等级保护定级方法.ppt

《等级保护定级方法.ppt》由会员分享，可在线阅读，更多相关《等级保护定级方法.ppt（42页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、等级保护定级,张 兰,主题,定级工作的意义 定级的范围 信息系统五个安全等级 定级要素及与安全保护等级的关系 定级一般流程 定级的步骤,定级工作的意义,此次定级工作的重要性 此次定级工作的强制性 此次定级工作的急迫性,此次定级的范围,（一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 （二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、

2、管理、办公等重要信息系统。 （三）市（地）级以上党政机关的重要网站和办公信息系统等。 （四）涉及国家秘密的信息系统（以下简称“涉密信息系统”）。,信息系统五个安全等级,定级的要素,等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 等级保护对象受到破坏时所侵害的客体包括以下三个方面： 公民、法人和其他组织的合法权益； 社会秩序、公共利益； 国家安全。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种： 造成一般损害； 造成严重损害； 造成特别严重损害。,定级要素与安全保护等级的关系,定级一般流程,确定作为定级对象的信息系统； 确定业务信息安全受到破坏时所侵害的客体； 根据不同的

3、受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度； 依据下表，得到业务信息安全等级；,定级一般流程,确定系统服务安全受到破坏时所侵害的客体； 根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度； 依据下表，得到系统服务安全等级；,定级一般流程,由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。 步骤如图,定级的步骤,定级的步骤,信息系统调查 信息系统调查工作通过全面客观的信息资产调查表以核查和访谈的方式完成信息资产调查工作，即通过信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况。,定级的

4、步骤,定级对象分析 定级对象分析根据信息系统调查结果和访谈结果，分析信息系统管理组织机构、业务应用、物理位置和运行环境等因素，基于科学的系统拆分原则明确定级对象。,信息系统定级定级对象,一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。 作为定级对象的信息系统应具有如下基本特征： 具有唯一确定的安全责任单位 具有信息系统的基本要素 承载单一或相对独立的业务应用,信息系统定级定级对象,具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确

5、定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。,信息系统定级定级对象,具有信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。,信息系统定级定级对象,承载单一或相对独立的业务应用 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他

6、业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。,信息系统定级定级对象,确定定级对象的关键因素？,定级的步骤,定级要素分析 定级要素：信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 分析工具：安全定级知识库。 分析方法：定级要素分析时需分别对业务信息安全等级和系统服务安全等级进行分析，分析内容包括确定受侵害的客体、确定对客体的侵害程度，从而确定相应的业务信息安全等级和系统服务安全

7、等级。最后，综合业务信息安全等级和系统服务安全等级得到信息系统安全等级保护系统等级。,确定受侵害的客体,定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。 侵害国家安全的事项包括以下方面： 影响国家政权稳固和国防实力； 影响国家统一、民族团结和社会安定； 影响国家对外活动中的政治、经济利益； 影响国家重要的安全保卫工作； 影响国家经济竞争力和科技实力； 其他影响国家安全的事项。,确定受侵害的客体,侵害社会秩序的事项包括以下方面： 影响国家机关社会管理和公共服务的工作秩序； 影响各种类型的经济活动秩序； 影响各行业的科研、生产秩序； 影响公众在法律

8、约束和道德规范下的正常生活秩序等； 其他影响社会秩序的事项。,确定受侵害的客体,影响公共利益的事项包括以下方面： 影响社会成员使用公共设施； 影响社会成员获取公开信息资源； 影响社会成员接受公共服务等方面； 其他影响公共利益的事项。,确定受侵害的客体,影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。 确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益。 各行业可根据本行业业务特点，分析各类信息和各类信息系统与国家安全、

9、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系，从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。,确定对客体的侵害程度,侵害的客观方面 在客观方面，对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息安全的破坏和对信息系统服务的破坏，其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等，系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。,确定对客体的侵害程度,信息安全和系统服务安全受到破坏后，可能产生以

10、下危害后果： 影响行使工作职能； 导致业务能力下降； 引起法律纠纷； 导致财务损失； 造成社会不良影响； 对其他组织和个人造成损失； 其他影响。,综合判定侵害程度,信息安全和系统服务安全受到破坏后，可能产生以下危害后果： 侵害程度是客观方面的不同外在表现的综合体现，因此，应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同，例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定，业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。,

