1、等级保护制度等级保护制度江苏省公安厅网络安全保卫总队江苏省公安厅网络安全保卫总队贯彻与实施贯彻与实施江苏网络警察江苏网络警察目录目录121 信息网络安全形势 等级保护制度概述 等级保护工作内容 答疑234江苏网络警察江苏网络警察目录目录122信息网络安全形势等级保护制度概述等级保护工作内容答疑134江苏网络警察江苏网络警察信息安全等级保护制度的提出信息安全等级保护制度的提出中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例(国务院第(国务院第147号令)号令)国家信息化领导小组关于加强信息安全保障工作的意见国家信息化领导小组关于加强信息安全保障工作的意见(中办发(
2、中办发200327号)号)关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见(公通字(公通字200466号)号)江苏网络警察江苏网络警察基本概念基本概念 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。江苏网络警察江苏网络警察能够解决什么问题能够解决什么问题 通过开展等级保护工作,可以充分体现“明确重点、突出重点、保护重点”的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全
3、保护措施,建立安全保护制度,落实安全责任,有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,有效提高我国信息安全保障工作的整体水平。江苏网络警察江苏网络警察职责分工职责分工信息安全职能部门 公安机关 国家保密工作部门 国家密码管理部门 工业和信息化部门信息系统运营使用单位及其主管部门安全服务机构专家组江苏网络警察江苏网络警察配套政策体系配套政策体系江苏网络警察江苏网络警察配套标准体系配套标准体系江苏网络警察江苏网络警察目录目录123信息网络安全形势等级保护制度概述等级保护工作内容答疑214江苏网络警察江苏网络警察总体流程总体流程江苏网络警察江苏网络警察定级定级江苏网络
4、警察江苏网络警察定级定级1、确定定级对象具有唯一确定的安全责任单位具有信息系统的基本要素承载单一或相对独立的业务应用江苏网络警察江苏网络警察定级定级定级对象范围包括:起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统),网络要合理划分区域;用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统;各单位网站。江苏网络警察江苏网络警察定级定级2、确定等级1、确定定级对象2、确定业务信息安全受到破坏时所侵害的客体5、确定系统服务安全受到破坏时所侵害的客体3、综合评定对客体的侵害程度6、综合评定对客体的侵害程度依据表1依据表2业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重
5、损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级江苏网络警察江苏网络警察定级定级级别参考:第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位
6、内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。江苏网络警察江苏网络警察定级定级第三级信息系统:一般适用于地市级以上国家机关、企事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省联接的网络系统等。江苏网络警察江苏网络警察定级定级3、专家评审 信息系统运营使用单位在初步确定信息系统安全保护等级后,为了保证定级合理准确,可以聘请专家进行评审,并出具专家评审意见。江苏网络警
7、察江苏网络警察定级定级4、主管部门审批 有行业主管部门的报主管部门审批;单位自建的系统,等级确定后是否报上级主管部门审批,由各行业自行决定。江苏网络警察江苏网络警察备案备案备案对象:第二级以上(含)信息系统。备案单位:信息系统运营、使用单位。备案时限:信息系统安全保护等级确定后30日内。备案受理机关:市级以上公安机关网安部门。备案提交材料:备案表、备案文件。江苏网络警察江苏网络警察备案审核备案审核 经审核,符合备案要求的,公安机关在收到备案材料之日起的10个工作日内,将加盖等级保护专用章的备案表一份反馈备案单位,一份建档留存。并将及时向备案单位颁发备案证明(每个信息系统对应一个备案证明)。江苏
8、网络警察江苏网络警察备案审核备案审核 对于定级不准的,公安机关将发送整改通知,并建议信息系统运营使用单位组织专家重新定级评审,报上级主管部门审批。备案单位坚持原定等级的,公安机关可以受理其备案,但将书面告知其承担由此引发的责任和后果,经上级公安机关同意后,同时通报其上级主管部门。江苏网络警察江苏网络警察安全建设整改安全建设整改 信息系统安全保护等级确定后,运营使用单位按照管理办法、关于开展信息系统等级保护安 全 建 设 整 改 工 作 的 指 导 意 见 (公 信 安20091429号)等有关管理规范和技术标准,选择管理办法要求的信息安全产品,制定并落实安全管理制度。落实安全责任,建设安全设施
