信息系统等级保护与定级教案.ppt

等级保护重要标准 信息系统安全等级保护实施指南 (GB/T 25058-2010) (基础类标准) 计算机信息系统安全等级保护划分准则 (GB 17859-1999) (基础类标准) 信息系统安全保护等级定级指南 (GB/T 22240-2008) (应用类定级标准) 信息系统安全等级保护基本要求 (GB/T 22239-2008) (应用类建设标准) 信息系统通用安全技术要求 (GB/T 20271-2006) (应用类建设标准) 信息系统等级保护安全设计技术要求 (GB/T 25070-2010) (应用类建设标准) 信息系统安全等级保护测评要求 (GB/T 28448-2012)(应用类测评标准) 信息系统安全等级保护测评过程指南 (GB/T 28449-2012)(应用类测评标准) 信息系统安全管理要求 (GB/T 20269-2006) (应用类管理标准) 信息系统安全工程管理要求 (GB/T 20282-2006) (应用类管理标准) 目录 信息系统安全保护等级的依据 信息系统安全保护等级的确定 信息系统安全保护等级的报告 信息系统安全保护等级的案例 信息系统安全保护等级的案例 信息系统定级案例－某委办局办公应用系统-1： 某委办局办公应用系统描述 某委办局办公应用系统 主要集内部办公应用系统、信息资源共享、网上审批平台和人力资源管理于一体的协同办公系统 主要功能公文流转、任务管理、网上审批、公共信息、信息资源共享、会议管理等 系统实时性要求一般，最短的工作时限为半天。 某委办局办公应用系统安全保护等级的确定 业务信息安全保护等级的确定 系统服务安全保护等级的确定 安全保护等级的确定 信息系统定级案例－某委办局办公应用系统-2 ： 某委办局办公应用系统安全保护等级的确定 业务信息安全保护等级的确定 业务信息描述 业务信息受到破坏时所侵害客体的确定 信息受到破坏后对侵害客体的侵害程度 确定业务信息安全等级 业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 信息系统安全保护等级的案例 该系统业务信息属于该委办局专有信息，包括来自北京市政府各单位，以及所属单位的公文；单位制订的信息化长期、中期、短期和年度规划以及执行情况信息；网上审批信息；个人事物信息等等。 客体确定：公民、法人和其他组织的合法权益，及社会秩序、公共利益。 表现：该系统信息属委办局专有信息,但牵涉到该单位执行的一些政府审批事宜，这些信息被破坏会影响公众利益，也会影响公民、法人和其他组织。 侵害程度确定：主要对公共利益造成一定损害，同时对公民、法人和其他组织的合法权益造成的一定损害。 表现：工作职能受到一定影响，造成业务能力下降，会对公众利益造成不良影响，对其他组织和个人造成一定损害。 业务信息的安全保护等级确定为第二级 信息系统安全保护等级的案例 信息系统定级案例－某委办局办公应用系统-3 ： 某委办局办公应用系统安全保护等级的确定 系统服务安全保护等级的确定 系统服务描述 系统服务受到破坏时所侵害客体的确定 信息受到破坏后对侵害客体的侵害程度 确定系统服务安全等级 系统服务安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 系统属某委办局内部办公系统，其服务范围为本委办局各业务处室及下属事业单位。 客体确定：公民、法人和其他组织的合法权益；公众利益。 表现：该系统信息属内部专有信息，这些信息被破坏会对影响到公民、法人和其他组织的合法权益；间接影响公众利益。 侵害程度确定： 表现：服务中断，造成该委办局办公能力下降。会对公众利益造成一定影响；对公民、法人和其他组织的合法权益造成一定损害。 系统服务的安全保护等级确定为第二级 信息系统安全保护等级的案例 信息系统定级案例－某委办局办公应用系统-4： 某委办局办公应用系统安全保护等级的确定 安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服务安全务安等级的较高者决定 所以，系统安全保护等级为第二级 信息系统名称 安全保护等级 业务信息 安全等级 系统服务 安全等级 某委办局办公应用系统 第二级 二 二 信息系统安全保护等级的案例 信息系统定级案例－某委办局核心业务系统-1： 某委办局核心业务系统描述 该核心业务属北京市电子政务重要信息系统目录中的一个系统，于*年*月*日由某委办局立项建设，目前由该局运维中心负责系统、网络及安全维护，某业务处室负