等级保护定级方法
信息系统安全等级保护定级
信息系统安全等级保护定级信息系统的安全等级保护定级是为了保障系统安全,防止信息泄露和未经授权的访问。
随着信息技术的迅速发展,网络安全问题日益严重,确保信息系统安全等级保护定级的重要性不言而喻。
本文将从信息系统定级的背景及意义、定级的标准与程序、定级所需的资源以及定级的实施过程等方面进行论述。
一、定级的背景及意义信息系统是现代社会的重要基础设施,包括计算机网络、数据库系统、信息处理系统等。
信息系统的安全等级保护定级是为了保护系统中的重要信息和关键资源,防止其受到损害和未经授权的访问。
信息系统安全等级保护定级的背景是因为网络攻击、信息泄露和恶意程序等安全事件的频繁发生,给国家安全和企业利益带来了巨大的风险。
信息系统安全等级保护定级的意义在于明确各级信息系统的安全保护要求和管理措施,为信息系统的规范化运行提供指导和保障。
通过等级定级,可以建立起一个科学、合理和可操作的安全保护体系,为信息系统的设计、建设和运营提供基础框架,使其能够根据具体等级的要求进行有效的安全管理。
二、定级的标准与程序1. 标准信息系统安全等级保护定级的标准主要包括技术标准和管理标准两个方面。
技术标准主要涉及系统的硬件配置、软件开发和安全技术措施等,旨在确保信息系统的安全性和可靠性。
管理标准主要包括组织与人员、制度与流程、安全管理措施等,旨在规范信息系统的管理和运维。
2. 程序信息系统安全等级保护定级的程序主要包括以下几个步骤:(1)确定定级需求:根据信息系统的重要性和安全要求,确定需要进行定级的范围和等级;(2)编制申请材料:根据相关要求,编制相应的申请材料,包括系统的技术规格、管理措施、安全测试报告等;(3)提交申请:将申请材料提交给相关管理机构或评估机构,进行资格审查和安全评估;(4)评估定级:评估机构根据申请材料和实地调查等方式,对信息系统进行定级评估,并形成评估报告;(5)颁发定级证书:根据评估报告和定级结果,颁发信息系统的安全等级保护定级证书。
定级备案与等级保护
目录
一、等级保护 二、定级备案 三、符合性评测 四、风险评估
五、等级保护日常工作常见问题
等保定义
▪ 等级保护:是指对全国的信息系统(包括网络)按照重要性和受破坏后的危 害性分成五个安全保护等级,实行分等级的防护标准。信息系统的安全保护 等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信 息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他 组织的合法权益的危害程度等因素确定。
例如: ➢ 中国移动 某省分公司某市 移动通信网电路域本地网 核心交换网(第一部分),
网络单元全称为“中国移动辽宁省分公司大连市移动通信网电路域本地网核心 交换网(第一部分)”;
定级报告内容
XXX(网络/系统名称)定级报告
一、概述 此部分简单说明定级对象的涵盖范围。 二、基本情况 此部分应简单描述定级对象相关的如下内容: 1、管理信息(包含组织管理结构及其主要职能等内容); 2、技术信息(包含物理环境、网络拓扑结构、硬件设备的部署情况、业务/应用范围、
具体材料如下:
1、《信息系统安全等级保护备案表》(以下简称《备案表》),纸质材料,一式两份。 包括:《单位基本情况》(表一)、《信息系统情况》(表二)、《信息系统定级情况》 (表三)和《第三级以上信息系统提交材料情况》(表四)。第二级以上信息系统备案 时需提交《备案表》中的表一、二、三;第三级以上信息系统还应当在系统整改、测评 完成后30日内提交《备案表》表四及其有关材料。
▪ 定级、备案、安全建设整改、等级测评和检查是等级保护规定的五个动作。
等级划分
安全等级
第1级 自主保护级
描述
适用于一般的信息系统,其受到破坏后,会对公 民、法人和其它组织的合法权益造成损害,但不 损害国家安全、社会秩序和公共利益。
等保2.0丨系统定级指引
等保2.0丨系统定级指引1定级流程安全保护等级初步确定为第二级及以上的等级保护对象,其运营使用单位应当依据《网络安全等级保护定级指南》进行初步定级、专家评审、主管部门审批、公安机关备案审查,最终确定其安全保护等级。
2定级方法等级保护对象的级别由两个定级要素决定:a) 受侵害的客体;b) 对客体的侵害程度。
