2022年北京市党政机关网络与信息系统安全定级指南 2.pdf

《2022年北京市党政机关网络与信息系统安全定级指南 2.pdf》由会员分享，可在线阅读，更多相关《2022年北京市党政机关网络与信息系统安全定级指南 2.pdf（15页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、北京市党政机关网络与信息系统安全定级指南（试行）名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 15 页 -2 目 录一、引言.3二、依据.4三、定级原则.53.1 正确处理安全与发展的关系.53.2 基本等级与特殊要求相结合.5四、定级要素.6五、定级方法.75.1 通过资产分析定级.85.2 通过风险评估定级.9六、最低安全等级要求.11七、职责分工及工作程序.127.1 职责分工.127.2 工作程序.12附件：网络与信息系统安全定级备案（审查）表名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 15 页 -3 一、引言为切实落实“中共中央办公厅、国务院办公厅转

2、发国家信息化领导小组关于加强信息安全保障工作的意见的通知”（中办发 200327号）和“中共北京市委办公厅、北京市人民政府办公厅转发北京市信息化工作领导小组关于加强信息安全保障工作的实施意见的通知”精神，推动北京市各级党政机关（以下简称“党政机关”）网络与信息系统安全等级保护工作的开展，指导和帮助党政机关网络与信息系统安全定级工作，特制定本指南。本指南适用于北京市党政机关网络与信息系统，其中涉及国家秘密的网络与信息系统，按照国家和本市有关保密规定执行。其它网络与信息系统定级工作参照本指南进行。本指南指导党政机关确定网络与信息系统安全等级，供各级信息化主管部门及业务主管部门指导、监督网络与信息系

3、统安全定级工作。北京信息安全测评中心依据党政机关的定级结果进行测评。信息安全服务机构可依据本指南、(DB11/T 171-2002)党政机关信息系统安全测评规范及其它相关规定协助党政机关进行网络与信息系统安全定级工作。本指南对定级工作的原则、职责分工、工作程序、定级要素和方法进行了描述，党政机关应依据本指南的定级方法，结合本单位网络与信息系统实际，确定安全等级，并以此指导网络与信名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 15 页 -4 息系统安全建设工作。本指南对网络与信息系统提出了最低安全等级要求，党政机关确定的安全等级应不低于最低安全等级要求。本指南所述安全等级与（DB

4、11/T 171-2002）党政机关信息系统安全测评规范中的安全类别相对应。二、依据本指南的制定，依据以下政策法规和技术标准：国家信息化领导小组关于加强信息安全保障工作的意见（中办发 200327 号）北京市信息化工作领导小组关于加强信息安全保障工作的实施意见（京办发 20043 号）北京市政务与公共服务信息化工程建设管理办法（北京市政府第 67 号令）；北京市党政机关计算机网络与信息安全管理办法（京办发2001 27 号文）；“关于修改 实施细则有关条款的通知”(京信息办发 200317 号文)；(DB11/T 171-2002)党政机关信息系统安全测评规范。名师资料总结-精品资料欢迎下载-

5、名师精心整理-第 4 页，共 15 页 -5 三、定级原则北京市党政机关网络与信息系统（以下简称系统）定级工作坚持“积极防御，综合防范”的方针，坚持“统筹规划，突出重点”、“谁主管谁负责，谁运营谁负责”的原则。3.1 正确处理安全与发展的关系以安全保发展，从发展中求安全。党政机关应从系统的重要性出发，综合分析系统的信息资产价值和面临的安全威胁，确定所需要的系统安全等级，以合理的投入进行系统的安全建设。做到保护重点，兼顾一般，投入合理。3.2 基本等级与特殊要求相结合确定系统的安全等级，应本着原则性与系统实际相结合的原则。安全等级对于各种安全组件有统一的、基本的安全要求。根据系统实际，当某一具体

6、的系统对某些安全组件有比较高的要求时，可对个别安全组件采用更高安全要求。这样，虽然从整体上看，该系统是按照某一安全等级进行设计和实现的，但同时也兼顾了特定的安全要求。根据系统实际情况，安全保护不涉及的安全组件，可不予考虑，不影响定级。例如和外界物理隔离的局域网络，边界保护相关的安全组件可不考虑。名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 15 页 -6 四、定级要素确定系统的安全等级，应从系统重要性出发，综合考虑系统资产价值、系统面临的安全风险、所需抵御的安全威胁等几个要素。信息网络与信息系统安全等级与资产价值、面临的典型安全威胁、应具备的保护能力之间的对应关系应符合(DB1

7、1/T 171-2002)党政机关信息系统安全测评规范的规定。其中：系统安全等级1：系统所处理的信息为一般信息。系统所管理、控制和处理的信息资产，在遭到攻击和破坏时，系统所承载的业务以及单位利益基本不会受到影响或损害极小；系统面临的内外部安全威胁很弱；安全保护措施只需要抵御基本强度的威胁，主要为用户的非恶意行为以及意外事件。系统安全等级2：处理信息为日常政务信息。系统所管理、控制和处理的信息资产，在遭到攻击和破坏时，会对系统所承载的业务以及单位利益带来一定的损失或破坏；系统面临的内外部安全威胁较弱；安全保护措施能够抵御不复杂的威胁，主要为占有少量资源的个体对手对系统进行的有限攻击。系统安全等级

