信息系统安全等级保护
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级。 步骤如图
1、确定定级对象
2、确定业务信息安全受到 破坏时所侵害的客体
5、确定系统服务安全受到 破坏时所侵害的客体
3、综合评定对客体的侵害程 度
依据表
4、业务信息安全等级
6、综合评定对客体的侵害程度
依据表
7、系统服务安全等级
8、定级对象的安全保护等级
8
信息系统调查与分析
信息系统调查工作通过全面客观的信息资产调查 表以核查和访谈的方式完成信息资产调查工作, 即通过信息系统的摸底调查,全面掌握信息系统 的数量、分布、业务类型、应用或服务范围、系 统结构等基本情况。
各行业可根据本行业业务特点,分析各类信息和各 类信息系统与国家安全、社会秩序、公共利益以及 公民、法人和其他组织的合法权益的关系,从而确 定本行业各类信息和各类信息系统受到破坏时所侵 害的客体。
22
确定对客体的侵害程度
信息安全和系统服务安全受到破坏后,可能产生以 下危害后果: 影响行使工作职能; 导致业务能力下降; 引起法律纠纷; 导致财务损失; 造成社会不良影响; 对其他组织和个人造成损失; 其他影响。
定级对象确定
一个单位内运行的信息系统可能比较庞大,为了体 现重要部分重点保护,有效控制信息安全建设成 本,优化信息安全资源配置的等级保护原则,可将 较大的信息系统划分为若干个较小的、可能具有不 同安全保护等级的定级对象。
作为定级对象的信息系统应具有如下基本特征: 具有唯一确定的安全责任单位 具有信息系统的基本要素 承载单一或相对独立的业务应用
17
哪些可能影响国家安全
重要的国家事务处理系统、国防工业生产系统和 国防设施的控制系统等;
广播、电视、网络等重要新闻媒体的发布或播出 系统,其受到非法控制可能引发影响国家统一、 民族团结和社会安定的重大事件;
尖端科技领域的研发、生产系统等影响国家经济 竞争力和科技实力的信息系统,
电力、通信、能源、交通运输、金融等国家重要 基础设施的生产、控制、管理系统等。
z 造成一般损害; z 造成严重损害; z 造成特别严重损害。
6
定级要素与安全保护等级的关系
受侵害的客体
对客体的侵害程度 一般损害 严重损害
特别严重 损害
公民、法人和其他组织 的合法权益
第一级
第二级 第二级
社会秩序、公共利益 国家安全
第二级 第三级
第三级 第四级
第四级 第五级
7
定级一般流程
由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护
18
哪些可能影响社会秩序
各级政府机构的社会管理和公共服务系统, 如财政、金融、工商、税务、公检法、海关、 社保等领域的信息系统,也包括教育、科研 机构的工作系统,以及所有为公众提供医疗 卫生、应急服务、供水、供电、邮政等必要 服务的生产系统或管理系统。
19
哪些可能影响公共利益
借助信息化手段为社会成员提供使用的公 共设施和通过信息系统对公共设施进行进 行管理控制都应当是要考虑的方面,例如: 公共通信设施、公共卫生设施、公共休闲 娱乐设施、公共管理设施、公共服务设施 等。
信息系统安全等级保护 实施流程
李德全
lidq@bjeit.gov.cn 北京市经济和信息化委员会
2个W---What & Why
何为等级保护? 为什么要进行等级保护?
2Fra Baidu bibliotek
等级保护工作的主要环节
一是定级:包括评审与审批 二是备案(二级及以上信息系统) 三是系统安全建设/安全整改 四是开展等级测评 五是信息安全监管部门定期开展监督检查。
公共利益与社会秩序密切相关,社会秩序 的破坏一般会造成对公共利益的损害。
20
确定受侵害的客体-
公民、法人、组织利益
影响公民、法人和其他组织的合法权益 是指由法律确认的并受法律保护的公民、 法人和其他组织所享有的一定的社会权 利和利益。
21
确定受侵害的客体
确定作为定级对象的信息系统受到破坏后所侵害的 客体时,应首先判断是否侵害国家安全,然后判断 是否侵害社会秩序或公众利益,最后判断是否侵害 公民、法人和其他组织的合法权益。
12
定级对象确定
具有信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的
设备、设施按照一定的应用目标和规则组合而成 的有形实体。应避免将某个单一的系统组件,如服
务器、终端、网络设备等作为定级对象
13
定级对象确定
承载单一或相对独立的业务应用
¾ 定级对象承载“单一”的业务应用是指该业务应用的业 务流程独立
¾ 与其他业务应用没有数据交换 ¾ 独享所有信息处理设备。
14
定级要素分析
定级要素:信息系统的安全保护等级由两个定 级要素决定:等级保护对象受到破坏时所侵害 的客体和对客体造成侵害的程度。
分析方法:定级要素分析时需分别对业务信息 安全等级和系统服务安全等级进行分析,分析 内容包括确定受侵害的客体、确定对客体的侵 害程度,从而确定相应的业务信息安全等级和 系统服务安全等级。最后,综合业务信息安全 等级和系统服务安全等级得到信息系统安全等 级保护系统等级。
9
信息系统分析
管理模式识别 业务识别 信息类型识别 用户类型和分布识别 网络结构和边界 主要软硬件设备
10
定级对象确定
定级对象分析根据信息系统调查结果和访 谈结果,分析信息系统管理组织机构、业 务应用、物理位置和运行环境等因素,基 于科学的系统拆分原则明确定级对象。
11
3
等保工作要求
准确定级
严格审批
及时备案
认真整改
科学测评
4
一、定级
定级的要素
等级保护对象受到破坏时所侵害的客体和对客体造 成侵害的程度。
等级保护对象受到破坏时所侵害的客体包括:
公民、法人和其他组织的合法权益; 社会秩序、公共利益; 国家安全。
等级保护对象受到破坏后对客体造成侵害的程度归结 为:
15
业务信息和系统服务
业务信息
¾ 从业务系统出发 ¾ 分析处理的不同类型的数据
系统服务
¾ 业务系统的服务范围 ¾ 业务系统的服务对象 ¾ 业务系统的服务人数 ¾ 业务系统的服务时间要求
16
确定受侵害的客体
定级对象受到破坏时所侵害的客体包括: ——国家安全 ——社会秩序、公众利益 ——公民、法人和其他组织的合法权益。