信息安全等级保护操作指南和操作流程(1).doc

信息安全等级保护操作流程

1信息系统定级

1.1定级工作实施范围

“关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下：

（一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

（二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。

（三）市（地）级以上党政机关的重要网站和办公信息系统。

（四）涉及国家秘密的信息系统（以下简称“涉密信息系统”）。

注：跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。

1.2定级依据标准

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发【2003】27号文件）

《关于信息安全等级保护工作的实施意见》（公通字【2004】66号文件）

《电子政务信息系统安全等级保护实施指南（试行）》（国信办【2005】25号文件）

《信息安全等级保护管理办法》（公通字【2007】43号文件）《计算机信息系统安全保护等级划分准则》

《电子政务信息安全等级保护实施指南》

《信息系统安全等级保护定级指南》

《信息系统安全等级保护基本要求》

《信息系统安全等级保护实施指南》

《信息系统安全等级保护测评指南》

1.3定级工作流程

图1-1 信息系统定级工作流程

1.3.1信息系统调查

信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查，全面掌握信息系统的数量、分布、业务类型、应用、服务范围、系统结构、管理组织和管理方式等基本情况。同时，通过信息系统调查还可以明确信息系统存在的资产价值、威胁等级、风险等级以及可能造成的影响客体、影响范围等基本情况。

信息系统调查结果将作为信息系统安全等级保护定级工作的主要依据，保证定级结果的客观、合理和准确。

1.3.1.1调查工具表

通常，信息系统调查工具表包括系统资产调查表、系统应用调查表、和管理信息调查表等。

●系统资产调查表

用于调查信息系统的基本情况，主要包括主机、网络设备、人员、人员、服务等信息。在调查过程中，可以得到系统资产的基本信息、主要用途、重要程度、服务对象等相关信息。

●系统应用调查表

用于明确系统应用的基本状况。明确各个系统应用的拓扑信息、边界信息、应用架构、数据流等基本情况，为确定和分析定级对象提供详细信息。

●管理信息调查表

用于明确信息系统的组织结构、隶属关系等管理信息。

1.3.1.2调查方法

信息系统调查的实施包括信息收集、访谈和核查三个步骤。

●信息收集

协助信息系统使用管理单位完成系统资产调查表填写工作，同时收集信息系统所涉及的一系列

●访谈

核查

对调查表中的信息进行验证的过程，验证包括检查和测试等方式。

1.3.2确定定级对象

一个单位可能运行了比较庞大的信息系统，为了重点保护重要部分，有效控制信息安全建设和管理成本，优化信息安全资源配置等保护原则，可将较大的信息系统划分为若干个较小的、相对独立的、具有不同安全保护等级的定级对象。这样，可以保证信息系统安全建设能够突出重点、兼顾一般。

1.3.

2.1基本原则

如果信息系统只承载一项业务，可以直接为该信息系统确定等级，不必划分业务子系统。

如果信息系统承载多项业务，应根据各项业务的性质和特点，将信息系统分成若干业务子系统，分别为各业务子系统确定安全保护等级，信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。主要划分原则有：一、具有唯一确定的安全责任单位

作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安

全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。

二、具有信息系统的基本要素

作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。

三、承载单一或相对独立的业务应用

定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。

1.3.

2.2信息系统的划分方法

一个组织机构内可能运行一个或多个信息系统，这些信息系统的安全保护等级可以是相同的，也可以是不同的。为体现重点保护重要信息系统安全，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，在进行信息系统的划分时应考虑以下几个方面：一、相同的管理机构

信息系统内的各业务子系统在同一个管理机构的管理控制之下，可以保证遵循相同的安全管理策略。

二、相同的业务类型

信息系统内的各业务子系统具有相同的业务类型，安全需求相近，可以保证遵循相同的安全策略。

三、相同的物理位置或相似的运行环境

信息系统内的各业务子系统具有相同的物理位置或相似的运行环境意味着系统所面临的威胁相似，有利于采取统一的安全保护。1.3.3定级要素分析

通过针对定级对象分别进行业务信息安全分析和系统服务安全分析，最终确定信息系统安全等级保护系统等级。

在进行业务信息安全分析和系统服务安全分析时，充分考虑行业特点、业务应用特点等因素，细化受侵害客体组成及损害程度判定要素，从而确保信息系统定级的合理准确。