Implementar el principio del sistema de protección jerárquica de seguridad de la información (protección de nivel de protección jerárquica de seguridad de la información nacional se adhiere al principio de clasificación independiente y protección independiente, y protege los sistemas de información). a diferentes niveles según normas. Realizar la construcción, dirección y supervisión. El sistema de protección del nivel de seguridad de la información sigue los siguientes principios básicos.
(1) Clarificar responsabilidades y proteger juntos. A través de la protección jerárquica, la organización moviliza al Estado, las personas jurídicas, otras organizaciones y los ciudadanos para participar en la protección de la seguridad de la información. Todas las partes deben asumir responsabilidades correspondientes, claras y específicas de protección de la seguridad de la información de acuerdo con las normas y estándares.
(2) Protégete según las normas. El estado aplica normas y estándares obligatorios que requieren que la información y los sistemas de información estén clasificados y autoprotegidos de acuerdo con los requisitos de construcción y gestión correspondientes.
(3) Construcción sincrónica y ajuste dinámico. Cuando se construyen, renuevan o amplían sistemas de información, se deben construir simultáneamente instalaciones de seguridad de la información para garantizar que la seguridad de la información sea compatible con la construcción de la informatización. Si es necesario cambiar el nivel de protección de seguridad debido a cambios en el tipo y alcance de la información y las aplicaciones del sistema de información, etc., el nivel de protección de seguridad del sistema de información debe volver a determinarse de acuerdo con los requisitos de las especificaciones de gestión de protección de nivel. y normas técnicas. Las especificaciones de gestión y las normas técnicas para la protección graduada deben revisarse de manera oportuna en función de la situación real del trabajo de protección graduada.
(4) La orientación y supervisión se centran en la protección. El departamento de supervisión de la seguridad de la información designado por el estado brinda orientación y supervisión sobre la protección de la seguridad de la información de información y sistemas de información importantes mediante la presentación, orientación, inspección, supervisión y rectificación, etc.
El estado protege las redes de información básicas y los sistemas de información importantes relacionados con la seguridad nacional, el sustento económico y la estabilidad social, que incluyen principalmente: sistema de información de procesamiento de asuntos nacionales (sistema de oficinas de partidos y agencias gubernamentales, finanzas, impuestos); , Aduanas, auditoría, industria y comercio, seguridad social, energía, transporte, industria de defensa y otros sistemas de información relacionados con la economía nacional y los medios de vida de las personas. : Sistemas de información en educación, investigación científica nacional y otras unidades; sistemas de información en redes de información básica como comunicaciones públicas y transmisión de radio y televisión: sistemas de información importantes en centros de gestión de redes, sitios web importantes y sistemas de información importantes en otros campos.
Modelo básico de protección del nivel de seguridad
Para implementar el principio del sistema de protección del nivel de seguridad de la red (protección de nivel), la protección del nivel de seguridad de la red debe basarse en los principios de defensa activa, integral prevención y control, destacando puntos clave y principios de protección integral, centrándose en proteger la seguridad operativa y la seguridad de los datos de la infraestructura de información crítica y otras redes relacionadas con la seguridad nacional, la economía nacional y los medios de vida de las personas, y los intereses públicos. Durante el proceso de construcción de la red, los operadores de red deben planificar, construir y operar simultáneamente medidas de protección de seguridad, confidencialidad y protección de contraseña de la red. La protección del nivel de seguridad de la red nacional se adhiere a los principios de protección jerárquica y supervisión jerárquica, protege las redes en diferentes niveles y las construye, gestiona y supervisa de acuerdo con los estándares. Al implementar el sistema de protección del nivel de seguridad de la red, también se deben seguir los siguientes requisitos:
Primero, aclarar las responsabilidades y proteger juntos. A través de la protección jerárquica, la organización moviliza al Estado, las personas jurídicas, otras organizaciones y los ciudadanos para participar en la protección de la seguridad de la red. Todas las partes deben asumir responsabilidades correspondientes, claras y específicas de protección de la seguridad de la red de acuerdo con normas y estándares.