8、3：处理信息为日常政务信息。系统所管理、控制和处理的信息资产，在遭到攻击和破坏时，会对系统所承载的业务、单位利益以及社会公共利益带来严重的损失或破坏，对社会稳定、国家安全产生一定影响；系统面临的内外部安全威胁名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 15 页 -7 较强；必须实施能够抵御较为复杂的、有一定组织攻击活动的威胁的安全措施，主要指犯罪团伙攻击行为。系统安全等级4：处理信息包含有重要的政务信息。系统所管理、控制和处理的信息资产，在遭到攻击和破坏时，会对系统所承载的业务、单位利益以及社会公共利益带来极其严重的损失或破坏，对社会稳定、国家安全造成严重影响。系统面临的内外

9、部安全威胁很强；实施的安全措施能够抵御有强大对手支持的特别复杂的攻击，主要指大型国际商业机构、国际恐怖团体、国际犯罪团伙攻击行为。系统安全等级5：处理信息包含有关键政务信息。系统及其所管理、控制和处理的信息资产，在遭到攻击和破坏时，会对系统所承载的业务、单位利益以及社会公共利益带来灾难性的损失或破坏，对社会稳定和国家安全产生灾难性的影响。系统面临的内外部安全威胁非常强；实施的安全措施能够抵御国家级的攻击和威胁。五、定级方法信息系统安全等级的确定以应用系统为核心进行，不同的应用系统可具有不同的安全等级。用于支撑应用系统的公共应用平台、操作系统平台和网络平台的安全等级应不低于应用系统的安全等级。确

10、定系统安全等级一般通过资产分析或风险评估的方法来名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 15 页 -8 完成。典型的系统可以通过资产分析的方法确定安全等级，在资产分析不能准确确定等级的情况下，进一步通过风险评估方法确定等级。5.1 通过资产分析定级由系统资产价值来确定系统安全等级。在定级要素中，信息资产价值对等级的划分起着决定性的作用。对于指定的系统必须首先进行资产识别与分析，明确被保护的信息资产，对每一项资产进行确认和评估。在对资产进行识别分析时，根据系统遭受破坏后，对保密性、完整性和可用性造成的影响来决定信息资产的价值。三性的影响级别参照表5-1、表 5-2、表 5-

11、3。表 5-1 信息价值保密性影响级的确定级 别描述1 信息的未授权泄露对党政机关所承载的业务以及单位利益基本不会受到影响或损害极小2 信息的未授权泄露对党政机关所承载的业务以及单位利益带来一定的损失或破坏3 信息的未授权泄露对党政机关所承载的业务、单位利益以及社会公共利益带来严重的损失或破坏，对社会稳定、国家安全产生一定影响4 信息的未授权泄露对党政机关所承载的业务、单位利益以及社会公共利益带来极其严重的损失或破坏，对社会稳定、国家安全造成严重影响5 信息的未授权泄露会对党政机关所承载的业务、单位利益以及社会公共利益带来灾难性的损失或破坏，对社会稳定和国家安全产生灾难性的影响表 5-2 信息

12、价值完整性影响级的确定级 别描述1 信息的未授权的修改或破坏对党政机关所承载的业务以及单位利益基本不名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 15 页 -9 会受到影响或损害极小2 信息的未授权的修改或破坏对党政机关所承载的业务以及单位利益带来一定的损失或破坏3 信息的未授权的修改或破坏对党政机关所承载的业务、单位利益以及社会公共利益带来严重的损失或破坏，对社会稳定、国家安全产生一定影响4 信息的未授权的修改或破坏会对党政机关所承载的业务、单位利益以及社会公共利益带来极其严重的损失或破坏，对社会稳定、国家安全造成严重影响5 信息的未授权的修改或破坏会对党政机关所承载的业务、

13、单位利益以及社会公共利益带来灾难性的损失或破坏，对社会稳定和国家安全产生灾难性的影响表 5-3 信息价值可用性影响级的确定级 别描述1 系统或信息的使用中断对党政机关所承载的业务以及单位利益基本不会受到影响或损害极小2 系统或信息的使用中断对党政机关所承载的业务以及单位利益带来一定的损失或破坏3 系统或信息的使用中断对党政机关所承载的业务、单位利益以及社会公共利益带来严重的损失或破坏，对社会稳定、国家安全产生一定影响4 系统或信息的使用中断会对党政机关所承载的业务、单位利益以及社会公共利益带来极其严重的损失或破坏，对社会稳定、国家安全造成严重影响5 系统或信息的使用中断会对党政机关所承载的业务

14、、单位利益以及社会公共利益带来灾难性的损失或破坏，对社会稳定和国家安全产生灾难性的影响建议参照以上信息的保密性、完整性和可用性对系统等级的影响和第三节所规定的定级原则来进行资产分析定级，以三性中对系统安全影响最大的要素做为定级的决定因素。5.2 通过风险评估定级在通过资产分析方法无法准确确定安全等级时，可以通过风名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 15 页 -10 险评估方法确定安全等级。风险评估定级方法，在信息资产识别与价值分析的基础上，分析系统面临的安全威胁、分析系统的安全风险，并根据有效降低风险所应采用的安全措施来分析确定安全等级。风险评估定级的过程如图5-1