9、,落实安全技术措施。江苏网络警察江苏网络警察安全建设整改安全建设整改1、基本要求物理安全物理安全技术要求技术要求管理要求管理要求基本要求基本要求网络安全网络安全主机安全主机安全应用安全应用安全数据安全及备份恢复数据安全及备份恢复安全管理安全管理制度制度安全管理安全管理机构机构人员安全管理人员安全管理系统建设管理系统建设管理系统运维管理系统运维管理江苏网络警察江苏网络警察安全建设整改安全建设整改2、工作流程管理体系规划组织和人员设定信息系统安全管理建设信息系统安全管理建设管理措施落实与调整系统安全建设整改技术方案设计方案的论证和审批信息系统安全技术建设信息系统安全技术建设安全建设整改工程实施信息
10、系统安全自查和等级测评信息系统安全需求分析或差距分析信息系统安全建设整改工作规划和工作部署江苏网络警察江苏网络警察安全建设整改安全建设整改3、安全管理制度建设安全管理措施落实管理体系规划安全需求分析信息系统管理体系分析管理差距分析(现状测评)制定相关的安全管理制度机房和资产管理项目实施方案详细设计信息系统定级信息系统安全运行和维护确定安全管理目标和安全策略管理需求分析新建系统已建系统机构和人员设定明确主管领导、落实责任部门挂项目实施方案详细设计落实安全岗位和人员系统运行管理密码使用管理项目实施方案详细设计事件处置和应急相应项目实施方案详细设计集中安全管理项目实施方案详细设计灾难备份和安全监测项
11、目实施方案详细设计安全自查和调整江苏网络警察江苏网络警察安全建设整改安全建设整改4、安全技术措施建设安全建设整改工程实施系统安全建设整改技术方案设计安全需求分析信息系统构成情况分析安全技术差距分析(现状测评)安全技术建设详细设计工程实施项目实施方案详细设计局部改造信息系统定级信息系统安全运行和维护安全技术建设总体设计安全测试及验收分步实施安全技术需求分析新建系统已建系统整体改造不符合标准要求方案的论证和评审江苏网络警察江苏网络警察等级测评等级测评 根据管理办法规定,信息系统按照基本要求等技术标准建设或改建完成后,运营使用单位应当选择符合条件的测评机构,定期对信息系统安全状况开展等级测评。第三级
12、以上信息系统每年至少进行一次等级测评,对于重要部门的第二级信息系统,可以参照此要求开展等级测评工作。江苏网络警察江苏网络警察等级测评等级测评选择测评机构江苏网络警察江苏网络警察等级测评等级测评开展等级测评的时机 可以在信息系统安全建设整改之前进行测评工作,分析信息系统安全现状,排查信息系统安全隐患和薄弱环节,明确信息系统安全建设整改的需求,制定安全建设整改方案,有针对性地进行安全建设整改;信息系统安全建设整改之后必须开展测评工作,检验安全建设整改成效,查找与等级保护标准要求的差距。江苏网络警察江苏网络警察等级测评等级测评测评管理 在测评工作过程中,各单位要对测评活动进行监督管理,与测评机构签订
13、工作协议和保密协议,落实测评过程监管措施,防范对信息系统可能造成新的危害,要监督测评机构是否按照估计标准开展测评工作,测评人员是否有违规行为。完成测评工作30日内,测评报告向受理备案公安机关备案。江苏网络警察江苏网络警察安全自查和监督检查安全自查和监督检查备案单位定期自查行业主管部门督导检查公安机关监督检查江苏网络警察江苏网络警察安全自查和监督检查安全自查和监督检查查处违规行为 检查时,发现备案单位不符合信息安全等级保护有关管理规范和技术标准要求的,应当通知其运营使用单位限期整改,并发送信息系统安全等级保护限期整改通知书。逾期不改正的,给予警告,并向其上级主管部门通报。江苏网络警察江苏网络警察
14、目录目录124信息网络安全形势等级保护制度概述等级保护工作内容答疑231 Q&A江苏网络警察江苏网络警察等级保护网站:谢谢谢谢一、我国在信息安全保障工作中为一、我国在信息安全保障工作中为什么要实行等级保护制度什么要实行等级保护制度 当前,我国基础信息网络和重要信息系统安全面当前,我国基础信息网络和重要信息系统安全面临的形势十分严峻,既有外部威胁,又有自身脆弱性和临的形势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节。薄弱环节。一是针对基础信息网络和重要信息系统的违法犯罪一是针对基础信息网络和重要信息系统的违法犯罪持续上升。持续上升。二是基础信息网络和重要信息系统安全隐患严重。二是基础信息网络
15、和重要信息系统安全隐患严重。三是我国的信息安全保障工作基础还很薄弱。三是我国的信息安全保障工作基础还很薄弱。二、实行信息安全等级保护制度能二、实行信息安全等级保护制度能够解决哪些主要问题够解决哪些主要问题 信息安全等级保护是国家信息安全保障工作的基本信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息安全等级保护工制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障,作是保护信息化发展、维护国家信息安全的根本保障,是信息安全保障工作中国家意志的体现。是信息安全保障工作中国家意志的体现。有效解决我国信息安全面临的威胁和存在的主要
