收藏
下载资源

《税务系统网络与信息安全事件分级分类指南》

上传人:飞*** 文档编号:24801115 上传时间:2017-12-07 格式:DOC 页数:18 大小:340.50KB
返回 下载 相关 举报
《税务系统网络与信息安全事件分级分类指南》_第1页
第1页 / 共18页
《税务系统网络与信息安全事件分级分类指南》_第2页
第2页 / 共18页
《税务系统网络与信息安全事件分级分类指南》_第3页
第3页 / 共18页
《税务系统网络与信息安全事件分级分类指南》_第4页
第4页 / 共18页
《税务系统网络与信息安全事件分级分类指南》_第5页
第5页 / 共18页
点击查看更多>>
资源描述

《《税务系统网络与信息安全事件分级分类指南》》由会员分享,可在线阅读,更多相关《《税务系统网络与信息安全事件分级分类指南》(18页珍藏版)》请在金锄头文库上搜索。

1、税务系统网络与信息安全事件分级分类指南(试行)税务系统网络与信息安全事件分级分类指南2前 言税务系统网络与信息安全事件分级分类指南(试行)(以下简称“指南”)是税务系统网络与信息安全事件分级分类的指导性文件。本指南对税务系统网络与信息安全事件分级分类依据与方法进行了描述,是税务系统安全保障工作实施的指南。本指南由国家税务总局信息中心负责解释。税务系统网络与信息安全事件分级分类指南31. 引言为落实中共中央办公厅、国务院办公厅转发的通知 (中办发200327 号)的要求,配合税务系统应急响应工作开展和相应的配套信息安全报告制度的落实,制订本指南。1 1 目的本指南为税务系统内发生的网络与信息安全

2、事件的报告、应急处置、调查处理和评估备案提供标准与依据。12 范围本指南适用于全国税务系统发生的网络与信息安全事件的分级与分类。也可供相关职能部门在协调网络与信息安全事件响应时参考。13 定义网络与信息安全事件是危害网络与信息系统的可用性、完整性、保密性、真实性和可核查性的事件;或者是发生在网络与信息系统中对社会造成负面影响的事件。2. 网络与信息安全事件分级对网络与信息安全事件的分级是进行网络与信息安全事件响应的基础。2 1 网络与信息安全事件级别根据事件后果的严重程度,网络与信息安全事件划分为 5 个级别,其中 1 级危害程度最高,5 级危害程度最低。各级别网络与信息安全事件的描述为: 1

3、 级网络与信息安全事件:灾难性安全事件。对税务系统业务活动、税务单位利益或社会公共利益有灾难性的影响或危害;2 级网络与信息安全事件:特别重大安全事件。对税务系统业务活动、税务单位利益或社会公共利益有极其严重的影响或危害;3 级网络与信息安全事件:重大安全事件。对税务系统业务活动、税务单位利益或社会公共利益有较为严重的影响或危害;4 级网络与信息安全事件:较大安全事件。对税务系统业务活动、税务单位利益或社会公共利益有一定的影响或危害;5 级网络与信息安全事件:一般安全事件。对税务系统业务活动、税务单位利益或社会公共利益基本不影响或危害极小。3 级和 3 级以上的网络与信息安全事件称为重大网络与

4、信息安全事件。22 网络与信息安全事件分级依据221 分级模型在为一个网络与信息安全事件进行分级时,该安全事件的严重程度和造成的损失是密切相关的。损失可以是两个方面的,一方面是相关信息资产的直接损失,另一方面是附带的间接损失,如公众的影响、法律纠纷等,通过评估这两方面的损失可以为该安全事件进行具体分级。为了更客观和清晰的评估这两方面的损失,下面给出分级模型,在对模型要素的半量化赋值后,可以按照分级依据中提供的评估对应表得出具体的损失级别。资产损失由以下几个模型要素进行评估:影响、发生时期、资产价值、资产密级;其中影响的评估由以下几个模型要素进行评估:影响范围、影响程度、影响时间。间接损失由以下

5、几个模型要素进行评估:公众影响、法律纠纷、发生时间。税务系统网络与信息安全事件分级分类指南4分级模型示意图如下:根据以上模型,信息安全事件的基本定级方法如下:1) 对该信息安全事件的各个相关安全模型要素进行评估赋值;2) 根据影响范围、影响程度、影响时间的赋值结果得出影响的级别;3) 根据影响、发生时期、资产价值、资产密级的级别得出资产损失的级别;4) 根据公众影响、法律纠纷、发生时间的级别得出间接损失的级别;5) 根据资产损失和间接损失的级别为本安全事件定级。222 分级依据分级依据提供对分级模型的各要素的具体解释及相关的评估对应表;网络与信息安全事件的分级需要考虑模型要素和中间参考要素,模

