信息系统项目安全等级保护定级指南.doc
《信息系统项目安全等级保护定级指南.doc》由会员分享,可在线阅读,更多相关《信息系统项目安全等级保护定级指南.doc(6页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、|前 言本标准由公安部和全国信息安全标准化技术委员会提出。本标准由全国信息安全标准化技术委员会归口。本标准起草单位:公安部信息安全等级保护评估中心。本标准主要起草人:任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。 引 言依据中华人民共和国计算机信息系统安全保护条例(国务院 147 号令)、国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327 号)、关于信息安全等级保护工作的实施意见(公通字200466 号)和信息安全等级保护管理办法(公通字200743 号),制定本标准。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括:GB/T BBBBB
2、-BBBB 信息系统安全等级保护基本要求;GB/T CCCCC-CCCC 信息系统安全等级保护实施指南;GB/T DDDDD-DDDD 信息系统安全等级保护测评准则。本标准依据等级保护相关管理文件,从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出确定信息系统安全保护等级的方法。信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订
3、版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。GB/T 5271.8 信息技术 词汇 第 8 部分:安全 GB17859-1999 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8 和 GB17859-1999 确立的以及下列术语和定义适用于本标准。3.1 等级保护对象 target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。3.2 |客体 object受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公
4、共利益以及公民、法人或其他组织的合法权益。3.3 客观方面 objective 对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。3.4 系统服务 system service信息系统为支撑其所承载业务而提供的程序化过程。4 定级原理4.1 信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对
5、社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。4.2 信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。4.2.1 受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:a) 公民、法人和其他组织的合法权益;b) 社会秩序、公共利益;c) 国家安全。4.2.2 对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害
6、是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:a) 造成一般损害;b) 造成严重损害;c) 造成特别严重损害。4.3 定级要素与等级的关系定级要素与信息系统安全保护等级的关系如表 1 所示。|表 1 定级要素与安全保护等级的关系受侵害的客体 对客体的侵害程度一般损害 严重损害 特别严重损害公民、法人和其他组织的合法权益 第一级 第二级 第二级社会秩序、公共利益 第二级 第三级 第四级国家安全 第三级 第四级 第五级5 定级方法5.1 定级的一般流程信息系统安
7、全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。确定信息系统安全保护等级的一般流程如下:a) 确定作为定级对象的信息系统;b) 确定业务信息安全受到破坏时所侵害的客体;c) 根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;d) 依据表 2,得到业务信息安全保护等级;e) 确定系统服务安全受到破坏时所侵害的客体;f) 根据不同的受侵害客体,
8、从多个方面综合评定系统服务安全被破坏对客体的侵害程度;g) 依据表 3,得到系统服务安全保护等级;h) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。上述步骤如图 1 确定等级一般流程所示。图 1 确定等级一般流程5.2 确定定级对象一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。作为定级对象的信息系统应具有如下基本特征:a) 具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位。如
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统 项目 安全 等级 保护 定级 指南
限制150内