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级也应由业务信息安全(S)和系统服务安全(A)两方面确定,根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级;根据系统服务的重要性和受到破坏后的危害性确定系统服务安全等级;由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。
参考下列表格:3定级报告示例《信息系统安全等级保护定级报告》一、XX医院HIS系统描述HIS系统是覆盖XX医院所有业务和业务全过程的信息管理系统。
为医院所属各部门提供患者诊疗信息和行政管理信息的收集、存储、处理、提取和数据交换的能力并满足授权用户的功能需求的平台。
系统为由X台服务器、网络设备X台,有HIS系统应用前台、后台、门诊挂号客户端应用、门诊收费客户端应用、药品管理客户端应用、住院收费客户端应用、中间件应用等应用组成。
HIS系统主要面向医院、医护人员、医院管理者、公共卫生机构、区域医疗卫生机构、卫生行政机关等用户。
HIS系统是由XX单位开发,XX 单位信息中心维护。
HIS系统为XX医院的定级对象,XX医院对HIS系统具有信息安全保护责任,承担HIS系统安全责任的部门是信息中心。
HIS系统部署在XX医院XX机房,没有互联网连接、外联单位和广域网连接,不存在互联网边界和与其他单位的边界。
二、XX医院HIS系统安全保护等级的确定(一)业务信息安全保护等级的确定1、业务信息描述系统存储着患者诊疗信息,如患者基本信息、患者诊断数据、药品信息、住院信息、统方信息等。
等级保护定级标准
等级保护定级标准
1、等级保护定级标准是指一个企业的经营活动受到等级保护的定级
标准,这些定级标准是指在多个不同的经济环境下,企业的经营活动所必
须达到的一定的指标、要求、条件、要求等,使其能够获得企业等级保护。
2、定级标准主要是针对企业的财务状况、经营情况、经济效益及其
改善情况等。
企业的经营活动必须达到预定的定级标准,才能获得合理的
等级保护。
3、执行等级保护定级标准时,首先要从市场经济形势的实际情况出发,分析企业财务状况,了解企业的经营情况,尤其要了解企业的经济效益,有效地掌握企业的经营情况,和改善情况,才能确定合理的定级标准,以保护企业的利益。
4、等级保护定级标准应该及时调整,使之适应市场经济的变化。
如
果经济形势发生变化,应立即调整企业的等级保护定级标准,以适应新经
济环境,以更好地保护企业的利益。
5、企业在执行定级标准时,要根据经营任务的需要及时有效地调整
等级保护定级标准,以确保企业的利益得到有效的保护。
6、企业还要积极落实相关管理措施,尤其要加强企业财务管理,确
保企业财务状况的合理性。
网络安全等级保护2 0:定级、测评、实施与运维
5.3安全区域边界
5.5安全运营管理 中心
5.4安全计算环境 设计
5.6整体安全防护 效果
5.1.1安全物理环境技术标准 5.1.2物理位置选择 5.1.3物理访问控制 5.1.4防盗窃和防破坏 5.1.5防雷击 5.1.6防火 5.1.7防水和防潮 5.1.8防静电 5.1.9温湿度控制
5.2.1网络和通信安全技术标准 5.2.2安全体系架构 5.2.3网络通信安全
3.2.1信息系统 3.2.2通信网络设施 3.2.3数据资源
3.3.1定级方法概述 3.3.2确定受侵害的客体 3.3.3确定对客体的侵害程度 3.3.4初步确定等级
4.1总体安全
1
规划工作流程
4.2系统安全 2
风险及需求分 析
3 4.3总体设计
原则和思路
4 4.4安全防护
体系总体设计
5 4.5安全建设
9.1等级测评
1
概述
9.2测评准备
2
活动
3 9.3方案编制
活动
4 9.4现场测评
活动
5 9.5报告编制
活动
9.1.1等级测评风险 9.1.2等级测评风险规避
9.2.1测评准备活动工作流程 9.2.2测评准备活动主要任务 9.2.3测评准备活动输出文档 9.2.4测评活动中双方职责
9.3.1测评对象确定 9.3.2方案编制活动主要任务 9.3.3方案编制活动输出文档 9.3.4方案编制活动中双方职责
读书笔记
这书老实说很一般啊,大段大段抄标准,各种重复,不说人话,唯一有点看头的可能就是最后一章。
编者的等保测评以及网络安全工程建设经验丰富,尤其是实践案例部分很有借鉴意义。
这本书还是很不错的,表格将等级保护要求归纳的很好。
信息安全技术信息系统安全等级保护定级指南
信息安全技术信息系统安全等级保护定级指南在当今数字化的时代,信息系统已经成为了企业、组织乃至整个社会运转的重要支撑。
