北京市党政机关网络与信息系统安全定级指南(试行)75333new.doc

北京市党政机关网络与信息系统 安全定级指南（试行） 目 录 一、 引言 1 二、 依据 2 三、 定级原则 2 3.1 正确处理安全与发展的关系 3 3.2 基本等级与特殊要求相结合 3 四、 定级要素 3 五、 定级方法 5 5.1 通过资产分析定级 5 5.2 通过风险评估定级 7 六、 最低安全等级要求 9 七、 职责分工及工作程序 9 7.1 职责分工 9 7.2 工作程序 10 附件：网络与信息系统安全定级备案（审查）表 引言 为切实落实“中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知”（中办发[2003]27号）和“中共北京市委办公厅、北京市人民政府办公厅转发《北京市信息化工作领导小组关于加强信息安全保障工作的实施意见》的通知”精神，推动北京市各级党政机关（以下简称“党政机关”）网络与信息系统安全等级保护工作的开展，指导和帮助党政机关网络与信息系统安全定级工作，特制定本指南。 本指南适用于北京市党政机关网络与信息系统，其中涉及国家秘密的网络与信息系统，按照国家和本市有关保密规定执行。其它网络与信息系统定级工作参照本指南进行。 本指南指导党政机关确定网络与信息系统安全等级，供各级信息化主管部门及业务主管部门指导、监督网络与信息系统安全定级工作。北京信息安全测评中心依据党政机关的定级结果进行测评。信息安全服务机构可依据本指南、 DB11/T 171-2002 《党政机关信息系统安全测评规范》及其它相关规定协助党政机关进行网络与信息系统安全定级工作。 本指南对定级工作的原则、职责分工、工作程序、定级要素和方法进行了描述，党政机关应依据本指南的定级方法，结合本单位网络与信息系统实际，确定安全等级，并以此指导网络与信息系统安全建设工作。本指南对网络与信息系统提出了最低安全等级要求，党政机关确定的安全等级应不低于最低安全等级要求。 本指南所述安全等级与（DB11/T 171-2002）《党政机关信息系统安全测评规范》中的安全类别相对应。 依据 本指南的制定，依据以下政策法规和技术标准： 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发［2003］27号） 《北京市信息化工作领导小组关于加强信息安全保障工作的实施意见》（京办发[2004]3号） 《北京市政务与公共服务信息化工程建设管理办法》（北京市政府第67号令）； 《北京市党政机关计算机网络与信息安全管理办法》（京办发[2001］27号文）； “关于修改《 实施细则》有关条款的通知” 京信息办发［2003］17号文 ； DB11/T 171-2002 《党政机关信息系统安全测评规范》。 定级原则 北京市党政机关网络与信息系统（以下简称系统）定级工作坚持“积极防御，综合防范”的方针，坚持“统筹规划，突出重点”、“谁主管谁负责，谁运营谁负责”的原则。 3.1 正确处理安全与发展的关系 以安全保发展，从发展中求安全。党政机关应从系统的重要性出发，综合分析系统的信息资产价值和面临的安全威胁，确定所需要的系统安全等级，以合理的投入进行系统的安全建设。做到保护重点，兼顾一般，投入合理。 3.2 基本等级与特殊要求相结合 确定系统的安全等级，应本着原则性与系统实际相结合的原则。安全等级对于各种安全组件有统一的、基本的安全要求。根据系统实际，当某一具体的系统对某些安全组件有比较高的要求时，可对个别安全组件采用更高安全要求。这样，虽然从整体上看，该系统是按照某一安全等级进行设计和实现的，但同时也兼顾了特定的安全要求。 根据系统实际情况，安全保护不涉及的安全组件，可不予考虑，不影响定级。例如和外界物理隔离的局域网络，边界保护相关的安全组件可不考虑。 定级要素 确定系统的安全等级，应从系统重要性出发，综合考虑系统资产价值、系统面临的安全风险、所需抵御的安全威胁等几个要素。 信息网络与信息系统安全等级与资产价值、面临的典型安全威胁、应具备的保护能力之间的对应关系应符合 DB11/T 171-2002 《党政机关信息系统安全测评规范》的规定。 其中： 系统安全等级1：系统所处理的信息为一般信息。系统所管理、控制和处理的信息资产，在遭到攻击和破坏时，系统所承载的业务以及单位利益基本不会受到影响或损害极小；系统面临的内外部安全威胁很弱；安全保护措施只需要抵御基本强度的威胁，主要为用户的非恶意行为以及意外事件。 系统安全等级2：处理信息为日常政务信息。系统所管理、控制和处理的信息资产，在遭到攻击和破坏时，会对系统所承载的业务以及单位利益带来一定的损失或破坏；系统面临的内外部安全威胁较弱；安全保护措施能够抵御不复杂的威胁，主要为占有少量资源的个体对手对系统进行的有限攻击。 系统安全等级3：处理信息为日常政务信息。系统所管理、控制和处理的信息资产，在遭