16、有效解决我国信息安全面临的威胁和存在的主要问题,充分体现问题,充分体现“适度安全、保护重点适度安全、保护重点”的目的,将有的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安按标准建设安全保护措施,建立安全保护制度,落实安全责任,有效保护基础信息网络和关系国家安全、经济全责任,有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,有效提高我国命脉、社会稳定的重要信息系统的安全,有效提高我国信息安全保障工作的整体水平。信息安全保障工作的整体水平。三、国家、有关部门和企
17、业在等级保三、国家、有关部门和企业在等级保护工作中各自的责任和义务是什么护工作中各自的责任和义务是什么 1、国家层面、国家层面 2、信息安全监管部门(包括公安机关、保密部门、信息安全监管部门(包括公安机关、保密部门、国家密码工作部门)国家密码工作部门)3、信息系统主管部门、信息系统主管部门 4、信息系统运营使用单位、信息系统运营使用单位 5、安全服务机构、安全服务机构 等级保护工作的职责分工等级保护工作的职责分工 公安机关是等级保护工作的牵头部门,承担着信公安机关是等级保护工作的牵头部门,承担着信息安全等级保护工作的监督、检查、指导;息安全等级保护工作的监督、检查、指导;国家保密工作部门、国家
18、密码管理部门负责等级国家保密工作部门、国家密码管理部门负责等级保护工作中有关保密工作和密码工作的监督、检查、保护工作中有关保密工作和密码工作的监督、检查、指导;指导;国信办及地方信息化领导小组办事机构负责等级国信办及地方信息化领导小组办事机构负责等级保护工作部门间的协调。保护工作部门间的协调。其中,涉及国家秘密信息系统的等级保护监督管其中,涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责;非涉及国家秘密信理工作由国家保密工作部门负责;非涉及国家秘密信息系统的等级保护监督管理工作由公安机关负责。息系统的等级保护监督管理工作由公安机关负责。公安机关牵头开展等级保护工作的法公安机关牵
19、头开展等级保护工作的法律政策依据律政策依据 1994年,年,中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例 规定,规定,“计算机信息系统实行安全等级保护,安全等级的划分标准计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定和安全等级保护的具体办法,由公安部会同有关部门制定”。1995年年2月月18日人大日人大12次会议通过并实施的次会议通过并实施的中华人民共中华人民共和国警察法和国警察法第二章第六条第十二款规定,公安机关人民警察依法第二章第六条第十二款规定,公安机关人民警察依法履行履行“监督管理计算机信息系统的
20、安全保护工作监督管理计算机信息系统的安全保护工作”。2003年年国家信息化领导小组关于加强信息安全保障工作的国家信息化领导小组关于加强信息安全保障工作的意见意见(中办发(中办发200327号)明确指出号)明确指出“实行信息安全等级保实行信息安全等级保护护”。“要重点保护基础信息网络和关系国家安全、经济命脉、要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南制定信息安全等级保护的管理办法和技术指南”。四、近几年来开展了哪些具体工作四、近几年
21、来开展了哪些具体工作 一是制定了一是制定了50多个国标和行标,初步形成了信息安全多个国标和行标,初步形成了信息安全等级保护标准体系等级保护标准体系 二是开展了等级保护基础调查工作二是开展了等级保护基础调查工作 三是开展了等级保护试点工作三是开展了等级保护试点工作 四是出台了公安部、国务院信息化工作办公室等四部四是出台了公安部、国务院信息化工作办公室等四部门门关于信息安全等级保护工作的实施意见关于信息安全等级保护工作的实施意见 66号文、号文、信息安全等级保护管理办法信息安全等级保护管理办法 43号文、号文、861号文等号文等政策文件。政策文件。五是召开五是召开“全国重要信息系统安全等级保护定级
22、工作全国重要信息系统安全等级保护定级工作电视电视 电话会议电话会议”六是成立六是成立“国家信息安全等级保护协调小组国家信息安全等级保护协调小组”五、等级保护工作的主要流程包括哪五、等级保护工作的主要流程包括哪些,开展等级保护工作的基本要求些,开展等级保护工作的基本要求是什么是什么 主要流程包括六项内容:主要流程包括六项内容:一是自主定级与审批。一是自主定级与审批。二是评审。二是评审。三是备案。三是备案。四是系统安全建设。四是系统安全建设。五是等级测评。五是等级测评。六是监督检查六是监督检查。六、开展等级保护工作的总体要求六、开展等级保护工作的总体要求各基础信息网络和重要信息系统,按照“准确定级
