GA_T 1389-2017信息安全技术 网络安全等级保护定级指南.pdf

ICS_35.40L 80GA中华人民共和国公共安全行业标准GA/T 1389—2017信息安全技术网络安全等级保护定级指南Information security technology-Guidelines for grading of classified protection of cyber security2017-05-08发布2017-05-08实施中华人民共和国公安部发布 GA/T 1389—2017目次前言范围2规范性引用文件术语和定义4定缓原理及流程4.1安全保护等级4.2定级要素4.2.1定级要素概述4.2.2受侵害的客体4.2.3对客体的侵害程度4.3定级要索与安全保护等级的关系4.4定级流程5确定定级对象5.1基础信息网络5.2信息系统5.2.1工业控制系统5.2.2云计算平台5.2.3物联网5.2.4采用移动互联技术的信息系统5.2.5其他信息系统5.3大数据初步确定安全保护等级6.1定级方法概述6.2确定受侵害的客体6.3确定对客体的慢害程度6.3.1侵害的客观方面6.3.2综合判定侵害程度6.4确定安全保护等级专家评审主管部门审检6公安机关备案审查10等级变更附录A（资料性附录）各级等级保护对象定级工作要求附录B（资料性附录）定级方法覆程鲁考文献 GA/T 1389—2017护等圾矩降表，即可得到业务信息安全保护等圾，表 2业务信息安全保护等级矩阵表对相应客体的侵害程度业务信息安全被敬坏时房侵害的客体一般报客严重损害特别严重担害公民，法人和其他组织的合法权益第一级第二级第三极社会秩序、公其利益第二级国家安全第四级第五级护等级矩降表，即可得到系烧服务安全保护等级。表 3系统服务安全保护等级矩阵表对相应客体的便害程度系统服务安全被做坏时所侵害的客体一般损害严重损害特别严重损害公民，法人和其他组织的合法权益第一级第二级第三级社会秩序、公其利益第二级第三级第四级国家安全第三级第西级第五级定级对象的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。专家评审定级对象的运营、使用单位应组织信息安全专家和业务专家，对初步定级结果的合理性进行评审，出具专家评审意见。8主管部门审核定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核，公安机关备案审查定级对象的运营、使用单位应按照相关售理规定，将初步定级结果提交公安机关进行备案审查，审查不通过，其运营使用单位应组织重新定级；审查通过后最终确定定级对象的安全保护等级。10等级变更当等级保护对象所处理的信息、业务状态和系统服务范围发生变化，可能导政业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的慢害程度有教人的变化时，应根据本标准要求重新确定定级对象和安全保护等级。7 GA/T 1389—2017附录A（资料性附录）各级等级保护对象定级工作要求各级等级保护对象定级工作具体要求如下：a)安全保护等级初步确定为第一级的等级保护对象，其运营使用单位应当依据本标准进行自土定级：b)安全保护等级初步确定为第二级以上的等级保护对象，其运营使用单位应当依据本标准进行初步定级、专家评审、主管部门审批、公安机关备案审查，量终确定其安全保护等级；ce)安全保护等级初步确定为第四级的等级保护对象，在开展专家评审工作时，其运营使用单位应当请国家信息安全等级保护专家评审委员会进行评审。 GA/T 1389—2017附录B(资料性附录)定级方法流程等级保护对象定级方法流程如图B1所示。1.确定业务信息安全受到技坏对4.覆究系统服务安全受列殖坏对所设害约客体所保害的客体2.综合评定对客体的慢害程度5.继合评定对客体的使害程度依带表2依据恶33.业务信息女全等级6.系统服务安全等额7，定级对象的切步安全保护等级图 B,1定级方法流程示意图9 GA/T 1389—2017参考文献[1]GB/T 222399信息安全技术信息系统安全等级保护基本要求[2]GB/T31167—2014信息安全技术云计算服务安全指南[3]GB/T31168—2014信息安全术云计算服务安全能力要求[4]National Institute of Standards snd Technology Specisl Publiestion 800-60, Revision 1, Guide forMapping Types of Information and Inforimation Systerns to Security Categories, August 2008,10 中华人民共和国公共安全行业标准信息安全技术网络安全等级保护定级指南GA/T 1389—2017中国标准出版社出版发行北京市朝阳区和平里西街甲2号(100029)北京市西城区三里河北街16