求公安机关等监管部门进行监督、检查、指导等级保护工作；

五是规范性，国家出台系列政策和标准，保障等级保护工作的开展。

六是法律性，网络安全等级保护制度上升为国家法律，要求网络运营者必须执行。