信息安全等级保护操作的指南和操作流程图
信息安全等级保护各阶段流程规范文档对照表
信息安全等级保护各阶段流程规范文档对照表
《关于开展全国重要信息系统安全等级保护定级工作的通知》√
《信息安全等级保护管理办法》√√√√√《信息系统安全等级保护基本要求》GB/T22239-2008 √√√√
公安机
关监督
检查工
作
公安机
关发布
处理意
见
《信息系统安全等级保护定级指南》GB/T22240-2008 √
《信息系统安全保护等级实施指南》√√√√《信息安全等级保护备案实施细则》√
《信息系统安全等级保护测评准则》√
《公安机关信息安全等级保护检查工作规范》√√《信息系统安全等级保护备案表》√√
《信息系统安全等级保护备案表数据项说明》√
《信息系统安全等级保护测评申请表》√。
信息安全等级保护工作流程图
信息安全等级保护工作流程一、定级一、等级划分计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
二、定级程序信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》(下载专区附)确定信息系统的安全保护等级。
有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
三、定级注意事项第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。
例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,地市级以上国家机关、企事业单位网站等第三级信息系统:一般适用于地市级以上国家机关、企事业单位内部重要的信息系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省门户网站和重要网站;跨省连接的网络系统等。
例如网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。
信息安全等级保护操作的指南和操作流程图
信息安全等级保护操作流程1信息系统定级1.1定级工作实施范围“关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下:(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
注:跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
1.2定级依据标准《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27 号文件)《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文件)《电子政务信息系统安全等级保护实施指南(试行)》(国信办【2005】25 号文件)《信息安全等级保护管理办法》(公通字【2007】43 号文件)《计算机信息系统安全保护等级划分准则》《电子政务信息安全等级保护实施指南》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评指南》1.3定级工作流程信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案• 网络拓扑调查• 资产信息调查• 服务信息调查• 系统边界调查• ……• 管理机构分析• 业务类型分析• 物理位置分析• 运行环境分析• ……• 业务信息分析• 系统服务分析• 综合分析• 确定等级• ……• 编写定级报告• ……• 协助评审审批• 形成最终报告• 协助定级备案图 1-1信息系统定级工作流程1.3.1信息系统调查信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用、服务范围、系统结构、管理组织和管理方式等基本情况。
信息系统安全等级保护定级指南
前言本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。
引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T BBBBB-BBBB信息系统安全等级保护基本要求;——GB/T CCCCC-CCCC信息系统安全等级保护实施指南;——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。
本标准依据等级保护相关管理文件,从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出确定信息系统安全保护等级的方法。
信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。
2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8 信息技术词汇第8部分:安全GB17859-1999 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。
3.1等级保护对象 target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。
信息系统安全等级保护定级--备案--测评流程图
信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下:1、《中华人民国计算机信息系统安全保护条例》(国务院147号令)2、《信息安全等级保护管理办法》(公通字[2007]43号)3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