11、综合判定侵害程度,在针对不同的受侵害客体进行侵害程度的判断时，应参照以下不同的判别基准： 如果受侵害客体是公民、法人或其他组织的合法权益，则以本人或本单位的总体利益作为判断侵害程度的基准； 如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个行业或国家的总体利益作为判断侵害程度的基准。,综合判定侵害程度,不同危害后果的三种危害程度描述如下： 一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的资产损失，有限的社会不良影响，对其他组织和个人造成较低损害。 严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题

12、，较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。 特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。,综合判定侵害程度,信息安全和系统服务安全被破坏后对客体的侵害程度，由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同，信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同，各行业可根据本行业信息特点和系统服务特点，制定危害程度的综合评定方法，并给出侵害不同客体造成

13、损害、严重损害、特别严重损害的具体定义。,综合判定侵害程度,信息安全和系统服务安全被破坏后对客体的侵害程度，由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同，信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同，各行业可根据本行业信息特点和系统服务特点，制定危害程度的综合评定方法，并给出侵害不同客体造成损害、严重损害、特别严重损害的具体定义。,对于定级的具体建议,部省级系统不要低于3级，而且定级不是要全部定级，只是对重要信息系统定级。,定级的步骤,撰写定级报告 具体根据定级过程和定级结果，通过相应模版(见附件)撰写满足

14、行业要求、信息系统使用单位要求以及公安要求的初步信息系统定级报告。 经验丰富的单位积累了安全定级知识库,库的定级报告模版库中积累了大量行业、业务系统的定级报告模版，,信息系统安全等级保护定级报告,一、XXX信息系统描述 简述确定该系统为定级对象的理由。从三方面进行说明：一是描述承担信息系统安全责任的相关单位或部门，说明本单位或部门对信息系统具有信息安全保护责任，该信息系统为本单位或部门的定级对象；二是该定级对象是否具有信息系统的基本要素，描述基本要素、系统网络结构、系统边界和边界设备；三是该定级对象是否承载着单一或相对独立的业务，业务情况描述。,信息系统安全等级保护定级报告,二、XXX信息系统

15、安全保护等级确定（定级方法参见国家标准信息系统安全等级保护定级指南 （一）业务信息安全保护等级的确定 1、业务信息描述 描述信息系统处理的主要业务信息等。 2、业务信息受到破坏时所侵害客体的确定 说明信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。 3、信息受到破坏后对侵害客体的侵害程度的确定 说明信息受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。 4、业务信息安全等级的确定 依据信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级。,信息系统安全等级保护定级报告

16、,二、XXX信息系统安全保护等级确定 （二）系统服务安全保护等级的确定 1、系统服务描述 描述信息系统的服务范围、服务对象等。 2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。 4、系统服务安全等级的确定 依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。,信息系统安全等级保护定级报告,二、XXX信

17、息系统安全保护等级确定（定级方法参见国家标准信息系统安全等级保护定级指南） （二）系统服务安全保护等级的确定 1、系统服务描述 描述信息系统的服务范围、服务对象等。 2、系统服务受到破坏时所侵害客体的确定 说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。 3、系统服务受到破坏后对侵害客体的侵害程度的确定 说明系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。 4、系统服务安全等级的确定 依据系统服务受到破坏时所侵害的客体以及侵害程度确定系统服务安全等级。,信息

18、系统安全等级保护定级报告,二、XXX信息系统安全保护等级确定（定级方法参见国家标准信息系统安全等级保护定级指南） （三）安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定，最终确定XXX系统安全保护等级为第几级。 信息系统名称安全保护等级业务信息安全等级系统服务安全等级XXX信息系统XXX,定级报告,信息系统定级结果报告包含以下内容： 1.单位信息化现状概述； 2.管理模式； 3.信息系统列表； 4.每个信息系统的概述； 5.每个信息系统的边界； 6.每个信息系统的设备部署； 7.每个信息系统支撑的业务应用； 8.信息系统列表、安全保护等级以及保护要求组合； 9.其他内容。,定级的步骤,定级备案 在完成初步定级报告后，凭借定级工作经验填写备案表(见附件)报本单位相关领导进行评审与审批，并报经上级行业主管部门审批同意,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安机关备案,最终完成信息系统备案工作。,Q&A,谢谢!,