然而,伴随着信息系统的广泛应用,信息安全问题也日益凸显。
为了保障信息系统的安全稳定运行,保护公民、法人和其他组织的合法权益,我国制定了信息系统安全等级保护制度。
其中,定级是等级保护工作的首要环节和关键步骤,它决定了信息系统所需采取的安全保护措施和投入的资源。
本文将为您详细介绍信息系统安全等级保护定级的指南。
一、信息系统安全等级保护定级的重要性信息系统安全等级保护定级是对信息系统的重要性和潜在风险进行评估和划分等级的过程。
其重要性主要体现在以下几个方面:1、明确安全责任:通过定级,能够明确信息系统所有者、运营者和使用者在信息安全方面的责任和义务,确保各方对信息安全工作有清晰的认识和目标。
2、合理配置资源:根据信息系统的等级,合理分配安全防护资源,避免过度投入或投入不足,提高安全防护的效率和效果。
3、提高安全意识:定级过程能够促使相关人员增强对信息安全的重视,提升整体的安全意识和防范能力。
4、满足法律法规要求:符合国家关于信息安全等级保护的法律法规和政策要求,避免因未履行相关义务而面临法律风险。
二、信息系统安全等级保护定级的原则在进行信息系统安全等级保护定级时,需要遵循以下原则:1、自主定级原则:信息系统的运营使用单位应当按照相关标准规范,自主确定信息系统的安全保护等级。
2、客观公正原则:定级过程应当基于信息系统的实际情况,客观、公正地评估其重要性和潜在风险,不受主观因素的干扰。
3、科学合理原则:采用科学的方法和手段,综合考虑信息系统的业务特点、数据类型、用户规模等因素,合理确定等级。
4、动态调整原则:信息系统的安全保护等级应根据其变化情况进行动态调整,确保等级的准确性和有效性。
三、信息系统安全等级保护的等级划分信息系统安全等级保护分为五级,从低到高依次为:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)和第五级(专控保护级)。
等级保护定级指南
为什么要实施等级保护毒
3Q大战
荆州市商务局
沧州电信泄密
网站篡改
敏感数据泄密
钓鱼网站
假冒的中国工商银行网站
真正的中国工商银行网站
扬州市城乡建设局网站(/)
我们身边的重大安全事件案例
• 深圳市10万孕妇信息泄露 1.2万元一张光盘 贩卖 怀疑卫生局、计生委 • 广东电网珠海供电局无人值守终端向互联 网扫描 导致GDCERT告警 • 广州市政府机关网络信息中心UPS电池火 灾 瘫痪72小时 • 广州市越秀区教育局门户网站域名过期抢 注变色情网站 • 广州市破获省人事厅网站被入侵案,带破 福建省建设信息网等10多起黑客入侵案件 。
受到破坏时侵害了什 么?(客体) • 公民、法人 • 社会秩序、公共利益 • 国家安全
信息系统安全保 护等级
系统服务范围 业务服务保 证性 业务依赖程度
侵害的程度如何? (对客体造成侵害 的程度) • 一般损害 • 严重损害 • 特别严重损害
等级保护组合可能性
安全等级
第一级 第二级 第三级 S1A1G1 S1A2G2,S2A2G2,S2A1G2 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
第二级
指导性保护
Байду номын сангаас第三级
监督性保护
国家安全
社会秩序和公共利益
损害
特别严重损害 强制性保护 专控性保护
国家安全 极端重要系 统
国家安全
严重损害
特别严重损害
定级三条件
• 具有唯一确定的安全责任单位 • 满足信息系统的基本要素 • 承载相对独立的业务应用
定级对象识别与划分
• 可能使定级要素赋值不同因素
– 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。 • • 本身运行在不同的网络环境中的系统。 分不开的系统,按照高级别保护。
信息系统安全等级保护定级备案)
第三部分 确定定级对象
三、识别和划分定级对象中的难点 ∘ 影响定级要素赋值产生不同的因素
∘ 系统所涉及的客体不同 ∘ 系统对客体造成的损害程度不同 ∘ 系统处理的业务类型不同
∘ 本身运行在不同的网络环境中的系统 ∘ 分不开的系统,按照高级别保护
第三部分 确定定级对象
四、系统边界的划分注意事项 ∘ 不同信息系统的共用设备一般是网络/边界设
第六部分 评审、确定与审批
2. 信息系统安全保护等级的确定 业务信息安全保护等级的确定。 ◦ 第一步:简要描述信息系统所处理的主要 业务信息,包括各项业务的主要数据项有 哪些等。 ◦ 第二步:确定业务信息受到破坏后所侵害 的客体 ◦ 第三步:确定对客体的侵害程度 ◦ 第四步:查表确定业务信息安全等级
