信息系統(tǒng)安全等級保護定級備案講義_第1頁
信息系統(tǒng)安全等級保護定級備案講義_第2頁
信息系統(tǒng)安全等級保護定級備案講義_第3頁
信息系統(tǒng)安全等級保護定級備案講義_第4頁
信息系統(tǒng)安全等級保護定級備案講義_第5頁
已閱讀5頁,還剩42頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

信息系統(tǒng)安全等級保護定級立案信息系統(tǒng)安全等級保護定級備案講義第1頁信息系統(tǒng)安全等級保護定級指南主要內(nèi)容引言第一部分:等級保護定級概述第二部分:掌握信息系統(tǒng)實際情況第三部分:確定定級對象第四部分:定級方法第五部分:初步定級第六部分:評審、確定與審批第七部分:等級調(diào)整第八部分:立案工作第九部分:問題解答信息系統(tǒng)安全等級保護定級備案講義第2頁引言 為推進我國信息安全等級保護工作開展,十多年來,在公安部領(lǐng)導(dǎo)和支持下,在國內(nèi)相關(guān)教授、企業(yè)共同努力下,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會和公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會組織制訂了信息安全等級保護工作需要一系列標(biāo)準(zhǔn),形成了比較完整信息安全等級保護標(biāo)準(zhǔn)體系,為開展信息安全等級保護工作提供了標(biāo)準(zhǔn)保障。引言信息系統(tǒng)安全等級保護定級備案講義第3頁定級政策《關(guān)于開展全國主要信息系統(tǒng)安全等級保護定級工作通知》(公通字[]861號)。引言信息系統(tǒng)安全等級保護定級備案講義第4頁定級標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護定級指南》和信息系統(tǒng)安全等級保護行業(yè)定級細則為確定信息系統(tǒng)安全保護等級提供支持?!缎畔⑾到y(tǒng)安全等級保護定級指南》(GB/T22240-)信息系統(tǒng)安全等級保護行業(yè)定級細則引言信息系統(tǒng)安全等級保護定級備案講義第5頁信息系統(tǒng)安全保護等級第一級,信息系統(tǒng)受到破壞后,會對公民、法人和其它組織正當(dāng)權(quán)益造成損害,但不損害國家安全、社會秩序和公共利益。第二級,信息系統(tǒng)受到破壞后,會對公民、法人和其它組織正當(dāng)權(quán)益產(chǎn)生嚴(yán)重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。第一部分等級保護定級概述第一部分:等級保護定級概述信息系統(tǒng)安全等級保護定級備案講義第6頁第三級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重損害,或者對國家安全造成損害。第四級,信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成尤其嚴(yán)重損害,或者對國家安全造成嚴(yán)重損害。第五級,信息系統(tǒng)受到破壞后,會對國家安全造成尤其嚴(yán)重損害。第一部分等級保護定級概述信息系統(tǒng)安全等級保護定級備案講義第7頁定級普通流程第一部分等級保護定級概述信息系統(tǒng)安全等級保護定級備案講義第8頁行業(yè)系統(tǒng)定級工作指導(dǎo)意見提出各個行業(yè)職能存在差異信息系統(tǒng)所發(fā)揮作用依據(jù)不一樣行業(yè)存在較大差異不一樣行業(yè)信息系統(tǒng)被破壞后對國家和社會危害不盡相同各行業(yè)主管部門能夠從行業(yè)整體出發(fā),從宏觀上更加好把握本行業(yè)內(nèi)各運行單位信息系統(tǒng)定級工作第一部分等級保護定級概述信息系統(tǒng)安全等級保護定級備案講義第9頁指導(dǎo)意見依據(jù)《管理方法》第十條:信息系統(tǒng)運行、使用單位應(yīng)該依據(jù)本方法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)安全保護等級。