¿A qué principios se adhiere la protección del nivel de seguridad de la información nacional?
Las "Medidas de gestión de protección del nivel de seguridad de la información" estipulan que la protección del nivel de seguridad de la información nacional se adhiere al principio de clasificación independiente y protección independiente. El nivel de protección de la seguridad de los sistemas de información debe basarse en la importancia del sistema de información en la seguridad nacional, la construcción económica y la vida social. El daño al sistema de información tendrá un impacto negativo en la seguridad nacional, el orden social, los intereses públicos y. ciudadanos, personas jurídicas y otras organizaciones. Se determina el grado de daño a derechos e intereses legítimos y otros factores.
El nivel de protección de seguridad de los sistemas de información se divide en los siguientes cinco niveles, y los niveles del uno al cinco aumentan paso a paso:
En el primer nivel, después de que el sistema de información está dañado , ciudadanos, personas jurídicas y Causa daño a los derechos e intereses legítimos de otras organizaciones, pero no perjudica la seguridad nacional, el orden social y los intereses públicos. Las unidades que operan y utilizan sistemas de información de primer nivel deben protegerlos de acuerdo con los reglamentos y normas técnicas de gestión nacionales pertinentes.
Nivel 2: Una vez dañado el sistema de información, causará daños graves a los derechos e intereses legítimos de los ciudadanos, personas jurídicas y otras organizaciones, o causará daños al orden social y los intereses públicos, pero no dañar la seguridad nacional. El departamento regulador de seguridad de la información nacional proporciona orientación sobre el nivel de protección de seguridad de los sistemas de información en este nivel.
Nivel 3: Una vez destruido el sistema de información, causará graves daños al orden social y a los intereses públicos, o provocará daños a la seguridad nacional. El departamento nacional de supervisión de seguridad de la información supervisará e inspeccionará el trabajo de protección del nivel de seguridad de este nivel de sistema de información.
Nivel 4: Una vez dañado el sistema de información, causará daños particularmente graves al orden social y los intereses públicos, o causará daños graves a la seguridad nacional. El departamento nacional de supervisión de la seguridad de la información llevará a cabo una supervisión e inspección obligatorias del nivel de protección de seguridad de este nivel de sistemas de información.
Nivel 5: Una vez dañado el sistema de información, causará daños particularmente graves a la seguridad nacional. El departamento nacional de supervisión de la seguridad de la información lleva a cabo una supervisión e inspección especiales del nivel de protección de seguridad de este nivel de sistemas de información.
El trabajo de protección del nivel de seguridad de la información incluye cinco etapas: calificación, archivo, construcción y rectificación de seguridad, evaluación del nivel de seguridad de la información e inspección de seguridad de la información.
La evaluación del nivel de seguridad del sistema de información es un proceso de evaluación para verificar si el sistema de información cumple con el nivel de protección de seguridad correspondiente. La protección del nivel de seguridad de la información requiere que los sistemas de información con diferentes niveles de seguridad tengan diferentes capacidades de protección de seguridad. Por un lado, esto se logra seleccionando controles de seguridad que sean adecuados para el nivel de seguridad en la tecnología de seguridad y la gestión de la seguridad. los sistemas de información distribuidos en el sistema de información Los diferentes controles de seguridad en la tecnología de seguridad y la gestión de la seguridad trabajan juntos en las funciones de seguridad del sistema de información a través de relaciones interconectadas como conexión, interacción, dependencia, coordinación y colaboración, haciendo que la función de seguridad general del sistema de información consistente con la estructura del sistema de información y las interrelaciones entre controles, niveles y áreas de seguridad están estrechamente relacionadas. Por lo tanto, la evaluación del nivel de seguridad del sistema de información también debe incluir una evaluación general del sistema sobre la base de la evaluación del control de seguridad.
