국가 정보 보안 수준 보호는 어떤 원칙을 준수하나요?
'정보보안 수준보호 관리조치'에서는 국가정보보안 수준보호에 대해 독립적 분류, 독립적 보호의 원칙을 준수한다고 규정하고 있다. 정보시스템의 보안보호 수준은 국가안보, 경제건설, 사회생활에 있어서 정보시스템이 갖는 중요성을 기준으로 결정되어야 하며, 정보시스템의 훼손은 국가안보, 사회질서, 공공이익 및 사회생활에 부정적인 영향을 미칠 것이다. 공민, 법인 및 기타 조직의 정당한 권리와 이익 및 기타 요소에 대한 피해 정도가 결정됩니다.
정보 시스템의 보안 보호 수준은 다음과 같은 5개 수준으로 나뉘며, 1단계부터 5단계까지 단계적으로 높아집니다.
첫 번째 수준은 정보 시스템이 손상된 후입니다. , 공민, 법인 및 기타 단체의 정당한 권익에 손해를 끼치지만, 국가안보, 사회질서 및 공익에 해를 끼치지는 않습니다. 1차 정보 시스템을 운영하고 사용하는 단위는 관련 국가 관리 규정 및 기술 표준에 따라 이를 보호해야 합니다.
2급: 정보시스템이 훼손된 후 공민, 법인, 기타 조직의 정당한 권익에 심각한 손해를 끼치거나 사회질서와 공익에 손해를 끼치지만, 그렇지 않은 경우 국가 안보를 손상시킵니다. 국가 정보 보안 규제 부서에서는 이 수준의 정보 시스템 보호 수준에 대한 지침을 제공합니다.
3차적으로 정보시스템이 파괴되면 사회질서와 공익에 심각한 피해를 주거나 국가안보에 해를 끼칠 수 있다. 국가 정보 보안 감독 부서는 본 수준 정보 시스템의 보안 수준 보호 업무를 감독하고 검사해야 합니다.
4단계: 정보시스템이 훼손된 후 사회질서 및 공익에 특히 심각한 피해를 입히거나 국가안보에 심각한 피해를 끼칠 수 있다. 국가 정보 보안 감독 부서는 본 수준 정보 시스템의 보안 수준 보호 업무에 대해 의무적인 감독 및 검사를 수행해야 합니다.
5단계: 정보시스템이 손상된 후 국가 안보에 특히 심각한 피해를 초래할 수 있습니다. 국가 정보 보안 규제 부서는 이 수준에서 정보 시스템의 보안 수준 보호에 대한 특별 감독 및 검사를 수행합니다.
정보보안 수준 보호 업무는 등급화, 파일링, 보안 구축 및 수정, 정보보안 수준 평가, 정보보안 점검 등 5단계로 구성된다.
정보시스템 보안수준 평가는 정보시스템이 해당 보안보호 수준을 충족하는지 검증하는 평가과정이다. 정보 보안 수준 보호는 보안 수준이 다른 정보 시스템이 보안 기술 및 보안 관리 측면에서 보안 수준에 적합한 보안 통제를 선택함으로써 달성됩니다. 정보시스템에 분산된 정보시스템 보안 기술과 보안 관리의 다양한 보안 통제는 연결, 상호작용, 의존성, 조정, 협업 등 상호 연결된 관계를 통해 정보시스템의 보안 기능에 함께 작용하여 전체 보안 기능을 구성합니다. 정보시스템은 정보시스템의 구조와 일치하며, 보안통제, 수준, 영역 간의 상호관계는 밀접하게 연관되어 있다. 따라서 정보시스템 보안수준 평가에는 보안통제 평가를 기반으로 한 전반적인 시스템 평가도 포함되어야 한다.
'정보시스템 보안 수준 보호 실행 지침'의 정신에 따라 다음과 같은 기본 원칙을 명시합니다.