有主管部門,應(yīng)該經(jīng)主管部門審核同意??缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行信息系統(tǒng)能夠由主管部門統(tǒng)一確定安全保護等級。依據(jù)《關(guān)于開展全國主要信息系統(tǒng)安全等級保護定級工作通知》(以下簡稱《定級通知》)要求:各行業(yè)主管部門要依據(jù)行業(yè)特點提出指導(dǎo)當(dāng)?shù)赜?、本行業(yè)定級工作指導(dǎo)意見。第一部分等級保護定級概述信息系統(tǒng)安全等級保護定級備案講義第10頁行業(yè)定級工作指導(dǎo)意見意義:愈加好落實落實《管理方法》使本行業(yè)實施等級保護工作政策和方針目標(biāo)性愈加明確有利于本行業(yè)制訂定級工作階段計劃有利于統(tǒng)一本行業(yè)對定級要素賦值規(guī)范第一部分等級保護定級概述信息系統(tǒng)安全等級保護定級備案講義第11頁認真調(diào)查,掌握信息系統(tǒng)實際情況 全方面掌握信息系統(tǒng)(包含信息網(wǎng)絡(luò))業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、系統(tǒng)結(jié)構(gòu)等基本情況,第二部分掌握實際情況第二部分:掌握信息系統(tǒng)實際情況信息系統(tǒng)安全等級保護定級備案講義第12頁第三部分確定定級對象定級對象基本特征定級對象確實定方法科學(xué)、合理確定定級對象確定定級對象舉例第三部分:確定定級對象信息系統(tǒng)安全等級保護定級備案講義第13頁第三部分確定定級對象定級對象基本特征:含有唯一確定安全責(zé)任主體

作為定級對象信息系統(tǒng)應(yīng)能夠唯一地確定其安全責(zé)任單位。(含有唯一確定安全責(zé)任單位)含有信息系統(tǒng)基本要素作為定級對象信息系統(tǒng)應(yīng)該是由相關(guān)和配套設(shè)備、設(shè)施按照一定應(yīng)用目標(biāo)和規(guī)則組合而成有形實體。信息系統(tǒng)安全等級保護定級備案講義第14頁定級對象基本特征:承載單一或相對獨立業(yè)務(wù)應(yīng)用定級對象承載“單一”業(yè)務(wù)應(yīng)用是指該業(yè)務(wù)應(yīng)用業(yè)務(wù)流程獨立,且與其它業(yè)務(wù)應(yīng)用沒有數(shù)據(jù)交換,且獨享全部信息處理設(shè)備。定級對象承載“相對獨立”業(yè)務(wù)應(yīng)用是指其業(yè)務(wù)應(yīng)用主要業(yè)務(wù)流程獨立,同時與其它業(yè)務(wù)應(yīng)用有少許數(shù)據(jù)交換,定級對象可能會與其它業(yè)務(wù)應(yīng)用共享一些設(shè)備,尤其是網(wǎng)絡(luò)傳輸設(shè)備。第三部分確定定級對象只有同時滿足上述三個條件,才可由本單位對信息系統(tǒng)進行定級信息系統(tǒng)安全等級保護定級備案講義第15頁第三部分確定定級對象定級對象確實定方法:從管理機構(gòu)角度劃分從業(yè)務(wù)類型角度劃分從相同物理位置和相同運行環(huán)境劃分信息系統(tǒng)安全等級保護定級備案講義第16頁科學(xué)、合理確定定級對象要把握以下幾個標(biāo)準(zhǔn):一是以相對獨立應(yīng)用系統(tǒng)為定級對象。二是確認負責(zé)定級單位是否含有對所定級系統(tǒng)安全責(zé)任。三是確定定級對象方法允許各種多樣。