機關、單位應當根據涉密信息系統存儲、處理信息的最高密級確定系統的密級,按照分級保護要求采取相應的安全保密防護措施。
1.密級和密集概述
信息密級是對信息安全風險進行評估後劃分類別的壹種安全控制等級,分為絕密、機密、秘密、內部和公開五個級別。密集是指對具體信息安全技術與管理要求的總和,以支撐該系統在信息系統生命周期各階段的安全需求。
2.確定密集等級的依據
對於機關單位而言,根據存儲處理信息的密級需要確定系統的密集等級,其依據主要有以下幾點:
(1)信息資產的重要性及服務對象影響範圍:如果該系統安全可靠性與穩定性對於信息資產非常重要,並且影響範圍極大,則密集等級會相應更高壹些。
(2)信息資源的保護需求:不同的信息類型對於其安全保護和控制管理措施也是不壹樣的,有可能因為信息的敏感性、涉密性等需求而提高密集等級。
(3)形成的風險和影響程度:密集等級也是從風險防控的角度上來思考的,如果該系統存在高風險操作和可能的安全威脅,相應的密集等級也會提高。
3.密集等級的分類
國家標準中詳細規定了涉密信息系統的密集分為6個等級,其中最低為安全保護壹級(簡稱“低”),最高為安全保護六級(簡稱“高”),其余還有較低、中等、較高等級。在判斷對於某個系統而言適用哪壹個密級時,需要綜合考慮上述因素。
4.密集與保密要求協調
確定密集等級的過程中,還需要註意的是如果該系統所存儲的信息安全級別很高,則該系統實際需要遵循的保密要求會更加嚴格。這些保密要求包含了對系統使用者的審核、審批和權限控制,以及其他安全方面的要求。
5.密集等級的意義
確定密集等級可以更好地保證系統信息的保密性、完整性和可用性,使得涉密信息系統能夠更好地適應不斷變化的安全威脅和需求,減少各種安全事件的發生,盡量的做到信息的安全和保密。
6.密級分級的意義
通過不同的信息等級劃分與分級管理,可以讓公司或團體更加清楚自己的信息領域各個區域的情況,對不同等級的信息采取針對性的保密各自的策略。也可以更好地掌握企業的安全、流程和風險等關鍵信息,並在現階段正確認識公司面臨的安全挑戰,做好相應的安全措施。