国家安全
特别严重损害 专门监督检查
第六部分 评审、确定与审批
第六部分:等级评审、确定与审批
信息系统等级评审 信息系统等级的确定与审批
第六部分 评审、确定与审批
定级报告
◦ 定级报告是为详细了解和掌握定级过程情况 由信息系统运营使用单位负责填写的文档。
◦ 定级报告要在信息系统备案时一并提交。
◦ 信息系统运营使用单位在起草定级报告时可 以请技术支持单位协助。
∘ 根据《关于开展全国重要信息系统安全等级保 护定级工作的通知》(以下简称《定级通知》) 要求:各行业主管部门要根据行业特点提出指 导本地区、本行业定级工作的指导意见。
第二部分 掌握实际情况
第二部分:掌握信息系统实际情况
认真调查,掌握信息系统实际情况
全面掌握信息系统(包括信息网络)的业务类型、 应用或服务范围、系统结构等基本情况,
第四部分 定级方法
信息安全
信息安全是指确保信息系统内信息的保密性、 完整性和可用性等;
网络安全等级保护定级指南解读
网络安全等级保护定级指南解读《信息安全技术网络安全等级保护定级指南》是《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)的修订版主要内容一.基本概念和定级要素二.定级方法三.工作流程•定级是开展网络安全等级保护工作的“基本出发点”•定级结果应当成为系统安全保护的总体安全需求之一•定级过程是找到系统最大风险的过程•《信息安全等级保护管理办法》(公通字[2007]43号“第七条信息系统的保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
”•解决了:信息系统根据什么定级?定什么级?•从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息系统被破坏后造成危害的严重性角度对信息系统确定的等级-重要性定级•没有解决:定级的方法、流程•《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)•《信息安全技术网络安全等级保护定级指南》(GB/T 22240-20**)(前者的修订版)——主要关注等级保护定级工作开展的流程及定级的方法•概念解释•安全保护等级•等级保护对象•客体•安全保护等级等级的确定是不依赖于安全保护措施的,具有一定的“客观性”,即该系统在存在之初便由其自身所实现的使命的重要程度决定了它的安全保护等级,而非由“后天”的安全保护措施决定。
•等级保护对象•网络安全等级保护工作的作用对象,主要包括基础网络设施、信息系统(如工业控制系统、云计算平台、物联网、使用移动互联技术的系统、其他系统)以及数字资源等。
等级保护定级标准
等级保护定级标准
等级保护定级标准是指按照一定的标准对不同级别的敏感信息进行分类,并采取相应的保护措施。
具体的定级标准根据不同的国家、行业以及组织会有所差异。
以下是一些通用的定级标准:
1.机密级别:对国家、行业或组织的安全、利益、声誉造成严重威胁的信息,需要严格控制和保护,如国家机密、商业机密等。
2.秘密级别:对国家、行业或组织的安全、利益、声誉造成较大威胁的信息,需要较高的控制和保护,如技术资料、商业计划等。
3.内部级别:对组织内部的运营和管理产生影响的信息,需要在组织内部控制和保护,如人事、财务等。
4.公开级别:对公众或组织外部没有影响的信息,可以在公共场合进行公开,如新闻发布、公告等。
定级标准是企业信息安全管理中的重要一环,通过对不同级别信息的分类和保护,可以保障企业的安全和稳定发展。
信息安全等级保护定级指南
信息安全等级保护定级指南The document was finally revised on 2021附件2信息系统安全保护等级定级指南(试用稿)公安部二〇〇五年十二月目次信息系统安全保护等级定级指南1范围本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。
有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统,该系统的安全保护等级定为5级,不再使用本指南的方法定级。
各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。
2术语和定义下列术语和定义适用于本指南。
