信息安全等级保护操作指南和操作流程

《信息安全等级保护操作指南和操作流程》由会员分享，可在线阅读，更多相关《信息安全等级保护操作指南和操作流程（31页珍藏版）》请在金锄头文库上搜索。

1、信息安全等级保护操作流程1 信息系统定级1.1 定级工作实行范围“关于展开全国重要信息系统安全等级保护定级工作的通知”关于重要信息系统的范围规定以下：（一）电信、广电行业的公用通讯网、广播电视传输网等基础信 息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数 据中心等单位的重要信息系统。（二）铁路、银行、海关、税务、民航、电力、证券、保险、外 交、科技、发展改革、国防科技、公安、人事劳动和社会保障、 财政、 审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工 商行政管理、邮政等行业、部门的生产、调换、管理、办公等重要信 息系统。（三）市（地）级以上党政机关的重要网站和办公信

2、息系统。（四）涉及国家奥密的信息系统（以下简称“涉密信息系统” ）注：跨省或许全国一致联网运转的信息系统可以由主管部门一致 确定安全保护等级。 涉密信息系统的等级确定依照国家保密局的相 关规定和标准执行。1.2 定级依照标准国家书息化领导小组关于增强信息安全保障工作的建议 （中办 发【 2003 】27 号文件）关于信息安全等级保护工作的实行建议 （公通字【 2004 】66 号文件）电子政务信息系统安全等级保护实行指南（试行） （国信办 【2005 】25 号文件）信息安全等级保护管理方法 （公通字【 2007 】43 号文件）计算机信息系统安全保护等级区分准则电子政务信息安全等级保护实行指

3、南信息系统安全等级保护定级指南信息系统安全等级保护基本要求信息系统安全等级保护实行指南信息系统安全等级保护测评指南13定级工作流程网络拓扑检查 财富信息检查 服务信息检查 系统界限检查管理机构解析 业务种类解析 物理地点解析 运转环境解析业务信息解析 系统服务解析 综合解析 确定等级编写定级报告 辅助评审审批4形成最后报告 辅助定级存案图1-1信息系统定级工作流程信息系统检查信息系统检查是经过一系列的信息系统状况检查表对信息系统基本状况进行摸底检查，全面掌握信息系统的数目、分布、业务种类、应用、服务范围、系统结构、管理组织和管理方式等基本状况。同时， 经过信息系统检查还可以明确信息系统存在的财

4、富价值、威迫等级、风险 等级以及可能造成的影响客体、影响范围等基本状况。信息系统检查结果将作为信息系统安全等级保护定级工作的主要依照，保证定级结果的客观、合理和正确。检查工具表平时，信息系统检查工具表包含系统财富检查表、系统应用检查 表、和管理信息检查表等。系统财富检查表用于检查信息系统的基本状况，主要包含主机、网络设备、人员 人员、服务等信息。在检查过程中，可以获得系统财富的基本信息、 主要用途、重要程度、服务对象等相关信息。系统应用检查表用于明确系统应用的基本状况。明确各个系统应用的拓扑信息、 界限信息、应用架构、数据流等基本状况，为确定和解析定级对象供 给详细信息。管理信息检查表用于明确

5、信息系统的组织结构、隶属关系等管理信息。检查方法信息系统检查的实行包含信息采集、访谈和核查三个步骤。信息采集辅助信息系统使用管理单位完成系统财富检查表填写工作，同时 采集信息系统所涉及的一系列访谈核查对调查表中的信息进行考据的过程， 考据包含检查和测试等方式。确定定级对象一个单位可能运转了比较宏大的信息系统，为了要点保护重要部 分，有效控制信息安全建设和管理成本， 优化信息安全资源配置等保 护原则，可将较大的信息系统区分为若干个较小的、相对独立的、具 有不一样安全保护等级的定级对象。 这样，可以保证信息系统安全建设 可以突出要点、兼备一般。基根源则假如信息系统只承载一项业务， 可以直接为该信息

