信息系統(tǒng)安全等級保護定級

1、信息系統(tǒng)安全等級保護定級-備案-測評流程全面版資料信息系統(tǒng)安全等級保護法規(guī)及依據在信息系統(tǒng)安全等級保護定級備案、信息系統(tǒng)安全等級保護測評等方面測評依據如下：1中華人民共和國計算機信息系統(tǒng)安全保護條例（國務院147號令）2、信息安全等級保護管理辦法（公通字202043號）3、GB/T 17859-1999計算機信息系統(tǒng)安全保護等級劃分準則4 、GB/T 20274信息安全技術 信息系統(tǒng)安全保障評估框架5 、GB/T 22081-2020信息技術安全技術信息安全管理實用規(guī)則6 、 GB/T 20271-2020信息系統(tǒng)通用安全技術要求7 、GB/T 18336-2020信息技術安全技術信息技術安全

2、性評估準則8 、GB 17859-1999計算機信息系統(tǒng)安全保護等級劃分準則9 、GB/T 22239-2020信息安全技術信息系統(tǒng)安全等級保護基本要求10 、GB/T 22240-2020信息安全技術信息系統(tǒng)安全等級保護定級指南11 、信息安全技術 信息系統(tǒng)安全等級保護測評要求12 、信息安全技術 信息系統(tǒng)安全等級保護實施指南13 、信息安全等級保護管理辦法信息系統(tǒng)安全等級保護定級備案流程1、定級原理信息系統(tǒng)安全保護等級根據等級保護相關管理文件，信息系統(tǒng)的安全保護等級分為以 下五級：第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的 合法權益造成損害，但不損害國家安全、社會秩序和公共利益

3、。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的 合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但 不損害國家安全。第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成 嚴重損害，或者對國家安全造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成 特別嚴重損害，或者對國家安全造成嚴重損害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損 害。信息系統(tǒng)安全保護等級的定級要素信息系統(tǒng)的安全保護等級由兩個定級要素決定：等級保護對象 受到破壞時所侵害的客體和對客體造成侵害的程度。受侵害的客體等級保護對象受到破壞時所侵害的客體包括以下三個方面:a）公民、法人和其他組

4、織的合法權益；b）社會秩序、公共利益；c）國家安全。對客體的侵害程度對客體的侵害程度由客觀方面的不同外在表現綜合決定。由于 對客體的侵害是通過對等級保護對象的破壞實現的，因此，對客體 的侵害外在表現為對等級保護對象的破壞，通過危害方式、危害后 果和危害程度加以描述。等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種：a）造成一般損害；b）造成嚴重損害；c）造成特別嚴重損害。定級要素與等級的關系定級要素與信息系統(tǒng)安全保護等級的關系如下表所示受侵害的客體對客體的侵害程度一般損害嚴重損害特別嚴重 損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第

5、三級第四級第五級2、定級流程信息系統(tǒng)安全包括業(yè)務信息安全和系統(tǒng)服務安全，與之相關的受侵害客體和對客體的侵害程度可能不同，因此，信息系統(tǒng)定級也 應由業(yè)務信息安全和系統(tǒng)服務安全兩方面確定。從業(yè)務信息安全角度反映的信息系統(tǒng)安全保護等級稱業(yè)務信息安全保護等級。從系統(tǒng)服務安全角度反映的信息系統(tǒng)安全保護等級稱系統(tǒng)服務安全保護等 級。確定信息系統(tǒng)安全保護等級的一般流程如下：a）確定作為定級對象的信息系統(tǒng)；b）確定業(yè)務信息安全受到破壞時所侵害的客體；c）根據不同的受侵害客體，從多個方面綜合評定業(yè)務信息安全被破壞對客體的侵害程度；d）依據“業(yè)務信息安全保護等級矩陣表”，得到業(yè)務信息安全保護等級；e）確定系統(tǒng)服務

6、安全受到破壞時所侵害的客體；f）根據不同的受侵害客體，從多個方面綜合評定系統(tǒng)服務安全被破壞對客體的侵害程度；g）依據“系統(tǒng)服務安全保護等級矩陣表”，得到系統(tǒng)服務安全保護等級；h）將業(yè)務信息安全保護等級和系統(tǒng)服務安全保護等級的較高者確定為定級對象的安全保護等級。業(yè)務信息安全保護等級矩陣表業(yè)務信息安全被破壞時所侵對相應客體的侵害程度害的客體一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合 法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級系統(tǒng)服務安全保護等級矩陣表系統(tǒng)服務被破壞時所侵害的 客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組

7、織的合 法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級3、備案流程備案管理辦法第十五條規(guī)定，已運營（運行）的第二級以上信息系統(tǒng)，應當在安全保護等級確定后 30日內，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。新建第二級以上信息系統(tǒng)，應當在投入運行后30日內，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。隸 屬于中央的在京單位，其跨省或者全國統(tǒng)一聯(lián)網運行并由主管部門 統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)。跨省或 者全國統(tǒng)一聯(lián)網運行的信息系統(tǒng)在各地運行、應用的分支系統(tǒng)，應 當向當地設區(qū)的市級以上公安機關備案。省

