网络安全等级保护定级指引解读-中国网络安全等级保护网.PDF

网络安全等级保护定级指南解读 《信息安全技术网络安全等级保护定级指南》 是 《信息安全技术信息系统安全等级保护定级指南》 （GB/T 22240-2008 ）的修订版 主要内容 一． 基本概念和定级要素 二． 定级方法 三． 工作流程 3 一、基本概念和定级要素 •定级是开展网络安全等级保护工作的 “基本出发点” •定级结果应当成为系统安全保护的总体安全需求之一 •定级过程是找到系统最大风险的过程 4 一、基本概念和定级要素-等级定义 • 《信息安全等级保护管理办法》 （公通字[2007]43号 “第七条 信息系统的保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他 组织的合法权益造成损害，但不损害国家安全、社会秩 序和公共利益； 5 一、基本概念和定级要素-等级定义 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生 严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全； 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害 ，或 者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害 ， 或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。” 6 6 一、基本概念和定级要素 •解决了：信息系统根据什么定级？定什么级？ •从信息系统对国家安全、经济建设、公共利益等方面 的重要性 ，以及信息系统被破坏后造成危害的严重性 角度对信息系统确定的等级-重要性定级 •没有解决 ：定级的方法、流程 7 一、基本概念和定级要素 • 《信息安全技术 信息系统安全等级保护定级指南》 （GB/T 22240-2008 ） • 《信息安全技术 网络安全等级保护定级指南》 （GB/T 22240-20** ）(前者的修订版) ——主要关注等级保护定级工作开展的流程及定级的方法 8 8 一、基本概念和定级要素 • 概念解释 • 安全保护等级 • 等级保护对象 • 客体 9 一、基本概念和定级要素 • 安全保护等级 等级的确定是不依赖于安全保护措施的，具有一定的 “客观性”，即该系统在存在之初便由其自身所实现的 使命的重要程度决定了它的安全保护等级，而非由“后 天”的安全保护措施决定。 10 一、基本概念和定级要素 •等级保护对象 •网络安全等级保护工作的作用对象，主要包括基础网 络设施、信息系统 （如工业控制系统、云计算平台、 物联网、使用移动互联技术的系统、其他系统）以及 数字资源等。 11 一、基本概念和定级要素 • 客体 •受法律保护的、等级保护对象受到破坏时所侵害的社 会关系 ，如国家安全、社会秩序、公共利益以及公民、 法人或其他组织的合法权益。 12 一、基本概念和定级要素 •定级要素一：受侵害的客体 •定级要素二：对客体的侵害程度 •定级要素与安全保护等级的对应关系 13 一、基本概念和定级要素 •要素一 受侵害的客体 •公民、法人和其