23、、严准确定级、严格审批、及时备案、认真整改、科学测评格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。公安机关和保密、密码工作部门要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。对故意将信息系统安全级别定低,逃避公安、保密、密码部门监管,造成信息系统出现重大安全事故的,要追究单位和人员的责任。七、定级工作的主要步骤是什么七、定级工作的主要步骤是什么 定级是等级保护工作的首要环节,是开展信息系统建设、整改、测评、备案、监督检查等后续工作的重要基础。第一步,摸底调查,掌握信息系统底数 第二步,确定定级对象 第三步,初步
24、确定信息系统等级 第四步,信息系统等级评审 第五步,信息系统等级的最终确定与审批 第六步:备案。第七步:备案审核。第八步:及时总结并提交总结报告。第一步,摸底调查,掌握信息系统第一步,摸底调查,掌握信息系统底数底数 按照定级工作通知确定的定级范围,各单位、各部门可以组织开展对所属信息系统进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,为下一步明确要求、落实责任奠定基础。第二步,确定定级对象第二步,确定定级对象一一是应用系统应按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。起传输作用的基础网
25、络要作为单独的定级对象。二是确认负责定级的单位是否对所定级系统具有安全管理责任。三是具有信息系统的基本要素。第三步,初步确定信息系统等级第三步,初步确定信息系统等级 信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全保护等级。既要防止个别单位片面追求绝对安全而定级过高,也要防止为了逃避监管定级偏低。信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级,不以在其上运行的信息系统的最高等级或最低等级
26、为标准。跨省或者全国统一联网运行的信息系统,可以由主管部门统一确定安全保护等级。由各行业统一规划、统一建设、统一安全保护策略的信息系统,应由各部委统一确定一个级别;由各部委统一规划、分级建设、运行的信息系统,应由部、省、地市分别确定系统等级,但各行业应对该类系统提出定级意见,避免出现同类系统定级出现较大偏差问题。安全保护等级的划分 业务信息安全被破坏时所业务信息安全被破坏时所侵害的客体侵害的客体对相应客体的侵害程度对相应客体的侵害程度一般损一般损害害严重损严重损害害特别严重损特别严重损害害公民、法人和其他组织的公民、法人和其他组织的合法权益合法权益第一级第一级第二级第二级第二级第二级社会秩序、
27、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级五级监管五级监管等级等级对象对象侵害客体侵害客体侵害程度侵害程度监管强度监管强度第一级第一级 一般一般系统系统合法权益合法权益损害损害自主保护自主保护第二级第二级合法权益合法权益严重损害严重损害指导指导社会秩序和公共利益社会秩序和公共利益损害损害第三级第三级 重要重要系统系统社会秩序和公共利益社会秩序和公共利益严重损害严重损害监督检查监督检查国家安全国家安全损害损害第四级第四级社会秩序和公共利益社会秩序和公共利益特别严重损害特别严重损害强制监督检查强制监督检查国家安全国家安全严重损
28、害严重损害第五级第五级 极端极端重要重要系统系统国家安全国家安全特别严重损害特别严重损害专门监督检查专门监督检查第四步,信息系统等级评审第四步,信息系统等级评审 在信息系统安全保护等级确定过程中,可以聘请专家进行咨询评审,并出具定级评审意见。对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审,出具评审意见。当专家意见与运营使用单位或者主管部门不一致时,以运营使用单位或者主管部门意见为准。在信息系统安全保护等级确定过程中,可以聘请专家进行咨询评审,并出具定级评审意见。对拟确定为第四级以上信息系统的,运营使用单位或者主管部门应当请国家信息安全保护等
29、级专家评审委员会评审,出具评审意见。当专家意见与运营使用单位或者主管部门不一致时,以运营使用单位或者主管部门意见为准。第五步,信息系统等级的最终确定第五步,信息系统等级的最终确定与审批与审批 信息系统运营使用单位参考专家定级评审意见,最终确定信息系统等级,形成定级报告。信息系统运营使用单位有上级主管部门的,应当经上级主管部门对安全保护等级进行审核批准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统,则必须由其上级主管部门审批,确保同类系统或分支系统在各地域分别定级的一致性。第六步,备案第六步,备案 第二级以上信息系统,在安全保护等级确定后30日内,由其运营、使
30、用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。定级工作的结果是以备案完成为标志。基础信息网络和重要信息系统的定级、备案工作9月底前完成。第七步,备案审核第七步,备案审核 受理备案的公安机关要公布备案受理地点、备案联系方式等。在受理备案时,应对提交的备案材料进行完整性审核和定级准确性审核。对符合等级保护要求的,应颁发信息系统安全等级保护备案证明。发现定级不准的,通知备案单位重新审核确