2.1 业务信息(Business Information)为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。
2.2 业务信息安全性(Security of Business Information)保证业务信息机密性、完整性和可用性程度的表征。
2.3 业务服务保证性(Assurance of Business Service)保证信息系统完成业务使命程度的表征。
业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。
2.4 信息系统(Information System)基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。
2.5 业务子系统(Business Subsystem)由信息系统的一部分组件构成,是信息系统中能够承载某项业务工作的子系统。
3定级对象如果信息系统只承载一项业务,可以直接为该信息系统确定等级,不必划分业务子系统。
如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级,信息系统的安全保护等级由各业务子系统的最高等级决定。
信息系统是进行等级确定和等级保护管理的最终对象。
3.1 信息系统的划分一个组织机构内可能运行一个或多个信息系统,这些信息系统的安全保护等级可以是相同的,也可以是不同的。
简述等级保护对象定级工作的一般流程
简述等级保护对象定级工作的一般流程
等级保护对象定级工作是指对特定的机构、项目或设施进行等级保护的评估和定级工作。
其目的是根据安全风险和重要程度,将等级保护对象划分为不同的等级,以便采取相应的保护措施。
一般流程如下:
1. 收集信息:首先,定级工作团队需要收集关于等级保护对象的一切相关信息,包括其性质、功能、规模、所处环境、关键资源等。
这些信息将有助于评估安全风险和重要程度。
2. 评估安全风险:在收集到足够的信息后,团队将对等级保护对象的安全风险进行评估。
这包括对潜在威胁的识别和分析,以及对可能的安全事件的影响程度进行评估。
3. 评估重要程度:同时,团队还将评估等级保护对象的重要程度。
这包括对其对组织、社会或国家的价值、影响力以及对关键资源的依赖程度进行评估。
4. 划定等级:基于安全风险和重要程度的评估结果,团队将等级保护对象划分为不同的等级。
一般来说,等级分为高、中、低三个等级,也可以根据具体情况设定更多的等级。
5. 制定保护措施:一旦等级划定完成,团队将根据每个等级的需求,制定相应的保护措施。
这些措施可以包括物理安全措施、技术措施、人员管理措施等,以确保等级保护对象的安全。
6. 定期评估和更新:等级保护对象的评估和定级工作不是一次性的过程,而是需要定期进行评估和更新。
团队应定期对等级保护对象的安全风险和重要程度进行评估,以及时调整保护措施和等级划定。
等级保护对象定级工作是一项复杂而重要的任务,它可以帮助组织科学、全面地了解自身的安全风险和重要资产,从而采取相应的保护措施,确保关键资源的安全和可持续发展。
1、等级保护对象定级工作的一般流程
1、等级保护对象定级工作的一般流程下载温馨提示:该文档是我店铺精心编制而成,希望大家下载以后,能够帮助大家解决实际的问题。
文档下载后可定制随意修改,请根据实际需要进行相应的调整和使用,谢谢!并且,本店铺为大家提供各种各样类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,如想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by theeditor.I hope that after you download them,they can help yousolve practical problems. The document can be customized andmodified after downloading,please adjust and use it according toactual needs, thank you!In addition, our shop provides you with various types ofpractical materials,such as educational essays, diaryappreciation,sentence excerpts,ancient poems,classic articles,topic composition,work summary,word parsing,copy excerpts,other materials and so on,want to know different data formats andwriting methods,please pay attention!等级保护对象定级工作的基本流程详解在网络安全领域,等级保护对象的定级工作是确保信息安全的重要一环。
