收藏
下载资源

信息系统安全等级保护定级备案) 49页

上传人:小** 文档编号:45269329 上传时间:2018-06-15 格式:PPT 页数:47 大小:1.47MB
返回 下载 相关 举报
信息系统安全等级保护定级备案) 49页_第1页
第1页 / 共47页
信息系统安全等级保护定级备案) 49页_第2页
第2页 / 共47页
信息系统安全等级保护定级备案) 49页_第3页
第3页 / 共47页
信息系统安全等级保护定级备案) 49页_第4页
第4页 / 共47页
信息系统安全等级保护定级备案) 49页_第5页
第5页 / 共47页
点击查看更多>>
资源描述

《信息系统安全等级保护定级备案) 49页》由会员分享,可在线阅读,更多相关《信息系统安全等级保护定级备案) 49页(47页珍藏版)》请在金锄头文库上搜索。

1、信息系统安全等级保护定级备案信息系统安全等级保护定级备案信息系统安全等级保护定级指南主要内容 引言 第一部分:等级保护定级概述 第二部分:掌握信息系统实际情况 第三部分:确定定级对象 第四部分:定级方法 第五部分:初步定级 第六部分:评审、确定与审批 第七部分:等级调整 第八部分:备案工作 第九部分:问题解答引言引言为推动我国信息安全等级保护工作的开展,十多年 来,在公安部的领导和支持下,在国内有关专家、 企业的共同努力下,全国信息安全标准化技术委员 会和公安部信息系统安全标准化技术委员会组织制 订了信息安全等级保护工作需要的一系列标准,形 成了比较完整的信息安全等级保护标准体系,为开 展信息

2、安全等级保护工作提供了标准保障。引言n定级政策 关于开展全国重要信息系统安全等级保护定 级工作的通知(公通字2007861号)。引言引言n定级标准 信息系统安全等级保护定级指南和信息系统 安全等级保护行业定级细则为确定信息系统安全 保护等级提供支持。 信息系统安全等级保护定级指南(GB/T22240- 2008) 信息系统安全等级保护行业定级细则引言引言n信息系统安全保护等级 第一级,信息系统受到破坏后,会对公民、法 人和其他组织的合法权益造成损害,但不损害 国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法 人和其他组织的合法权益产生严重损害,或者 对社会秩序和公共利益

3、造成损害,但不损害国 家安全。第一部分第一部分 等级保护定级概述等级保护定级概述第一部分:等级保护定级概述 第三级,信息系统受到破坏后,会对社会秩序 和公共利益造成严重损害,或者对国家安全造 成损害。 第四级,信息系统受到破坏后,会对社会秩序 和公共利益造成特别严重损害,或者对国家安 全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全 造成特别严重损害。第一部分第一部分 等级保护定级概述等级保护定级概述n定级的一般流程第一部分第一部分 等级保护定级概述等级保护定级概述n n行业行业系统系统定级工作的指导意见的提出定级工作的指导意见的提出 各个行业的职能存在差异 信息系统所发挥的作用根据

4、不同行业存在较大 差别 不同行业的信息系统被破坏后对国家和社会的 危害不尽相同 各行业主管部门可以从行业整体出发,从宏观 上更好的把握本行业内各运营单位信息系统的 定级工作第一部分第一部分 等级保护定级概述等级保护定级概述n指导意见 根据管理办法第十条:信息系统运营、使 用单位应当依据本办法和信息系统安全等级 保护定级指南确定信息系统的安全保护等级 。有主管部门的,应当经主管部门审核批准。 跨省或者全国统一联网运行的信息系统可以由 主管部门统一确定安全保护等级。 根据关于开展全国重要信息系统安全等级保 护定级工作的通知(以下简称定级通知 )要求:各行业主管部门要根据行业特点提出 指导本地区、本

