信息安全体系定级手册.ppt

信息系统安全保护等级的确定 第二步，确定定级对象－4 确定定级对象信息系统边界和边界设备 确定定级对象信息系统的边界和边界设备 服务器共用的系统一般归入同一个信息系统 不同信息系统的共用设备一般是网络/边界设备或终端设备 两个信息系统边界存在共用设备时，共用设备的安全保护等级按两个信息系统安全保护等级较高者确定 信息系统的管理终端与相应被管理的服务器、网络设备及安全设备等同属于一个系统 处理涉密信息的终端必须划分到相应的信息系统中，且不能与非涉密系统共用终端 信息系统安全保护等级的确定 第三步，初步确定信息系统等级-1 信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的安全保护等级 既要防止个别单位片面追求绝对安全而定级过高，也要防止为了逃避监管定级偏低 信息网络的安全等级可以参照在其上运行的信息系统的等级、网络的服务范围和自身的安全需求确定适当的保护等级，不以在其上运行的信息系统的最高等级或最低等级为标准 决定等级的主要因素分析 划分等级时应考虑以下因素： 系统所属类型，即信息系统的安全利益主体。 信息系统主要处理的业务信息类别。 系统服务范围，包括服务对象和服务网络覆盖范围。 业务依赖程度，或以手工作业替代信息系统处理业务的程度。 其中第1、2个要素决定信息系统内信息资产的重要性，第3、4个要素决定信息系统所提供服务的重要性，而信息资产及信息系统服务的重要性决定了信息系统的重要性。 决定等级的主要因素分析 系统所属类型 业务信息类别 系统服务范围 业务依赖程度 业务信息安全性 业务服务保证性 决定等级的主要因素分析 业务信息安全性 业务服务保证性 信息系统安全保护等级 信息系统安全保护等级的确定 第三步，初步确定信息系统等级-2 信息系统跨省或者全国统一联网运行的信息系统，可以由主管部门统一确定安全保护等级 由各行业统一规划、统一建设、统一安全保护策略的信息系统，应由各部委统一确定一个级别 由各部委统一规划、分级建设、运行的信息系统，应由部、省、地市分别确定系统等级，但各行业应对该类系统提出定级意见，避免出现同类系统定级出现较大偏差问题 信息系统安全保护等级的确定 第三步，初步确定信息系统等级-3 1、确定定级对象 3、综合评定对客体的侵害程度 2、确定业务信息安全受到破坏时所侵害的客体 4、业务信息安全等级 6、综合评定对客体的侵害程度 5、确定系统服务安全受到破坏时所侵害的客体 7、系统服务安全等级 8、定级对象的安全保护等级 信息系统安全保护等级的确定 第三步，初步确定信息系统等级-4 确定受侵害客体 定级对象受到破坏时所侵害的客体包括： 国家安全 社会秩序、公众利益 公民、法人和其他组织的合法权益 确定侵害客体时从定级对象的两方面进行考虑： 业务信息安全被破坏时所侵害的客体 系统服务安全被破坏时所侵害的客体 信息系统安全保护等级的依据 确定受侵害客体－1）国家安全 重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统； 广播、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件； 处理国家对外活动信息的信息系统； 处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统； 尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统； 电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。 信息系统安全保护等级的依据 确定受侵害客体－1）国家安全 侵害国家安全的事项包括以下方面： 影响国家政权稳固和国防实力； 影响国家统一、民族团结和社会安定； 影响国家对外活动中的政治、经济利益； 影响国家重要的安全保卫工作； 影响国家经济竞争力和科技实力； 其他影响国家安全的事项。 信息系统安全保护等级的依据 确定受侵害客体－2）社会秩序 财政、金融、工商、税务、公检法、海关、社保等的信息系统； 教育、科研机构的工作系统； 所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统 侵害社会秩序的事项包括以下方面： 影响国家机关社会管理和公共服务的工作秩序； 影响各种类型的经济活动秩序； 影响各行业的科研、生产秩序； 影响公众在法律约束和道德规范下的正常生活秩序等； 其他影响社会秩序的事项。 信息系统安全保护等级的依据 确定受侵害客体－3）公共利益 借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面 如公共通信设施、公共卫生设施、公共休闲娱乐设施、