信息系统安全等级保护定级指南宣贯材料.doc

信息系统安全等级保护定级指南 为宣贯《信息系统安全等级保护定级指南》（以下简称《定级指南》）国家标准，由标准起草人介绍标准制、修订过程，讲解标准的主要内容,解答标准执行中可能遇到的问题。 定级指南标准制修订过程 制定背景 本标准是公安部落实66号文件，满足开展等级保护工作所需要的重要规范性文件之一，是其他标准规范文件的基础。本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则，从信息系统对国家安全、经济建设、社会生活重要作用，信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素，确定信息系统的安全保护等级，提出了分级的原则和方法。 本任务来自全国信息系统安全标准化技术委员会，由全国信息安全标准化技术委员会WG5工作组负责管理。 国外相关资料分析 本标准编制前，编制人员收集与信息系统确定等级相关的国外资料，其中主要是来自美国的标准或文献资料，例如： FIPS 199 Standards for Security Categorization of Federal Information and Information Systems（美国国家标准和技术研究所） DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certification and Accreditation Process Application Manual（美国国防部） DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation（美国国防部） Information Assurance Technology Framework3.1（美国国家安全局） 这些资料表明，美国政府及军方也在积极进行信息系统分等级保护的尝试，从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家，也适用于信息化发达国家。但仔细分析起来，这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。 FIPS 199作为美国联邦政府标准，依据2002年通过的联邦信息安全管理法，适用于所有联邦政府内的信息（除其它规定外的）和除已定义为国家安全系统之外的联邦信息系统。根据FIPS 199，信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的潜在影响将信息分类，影响程度可为高、中或低。例如某政府采购系统中，包含合同信息和管理信息，各自的信息分类为： SC合同信息={(保密性，中)，（完整性，中），（可用性，低） SC管理信息={(保密性，低)，（完整性，低），（可用性，低） 该政府采购系统分类的各项，将是系统中所有信息分类的三性取值中的最高值： SC政府采购系统={(保密性，中)，（完整性，中），（可用性，低） 尽管该标准仅将信息系统按照对信息安全三性的安全需求进行了分类，没有明确说明信息系统的安全等级，但从与该标准配套的安全控制措施（SP800-53等）内容来看，最终信息系统的等级是由分类中的较高者决定。 8510.1-M为美国国防部发布的DITSCAP计划提供实施手册，DITSCAP计划的主要目的是保护国防信息基础设施，适用于国防大臣办公室、军事部门、参谋长联席会议主席、作战指挥部、国防机构、DoD组成部门及其承包商和机构。在考虑系统的功能、国家和国防的安全要求以及系统的使命的危险程度、系统所处理的数据和用户类型等因素的基础上，DITSCAP的认证任务要求每个系统在四个认证级别中确定一个适合自身的认证级别。这四个认证级别是：1级—基本的安全评审，2级—最小分析，3级—详细分析，4级—复杂分析。 8510.1-M提出用于描述系统的7个特征量，互联模式、处理模式、归因性（责任追溯）业务依赖性、信息三性等，根据对这7个特征量赋权值，得出某个信息系统的总的权值，再根据权值所处的区间，确定信息系统的认证级别。 8500.2 没有直接针对信息系统分级，但给出了两种分等级的信息保障需求，一种是按信息保密性分级，DoD定义了三个保密性等级：保密、敏感和公开，另一种是按业务保障分类（Mission Assurance Category）：MACⅠ、MACII和MACIII，由此可以排列出9种组合。保密性分级反映了系统内所处理的信息的重要程度，业务保障类反映了与DoD实现业务目标相关的重要性，业务保障类主要用于满足完整性和可用性方面的需求，其中MACⅠ系统比MACII和MACIII系统要求有更为严格的保护措施。 《信息保障技术框架》（IATF）由美国国家安全局主持编制，其所面向的对象既包括Internet这样的全球信息基础设施，也包括国家信息