6、型要素的评定由评估人员根据安全事件的性质直接得到,中间参考要素的评定根据其关联的模型要素查相关的评估对应表得到。2221 模型要素模型要素包括发生时期、资产价值、资产密级、影响范围、影响程度、影响时间、公众影响、法律纠纷等项。各模型要素分别说明如下:(1) 发生时期该模型要素用来描述安全事件发生时期的敏感性,具体描述如下:级别 发生时期 描述1 公众敏感期 国家举行重大活动期间、重大节假日期间或重大政治事件、重大历史事件的发生日等特殊时期。2 业务敏感期 税法规定的报缴时期、重要业务系统数据传输截止日期等特殊时期3 平常时期 除以上时期外的其他时期(2) 资产价值该模型要素用来描述网络与信息安

7、全事件所涉及的资产价值,包含硬件价值、软件价值和信息价值,具体描述如下:级别 资产价值 描述1 价值很高 该资产对税务系统具有非常重要的意义,一旦损失,将带来灾难性的影响或破坏,如重要的业务系统、网络基础设施、中心机房、关键设备等。资产价值发生时间法律纠纷公众影响影响时间影响程度影响范围资产密级发生时间影响间接损失安全级别资产损失税务系统网络与信息安全事件分级分类指南52 价值较高 该资产对税务系统具有重要的意义,一旦损失,将带来一定的影响或破坏。3 价值较低 该资产对税务系统影响较少,即使损失也不会带来严重的后果和影响。(3) 资产密级根据中华人民共和国保守国家秘密法规定,国家秘密的密级分为

8、“绝密”、“机密”、“秘密”三个等级。“绝密”是最重要的国家秘密,泄露会使国家的安全和利益遭受非常严重的损害;“机密”是重要的国家秘密,泄露会使国家的安全和利益遭受严重的损害;“秘密”是一般的国家秘密,泄露会使国家的安全和利益遭受损害。税务系统中相应密级规定按经济工作中国家秘密及其密级具体范围的规定(国保发19975 号)文件执行。同时单位的重要信息、敏感信息泄漏也会造成不同程度的影响和损害。除了考虑信息的密级外,还应考虑密码相关设备的密级。除此之外的信息为普通信息。具体描述如下:级别 资产密级 描述1 级 绝密 明确标注有“绝密”的信息或设备2 级 机密 明确标注有“机密”的信息或设备3 级

9、 秘密 明确标注有“秘密”的信息或设备和税务单位的其他重要或敏感信息4 级 普通 其他信息(4) 影响范围信息安全事件的影响范围,主要是指对税务业务系统所造成影响的覆盖面,可从对业务系统的影响范围和对内部工作人员的影响范围两个方面进行考虑。具体描述如下:级别 影响范围 描述1 级 很大 影响本级业务系统的正常运行,或者影响本级大多数工作人员的正常工作的信息安全事件。2 级 较大 影响本级业务系统部分功能的正常运行,或者影响了本级部分工作人员的正常工作的信息安全事件。3 级 较小 对本级业务系统无影响或轻微影响,或只对个别人员(正常工作秩序造成影响的信息安全事件。(5) 影响程度信息安全事件的影

10、响程度,主要是指对业务系统工作影响的严重程度。具体描述如下:级别 影响程度 描述1 级 严重 导致整个业务系统无法工作,或大量关键数据丢失的信息安全事件。 2 级 一般 导致业务系统的部分应用无法正常运行,或部分关键数据丢失的信息安全事件。3 级 较轻 对业务系统无影响或仅有轻微影响,不影响整个业务系统的正常运行的信息安全事件。(6) 影响时间该参考要素用来描述安全事件对业务系统产生影响的持续时间。具体描述如下:级别 影响时间 描述1 较长 8 小时以上2 中等 1 到 8 小时3 较短 1 小时以内税务系统网络与信息安全事件分级分类指南6(7) 公众影响该参考要素用来描述信息安全事件产生的公