第三部分確定定級對象信息系統(tǒng)安全等級保護定級備案講義第17頁確定定級對象舉例一、識別和描述定級對象識別基本信息、管理框架、業(yè)務(wù)種類和業(yè)務(wù)流程、信息資產(chǎn)、網(wǎng)絡(luò)結(jié)構(gòu)、軟硬件設(shè)備、用戶類型和分布,描述單位基本信息。二、劃分定級對象分析安全管理責(zé)任,確定管理邊界;分析網(wǎng)絡(luò)結(jié)構(gòu)和已經(jīng)有內(nèi)外部邊界;分析業(yè)務(wù)流程和業(yè)務(wù)間關(guān)系;初步劃定信息系統(tǒng),確定定級對象。第三部分確定定級對象信息系統(tǒng)安全等級保護定級備案講義第18頁三、識別和劃分定級對象中難點影響定級要素賦值產(chǎn)生不一樣原因系統(tǒng)所包括客體不一樣系統(tǒng)對客體造成損害程度不一樣系統(tǒng)處理業(yè)務(wù)類型不一樣本身運行在不一樣網(wǎng)絡(luò)環(huán)境中系統(tǒng)分不開系統(tǒng),按照高級別保護第三部分確定定級對象信息系統(tǒng)安全等級保護定級備案講義第19頁四、系統(tǒng)邊界劃分注意事項不一樣信息系統(tǒng)共用設(shè)備普通是網(wǎng)絡(luò)/邊界設(shè)備或終端設(shè)備。兩個信息系統(tǒng)邊界存在共用設(shè)備安全保護等級按兩個信息系統(tǒng)安全保護等級較高者確定管理終端與被管理對象相對應(yīng),被管理對象屬于哪個系統(tǒng),終端就應(yīng)屬于該信息系統(tǒng)一部分處理涉密信息終端必須劃分到對應(yīng)信息系統(tǒng)中,且不能與非涉密系統(tǒng)共用終端。第三部分確定定級對象信息系統(tǒng)安全等級保護定級備案講義第20頁確定定級對象舉例第三部分確定定級對象信息系統(tǒng)安全等級保護定級備案講義第21頁 受侵害信息系統(tǒng)安全保護等級由兩個要素決定:等級保護對象受到破壞時所侵害客體和對客體造成侵害程度。受侵害客體:

公民、法人和其它組織正當(dāng)權(quán)益;社會秩序、公共利益;三是國家安全。對客體侵害程度:

普通損害;嚴(yán)重損害;尤其嚴(yán)重損害。第四部分定級方法第四部分:定級方法信息系統(tǒng)安全等級保護定級備案講義第22頁業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全信息系統(tǒng)與之相關(guān)受侵害客體和對客體侵害程度可能不一樣,而信息系統(tǒng)安全包含業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面,所以定級也應(yīng)由這兩方面決定。對客體侵害外在表現(xiàn)為對定級對象破壞,其危害方式表現(xiàn)為對信息安全破壞和對信息系統(tǒng)服務(wù)破壞。第四部分定級方法信息系統(tǒng)安全等級保護定級備案講義第23頁信息安全

信息安全是指確保信息系統(tǒng)內(nèi)信息保密性、完整性和可用性等;系統(tǒng)服務(wù)安全 系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)能夠及時、有效地提供服務(wù),以完成預(yù)定業(yè)務(wù)目標(biāo);因為業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害客體和對客體侵害程度可能會有所不一樣,在定級過程中,需要分別處理這兩種危害方式。第四部分定級方法信息系統(tǒng)安全等級保護定級備案講義第24頁第四部分定級方法確定受侵害客體:受侵害客體指等級保護對象(即定級對象)受到破壞時所侵害客體。包含以下三個方面:公民、法人和其它組織正當(dāng)權(quán)益;社會秩序、公共利益;國家安全。信息系統(tǒng)安全等級保護定級備案講義第25頁第四部分定級方法對客體侵害程度:在客觀方面,對客體侵害外在表現(xiàn)為對定級對象破壞。危害方式表現(xiàn)為對信息安全破壞和對信息系統(tǒng)服務(wù)破壞??腕w侵害客觀方面-危害方式:對信息安全破壞:信息系統(tǒng)內(nèi)信息保密性、完整性和可用性。