信息安全等级保护工作流程介绍
信息安全等级保护工作流程介绍导语信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。
解读:信息安全等级保护工作是《网络安全法》中明确要求需要履行的网络安全义务。
根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:一是定级。
信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。
有上级主管部门的,应当经上级主管部门审批。
跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。
虽然说的是自主定级,但是也得根据系统实际情况去定级,有行业指导文件的根据指导文件来,没有文件的根据定级指南来,总之一句话合理定级,该是几级就是几级,不要定的高也不要定的低。
二是备案。
第二级以上信息系统定级单位到所在地所在地设区的市级以上公安机关办理备案手续。
省级单位到省公安厅网安总队备案,各地市单位一般直接到市级网安支队备案,也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的,具体根据各地市要求来。
备案的时候带上定级资料去网安部门,一般两份纸质文档,一份电子档,纸质的首页加盖单位公章。
三是系统安全建设。
信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。
四是等级测评。
信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。
测评完成之后根据发现的安全问题及时进行整改,特别是高危风险。
测评的结论分为:不符合、基本符合、符合。
当然符合基本是不可能的,那是理想状态。
五是监督检查。
公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。
运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
其中定级、备案工作原则上是由用户单位自己填写定级备案表交给公安网监部门去进行备案工作,但考虑到实际情况,绝大多数情况下都是用户单位在测评机构的协助下完成这些工作。
信息系统安全等级保护定级指南
信息系统安全等级保护定级指南信息系统安全等级保护定级指南是根据我国《信息安全等级保护管理办法》(以下简称《办法》)以及相关法律法规,结合信息系统的重要性和需要保护的信息的安全程度,对信息系统进行等级划分和保护要求的指南。
本指南的目的是为了帮助各类信息系统的管理者和相关人员,建立起科学的信息安全等级保护体系,为国家和组织的信息系统安全保护工作提供指导。
1、信息系统安全等级划分信息系统安全等级划分是按照信息系统的功能和保护需求,将信息系统划分为四个等级,分别是一级、二级、三级和四级。
根据《办法》规定,一级是最高级别,四级是最低级别。
不同等级的信息系统对于安全的要求和措施也不同。
一级信息系统是对国家的重要信息系统进行保护的最高级别,需要具备较高的安全性能和控制特性。
二级信息系统对于国家的战略重点部门、重要行业和大型企事业单位进行保护。
三级信息系统主要是对于一般型企事业单位和中小学、医院等部门进行保护。
四级信息系统适用于中小企业、普通学校、个人等。
2、信息系统保护要求信息系统保护要求是根据不同等级的信息系统的特点和需求,确定对信息系统的安全性能和控制特性的具体要求。
在保护要求方面,主要包括以下几个方面的内容:(1)信息系统的可用性要求:指信息系统必须具备较高的稳定性和可靠性,保证信息系统的正常运行和服务的连续性。
(2)信息系统的机密性要求:指对于信息系统内部的重要信息和敏感数据,需要能够进行有效的保护,避免泄露和非法获取。
(3)信息系统的完整性要求:指信息系统在数据的传输和存储过程中,要保证数据不被篡改或者损坏,确保数据的真实性和完整性。
(4)信息系统的审计要求:指信息系统必须具备较高的审计能力,记录和监控系统的操作行为,以便发现和追查安全事件。
(5)信息系统的事故应急要求:指信息系统在发生安全事件或事故时,需要能够及时采取相应的措施,减少损失,并迅速恢复系统的正常工作。
3、实施等级保护的程序和要求需要对信息系统进行等级保护的单位,首先应进行需求分析,明确对信息系统安全的要求和目标,并确定所需保护的信息等级。
等级保护政策、流程、内容、定级介绍 ppt课件
ppt课件
21
8 等级保护安全建设内容
安全建设
在信息系统安全保护等级确定以后,系统运营单位和使 用单位开展系统安全建设和改建工作,通常包括安全需 求分析、总体安全设计、详细安全设计、安全设施实现 和安全运行与维护等工作。
ppt课件
22
9 等级保护监督检查内容
监督检查
公安机关负责信息安全等级保护工作的督促、检查、指 导; 受理备案的公安机关对第三级信息系统的运营、使用单 位每年至少检查一次,对第四级每半年检查一次; 公安机关检查发现不符合有关管理规范和技术标准的, 发出整改通知并进行整改。
信息系统定级工作的主体是信息系统运营和使用单位, 坚持“自主定级、自主保护”原则,因此定级工作应当 由信息系统的运营和使用单位来完成。
ppt课件
13
6 等级保护定级工作流程
定级受理备案审核材料
管理办法规定第二级以上信息系统应当在安全保护等级 确定后30日内,由其运营、使用单位到所在地区的市级 以上公安机关办理系统备案手续。