以下哪些为等级保护定级流程的工作内容
以下哪些为等级保护定级流程的工作内容等级保护定级流程的工作内容包括但不限于以下几个方面:1.制定等级保护定级政策和标准:在开始等级保护定级流程之前,需要制定明确的政策和标准,以指导和规范整个流程。
政策和标准应当包括对不同等级的保护要求、申请条件、审核程序等方面的规定。
3.安全评估和测试:定级机构对申请人的系统和设备进行安全评估和测试,以验证其符合等级保护标准的要求。
评估和测试的方法包括漏洞扫描、安全测试、风险评估等,旨在发现潜在的安全漏洞和风险,为等级定级提供依据。
4.定级评审和决策:定级机构组织专家进行评审和决策,根据申请材料和评估结果,确定申请人的等级保护级别。
评审过程应当公正、公平、透明,确保评级结果的准确性和可靠性。
5.等级保护定级证书颁发:定级机构颁发等级保护定级证书给申请人,证书应当包括等级保护级别、有效期限等信息。
证书的颁发标志着申请人已经通过了等级保护定级流程,达到了一定的安全水平。
6.定级结果公示和备案:定级机构将申请人的等级保护定级结果公示,并将结果备案,以便行业和社会各界了解和查阅。
公示和备案形式可以是在定级机构官方网站上公布,或者通过其他适当的方式进行。
7.定期复评和维持等级:定级机构对持有等级保护定级证书的申请人进行定期复评,以验证其是否继续符合等级保护标准的要求。
复评的频率和评估的内容应当根据具体情况确定。
申请人需要配合定级机构的复评工作,并采取必要的措施来维持其等级保护级别。
9.定级结果的监督和检查:相关部门或第三方机构可以对定级机构和申请人的等级保护定级结果进行监督和检查,以确保定级工作的质量和透明度。
监督和检查的形式可以是定期的抽查、不定期的专项检查,或者根据投诉、举报等情况进行的调查。
10.等级保护定级结果的更新和调整:如果申请人的业务范围、安全需求等发生变化,可能需要对其等级保护定级结果进行更新和调整。
定级机构应当及时处理申请人的更新和调整请求,确保其等级保护级别与实际情况相符。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
确定受侵害的客体
影响公民、法人和其他组织的合法权益是指由法 律确认的并受法律保护的公民、法人和其他组织 所享有的一定的社会权利和利益。 确定作为定级对象的信息系统受到破坏后所侵害 的客体时,应首先判断是否侵害国家安全,然后 判断是否侵害社会秩序或公众利益,最后判断是 否侵害公民、法人和其他组织的合法权益。 各行业可根据本行业业务特点,分析各类信息和 各类信息系统与国家安全、社会秩序、公共利益 以及公民、法人和其他组织的合法权益的关系, 从而确定本行业各类信息和各类信息系统受到破 坏时所侵害的客体。
综合判定侵害程度
信息安全和系统服务安全被破坏后对客体的侵害程 度,由对不同危害结果的危害程度进行综合评定 得出。由于各行业信息系统所处理的信息种类和 系统服务特点各不相同,信息安全和系统服务安 全受到破坏后关注的危害结果、危害程度的计算 方式均可能不同,各行业可根据本行业信息特点 和系统服务特点,制定危害程度的综合评定方法, 并给出侵害不同客体造成损害、严重损害、特别 严重损害的具体定义。
综合判定侵害程度
在针对不同的受侵害客体进行侵害程度的判断时, 应参照以下不同的判别基准: 如果受侵害客体是公民、法人或其他组织的合法权 益,则以本人或本单位的总体利益作为判断侵害程 度的基准; 如果受侵害客体是社会秩序、公共利益或国家安全, 则应以整个行业或国家的总体利益作为判断侵害程 度的基准。
定级的步骤
定级要素分析
定级要素:信息系统的安全保护等级由两个定 级要素决定:等级保护对象受到破坏时所侵害 的客体和对客体造成侵害的程度。 分析工具:安全定级知识库。 分析方法:定级要素分析时需分别对业务信息 安全等级和系统服务安全等级进行分析,分析 内容包括确定受侵害的客体、确定对客体的侵 害程度,从而确定相应的业务信息安全等级和 系统服务安全等级。最后,综合业务信息安全 等级和系统服务安全等级得到信息系统安全等 级保护系统等级。