對信息系統(tǒng)服務(wù)破壞:信息系統(tǒng)能夠及時、有效地提供服務(wù),以完成預(yù)定業(yè)務(wù)目標(biāo)。信息系統(tǒng)安全等級保護定級備案講義第26頁確定業(yè)務(wù)信息安全等級第四部分定級方法業(yè)務(wù)信息安全被破壞時所侵害客體對對應(yīng)客體侵害程度普通損害嚴(yán)重損害尤其嚴(yán)重損害公民、法人和其它組織正當(dāng)權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級信息系統(tǒng)安全等級保護定級備案講義第27頁確定系統(tǒng)服務(wù)安全等級第四部分定級方法系統(tǒng)服務(wù)安全被破壞時所侵害客體對對應(yīng)客體侵害程度普通損害嚴(yán)重損害尤其嚴(yán)重損害公民、法人和其它組織正當(dāng)權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級信息系統(tǒng)安全等級保護定級備案講義第28頁信息安全和系統(tǒng)服務(wù)安全受到破壞后果:影響行使工作職能;造成業(yè)務(wù)能力下降;引發(fā)法律糾紛;造成財務(wù)損失;造成社會不良影響;對其它組織和個人造成損失;其它影響。

第四部分定級方法信息系統(tǒng)安全等級保護定級備案講義第29頁第四部分定級方法綜合判定侵害程度: 依據(jù)不一樣受侵害客體、不一樣危害后果分別確定其危害程度。造成普通損害造成嚴(yán)重損害造成尤其嚴(yán)重損害信息系統(tǒng)安全等級保護定級備案講義第30頁第四部分定級方法安全保護等級信息系統(tǒng)基本保護要求組合第一級S1A1G1第二級S1A2G2,S2A2G2,S2A1G2第三級S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四級S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4第五級S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A5G5,S5A4G5,S5A3G5,S5A2G5,S5A1G5信息系統(tǒng)安全等級保護定級備案講義第31頁定級普通流程確定作為定級對象信息系統(tǒng);確定業(yè)務(wù)信息安全受到破壞時所侵害客體;依據(jù)不一樣受侵害客體,從多個方面綜合評定業(yè)務(wù)信息安全被破壞對客體侵害程度;得到業(yè)務(wù)信息安全保護等級;第五部分初步定級第五部分:初步確定安全保護等級信息系統(tǒng)安全等級保護定級備案講義第32頁確定系統(tǒng)服務(wù)安全受到破壞時所侵害客體;依據(jù)不一樣受侵害客體,從多個方面綜合評定系統(tǒng)服務(wù)安全被破壞對客體侵害程度;得到系統(tǒng)服務(wù)安全保護等級;將業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級較高者確定為定級對象安全保護等級。第六部分定級工作總結(jié)信息系統(tǒng)安全等級保護定級備案講義第33頁定級普通流程第六部分定級工作總結(jié)信息系統(tǒng)安全等級保護定級備案講義第34頁尤其注意 起傳輸作用基礎(chǔ)網(wǎng)絡(luò)要單獨定級,等級能夠參考在其上運行信息系統(tǒng)等級、網(wǎng)絡(luò)服務(wù)范圍和本身安全需求確定適當(dāng)保護等級,不以在其上運行信息系統(tǒng)最高等級或最低等級為標(biāo)準(zhǔn)。