ppt课件
8
3 等保测评作用
工作实施过程中涉及到的角色和职责: 在信息系统建设、整改时,信息系统运营使用单位通过
等级测评进行安全需求分析,确定系统的特殊安全需求 。信息系统等级保护基本安全要求与确定的特殊安全需 求共同确定了该系统的安全需求。 在系统运维过程中,定期委托测评机构开展等级测评, 对信息系统安全等级保护状况、安全保障性能进行安全 测试,对信息安全管控能力进行考察和评价,从而判定 是否具备《信息系统安全等级保护基本要求》中相应等 级安全保护能力。 等级测评报告是信息系统后期开展整改加固的重要指导 性文件,也是信息系统备案的重要附件材料。等级测评 结论是信息系统满足要求程度的证明文件。
等级保护 工作流程
等级保护工作流程一、定义等级保护是一种信息安全管理措施,通过对信息系统和数据进行分类、分级,并采取相应的保护措施,以确保信息的安全性和机密性。
等级保护通过综合运用物理、技术和管理措施,对不同等级的信息进行差异化保护,以达到信息资源的合理利用和保护的目的。
二、作用等级保护的主要作用是保护信息系统和数据的安全性,确保公司或组织的核心信息不被未经授权的人员访问、使用或泄露。
通过等级保护,可以提高信息系统的可用性和可信度,减少信息泄露和损坏的风险,保护企业和个人的合法权益。
三、实施步骤1. 信息分类:根据信息的敏感程度和重要性,对信息进行分类。
常见的分类标准包括商业机密、个人隐私、法律与法规等。
2. 等级划分:根据信息的分类结果,将信息划分为不同的等级,如机密级、秘密级、内部级等。
不同等级的信息需要采取不同的保护措施。
3. 风险评估:对每个等级的信息进行风险评估,确定可能存在的威胁和风险。
风险评估可以通过安全性评估、威胁建模等方法进行。
4. 安全措施:根据风险评估的结果,制定相应的安全措施。
安全措施包括物理安全措施(如门禁、监控等)、技术安全措施(如加密、防火墙等)和管理安全措施(如权限管理、培训教育等)。
5. 实施和监控:按照制定的安全措施,实施等级保护措施,并进行监控和评估,及时发现和处理安全事件和漏洞。
6. 审核和改进:定期对等级保护工作进行审核和改进,根据实际情况进行调整和优化,以提高等级保护的效果和管理水平。
四、常见问题1. 如何确定信息的等级分类?可以根据信息的敏感性、重要性和法律法规等进行分类划分。
2. 如何进行风险评估?可以采用安全性评估、威胁建模等方法进行风险评估。
3. 如何选择适合的安全措施?安全措施的选择应根据风险评估的结果和实际情况进行综合考虑。
4. 如何监控和评估等级保护的效果?可以通过日志审计、漏洞扫描、安全事件响应等方式进行监控和评估。
5. 如何提高等级保护的效果和管理水平?可以定期进行安全培训教育、加强安全意识和管理水平,不断改进等级保护工作。
信息系统安全等级保护定级指南
1信息系统安全等级保护定级指南为宣贯《信息系统安全等级保护定级指南》(以下简称《定级指南》)国家标准,由标准起草人介绍标准制、修订过程,讲解标准的主要内容,解答标准执行中可能遇到的问题。
1.1定级指南标准制修订过程1.1.1制定背景本标准是公安部落实66号文件,满足开展等级保护工作所需要的重要规范性文件之一,是其他标准规范文件的基础。
本标准依据66号文件与“信息安全等级保护管理办法”的精神与原则,从信息系统对国家安全、经济建设、社会生活重要作用,信息系统承载业务的重要性、业务对信息系统的依赖程度与信息系统的安全需求等方面的因素,确定信息系统的安全保护等级,提出了分级的原则与方法。
本任务来自全国信息系统安全标准化技术委员会,由全国信息安全标准化技术委员会WG5工作组负责管理。
1.1.2国外相关资料分析本标准编制前,编制人员收集与信息系统确定等级相关的国外资料,其中主要是来自美国的标准或文献资料,例如:●FIPS 199 Standards for Security Categorization of Federal Information and InformationSystems(美国国家标准与技术研究所)●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certificationand Accreditation Process Application Manual(美国国防部)●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation(美国国防部)●Information Assurance Technology Framework3.1(美国国家安全局)这些资料表明,美国政府及军方也在积极进行信息系统分等级保护的尝试,从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家,也适用于信息化发达国家。
信息系统安全等级保护实施指南