31、定。第八步,及时总结并提交总结报第八步,及时总结并提交总结报告告 各地区、各部门要结合本地区、本行业开展定级工作的实际,认真总结经验和不足,提出改进和完善定级方法的意见和建议,及时总结定级工作经验,形成定级工作总结报告,并于10月中旬报送公安部。八、定级工作完成后需要开展八、定级工作完成后需要开展哪些工作哪些工作 一是开展安全建设和整改。一是开展安全建设和整改。二是开展等级测评。二是开展等级测评。三是开展自查。三是开展自查。九、开展安全等级保护工作依九、开展安全等级保护工作依据的主要标准有哪些据的主要标准有哪些 1、基础标准划分准则(、基础标准划分准则(GB17859)2、基线标准、基线标准
32、信息系统安全等级保护基本要求信息系统安全等级保护基本要求3、辅助标准定级指南、实施指南、测评准则、辅助标准定级指南、实施指南、测评准则4、目标标准、目标标准 信息系统通用安全技术要求信息系统通用安全技术要求(GB/T20271)网络基础安全技术要求网络基础安全技术要求(GB/T20270)操作系统安全技术要求操作系统安全技术要求(GB/T20272)数据库管理系统安全技术要求数据库管理系统安全技术要求(GB/T20273)终端计算机系统安全等级技术要求终端计算机系统安全等级技术要求(GA/T671)信息系统安全管理要求信息系统安全管理要求(GB/T20269)信息系统安全工程管理要求信息系统安
33、全工程管理要求(GB/T20282)5、产品标准防火墙、入侵检测、终端设备隔离部、产品标准防火墙、入侵检测、终端设备隔离部件等件等十、公安机关组织开展等级保护中十、公安机关组织开展等级保护中的职责任务是什么的职责任务是什么 1、监督、检查、指导信息系统运营使用单位和主管部门开展信息安全等级保护工作;2、监督、检查信息系统运营使用单位的安全保护管理制度和技术措施落实情况、定级和备案情况、安全整改、等级测评、产品使用、自查等情况。十一、公安机关如何对实施信息安十一、公安机关如何对实施信息安全等级保护进行监督管理全等级保护进行监督管理 一是指导定级。二是受理备案。三是定期检查。系统定级的具体实施定级
34、基本流程13、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全保护等级4、业务信息安全保护等级8、定级对象的安全保护等级依据表2依据表31、确定定级对象 表2 业务信息安全等级矩阵表 根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2系统服务安全等级矩阵表,即可得到系统服务安全等级。业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级
35、表3 系统服务安全等级矩阵表 作为定级对象的信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定。定级对象等级确定后,可参照附件中的信息系统安全保护等级定级报告模版起草定级报告。系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级 国家安全第三级第四级第五级 不同危害后果的三种危害程度描述如下:一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的资产损失,有限的社会不良影响,对其他组织和个人造成较低损害。严重损害:工作职
36、能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的资产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的资产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各行业可根据本行业信息特点和系统服务特
37、点,制定危害程度的综合评定方法,并给出侵害不同客体造成损害、严重损害、特别严重损害的具体定义。三种受侵害的客体:国家安全 体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全等方面利益。社会秩序和公共利益 包括政治、经济、生产、生活、科研、工作等各方面的正常秩序和社会公众生产、生活、教育、卫生等方面的利益。合法权益 是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益,关于侵害客体和侵害程度关于国家安全 重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等;广播、电视、网络等重要新闻媒体的发布或播出系统,其受到非法控制可能引发影响国家