독립적 보호 원칙: 정보 시스템 운영자, 사용자 및 그 권한 각 부서는 관련 국가 법률, 법규 및 표준을 준수하고 정보 시스템의 보안 보호 수준을 독립적으로 결정하며 자체적으로 보안 보호를 조직 및 실행해야 합니다.
핵심 보호 원칙: 정보 시스템의 중요성과 비즈니스 특성에 따라 정보 시스템을 보안 보호 수준별로 나누어 다양한 보안 보호 강도를 달성하고 핵심 보호에 우선순위를 두도록 자원을 집중할 수 있습니다. 기업 또는 주요 정보 정보 시스템.
동기적 구축 원칙: 정보시스템을 신규 구축, 개량, 확장할 때 보안 계획을 동시에 계획하고 설계해야 하며, 정보 보안 시설 구축에 일정 비율의 자금을 투자하여 정보 보안을 보장해야 합니다. 보안은 정보화 구축과 양립한다.
동적 조정 원칙: 정보 시스템의 변화를 추적하고 보안 보호 조치를 조정합니다. 정보시스템의 적용 유형, 범위, 기타 조건의 변경이나 기타 사유로 인해 보안 보호 수준을 변경해야 하는 경우, 경영진의 요구 사항에 따라 정보 시스템의 보안 보호 수준을 다시 결정해야 합니다. 수준 보호를 위한 사양 및 기술 표준을 조정하고 보안 보호를 다시 구현합니다.
법적 근거
"정보 보안 수준 보호 관리 조치" 제6조: 국가 정보 보안 수준 보호는 자주적인 분류와 자주적인 보호의 원칙을 준수합니다. 정보시스템의 보안보호 수준은 국가안보, 경제건설, 사회생활에 있어서 정보시스템이 갖는 중요성을 기준으로 결정되어야 하며, 정보시스템의 훼손은 국가안보, 사회질서, 공공이익 및 사회생활에 부정적인 영향을 미칠 것이다. 공민, 법인 및 기타 조직의 정당한 권리와 이익 및 기타 요소에 대한 피해 정도가 결정됩니다. .
'중화인민공화국 사이버보안법'
제21조: 국가는 네트워크 보안 계층적 보호 시스템을 시행한다. 네트워크 운영자는 네트워크 보안 수준 보호 시스템의 요구 사항에 따라 네트워크를 간섭, 파괴 또는 무단 액세스로부터 보호하고 네트워크 데이터의 누출, 도난 또는 변조를 방지하기 위해 다음과 같은 보안 보호 의무를 수행해야 합니다.
(1) 내부 보안 관리 시스템 및 운영 절차를 수립하고 네트워크 보안 담당자를 식별하며 네트워크 보안 보호 책임을 이행합니다. (2) 컴퓨터 바이러스, 네트워크 공격, 네트워크 침입 및 네트워크 보안을 위협하는 기타 행위 기술적 조치,
(3) 네트워크 운영 상태 및 네트워크 보안 이벤트를 모니터링 및 기록하고 규정에 따라 관련 네트워크 로그를 6개월 이상 보관하기 위한 기술적 조치를 취합니다.
(4) 데이터 분류, 중요한 데이터 백업 및 암호화 등의 조치를 취합니다.
(5) 법률 및 행정 규정에 규정된 기타 의무.
제31조 국가는 공공 통신 및 정보 서비스, 에너지, 교통, 수자원 보호, 금융, 공공 서비스, 전자 정부 등 중요 산업 및 분야와 기타 관련 분야에 제한을 가한다. 국가안보, 국민경제, 국민생활, 공익을 심각하게 위협할 수 있는 핵심정보기반시설의 훼손, 기능 상실, 데이터 유출 등으로 인해 영향을 받는 정보는 네트워크 보안등급 보호체계에 따라 핵심적으로 보호되어야 한다. . 핵심 정보 기반 시설의 구체적인 범위와 보안 보호 조치는 국무원이 정한다.
국가는 중요 정보 기반 시설 이외의 네트워크 운영자가 중요 정보 기반 시설 보호 시스템에 자발적으로 참여할 것을 권장합니다.