8、直或省級單位信息系統(tǒng)向省公安廳備案。跨地區(qū)、跨省或者全省、全國統(tǒng)一聯(lián)網運行的信 息系統(tǒng)在各地運行、應用的分支系統(tǒng)，向地級以上市公安局備案。管理辦法第十六條規(guī)定，辦理信息系統(tǒng)安全保護等級備案手續(xù)時，應當填寫信息系統(tǒng)安全等級保護備案表，第三級以上信息系統(tǒng)應當同時提供以下材料：1 .系統(tǒng)拓撲結構及說明（說明可以是對系統(tǒng)結構的簡要說明）；2 .系統(tǒng)安全組織機構和管理制度（安全組織機構包括機構名 稱、負責人、成員、職責分工等。管理制度包括安全管理規(guī)范、章程等）；3 .系統(tǒng)安全保護設施設計實施方案或者改建實施方案（簡要的安 全 建 設、 整 改 方 案） ；4 .系統(tǒng)使用的信息安全產品清單及其認證、銷售許

9、可證明（主要信息安全產品的清單，確認有認證、銷售許可標記）；5 .測評后符合系統(tǒng)安全保護等級的技術檢測評估報告（最近一次測評的簡要的等級測評報告）；6 .信息系統(tǒng)安全保護等級專家評審意見（評審意見表，附專家名單）；7 .主管部門審核批準信息系統(tǒng)安全保護等級的意見（審批表， 領導審批簽字、蓋章）。備案審核管理辦法第十七條規(guī)定，信息系統(tǒng)備案后，公安機關應當對信息系統(tǒng)的備案情況進行審核，對符合等級保護要求的，應當在 收到備案材料之日起的10個工作日內頒發(fā)信息系統(tǒng)安全等級保護備 案證明；發(fā)現不符合本辦法及有關標準的，應當在收到備案材料之 日起的10個工作日內通知備案單位予以糾正；發(fā)現定級不準的，應 當

10、在收到備案材料之日起的10個工作日內通知備案單位重新審核確 定。運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應當 按照本辦法向公安機關重新備案。信息系統(tǒng)等級保護測評簡要流程工昇和斟苗密播評1、等級測評過程等級測評過程分為測評準備、方案編制、現場測評、報告編制、安全整改五個階段。測評雙方之間的溝通與洽談將貫穿整個等級測評過程。J42區(qū)預ii 1 劇i!Hm開肚 ''I' 更評於觸4+戯劃訐和第果觀站輛認和解還”單蒯評覷腮1單油府孵幗2、階段性實施計劃2.1、測評準備：項目啟動:確定測評機構（四川省信息系統(tǒng)工程測評中心：馮麗、李?。缓炗啘y評合同和測評保密協(xié)議；填報信

11、息系統(tǒng)基本情況調查表格；準備測評所需資料：總體描述文件、詳細描述文件、定級 報告、自查報告和等級測評報告（如果曾做過的話），以 及安全需求分析報告、安全總體方案、系統(tǒng)驗收報告等信 息系統(tǒng)設計和建設過程的文檔。2.2、方案編制（測評機構實施）：1）測評對象及測評指標確定測評對象確定：識別被測系統(tǒng)等級；識別被測系統(tǒng)的整體結構；識別被測系統(tǒng)的邊界；識別被測系統(tǒng)的網絡區(qū)域；識別被測系統(tǒng)的重點節(jié)點和業(yè)務應用；確定測評對象。測評指標確定：識別被測系統(tǒng)業(yè)務信息和系統(tǒng)服務安全保護等級；選擇對應等級的ASGE類安全要求作為測評指標；就高原則調整多個定級對象共用的某些物理安全或管理安全測評指標2）測評內容確定識別

12、每個測評對象對應的測評指標；識別每個測評對象對應的每個測評指標的測評方法。3）工具測試方法確定確定工具測試的測評對象；選擇測試路徑；確定測試工具的接入點。4）測評指導書開發(fā)從已有的測評指導書中選擇與測評對象對應的手冊；針對沒有現成測評指導書的測評對象，開發(fā)新的測評指導 書。5）測評方案編制描述測評項目基本情況和工作依據；描述被測系統(tǒng)的整體結構、邊界和網絡區(qū)域；描述被測系統(tǒng)重要節(jié)點和業(yè)務應用；描述測評指標；描述測評對象；描述測評內容、方法和工具；人員安排與進度計劃。2.3、現場測評：1）現場測評準備:現場測評授權書簽署；召開現場測評啟動會； 雙方確認測評方案；雙方確認配合人員、環(huán)境等資源； 確認

13、信息系統(tǒng)已經備份。2）結果確認和資料歸還召開現場測評結束會；確認測評過程中獲取的證據和資料的正確性，并簽字認 可；測評人員歸還借閱的各種資料。2.4、報告編制（測評機構實施）：1）、單項測評結果判定分析測評項所對抗威脅的存在情況；分析單個測評項是否有多方面的要求內容，依據“優(yōu)勢證 據”法選擇優(yōu)勢證據，并將優(yōu)勢證據與預期測評結果相比 較；綜合判定單個測評項的測評結果。2）、單元測評結果判定匯總每個測評對象在每個測評單元的單項測評結果；判定每個測評對象的單元測評結果。3）、整體測評分析不符合和部分符合的測評項與其他測評項（包括單元內、層面間、區(qū)域間）之間的關聯(lián)關系及對結果的影響情 況。4）、風險分析整體測評后的單元測評結果再次匯總；分析部分符合項或不符合項所產生的安全問題被威脅利用 的可能性；分析威脅利用安全問題后造成的影響程度；按照測評單位選定的