6、系统确定等级， 不用区分业务子系统。假如信息系统承载多项业务，应依据各项业务的性质和特色，将信息 系统分红若干业务子系统， 分别为各业务子系统确定安全保护等级，信 息系统的安全保护等级由各业务子系统的最高等级决定。 信息系统是进 行等级确定和等级保护管理的最后对象。主要区分原则有：一、拥有独一确定的安全责任单位作为定级对象的信息系统应可以独一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、 运转保护等过程 的所有安全责任，则这个下级单位可以成为信息系统的安全责任单位； 假如一个单位中的不一样下级单位分别肩负信息系统不一样方面的安全责任，则该信息系统的安全责任单位应是这些下

7、级单位共同所属 的单位。二、拥有信息系统的基本因素作为定级对象的信息系统应当是由相关的和配套的设备、设备按照必定的应用目标和规则组合而成的有形实体。 应防备将某个单一的 系统组件，如服务器、终端、网络设备等作为定级对象。三、承载单一或相对独立的业务应用定级对象承载 “单一 ”的业务应用是指该业务应用的业务流程独 立，且与其余业务应用没有数据交换，且独享所有信息办理设备。定级 对象承载 “相对独立 ”的业务应用是指其业务应用的主要业务流程独 立，同时与其余业务应用有少许的数据交换， 定级对象可能会与其余 业务应用共享一些设备，特别是网络传输设备。信息系统的区分方法一个组织机构内可能运转一个或多个

8、信息系统，这些信息系统的 安全保护等级可以是相同的， 也可以是不一样的。 为表现要点保护重要 信息系统安全， 有效控制信息安全建设成本， 优化信息安全资源配置 的等级保护原则，在进行信息系统的区分时应试虑以下几个方面：一、相同的管理机构信息系统内的各业务子系统在同一个管理机构的管理控制之下， 可以保证依照相同的安全管理策略。二、相同的业务种类信息系统内的各业务子系统拥有相同的业务种类， 安全需求周边 可以保证依照相同的安全策略。三、相同的物理地点或相似的运转环境信息系统内的各业务子系统拥有相同的物理地点或相似的运转环境意味着系统所面对的威迫相似，有益于采纳一致的安全保护。定级因素解析经过针对定

9、级对象分别进行业务信息安全解析和系统服务安全解 析，最后确定信息系统安全等级保护系统等级。在进行业务信息安全解析和系统服务安全解析时，充分考虑行业特 色、业务应用特色等因素， 细化受伤害客体构成及伤害程度判断因 素，从而保证信息系统定级的合理正确。定级流程D 亡犧!d建即雄保沪璋级1.确定富級对摞Z确定业务信黙安全曼到战坏时餉侵書的客体所慢害的客体F11玄媒住评定对:客体的僂畜稈廛&综合评定对專体的侵宙琛廈r.1虽 业务悟息安全魏7.系抚服务安全需般依据定级流程，在定级因素解析时需对业务信息安全等级和系统 服务安全等级进行解析，解析内容包含确定受伤害的客体、确定对客 体的伤害程度，从而确定相应

10、的业务信息安全等级和系统服务安全等 级。最后，综合业务信息安全等级和系统服务安全等级获得信息系统 安全等级保护系统等级。确定受伤害客体定级对象收到破坏时所伤害的客体包含国家安全、社会次序、公 众利益及公民、法人和其余组织的合法权益。国家安全影响国家政权坚固和国防实力；影响国家一致、民族团结和社会平定； 影响国家对外活动中的政治、经济利益； 影响国家重要的安全保卫工作； 影响国家经济竞争力和科技实力； 其余影响国家安全的事项。社会次序 影响国家机关社会管理和公共服务的工作次序； 影响各各种类的经济活动次序； 影响各行业的科研、生产次序； 影响公众在法律拘束和道德规范下的正常生活次序等； 其余影响