第五部分初步定級信息系統(tǒng)安全等級保護定級備案講義第35頁信息系統(tǒng)等級對照表第五部分初步定級等級對象侵害客體侵害程度監(jiān)管強度第一級社會秩序和公共利益正當(dāng)權(quán)益損害自主保護第二級正當(dāng)權(quán)益嚴(yán)重損害指導(dǎo)損害第三級主要系統(tǒng)社會秩序和公共利益嚴(yán)重損害監(jiān)督檢驗國家安全損害第四級社會秩序和公共利益尤其嚴(yán)重損害強制監(jiān)督檢驗國家安全嚴(yán)重損害第五級極端主要系統(tǒng)國家安全尤其嚴(yán)重損害專門監(jiān)督檢驗信息系統(tǒng)安全等級保護定級備案講義第36頁信息系統(tǒng)等級評審信息系統(tǒng)等級確定與審批第六部分評審、確定與審批第六部分:等級評審、確定與審批信息系統(tǒng)安全等級保護定級備案講義第37頁定級匯報定級匯報是為詳細了解和掌握定級過程情況由信息系統(tǒng)運行使用單位負責(zé)填寫文檔。定級匯報要在信息系統(tǒng)立案時一并提交。信息系統(tǒng)運行使用單位在起草定級匯報時能夠請技術(shù)支持單位幫助。第六部分評審、確定與審批信息系統(tǒng)安全等級保護定級備案講義第38頁定級匯報撰寫信息系統(tǒng)描述簡述確定該信息系統(tǒng)為定級對象理由。包含:該信息系統(tǒng)所承載業(yè)務(wù)主管單位和部門,該信息系統(tǒng)含有信息系統(tǒng)基本要素(有主機、網(wǎng)絡(luò)及相關(guān)配套設(shè)施組成人機系統(tǒng)),該信息系統(tǒng)承載著獨立或單一業(yè)務(wù)應(yīng)用,業(yè)務(wù)應(yīng)用主要包含哪些,各包含哪些功效等。第六部分評審、確定與審批信息系統(tǒng)安全等級保護定級備案講義第39頁信息系統(tǒng)安全保護等級確實定業(yè)務(wù)信息安全保護等級確實定。第一步:簡明描述信息系統(tǒng)所處理主要業(yè)務(wù)信息,包含各項業(yè)務(wù)主要數(shù)據(jù)項有哪些等。第二步:確定業(yè)務(wù)信息受到破壞后所侵害客體第三步:確定對客體侵害程度第四步:查表確定業(yè)務(wù)信息安全等級第六部分評審、確定與審批信息系統(tǒng)安全等級保護定級備案講義第40頁系統(tǒng)服務(wù)安全保護等級確實定第一步:簡明描述系統(tǒng)服務(wù)范圍、服務(wù)對象、服務(wù)要求等等。第二步:確定系統(tǒng)服務(wù)受到破壞后所侵害客體第三步:確定對客體侵害程度第四步:查表確定系統(tǒng)服務(wù)安全等級信息系統(tǒng)安全保護等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級較高者決定。定級匯報模板第六部分評審、確定與審批信息系統(tǒng)安全等級保護定級備案講義第41頁調(diào)整對象:信息系統(tǒng)運行、使用單位確定信息系統(tǒng)安全保護等級 調(diào)整主體:信息系統(tǒng)決議者或上級主管部門 調(diào)整標(biāo)準(zhǔn):只能調(diào)高等級而不能降低等級

第七部分等級調(diào)整第七部分:等級調(diào)整信息系統(tǒng)安全等級保護定級備案講義第42頁等級調(diào)整參考原因上級主管部門在政策和管理方面特殊要求。預(yù)測信息安全受到破壞后受侵害客體和對客體侵害程度可能會有較大改變。預(yù)測系統(tǒng)服務(wù)受到破壞后受侵害客體和對客體侵害程度伴隨業(yè)務(wù)發(fā)展會有較大改變。第七部分等級調(diào)整信息系統(tǒng)安全等級保護定級備案講義第43頁《管理方法》第十四條中要求:已運行(運行)第二級以上信息系統(tǒng),應(yīng)該在安全保護等級確定后30日內(nèi),由其運行、使用單位到所在地設(shè)區(qū)市級以上公安機關(guān)辦理立案手續(xù)。新建第二級以上信息系統(tǒng),應(yīng)該在投入運行后30日內(nèi),由其運行、使用單位到所在地設(shè)區(qū)市級以上公安機關(guān)辦理立案手續(xù)。第八部分立案工作第八部分:立案工作步驟信息系統(tǒng)安全等級保護定級備案講義第

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論