5、行业定级工作的指导意见。第一部分第一部分 等级保护定级概述等级保护定级概述n n行业行业定级工作的指导意见定级工作的指导意见的意义:的意义: 更好的贯彻落实管理办法 使本行业实施等级保护工作的政策和方针的目 的性更加明确 有利于本行业制定定级工作的阶段计划 有利于统一本行业对定级要素赋值规范第一部分第一部分 等级保护定级概述等级保护定级概述n认真调查,掌握信息系统实际情况全面掌握信息系统(包括信息网络)的业务类型、 应用或服务范围、系统结构等基本情况,第二部分第二部分 掌握实际情况掌握实际情况第二部分:掌握信息系统实际情况第三部分第三部分 确定定级对象确定定级对象n定级对象的基本特征n定级对象

6、的确定方法n科学、合理确定定级对象n确定定级对象举例第三部分:确定定级对象第三部分第三部分 确定定级对象确定定级对象定级对象的基本特征:n 具有唯一确定的安全责任主体作为定级对象的信息系统应能够唯一地确定其安全责 任单位。(具有唯一确定的安全责任单位)n 具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设 备、设施按照一定的应用目标和规则组合而成的有形 实体。定级对象的基本特征:n 承载单一或相对独立的业务应用定级对象承载“单一”的业务应用是指该业务应用的业 务流程独立,且与其他业务应用没有数据交换,且独 享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应 用

7、的主要业务流程独立,同时与其他业务应用有少量 的数据交换,定级对象可能会与其他业务应用共享一 些设备,尤其是网络传输设备。第三部分第三部分 确定定级对象确定定级对象只有同时满足上述三个条件,才可由本单位对信息 系统进行定级第三部分第三部分 确定定级对象确定定级对象定级对象的确定方法:n 从管理机构角度划分n 从业务类型角度划分n 从相同的物理位置和相似的运行环境划分科学、合理确定定级对象 n 要把握以下几个原则: 一是以相对独立的应用系统为定级对象。 二是确认负责定级的单位是否具有对所定级系统 的安全责任。 三是确定定级对象的方法允许多种多样。第三部分第三部分 确定定级对象确定定级对象确定定级

8、对象举例 n 一、识别和描述定级对象 识别基本信息、管理框架、业务种类和业务流程 、信息资产、网络结构、软硬件设备、用户类型 和分布,描述单位基本信息。 n 二、划分定级对象 分析安全管理责任,确定管理边界;分析网络结 构和已有内外部边界;分析业务流程和业务间关 系;初步划定信息系统,确定定级对象。第三部分第三部分 确定定级对象确定定级对象n 三、识别和划分定级对象中的难点 影响定级要素赋值产生不同的因素 系统所涉及的客体不同 系统对客体造成的损害程度不同 系统处理的业务类型不同 本身运行在不同的网络环境中的系统 分不开的系统,按照高级别保护第三部分第三部分 确定定级对象确定定级对象n 四、系

9、统边界的划分注意事项 不同信息系统的共用设备一般是网络/边界设 备或终端设备。 两个信息系统边界存在的共用设备的安全保护 等级按两个信息系统安全保护等级较高者确定 管理终端与被管理对象相对应,被管理对象 属于哪个系统,终端就应属于该信息系统的一 部分 处理涉密信息的终端必须划分到相应的信息系 统中,且不能与非涉密系统共用终端。第三部分第三部分 确定定级对象确定定级对象n确定定级对象举例第三部分第三部分 确定定级对象确定定级对象受侵害信息系统的安全保护等级由两个 要素决定:等级保护对象受到破坏时所 侵害的客体和对客体造成侵害的程度。 n受侵害的客体: 公民、法人和其他组织的合法权益;社会秩 序、

10、公共利益;三是国家安全。 n对客体的侵害程度: 一般损害;严重损害;特别严重损害。第四部分第四部分 定级方法定级方法第四部分:定级方法n业务信息安全和系统服务安全信息系统与之相关的受侵害客体和对客体的侵 害程度可能不同,而信息系统安全包括业务信 息安全和系统服务安全两方面,因此定级也应 由这两方面决定。对客体的侵害外在表现为对 定级对象的破坏,其危害方式表现为对信息安 全的破坏和对信息系统服务的破坏。第四部分第四部分 定级方法定级方法n信息安全信息安全是指确保信息系统内信息的保密性 、完整性和可用性等; n系统服务安全 系统服务安全是指确保信息系统可以及时、 有效地提供服务,以完成预定的业务目