综合判定侵害程度
不同危害后果的三种危害程度描述如下:
一般损害:工作职能受到局部影响,业务能力有所降低但不 影响主要功能的执行,出现较轻的法律问题,较低的资产损 失,有限的社会不良影响,对其他组织和个人造成较低损害。 严重损害:工作职能受到严重影响,业务能力显著下降且严 重影响主要功能执行,出现较严重的法律问题,较高的资产 损失,较大范围的社会不良影响,对其他组织和个人造成较 严重损害。 特别严重损害:工作职能受到特别严重影响或丧失行使能力, 业务能力严重下降且或功能无法执行,出现极其严重的法律 问题,极高的资产损失,大范围的社会不良影响,对其他组 织和个人造成非常严重损害。
确定受侵害的客体
侵害社会秩序的事项包括以下方面: 影响国家机关社会管理和公共服务的工作秩序; 影响各种类型的经济活动秩序; 影响各行业的科研、生产秩序; 影响公众在法律约束和道德规范下的正常生活秩 序等; 其他影响社会秩序的事项。
确定受侵害的客体
影响公共利益的事项包括以下方面: 影响社会成员使用公共设施; 影响社会成员获取公开信息资源; 影响社会成员接受公共服务等方面; 其他影响公共利益的事项。
确定对客体的侵害程度
信息安全和系统服务安全受到破坏后,可能产生 以下危害后果: 影响行使工作职能; 导致业务能力下降; 引起法律纠纷; 导致财务损失; 造成社会不良影响; 对其他组织和个人造成损失; 其他影响。
综合判定侵害程度
信息安全和系统服务安全受到破坏后,可能产生以 下危害后果: 侵害程度是客观方面的不同外在表现的综合体现,因 此,应首先根据不同的受侵害客体、不同危害后果 分别确定其危害程度。对不同危害后果确定其危害 程度所采取的方法和所考虑的角度可能不同,例如 系统服务安全被破坏导致业务能力下降的程度可以 从信息系统服务覆盖的区域范围、用户人数或业务 量等不同方面确定,业务信息安全被破坏导致的财 物损失可以从直接的资金损失大小、间接的信息恢 复费用等方面进行确定。
监管方式
自主保护
指导保护级 第二级 监督保护级 第三级 强制保护级 第四级 专控保护级 第五级
政府职能部门指导下 的自主保护
政府职能部门监督下 的严格保护 政府职能部门的强制 监督和检查下的严格 保护 政府协助下由主管部 门和使用单位实施专 门控制和保护
定级的要素
等级保护对象受到破坏时所侵害的客体和对客体 造成侵害的程度。 等级保护对象受到破坏时所侵害的客体包括以下 三个方面:
公民、法人和其他组织的合法权益; 社会秩序、公共利益; 国家安全。
等级保护对象受到破坏后对客体造成侵害的程度 归结为以下三种:
造成一般损害; 造成严重损害; 造成特别严重损害。
定级要素与安全保护等级的关系
对客体的侵害程度 受侵害的客体 公民、法人和其他组织的合 法权益 社会秩序、公共利益 国家安全 一般损害 第一级 第二级 第三级 严重损害 第二级 第三级 第四级 特别严重损 害 第二级 第四级 第五级
依据表 2
4、业务信息安全等级
依据表 3
7、系统服务安全等级
8、定级对象的安全保护等级
定级的步骤
定级的步骤
信息系统调查
信息系统调查工作通过全面客观的信息资产调查表以核查和访 谈的方式完成信息资产调查工作,即通过信息系统的摸底调查, 全面掌握信息系统的数量、分布、业务类型、应用或服务范围、 系统结构等基本情况。
等级保护定级
张兰
主题
定级工作的意义
定级的范围
信息系统五个安全等级
定级要素及与安全保护等级的关系
定级一般流程
定级的步骤
定级工作的意义
此次定级工作的重要性 此次定级工作的强制性 此次定级工作的急迫性
此次定级的范围
(一)电信、广电行业的公用通信网、广播电视传输网 等基础信息网络,经营性公众互联网信息服务单位、互 联网接入服务单位、数据中心等单位的重要信息系统。 (二)铁路、银行、海关、税务、民航、电力、证券、 保险、外交、科技、发展改革、国防科技、公安、人事 劳动和社会保障、财政、审计、商务、水利、国土资源、 能源、交通、文化、教育、统计、工商行政管理、邮政 等行业、部门的生产、调度、管理、办公等重要信息系 统。 (三)市(地)级以上党政机关的重要网站和办公信息 系统等。 (四)涉及国家秘密的信息系统(以下简称“涉密信息 系统”)。
确定定级对象的关键因素?
