信息系统安全等级保护定级.docxVIP

信息系统安全等级保护定级 信息系统平安等级爱护法规及根据在信息系统平安等级爱护定级备案、信息系统平安等级爱护测评等方面测评根据如下：1、《中华人民共和国计算机信息系统平安爱护条例》〔国务院147号令〕2、《信息平安等级爱护管理方法》〔公通字[2007]43号〕3、GB/T 17859-1999《计算机信息系统平安爱护等级划分准那么》4、GB/T 20274《信息平安技术信息系统平安保障评估框架》5、GB/T 22081-2008《信息技术平安技术信息平安管理有用规章》6、GB/T 20271-2006《信息系统通用平安技术要求》7、GB/T 18336-2008《信息技术平安技术信息技术平安性评估准那么》8、GB 17859-1999《计算机信息系统平安爱护等级划分准那么》9、GB/T 22239-2008《信息平安技术信息系统平安等级爱护根本要求》10、GB/T 22240-2008《信息平安技术信息系统平安等级爱护定级指南》11、《信息平安技术信息系统平安等级爱护测评要求》12、《信息平安技术信息系统平安等级爱护施行指南》13、《信息平安等级爱护管理方法》信息系统平安等级爱护定级备案流程1、定级原理信息系统平安爱护等级依据等级爱护相关管理文件，信息系统的平安爱护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家平安、社会秩序和公共利益。其次级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严峻损害，或者对社会秩序和公共利益造成损害，但不损害国家平安。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严峻损害，或者对国家平安造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特殊严峻损害，或者对国家平安造成严峻损害。第五级，信息系统受到破坏后，会对国家平安造成特殊严峻损害。信息系统平安爱护等级的定级要素信息系统的平安爱护等级由两个定级要素打算：等级爱护对象受到破坏时所损害的客体和对客体造成损害的程度。受损害的客体等级爱护对象受到破坏时所损害的客体包括以下三个方面：a) 公民、法人和其他组织的合法权益；b) 社会秩序、公共利益；c) 国家平安。对客体的损害程度对客体的损害程度由客观方面的不同外在表现综合打算。由于对客体的损害是通过对等级爱护对象的破坏实现的，因此，对客体的损害外在表现为对等级爱护对象的破坏，通过危害方式、危害后果和危害程度加以描绘。等级爱护对象受到破坏后对客体造成损害的程度归结为以下三种：a) 造成一般损害；b) 造成严峻损害；c) 造成特殊严峻损害。定级要素与等级的关系定级要素与信息系统平安爱护等级的关系如下表所示。2、定级流程信息系统平安包括业务信息平安和系统效劳平安，与之相关的受损害客体和对客体的损害程度可能不同，因此，信息系统定级也应由业务信息平安和系统效劳平安两方面确定。从业务信息平安角度反映的信息系统平安爱护等级称业务信息平安爱护等级。从系统效劳平安角度反映的信息系统平安爱护等级称系统效劳平安爱护等级。确定信息系统平安爱护等级的一般流程如下：a) 确定作为定级对象的信息系统；b) 确定业务信息平安受到破坏时所损害的客体；c) 依据不同的受损害客体，从多个方面综合评定业务信息平安被破坏对客体的损害程度；d) 根据“业务信息平安爱护等级矩阵表〞，得到业务信息安全爱护等级；e) 确定系统效劳平安受到破坏时所损害的客体；f) 依据不同的受损害客体，从多个方面综合评定系统效劳平安被破坏对客体的损害程度；g) 根据“系统效劳平安爱护等级矩阵表〞，得到系统效劳平安爱护等级；h) 将业务信息平安爱护等级和系统效劳平安爱护等级的较高者确定为定级对象的平安爱护等级。业务信息平安爱护等级矩阵表系统效劳平安爱护等级矩阵表3、备案流程备案《管理方法》第十五条规定，已运营〔运行〕的其次级以上信息系统，应当在平安爱护等级确定后30日内，由其运营、用法单位到所在地设区的市级以上公安机关办理备案手续。新建其次级以上信息系统，应当在投入运行后30日内，由其运营、用法单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位，其跨省或者全国统一联网运行并由主管部门统肯定级的信息系统，由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统，应当向当地设区的市级以上公安机关备案。省直或省级单位信息系统向省公安厅备案。跨地区、跨省或者全省、全国统一联网运行的信息系统在各地运行、应用的分支系统，向地级以上市公安局备案。《管理方法》第十六条规定，办理信息系统平安爱护等级备案手续时，应当填写《信息系统平安等级