信息系统安全等级保护实施指南目次前言 (IV)引言 (VI)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 等级保护实施概述 (1)4.1 基本原则 (1)4.2 角色和职责 (2)4.3 实施的基本流程 (3)5 信息系统定级 (5)5.1 信息系统定级阶段的工作流程 (5)5.2 信息系统分析 (5)5.2.1 系统识别和描述 (5)5.2.2 信息系统划分 (7)5.3 安全保护等级确定 (8)5.3.1 定级、审核和批准 (8)5.3.2 形成定级报告 (8)6 总体安全规划 (9)6.1 总体安全规划阶段的工作流程 (9)6.2 安全需求分析 (10)6.2.1 基本安全需求的确定 (10)6.2.2 额外/特殊安全需求的确定 (11)6.2.3 形成安全需求分析报告 (12)6.3 总体安全设计 (13)6.3.1 总体安全策略设计 (13)6.3.2 安全技术体系结构设计 (13)6.3.3 整体安全管理体系结构设计 (15)6.3.4 设计结果文档化 (16)6.4 安全建设项目规划 (17)6.4.1 安全建设目标确定 (17)6.4.2 安全建设内容规划 (18)6.4.3 形成安全建设项目计划 (18)7 安全设计与实施 (20)7.1 安全设计与实施阶段的工作流程 (20)7.2 安全方案详细设计 (21)7.2.1 技术措施实现内容设计 (21)7.2.2 管理措施实现内容设计 (22)7.2.3 设计结果文档化 (22)7.3 管理措施实现 (23)7.3.1 管理机构和人员的设置 (23)7.3.2 管理制度的建设和修订 (23)7.3.3 人员安全技能培训 (24)7.3.4 安全实施过程管理 (25)7.4 技术措施实现 (26)7.4.1 信息安全产品采购 (26)7.4.2 安全控制开发 (27)7.4.3 安全控制集成 (28)7.4.4 系统验收 (29)8 安全运行与维护 (30)8.1 安全运行与维护阶段的工作流程 (30)8.2 运行管理和控制 (32)8.2.1 运行管理职责确定 (32)8.2.2 运行管理过程控制 (33)8.3 变更管理和控制 (34)8.3.1 变更需求和影响分析 (34)8.3.2 变更过程控制 (34)8.4 安全状态监控 (35)8.4.1 监控对象确定 (35)8.4.2 监控对象状态信息收集 (35)8.4.3 监控状态分析和报告 (36)8.5 安全事件处置和应急预案 (37)8.5.1 安全事件分级 (37)8.5.2 应急预案制定 (37)8.5.3 安全事件处置 (38)8.6 安全检查和持续改进 (39)8.6.1 安全状态检查 (39)8.6.2 改进方案制定 (40)8.6.3 安全改进实施 (40)8.7 等级测评 (41)8.8 系统备案 (41)8.9 监督检查 (42)9 信息系统终止 (42)9.1 信息系统终止阶段的工作流程 (42)9.2 信息转移、暂存和清除 (43)9.3 设备迁移或废弃 (44)9.4 存储介质的清除或销毁 (44)附录A(规范性附录)主要过程及其活动输出 (46)前言本标准的附录A是规范性附录。
信息系统安全等级保护定级指南
信息系统安全等级保护定级指南-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII信息系统安全等级保护定级指南依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
1.范围本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。
2.规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 信息技术词汇第8部分:安全GB17859-1999 计算机信息系统安全保护等级划分准则3.术语和定义GB/T 和GB17859-1999确立的以及下列术语和定义适用于本标准。
等级保护对象 target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。
客体object受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。
客观方面objective对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。
系统服务 system service信息系统为支撑其所承载业务而提供的程序化过程。
4.定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
信息安全等级保护操作的指南和操作流程图
信息安全等级保护操作流程1信息系统定级1.1定级工作实施范围“关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下:(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
注:跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
1.2定级依据标准《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27 号文件)《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文件)《电子政务信息系统安全等级保护实施指南(试行)》(国信办【2005】25 号文件)《信息安全等级保护管理办法》(公通字【2007】43 号文件)《计算机信息系统安全保护等级划分准则》《电子政务信息安全等级保护实施指南》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评指南》1.3定级工作流程信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案• 网络拓扑调查• 资产信息调查• 服务信息调查• 系统边界调查• ……• 管理机构分析• 业务类型分析• 物理位置分析• 运行环境分析• ……• 业务信息分析• 系统服务分析• 综合分析• 确定等级• ……• 编写定级报告• ……• 协助评审审批• 形成最终报告• 协助定级备案图 1-1信息系统定级工作流程1.3.1信息系统调查信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用、服务范围、系统结构、管理组织和管理方式等基本情况。