11、社会次序的事项。公共利益 影响社会成员使用公共设备； 影响社会成员获得公开信息资源； 影响社会成员接受公共服务等方面； 其余影响公共利益的事项。公民、法人和其余组织 由法律确认的并受法律保护的公民、法人和其余组织所享有的必定的社会权益和利益。确定作为定级对象的信息系统遇到破坏后所伤害的客体时，应首 先判断能否伤害国家安全，而后判断能否伤害社会次序或公众利益， 最后判断能否伤害公民、 法人和其余组织的合法权益的关系， 从而确 定信息和信息系统遇到破坏时所伤害的客体。确定对客体的伤害程度在针对不一样的受伤害客体进行伤害程度的判断时，应参照以下的鉴别基准。假如受伤害客体是公民、 法人或其余组织的合法

12、权益， 则以自己或本单位的整体利益作为判断伤害程度的基准。假如受伤害客体是社会次序、 公共利益或国家安全， 则应以整个行业或国家的整体利益作为判断伤害程度的基准。不一样危害结果的三种危害程度危害程度描述以下：一般伤害工作职能遇到局部影响，业务能力有所降低但不影响主要功 能的执行，出现较轻的法律问题，较低的财富损失，有限的社会 不良影响，对其余组织和个人造成较低伤害。严重伤害工作职能遇到严重影响，业务能力明显降落且严重影响主要 功能执行，出现较严重的法律问题，较高的财富损失，较大范围 的社会不良影响，对其余组织和个人造成较严重伤害。特别严重伤害工作职能遇到特别严重影响或丧失执行能力，业务能力严重

13、降落且或功能没法执行，出现极其严重的法律问题，极高的财富 损失，大范围的社会不良影响，对其余组织和个人造成特别严重 伤害。确定定级对象的安全保护等级在确定完成受伤害客体以及对客体的伤害程度后，依照表1分别确定业务信息安全等级和系统服务安全等级。作为定级对象的信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决表1定级因素与安全保护等级的关系受伤害的客体对客体的伤害程度一般伤害严重伤害特别严重伤害公民、法人和其余组织的合法权益第一级第二级第二级社会次序、公共利、/益第二级第三级第四级国家安全第三级第四级第五级编写定级报告依据定级过程和定级结果，编写初步信息系统定级报告。辅助定级存

14、案在完成初步定级报告后，辅助信息系统管理使用单位进行评审与 审批，并最后确定定级报告，完成信息系统存案工作。2 等级测试2.1 工作内容等级测评是信息安全等级保护实行中的一个重要环节。等级测评 是指拥有相关资质的、 独立的第三方评测服务机构， 对信息系统的等 级保护落真相况与信息安全等级保护相关标准要求之间的吻合程度 的测试判断。2.2 依照标准计算机信息系统安全保护等级区分准则信息系统安全等级保护基本要求信息系统安全等级保护定级指南电子政务信息安全等级保护实行指南信息系统安全等级保护实行指南信息系统安全等级保护测评指南信息安全技术信息系统通用安全技术要求信息安全技术网络基础安全技术要求信息安

15、全技术操作系统安全技术要求信息安全技术数据库管理系统安全技术要求信息安全技术服务器技术要求信息安全技术终端计算机系统安全等级技术要求2.3 等级评测内容基本内容对信息系统安全等级保护状况进行测试评估，应包含两个方面的内 容：一是安全控制测评， 主要测评信息安全等级保护要求的基本安全控 制在信息系统中的实行配置状况； 二是系统整体测评， 主要测评解析 信息系统的整体安全性。 此中，安全控制测评是信息系统整体安全测评 的基础。对安全控制测评的描述，使用工作单元方式组织。工作单元分为 安全技术测评和安全管理测评两大类。 安全技术测评包含：物理安全、 网络安全、主机系统安全、 应用安全和数据安全等五个层面上的安全控 制测评；安全管理测评包含：安全管理机构、安全管理制度、人员安全管 理、系统建设管理和系