关键因素是责任主体,即一定要明确 责任主体,不属于自己负责的不要定 级。多责任主体就需要将定级对象细 分,一定要有具体明确的责任主体。
建议对于省部级信息网络,在政府大 院的由部、省级信息主管确定即可, 大院之外,具体分析再定。跨省的统 一性信息系统,如果地方只有应用而 没有开发、维护等,由部统一定级即 可。
确定受侵害的客体
定级对象受到破坏时所侵害的客体包括国家安全、 社会秩序、公众利益以及公民、法人和其他组织 的合法权益。 侵害国家安全的事项包括以下方面: 影响国家政权稳固和国防实力; 影响国家统一、民族团结和社会安定; 影响国家对外活动中的政治、经济利益; 影响国家重要的安全保卫工作; 影响国家经济竞争力和科技实力; 其他影响国家安全的事项。
信息系统定级—定级对象
具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安 全责任单位。如果一个单位的某个下级单位负责 信息系统安全建设、运行维护等过程的全部安全 责任,则这个下级单位可以成为信息系统的安全 责任单位;如果一个单位中的不同下级单位分别 承担信息系统不同方面的安全责任,则该信息系 统的安全责任单位应是这些下级单位共同所属的 单位。
信息系统五个安全等级
等级
第一级
名称
自主保护级
定义
息系统受到破坏后,会对公民、法 人和其他组织的合法权益造成损害, 但不损害国家安全、社会秩序和公 共利益。 信息系统受到破坏后,会对公民、 法人和其他组织的合法权益产生严 重损害,或者对社会秩序和公共利 益造成损害,但不损害国家安全。 信息系统受到破坏后,会对社会秩 序和公共利益造成严重损害,或者 对国家安全造成损害。 信息系统受到破坏后,会对社会秩 序和公共利益造成特别严重损害, 或者对国家安全造成严重损害。 信息系统受到破坏后,会对国家安 全造成特别严重损害。
信息系统定级—定级对象
如果信息系统只承载一项业务, 可以直接为该信息系统确定等级,不 必划分业务子系统。 如果信息系统承载多项业务,应 根据各项业务的性质和特点,将信息 系统分成若干业务子系统,分别为各 业务子系统确定安全保护等级,信息 系统的安全保护等级由各业务子系统 的最高等级决定。信息系统是进行等 级确定和等级保护管理的最终对象。
信息系统定级—定级对象
具有信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套 的设备、设施按照一定的应用目标和规则组合而 成的有形实体。应避免将某个单一的系统组件, 如服务器、终端、网络设备等作为定级对象。
信息系统定级—定级对象
承载单一或相对独立的业务应用 定级对象承载“单一”的业务应用是指该业务应用 的业务流程独立,且与其他业务应用没有数据交 换,且独享所有信息处理设备。定级对象承载 “相对独立”的业务应用是指其业务应用的主要业 务流程独立,同时与其他业务应用有少量的数据 交换,定级对象可能会与其他业务应用共享一些 设备,尤其是网络传输设备。
定级一般流程
确定作为定级对象的信息系统; 确定业务信息安全受到破坏时所侵害的客体; 根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对 客体的侵害程度; 依据下表,得到业务信息安全等级;
业务信息安全被破坏时 所侵害的客体 公民、法人和其他组织 的合法权益 社会秩序、公共利益 国家安全 对相应客体的侵害程度 一般损害 第一级 第二级 第三级 严重损害 第二级 第三级 第四级 特别严重 损害 第二级 第四级 第五级
定级一般流程
确定系统服务安全受到破坏时所侵害的客体; 根据不同的受侵害客体,从多个方面综合评定系统服务安全被破 坏对客体的侵害程度; 依据下表,得到系统服务安全等级;