信息系统安全等级保护定级指南
信息系统安全等级保护定级指南
信息系统安全等级保护定级指南是一套保护信息系统安全的评估指南,用于定义信息系统安全等级和确定安全防护措施。
一般由五个等级组成,
从低到高依次为保护等级1-5。
保护等级1:基本信息安全防护。
此级别的保护要求对敏感性的信息
进行基本的加密处理,将其放在安全的系统环境中;同时,还应实施安全
策略和安全管理措施,限制可接入的计算机及用户;有必要的话也可以实
施一些安全检查措施,以保证系统环境的持续安全运行。
保护等级2:一般信息安全保护。
此级别的保护要求比保护等级1要
求更严格,基本上实施安全策略和安全管理措施,提高安全防护的要求,
可能包括认证、加密传输、细致的访问控制等措施,目的是尽量防止未经
授权的访问。
保护等级3:严格信息安全保护。
此级别的保护要求应加强安全管理,包括严格的安全政策、安全审计、安全实施、安全交互等级别的保护,例
如建立安全实施的审计机制,以及安全沙箱、安全策略、数据完整性等等。
保护等级4:特殊信息安全保护。
此级别的保护要求比保护等级3要
求更严格,要求仅限于某些特定的应用程序,主要包括入侵检。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全等级保护操作流程1信息系统定级1.1定级工作实施围“关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的围规定如下:(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
注:跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
涉密信息系统的等级确定按照国家局的有关规定和标准执行。
1.2定级依据标准《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27 号文件)《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文件)《电子政务信息系统安全等级保护实施指南(试行)》(国信办【2005】25 号文件)《信息安全等级保护管理办法》(公通字【2007】43 号文件)《计算机信息系统安全保护等级划分准则》《电子政务信息安全等级保护实施指南》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评指南》1.3定级工作流程信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案• 网络拓扑调查• 资产信息调查• 服务信息调查• 系统边界调查• ……• 管理机构分析• 业务类型分析• 物理位置分析• 运行环境分析• ……• 业务信息分析• 系统服务分析• 综合分析• 确定等级• ……• 编写定级报告• ……• 协助评审审批• 形成最终报告• 协助定级备案图1-1信息系统定级工作流程1.3.1信息系统调查信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用、服务围、系统结构、管理组织和管理方式等基本情况。
同时,通过信息系统调查还可以明确信息系统存在的资产价值、威胁等级、风险等级以及可能造成的影响客体、影响围等基本情况。
信息系统调查结果将作为信息系统安全等级保护定级工作的主要依据,保证定级结果的客观、合理和准确。
1.3.1.1调查工具表通常,信息系统调查工具表包括系统资产调查表、系统应用调查表、和管理信息调查表等。
●系统资产调查表用于调查信息系统的基本情况,主要包括主机、网络设备、人员、人员、服务等信息。
在调查过程中,可以得到系统资产的基本信息、主要用途、重要程度、服务对象等相关信息。
●系统应用调查表用于明确系统应用的基本状况。
明确各个系统应用的拓扑信息、边界信息、应用架构、数据流等基本情况,为确定和分析定级对象提供详细信息。
●管理信息调查表用于明确信息系统的组织结构、隶属关系等管理信息。
1.3.1.2调查方法信息系统调查的实施包括信息收集、访谈和核查三个步骤。
●信息收集协助信息系统使用管理单位完成系统资产调查表填写工作,同时收集信息系统所涉及的一系列●访谈核查对调查表中的信息进行验证的过程,验证包括检查和测试等方式。
1.3.2确定定级对象一个单位可能运行了比较庞大的信息系统,为了重点保护重要部分,有效控制信息安全建设和管理成本,优化信息安全资源配置等保护原则,可将较大的信息系统划分为若干个较小的、相对独立的、具有不同安全保护等级的定级对象。
这样,可以保证信息系统安全建设能够突出重点、兼顾一般。
1.3.2.1基本原则如果信息系统只承载一项业务,可以直接为该信息系统确定等级,不必划分业务子系统。
如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级,信息系统的安全保护等级由各业务子系统的最高等级决定。
信息系统是进行等级确定和等级保护管理的最终对象。
主要划分原则有:一、具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位。
如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