38、统一、民族团结和社会安定的重大事件;尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统,以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。关于社会秩序 各级政府机构的社会管理和公共服务系统,如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统,也包括教育、科研机构的工作系统,以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。关于公共利益 借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面,例如:公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施
39、、公共服务设施等。公共利益与社会秩序密切相关,社会秩序的破坏一般会造成对公共利益的损害。直接的结果和间接的影响:威胁直接作用的结果信息系统的破坏,但是确定对客体侵害的程度时,必须考虑间接的对客体产生的侵害和影响。按照国家安全社会秩序和公共利益-公民、法人和组织的合法利益的顺序考虑一、定级对象的三个条件具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位,这个安全责任单位就是负责等级保护工作部署、实施的单位,也是完成等级保护备案和接受监督检查的直接责任单位。满足信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形
40、实体。应避免将某个单一的系统组件,如单台的服务器、终端或网络设备等作为定级对象。定级阶段-关于定级对象确定承载相对独立的业务应用定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立,同时与其他信息系统的业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程,可以使完整的业务流程的一部分。定级阶段关键技术环节 定级对象确定 业务信息和系统服务确定 受侵害客体和侵害程度的分析定级阶段-定级对象举例 电力营销系统 生产管理系统 工程管理系统 物资管理系统 财务管理系统 OA系统 E
41、AI/EIP系统 等定级阶段-定级对象举例 定级对象结果1 本部信息系统 供电局信息系统 定级对象结果2 本部 电力调度系统 综合信息系统 营业部 电力调度系统 综合信息系统定级阶段-定级对象举例 定级对象结果3 本部 数据中心系统 用户局域网系统 骨干网系统 供电局 数据中心系统 用户局域网系统 城域网系统定级阶段-定级对象举例 定级对象结果4 电力营销系统 生产管理系统 工程管理系统 物资管理系统 财务管理系统 OA系统 EAI/EIP系统定级阶段-定级对象举例处理不同类型业务的系统。本身运行在不同的网络环境中的系统。分不开的系统,按照高级别保护。系统边界不应出现在服务器内部,服务器共用的
42、系统一般归入同一个信息系统,因此不同信息系统的共用设备一般是网络/边界设备或终端设备。两个信息系统边界存在共用设备时,共用设备的安全保护等级按两个信息系统安全保护等级较高者确定。例如,一个2级系统和一个3级系统之间有一个防火墙或两个系统共用一个核心交换机,此时防火墙和交换机可以作为两个系统的边界设备,但应满足3级系统的要求。信息系统的管理终端是与相应被管理设备相对应的,服务器、网络设备及安全设备等属于哪个系统,终端就应归在哪个信息系统中。如果无法做到不同等级的信息系统使用不同的终端设备,则应将终端设备划分为其他的信息系统,并在服务器与内部用户终端之间建立边界保护,对终端通过身份鉴别和访问控制等
43、措施加以控制。处理涉密信息的终端必须划分到相应的信息系统中,且不能与非涉密系统共用终端。业务信息业务系统处理的不同类型的数据系统服务业务系统的服务范围业务系统的服务对象业务系统的服务人数业务系统的服务时间要求定级阶段-关于业务信息和系统服务的确定 常见情况 多类或多种业务信息 交易系统 客户信息 交易数据 行情数据 配置管理数据 等 处理方法 依此分析 选择重要的分析单位基本信息 了解单位基本信息有助于判断单位的职能特点,单位所在行业及单位在行业所处的地位和所用,由此判断单位主要信息系统的宏观定位。业务种类、流程和服务应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体
44、方式和程度,影响的区域范围、用户人数、业务量的具体数据等。定级阶段-关于定级报告的关注点处理的业务信息了解定级对象信息系统所处理的信息,了解单位对信息的三个安全属性的需求.网络结构和边界了解定级对象信息系统所在单位的整体网络状况、安全防护和外部连接情况,目的是了解信息系统所处的单位内部网络环境和外部环境特点,以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系。主要的软硬件设备了解与定级对象信息系统相关的服务器、网络、终端、存储设备以及安全设备等,设备所在网段,在系统中的功能和作用。调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度。定级结果理由的说明了解不同业务数据和系统服务在被破坏后对国家、社会、本单位造成的影响的说明。
侵权处理QQ:3464097650--上传资料QQ:3464097650
【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。