信息系统安全等级保护定级备案讲义.pptVIP

信息系统安全等级保护定级备案 ;信息系统安全等级保护定级指南;引言;定级政策 《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）。;定级标准 《信息系统安全等级保护定级指南》和信息系统安全等级保护行业定级细则为确定信息系统安全保护等级提供支持。 《信息系统安全等级保护定级指南》（GB/T22240-2008） 信息系统安全等级保护行业定级细则;信息系统安全保护等级 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。;第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。;定级的一般流程;行业系统定级工作的指导意见的提出 各个行业的职能存在差异 信息系统所发挥的作用根据不同行业存在较大差别 不同行业的信息系统被破坏后对国家和社会的危害不尽相同 各行业主管部门可以从行业整体出发，从宏观上更好的把握本行业内各运营单位信息系统的定级工作;指导意见 根据《管理办法》第十条：信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。 根据《关于开展全国重要信息系统安全等级保护定级工作的通知》（以下简称《定级通知》）要求：各行业主管部门要根据行业特点提出指导本地区、本行业定级工作的指导意见。;行业定级工作的指导意见的意义： 更好的贯彻落实《管理办法》 使本行业实施等级保护工作的政策和方针的目的性更加明确 有利于本行业制定定级工作的阶段计划 有利于统一本行业对定级要素赋值规范;认真调查，掌握信息系统实际情况 全面掌握信息系统（包括信息网络）的业务类型、应用或服务范围、系统结构等基本情况，;第三部分 确定定级对象;第三部分 确定定级对象;定级对象的基本特征： 承载单一或相对独立的业务应用 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。 定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。;第三部分 确定定级对象;科学、合理确定定级对象 要把握以下几个原则： 一是以相对独立的应用系统为定级对象。 二是确认负责定级的单位是否具有对所定级系统的安全责任。 三是确定定级对象的方法允许多种多样。;确定定级对象举例 一、识别和描述定级对象 识别基本信息、管理框架、业务种类和业务流程、信息资产、网络结构、软硬件设备、用户类型和分布，描述单位基本信息。 二、划分定级对象 分析安全管理责任，确定管理边界；分析网络结构和已有内外部边界；分析业务流程和业务间关系；初步划定信息系统，确定定级对象。;三、识别和划分定级对象中的难点 影响定级要素赋值产生不同的因素 系统所涉及的客体不同 系统对客体造成的损害程度不同 系统处理的业务类型不同 本身运行在不同的网络环境中的系统 分不开的系统，按照高级别保护;四、系统边界的划分注意事项 不同信息系统的共用设备一般是网络/边界设备或终端设备。 两个信息系统边界存在的共用设备的安全保护等级按两个信息系统安全保护等级较高者确定 管理终端与被管理对象相对应，被管理对象属于哪个系统，终端就应属于该信息系统的一部分 处理涉密信息的终端必须划分到相应的信息系统中，且不能与非涉密系统共用终端。;确定定级对象举例; 受侵害信息系统的安全保护等级由两个要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 受侵害的客体： 公民、法人和其他组织的合法权益；社会秩序、公共利益；三是国家安全。 对客体的侵害程度： 一般损害；严重损害；特别严重损害。;业务信息安全和系统服务安全 信息系统与之相关的受侵害客体和对客体的侵害程度可能不同，而信息系统安全包括业务信息安全和系统服务安全两方面，因此定级也应由这两方面决定。对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息安全的破坏和对信息系统服务的破坏。;信息安全 信息安全是指确保信息系统内信息的保密性、完整性和可用性等； 系统服务安全 系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标； 由于业务信息安全和系