11、标;由于业务信息安全和系统服务安全受到破坏所侵 害的客体和对客体的侵害程度可能会有所不同, 在定级过程中,需要分别处理这两种危害方式。第四部分第四部分 定级方法定级方法第四部分第四部分 定级方法定级方法确定受侵害的客体: n受侵害的客体指等级保护对象(即定级对象) 受到破坏时所侵害的客体。 n包括以下三个方面: 公民、法人和其他组织的合法权益; 社会秩序、公共利益; 国家安全。第四部分第四部分 定级方法定级方法对客体的侵害程度: n在客观方面,对客体的侵害外在表现为对定 级对象的破坏。 n危害方式表现为对信息安全的破坏和对信息 系统服务的破坏。 客体侵害的客观方面-危害方式: n对信息安全的破

12、坏:信息系统内信息的保密 性、完整性和可用性。 n对信息系统服务的破坏:信息系统可以及时 、有效地提供服务,以完成预定的业务目标。n确定业务信息安全等级第四部分第四部分 定级方法定级方法业务信息安全被破坏时 所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重 损害 公民、法人和其他组织 的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级n确定系统服务安全等级第四部分第四部分 定级方法定级方法系统服务安全被破坏时 所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重 损害 公民、法人和其他组织 的合法权益第一级第二级第二级社会秩序、公共利益第二级

13、第三级第四级国家安全第三级第四级第五级信息安全和系统服务安全受到破坏的后果:n影响行使工作职能; n导致业务能力下降; n引起法律纠纷; n导致财务损失; n造成社会不良影响; n对其他组织和个人造成损失; n其他影响。 第四部分第四部分 定级方法定级方法第四部分第四部分 定级方法定级方法综合判定侵害程度: 根据不同的受侵害客体、不同危害后果 分别确定其危害程度。n造成一般损害n造成严重损害n造成特别严重损害第四部分第四部分 定级方法定级方法安全保护等级信息系统基本保护要求的组合第一级S1A1G1第二级S1A2G2,S2A2G2,S2A1G2第三级S1A3G3,S2A3G3,S3A3G3,S3

14、A2G3,S3A1G3第四级S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4第五级S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A5G5,S5A4G5,S5A3G5,S5A2G5,S5A1G5n定级的一般流程 确定作为定级对象的信息系统; 确定业务信息安全受到破坏时所侵害的 客体; 根据不同的受侵害客体,从多个方面综 合评定业务信息安全被破坏对客体的侵 害程度; 得到业务信息安全保护等级;第五部分第五部分 初步定级初步定级第五部分:初步确定安全保护等级确定系统服务安全受到破坏时所侵害的 客体; 根据不同的受侵害客体,从多个方面综 合

15、评定系统服务安全被破坏对客体的侵 害程度;得到系统服务安全保护等级;将业务信息安全保护等级和系统服务安 全保护等级的较高者确定为定级对象的 安全保护等级。第六部分第六部分 定级工作总结定级工作总结n定级的一般流程第六部分第六部分 定级工作总结定级工作总结n特别注意起传输作用的基础网络要单独定 级,等级可以参照在其上运行的信 息系统的等级、网络的服务范围 和自身的安全需求确定适当的保 护等级,不以在其上运行的信息 系统的最高等级或最低等级为标 准。第五部分第五部分 初步定级初步定级n信息系统等级对照表第五部分第五部分 初步定级初步定级等级对象侵害客体侵害程度监管强度第一级社会秩序和公共利益合法权

16、益损害自主保护 第二级合法权益严重损害指导损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害 第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查n信息系统等级评审 n信息系统等级的确定与审批第六部分第六部分 评审评审、确定与审批、确定与审批第六部分:等级评审、确定与审批n定级报告 定级报告是为详细了解和掌握定级过程情况 由信息系统运营使用单位负责填写的文档。 定级报告要在信息系统备案时一并提交。 信息系统运营使用单位在起草定级报告时可 以请技术支持单位协助。第六部分第六部分 评审评审、确定与审批、确定与审批n 定级报告的撰写1. 信息系统描述 简述确定该信息系统为定级对象的理由。 包括:该信息系统所承载业务的主管单位 和部门,该信息系统具有信息系

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业/管理/HR > 其它文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号