等级保护定级方法.ppt

主题 定级工作的意义 定级的范围 信息系统五个安全等级 定级要素及与安全保护等级的关系 定级一般流程 定级的步骤 定级工作的意义 此次定级工作的重要性 此次定级工作的强制性 此次定级工作的急迫性 　　　　 此次定级的范围 （一）电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 （二）铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 （三）市（地）级以上党政机关的重要网站和办公信息系统等。 （四）涉及国家秘密的信息系统（以下简称“涉密信息系统”）。 信息系统五个安全等级 定级的要素 定级要素与安全保护等级的关系 定级一般流程 确定作为定级对象的信息系统； 确定业务信息安全受到破坏时所侵害的客体； 根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度； 依据下表，得到业务信息安全等级； 定级一般流程 确定系统服务安全受到破坏时所侵害的客体； 根据不同的受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度； 依据下表，得到系统服务安全等级； 定级一般流程 定级的步骤 定级的步骤 信息系统调查 信息系统调查工作通过全面客观的信息资产调查表以核查和访谈的方式完成信息资产调查工作，即通过信息系统的摸底调查，全面掌握信息系统的数量、分布、业务类型、应用或服务范围、系统结构等基本情况。 定级的步骤 定级对象分析 定级对象分析根据信息系统调查结果和访谈结果，分析信息系统管理组织机构、业务应用、物理位置和运行环境等因素，基于科学的系统拆分原则明确定级对象。 信息系统定级—定级对象 一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。 作为定级对象的信息系统应具有如下基本特征： 具有唯一确定的安全责任单位 具有信息系统的基本要素 承载单一或相对独立的业务应用 信息系统定级—定级对象 具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。 信息系统定级—定级对象 具有信息系统的基本要素 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。 信息系统定级—定级对象 承载单一或相对独立的业务应用 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。 信息系统定级—定级对象 确定定级对象的关键因素？ 定级的步骤 定级要素分析 定级要素：信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 分析工具：安全定级知识库。 分析方法：定级要素分析时需分别对业务信息安全等级和系统服务安全等级进行分析，分析内容包括确定受侵害的客体、确定对客体的侵害程度，从而确定相应的业务信息安全等级和系统服务安全等级。最后，综合业务信息安全等级和系统服务安全等级得到信息系统安全等级保护系统等级。 确定受侵害的客体 定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。 侵害国家安全的事项包括以下方面： 影响国家政权稳固和国防实力； 影响国家统一、民族团结和社会安定； 影响国家对外活动中的政治、经济利益； 影响国家重要的安全保卫工作； 影响国家经济竞争力和科技实力； 其他影响国家安全的事项。 确定受侵害的客体 侵害社会秩序的事项包括以下方面： 影响国家机关社会管理和公共服务的工作秩序； 影响各种类型的经济活动秩序； 影响各行业的科研、生产