等级保护-定级.pptVIP

1 定级原理1.1 信息系统安全保护等级 定义 1定级原理1.2 定级要素 信息系统的安全保护等级由两个定级要素决定： 等级保护对象受到破坏时所侵害的客体 对客体造成侵害的程度。 等级保护对象受到破坏时所侵害的客体包括以下三个方面： 公民、法人和其他组织的合法权益； 社会秩序、公共利益； 国家安全。 对客体的侵害程度由客观方面的不同外在表现综合决定。 由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种： 造成一般损害； 造成严重损害； 造成特别严重损害。 1 定级原理1.3 定级要素与等级关系 定级要素与信息系统安全保护等级的关系如表1所示。 2 定级方法2.1 定级的一般流程 信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。 从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。 从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。 2 定级方法2.1 定级的一般流程 2 定级方法2.2 确定定级对象 2 定级方法2.2 确定定级对象 2 定级方法2.5 确定客体受侵害的程度 根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表2业务信息安全保护等级矩阵表，即可得到业务信息安全保护等级。 2 定级方法2.5 确定客体受侵害的程度 结论： 作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。 3 等级变更 在信息系统的运行过程中，安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更，尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化，可能影响到系统的安全保护等级时，应根据标准给出的定级方法重新定级。 4 备案管理 备案材料 第三级以上信息系统应当同时提供以下材料： 系统拓扑结构及说明； 系统安全组织机构和管理制度； 系统安全保护设施设计实施方案或者改建实施方案； 系统使用的信息安全产品清单及其认证、销售许可证明； 测评后符合系统安全保护等级的技术检测评估报告； 信息系统安全保护等级专家评审意见； 主管部门审核批准信息系统安全保护等级的意见。 4 备案管理 检查 受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。 对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。 对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。 4 备案管理 要求 完成信息系统安全等级保护定级报告，应于2008年5月14日前将电子版交局办公室郭霞处，以便统一上报。联系电话：6995800. 要认真学习下发的培训资料，最好在写报告的同时预填写备案表，以防止今后填写备案表时出现不一致或无法填写的情况。 出现问题，可直接和市公安局网监支队联系。联系电话：3619499 * * 0 引言 1 定级原理 2 定级方法 3 等级变更 4 备案 信息系统受到破坏后，会对国家安全造成特别严重损害。 第五级 信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第四级 信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第三级 信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第二级 信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第一级 定义 等级 1定级原理1.2 定级要素1.2.1 受侵害的客体 1定级原理1.2 定级要素1.2.1 对客体的侵害程度 第五级 第四级 第三级 国家安全 第四级 第三级 第二级 社会秩序、公共利益 第二级 第二级 第一级 公民、法人和其他组织的合法权益 特别严重损害 严重损害 一般损害 对客体的侵害程度 受侵害的客体 表1 定级要素与安全保护等级的关系 3、综合评定对客体的侵害程度 2、确定业务信息安全受到破坏时所侵害的客体 6、综合评定对客体的侵害程度 5、确定系统服务安全受到破坏时所侵害的客体 7、系统服务安全等级 4、业务信息安全等级 8、定级对象的安全保护等级 依据表2 依据表3 1、确定定级对象 具有信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标