15、所示。图 5-1 风险评估定级的过程资产识别与分析：为了明确被保护的资产，应列出与系统安全有关的资产清单，对每一项资产进行确认和适当的评估，确定风险分析的范围。在对资产进行评估的过程中，更重要的是要考虑资产对于系统业务、单位利益以及国家安全的重要性。是威胁分析风险分析提出降低风险的安全措施要求是否满足系统安全需求确定信息系统安全等级否资产识别与分析名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 15 页 -11 威胁分析：对需要保护的信息资产进行威胁分析，确定系统面临的威胁。风险分析：根据系统脆弱性和有关的统计数据来判断威胁发生的可能性；根据信息资产价值判断威胁发生所造成的损失

16、和影响。如果系统的安全需求不能得到满足，根据风险分析结果提出降低风险的安全措施要求，并对采取这些措施的系统再次进行风险分析、判断，直到系统的安全需求可以满足。参照(DB11/T171-2002)党政机关信息系统安全测评规范以及相关标准中安全要求，确定满足相关安全措施要求的安全等级。六、最低安全等级要求本指南针对北京市的实际情况，采用“基于网络与信息系统所处理信息的价值的方法”，确定了北京市各级党政机关网络与信息系统及影响城市正常运转和社会稳定的重要信息系统的最低安全等级要求，如表6-1 所示。表 6-1 最低安全等级要求系统构成行政级别网络基础设施应用业务系统市级3 级2 级区/县2 级2 级

17、名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页，共 15 页 -12 街道办/乡1 级其中“网络基础设施”是北京市电子政务专网的网络基础设施、基础服务设施和安全基础设施。表中的“1 级”、“2 级”、“3级”，对应于(DB11/T171-2002)党政机关信息系统安全测评规范中的“安全类别I”、“安全类别 II”、“安全类别 III”。七、职责分工及工作程序7.1 职责分工a)党政机关自行确定其系统安全等级，并填写“北京市党政机关网络与信息系统安全定级备案(审查)表”，报信息化主管部门审查、备案。b)定级工作可以委托北京市信息化工作办公室定期公布的信息安全服务机构协助进行。c)负责

18、审查的主管部门应对已报系统的定级提出审查意见并定期抽查。d)北京信息安全测评中心将依据党政机关的定级结果进行等级测评。7.2 工作程序党政机关进行安全定级的工作程序如图7-1 所示：名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 15 页 -13 通 过 资 产 分 析 定 级能 否 确 定 定 级通 过 风 险 评 估 定 级确 定 等 级上 报 审 批备 案YN前 期 准 备图 7-1 系统安全定级过程(1)前期准备：党政机关为开展定级工作进行必要的准备。如准备待定级系统建设方案、安全解决方案、安全措施等相关材料；(2)通过信息资产分析定级：采用本指南的资产分析定级方法，评

19、定其系统安全保护等级；(3)通过风险评估定级：通过信息资产分析不能准确确定安全保护等级时，则进一步采用风险评估的方法评定其系统安全保护等级；(4)确定等级：根据等级评定结果，确定本单位系统的安全等级；名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页，共 15 页 -14(5)上报审查：将结果报同级信息化主管部门审查，同级信息化主管部门出具审查意见；系统运营、使用单位无上级主管部门或主管部门不明确的，由北京市信息化工作办公室直接审查。(6)备案：确定安全等级后，报信息化主管部门备案。(7)已确定安全等级并已备案的系统，如果进行改扩建，需依据关于本市各级党政机关网络与信息系统开展安全等级

20、保护工作的通知和本指南，结合系统实际，重新确定系统的安全等级。附件：北京市党政机关网络与信息系统安全定级备案 (审查)表名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页，共 15 页 -15 附件：北京市党政机关网络与信息系统安全定级备案(审查)表单位名称系统名称系统性质和规模系统用途系统所属管理机关系统是否进行过定级工作有无国家秘密信息有无其他敏感信息是否与政务专网联接网络覆盖区域网 络 规模LAN 城域网园区网广域网（跨省市）网络结点数量100 以下 300以下 500以下 500以上已有安全措施是否建立机构负责系统安全是否系统（网络）安全管理制度是否已汇编文本制定依据采用的系统安全专用设备防火墙 IDS 防病毒密码机 VPN 无其他确定等级定级方法定级时间年月日定级说明初次定级重新定级主管签字附件清单1系统建设方案（）2系统拓扑结构图（）3系统安全解决方案（）4专家评审或风险评估有关文档（）以下由负责审查的主管部门填写备案号No：备案时间年月日备案经手人主管部门备案 (审查)意见（盖章）年月日备注说明：提交审查时需以附件形式提供系统情况和安全定级的相关文档。名师资料总结-精品资料欢迎下载-名师精心整理-第 15 页，共 15 页 -