El segundo es proteger según normas. Mediante la aplicación de leyes y estándares obligatorios, el estado requiere que los operadores de redes determinen de manera científica y precisa los niveles e implementen estrategias y medidas de protección de acuerdo con los requisitos de construcción y gestión de seguridad de la red.
El tercero es la construcción sincrónica y el ajuste dinámico. Las instalaciones de seguridad de la red deben construirse al mismo tiempo que la construcción, reconstrucción y expansión de la red para garantizar que la seguridad de la red sea compatible con la construcción de informatización. Si es necesario cambiar el nivel de protección de seguridad debido a cambios en el tipo y alcance de la aplicación de red, etc., el nivel de protección de seguridad debe volver a determinarse de acuerdo con los requisitos de las especificaciones de gestión de nivel de protección y los estándares técnicos. Las especificaciones de gestión y las normas técnicas para la protección graduada deben revisarse de manera oportuna en función de la situación real del trabajo de protección graduada.
El cuarto es orientar la supervisión y centrarse en la protección. El departamento de supervisión de seguridad de la red designado por el estado brinda orientación y supervisión sobre el trabajo de protección de la seguridad de la red mediante la presentación, orientación, inspección, supervisión y rectificación, etc. La infraestructura de información crítica protegida por el estado involucra seguridad nacional, salvavidas económico y estabilidad social, e incluye principalmente: red de telecomunicaciones, red de radio y televisión, Internet, Internet móvil, Internet de las cosas, red privada industrial y otra infraestructura de red de comando y despacho; , oficina interna, gestión y control Sistemas de información empresarial y sitios web de diversas industrias, departamentos y unidades, como operaciones de producción y sistemas de control industrial en los campos de energía, transporte, conservación de agua, administración municipal y otros campos; importantes sistemas comerciales y sitios web de empresas de Internet, plataformas de servicios de big data, plataformas de servicios de computación en la nube, instalaciones de equipos inteligentes y otras redes y sistemas de información relacionados con la seguridad nacional, el orden social, los intereses públicos y los derechos e intereses legítimos; de ciudadanos, personas jurídicas y otras organizaciones.
Este principio fue publicado por primera vez en "On Printing and Distribution"
Zhongfa [2004] Aviso No. 66 propuso el principio de protección jerárquica, es decir, el sistema de protección jerárquica de la red. seguridad, y Las descripciones de los niveles de protección son diferentes en palabras, pero los principios e instrucciones relevantes son los mismos. Como se puede ver en el Documento No. 66, el documento define el sistema de protección del nivel de seguridad como la mejora de las capacidades y niveles de seguridad de la información en el proceso de desarrollo de la informatización económica y social nacional, salvaguardando la seguridad nacional, la estabilidad social y los intereses públicos, y garantizando y promoviendo Informatización. Construir un sistema básico para un desarrollo saludable. La implementación del sistema de protección del nivel de seguridad de la información puede movilizar plenamente el entusiasmo del Estado, las personas jurídicas, otras organizaciones y los ciudadanos, aprovechar al máximo el papel de todos los aspectos, lograr el propósito de una protección eficaz y mejorar la integridad, pertinencia y eficacia de la seguridad. protección y hacer que la construcción de seguridad del sistema de información sea más centralizada, unificada, estandarizada, científica y razonable, y juega un papel importante en la promoción del desarrollo de la causa de seguridad de la información de mi país.
Acerca de "Acerca de la emisión"
Los cinco "beneficios" del aviso "Gongtongzi [2004] No. 66" se mencionaron brevemente en el artículo anterior de la cuenta oficial de WeChat. Ver ". Documento de Política Importante de Igualdad de Protección No. 66" que aclara cuatro responsabilidades. En general, garantizar la seguridad de la red (de la información) y salvaguardar la seguridad nacional, los intereses públicos y la estabilidad social siguen siendo cuestiones importantes que deben resolverse con urgencia en el actual desarrollo de la informatización.