De acuerdo con el espíritu de las "Directrices de implementación de protección del nivel de seguridad del sistema de información", se aclaran los siguientes principios básicos:
Principio de protección independiente: Operadores de sistemas de información, usuarios y sus autoridades competentes. Los departamentos deben cumplir con las leyes, regulaciones y estándares nacionales pertinentes, determinar de forma independiente el nivel de protección de seguridad de los sistemas de información y organizar e implementar la protección de seguridad por su cuenta.
Principio de protección clave: según la importancia y las características comerciales del sistema de información, se pueden lograr diferentes intensidades de protección de seguridad dividiendo los sistemas de información con diferentes niveles de protección de seguridad y concentrando recursos para priorizar la protección de los principales. negocios o activos de información clave.
Principio de construcción sincrónica: cuando se construyen, renuevan o amplían sistemas de información, los planes de seguridad deben planificarse y diseñarse simultáneamente, y una cierta proporción de los fondos debe invertirse en la construcción de instalaciones de seguridad de la información para garantizar que la información la seguridad es compatible con la construcción de informatización.
Principio de ajuste dinámico: Realizar un seguimiento de los cambios en los sistemas de información y ajustar las medidas de protección de seguridad. Si es necesario cambiar el nivel de protección de seguridad debido a cambios en el tipo de aplicación, alcance y otras condiciones del sistema de información u otras razones, el nivel de protección de seguridad del sistema de información debe volver a determinarse de acuerdo con los requisitos de la administración. especificaciones y normas técnicas de protección de nivel. Ajustar el nivel y volver a implementar la protección de seguridad.
Base legal
"Reglamento sobre la protección de la seguridad de los sistemas de información informática de la República Popular China (revisión de 2011)"
Artículo 9 Implementación de sistemas de información informática Protección de nivel de seguridad. Las normas de clasificación de los niveles de seguridad y las medidas específicas para la protección del nivel de seguridad serán formuladas por el Ministerio de Seguridad Pública en colaboración con los departamentos pertinentes.
“Ley de Ciberseguridad de la República Popular China”
Artículo 21: El estado implementa un sistema de protección del nivel de seguridad de la red.
Los operadores de red deberán, de acuerdo con los requisitos del sistema de protección del nivel de seguridad de la red, cumplir con las siguientes obligaciones de protección de seguridad para proteger la red de interferencias, destrucción o acceso no autorizado, y para evitar que los datos de la red sean filtrados, robados o manipulados:
(1) Formular sistemas de gestión de seguridad interna y procedimientos operativos, identificar a la persona a cargo de la seguridad de la red e implementar responsabilidades de protección de la seguridad de la red (2) Tomar medidas para prevenir virus informáticos, ataques a la red, intrusiones en la red y; otros comportamientos que pongan en peligro la seguridad de la red Medidas técnicas;
(3) Tomar medidas técnicas para monitorear y registrar el estado operativo de la red y los eventos de seguridad de la red, y conservar los registros de red relevantes durante no menos de seis meses de acuerdo con las regulaciones;
(4) Tomar medidas tales como clasificación de datos, copia de seguridad y cifrado de datos importantes;
(5) Otras obligaciones estipuladas en leyes y reglamentos administrativos.
Artículo 31 El estado impone restricciones en industrias y campos importantes como las comunicaciones públicas y los servicios de información, energía, transporte, conservación del agua, finanzas, servicios públicos y gobierno electrónico, así como otras áreas que puedan verse afectada por una infraestructura de información clave que esté dañada, haya perdido funciones o se haya filtrado datos, lo que pueda poner en grave peligro la seguridad nacional, la economía nacional y el sustento de las personas, así como los intereses públicos, estará sujeta a protección de claves sobre la base del sistema de protección del nivel de seguridad de la red. . El alcance específico y las medidas de protección de la seguridad para la infraestructura de información crítica serán formulados por el Consejo de Estado.
El Estado alienta a los operadores de red distintos de los de infraestructura de información crítica a participar voluntariamente en el sistema de protección de infraestructura de información crítica.