二、具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
三、承载单一或相对独立的业务应用定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。
定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
1.3.2.2信息系统的划分方法一个组织机构可能运行一个或多个信息系统,这些信息系统的安全保护等级可以是相同的,也可以是不同的。
为体现重点保护重要信息系统安全,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,在进行信息系统的划分时应考虑以下几个方面:一、相同的管理机构信息系统的各业务子系统在同一个管理机构的管理控制之下,可以保证遵循相同的安全管理策略。
二、相同的业务类型信息系统的各业务子系统具有相同的业务类型,安全需求相近,可以保证遵循相同的安全策略。
三、相同的物理位置或相似的运行环境信息系统的各业务子系统具有相同的物理位置或相似的运行环境意味着系统所面临的威胁相似,有利于采取统一的安全保护。
1.3.3定级要素分析通过针对定级对象分别进行业务信息安全分析和系统服务安全分析,最终确定信息系统安全等级保护系统等级。
在进行业务信息安全分析和系统服务安全分析时,充分考虑行业特点、业务应用特点等因素,细化受侵害客体组成及损害程度判定要素,从而确保信息系统定级的合理准确。
1.3.3.1定级流程根据定级流程,在定级要素分析时需对业务信息安全等级和系统服务安全等级进行分析,分析容包括确定受侵害的客体、确定对客体的侵害程度,从而确定相应的业务信息安全等级和系统服务安全等级。
最后,综合业务信息安全等级和系统服务安全等级得到信息系统安全等级保护系统等级。
1.3.3.2确定受侵害客体定级对象收到破坏时所侵害的客体包括国家安全、社会秩序、公众利益及公民、法人和其他组织的合法权益。
●国家安全⏹影响国家政权稳固和国防实力;⏹影响国家统一、民族团结和社会安定;⏹影响国家对外活动中的政治、经济利益;⏹影响国家重要的安全保卫工作;⏹影响国家经济竞争力和科技实力;⏹其他影响国家安全的事项。
●社会秩序⏹影响国家机关社会管理和公共服务的工作秩序;⏹影响各种类型的经济活动秩序;⏹影响各行业的科研、生产秩序;⏹影响公众在法律约束和道德规下的正常生活秩序等;⏹其他影响社会秩序的事项。
●公共利益⏹影响社会成员使用公共设施;⏹影响社会成员获取公开信息资源;⏹影响社会成员接受公共服务等方面;⏹其他影响公共利益的事项。
●公民、法人和其他组织⏹由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益的关系,从而确定信息和信息系统受到破坏时所侵害的客体。
1.3.3.3确定对客体的损害程度在针对不同的受侵害客体进行侵害程度的判断时,应参照以下的判别基准。
●如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准。
●如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度危害程度描述如下:●一般损害工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
●严重损害工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大围的社会不良影响,对其他组织和个人造成较严重损害。
特别严重损害工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大围的社会不良影响,对其他组织和个人造成非常严重损害。
1.3.3.4确定定级对象的安全保护等级在确定完成受侵害客体以及对客体的侵害程度后,依据表 1 分别确定业务信息安全等级和系统服务安全等级。
作为定级对象的信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定。
1.3.4编写定级报告根据定级过程和定级结果,编写初步信息系统定级报告。
1.3.5协助定级备案在完成初步定级报告后,协助信息系统管理使用单位进行评审与审批,并最终确定定级报告,完成信息系统备案工作。
2等级测试2.1工作容等级测评是信息安全等级保护实施中的一个重要环节。
等级测评是指具有相关资质的、独立的第三方评测服务机构,对信息系统的等级保护落实情况与信息安全等级保护相关标准要求之间的符合程度的测试判定。
2.2依据标准《计算机信息系统安全保护等级划分准则》《信息系统安全等级保护基本要求》《信息系统安全等级保护定级指南》《电子政务信息安全等级保护实施指南》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评指南》《信息安全技术信息系统通用安全技术要求》《信息安全技术网络基础安全技术要求》《信息安全技术操作系统安全技术要求》《信息安全技术数据库管理系统安全技术要求》《信息安全技术服务器技术要求》《信息安全技术终端计算机系统安全等级技术要求》2.3等级评测容2.3.1基本容对信息系统安全等级保护状况进行测试评估,应包括两个方面的容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。
其中,安全控制测评是信息系统整体安全测评的基础。
对安全控制测评的描述,使用工作单元方式组织。
工作单元分为安全技术测评和安全管理测评两大类。
安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。