信息系统安全等级保护定级--备案--测评流程.doc.docVIP

信息系统安全等级保护法规及依据 在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下： 1、《中华人民共和国计算机信息系统安全保护条例》（国务院147号令） 2、《信息安全等级保护管理办法》（公通字[2007]43号） 3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》 4、GB/T?20274《信息安全技术?信息系统安全保障评估框架》 5、GB/T?22081-2008《信息技术?安全技术信息安全管理实用规则》 6、GB/T?20271-2006《信息系统通用安全技术要求》 7、GB/T?18336-2008《信息技术?安全技术?信息技术安全性评估准则》 8、GB?17859-1999《计算机信息系统安全保护等级划分准则》 9、GB/T?22239-2008《信息安全技术?信息系统安全等级保护基本要求》 10、GB/T?22240-2008《信息安全技术?信息系统安全等级保护定级指南》 11、《信息安全技术?信息系统安全等级保护测评要求》 12、《信息安全技术?信息系统安全等级保护实施指南》 13、《信息安全等级保护管理办法》 信息系统安全等级保护定级备案流程 1、定级原理 信息系统安全保护等级 根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 信息系统安全保护等级的定级要素 信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 受侵害的客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面： a) 公民、法人和其他组织的合法权益； b) 社会秩序、公共利益； c) 国家安全。 对客体的侵害程度 对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种： a) 造成一般损害； b) 造成严重损害； c) 造成特别严重损害。 定级要素与等级的关系 定级要素与信息系统安全保护等级的关系如下表所示。 受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重 损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 2、定级流程 信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。 从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。 从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。 确定信息系统安全保护等级的一般流程如下： a) 确定作为定级对象的信息系统； b) 确定业务信息安全受到破坏时所侵害的客体； c) 根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度； d) 依据“业务信息安全保护等级矩阵表”，得到业务信息安全保护等级； e) 确定系统服务安全受到破坏时所侵害的客体； f) 根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度； g) 依据“系统服务安全保护等级矩阵表”，得到系统服务安全保护等级； h) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。 业务信息安全保护等级矩阵表 业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 系统服务安全保护等级矩阵表 系统服务被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益