11、众负面影响,包括对纳税人(客户)所造成的影响,也包括对一般社会公众所造成的负面影响。具体描述如下: 级别 公众影响 描述1 级 重大 对税务系统形象或社会公众利益造成严重影响或引起国家甚至国际媒体机构的负面关注报道的信息安全事件。2 级 普通 对税务系统形象或社会公众利益造成一些影响或引起省级及省级以下媒体机构的负面关注报道的信息安全事件。3 级 较小 对税务系统形象或社会公众利益影响微弱或无影响的信息安全事故。(8) 法律纠纷该参考要素用来描述由于信息安全事件引发的法律纠纷或诉讼,一般来讲,这些纠纷或诉讼会给税务系统的形象带来负面影响。具体描述如下:级别 法律纠纷 描述1 级 重大 引起复杂

12、的法律诉讼问题,案情由级别相当高的法院审理,控方提出的赔付数额巨大的信息安全事件。2 级 普通 引起法律诉讼问题较简单,案情由基层法院审理,控方提出的赔付数额不大的信息安全事件。3 级 较小 未引起法律纠纷的信息安全事故。2222 中间参考要素中间参考要素包括影响、资产损失、间接损失。各中间参考要素分别说明如下:(1)影响该参考要素用来描述安全事故对税务系统的信息资产造成影响的严重程度,该中间参考要素的评价依据以下三个基本模型要素:影响范围、影响程度和影响时间,具体描述如下:级别 影响 描述1 级 重大 对本级信息资产造成严重的影响,使受影响的信息资产产生了极大的破坏的信息安全事件。2 级 普

13、通 对本级信息资产造成一定的影响,资产丧失了部分功能或损失了部分价值的信息安全事件。3 级 较小 对本级信息资产造成较小的影响或不对本级信息资产有任何影响的信息安全事件。(2)资产损失该参考要素用来描述安全事件对税务系统的信息资产(包括硬件、软件、信息等)造成损失的严重程度,该中间参考要素的评价由以下四个基本参考要素来确定:影响、发生时期、资产价值、资产密级,具体描述如下:级别 资产损失 描述1 巨大 造成税务系统密级信息泄密或相关资产的损失无法为本级税务部门容忍或直接经济损失在 1000 万元人民币以上的信息安全事件2 重大 造成相关资产的损失比较重大,本级税务部门需要花费大量努力才能恢复或

14、直接经济损失在 100 万到 1000 万元人民币的信息安全事件3 一般 造成相关资产的损失一般,本级税务部门可以较容易恢复或直接经济损失在 10 万到 100 万元人民币的信息安全事件4 较小 造成相关资产的损失较小,本级税务部门可以极快恢复或直接税务系统网络与信息安全事件分级分类指南7经济损失在 10 万元人民币以下的信息安全事件5 极小 造成相关资产的损失轻微或无损失的信息安全事件(3)间接损失该参考要素用来描述安全事故对税务系统形象、声誉等方面造成的间接损失,对该损失的评价依据以下三个基本参考要素:公众影响、法律纠纷和发生时间,具体描述如下:级别 间接损失 描述1 级 巨大 对税务系统

15、的形象、声誉造成巨大负面影响,公众反应强烈,补救极其困难的信息安全事件2 级 重大 对税务系统的形象、声誉造成重大负面影响,公众反应较强烈,补救较困难的信息安全事件3 级 一般 对税务系统的形象、声誉具有一定的负面影响,补救较简单的信息安全事件4 级 较小 对税务系统的形象、声誉具有较小的负面影响,补救极简单的信息安全事件5 级 极小 对税务系统的形象、声誉无或极小负面影响的信息安全事件2223 评估对应表评估对应表用来为中间参考要素的评价及最终安全事件的定级提供参考依据,具体描述如下:(1) 影响评估对应表该评估对应表用来评估信息安全事件对资产造成的影响,具体描述如下:影响范围 影响程度 影

16、响时间 影响1 1 1 11 1 2 11 1 3 21 2 1 11 2 2 11 2 3 21 3 1 11 3 2 21 3 3 32 1 1 22 1 2 22 1 3 22 2 1 22 2 2 22 2 3 32 3 1 22 3 2 22 3 3 33 1 1 23 1 2 23 1 3 23 2 1 33 2 2 3税务系统网络与信息安全事件分级分类指南83 2 3 33 3 1 33 3 2 33 3 3 3(2) 资产损失评估对应表该评估对应表用来对资产损失提供评估定级,描述如下:密级 资产价值 影响 发生时期 资产损失1 任意 任意 任意 12 任意 任意 任意 13 任意 任意 任意 14 1 1 任意 14 1 2 1 14 1 2 2 14 1 2 3 24 1 3 1 24 1 3 2 24 1 3 3 34 2 1 1 24 2 1 2 24 2 1 3 34 2 2 1 34 2 2 2 34 2 2 3 44 2

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号