信息系统安全等级保护测评准则中期阶段报告XX年7月

1、2022-1-282第一部分、总体情况介绍第二部分、有关标准编制内容介绍2022-1-283机构背景等级保护标准制修订背景2022-1-284公公安安部部第第三三研研究究所所公安部计算机信息系统安全产品质量监督检验中心公安部计算机信息系统安全产品质量监督检验中心公安部信息安全产品检测中心公安部信息安全产品检测中心公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心2022-1-2852022-1-286安全控制定级指南过程方法确定系统等级启动采购/开发实施运行/维护废弃确定安全需求设计安全方案安全建设安全测评监督管理运行维护暂不考虑特殊需求等级需求基本要求产品使用选型监督管理测评准则流

2、程方法监管流程应急预案应急响应2022-1-287定级指南基本要求实施指南2022-1-289背景介绍背景介绍等级确定的原则等级确定的原则决定等级的主要因素分析决定等级的主要因素分析等级确定方法等级确定方法等级划分流程等级划分流程2022-1-2810与系统等级相关的国外资料：FIPS 199（美国联邦政府） 根据信息系统所处理信息的机密性、完整性和可用性被破坏的影响确定。IATF（NSA） 根据信息价值与威胁确定系统强健度等级。 DITSCAP （DOD） 根据互联模式、处理模式、业务依赖、三性、不可否认性等七个方面确定系统认证级。2022-1-2811上述定级方法存在问题仅由信息重要性确定

3、信息系统的等级，对大型企业和重点行业的重要业务系统不合适。在通过三性影响分析，并根据三者取高的方法中，无法为可用性要求高和保密性要求高两类系统提出统一的技术要求。确定系统等级，与业务无关，不满足等级保护的监管需要。定级范围往往只在局部范围内。2022-1-2812全局性原则 信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度，信息系统安全保护等级的划分也必须从国家层面考虑，体现全局性。业务为核心原则 信息系统是为业务应用服务的，信息系统的安全保护等级应当依据信息系统承载业务的重要性、业务对信息系统的依赖度和系统特殊的安全需求确定。2022-1-2813满足监管要求原则信息系统

4、安全保护等级既不是信息系统安全保障等级，也不是信息系统所能达到的技术能力等级，而是从安全监管需要，从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。合理性原则不同于信息安全产品，信息系统千差万别，各具特色，只有在划分安全保护等级的过程中，尽可能反映出信息系统的主要安全特征，合理划分等级，才能做到突出重点，适度保护。2022-1-2814从目前的资料上看，已在不同分级方法中出现的作为划分信息系统安全等级的因素主要包括：单位业务在国家事务中的重要性（实施意见）；资产（包括有形资产和无形资产）（FIPS199，IAT

5、F，DITSCAP，NIST800-37）；威胁（IATF）；信息被破坏后对国家、社会公共利益和单位或个人的影响（FIPS199，通用要求，实施指南）；单位业务对信息系统的依赖程度（DITSCAP） 2022-1-2815经分析，除排除威胁因素外，划分等级时应考虑以下因素：信息系统所属类型，即信息系统的安全利益主体。信息系统主要处理的业务数据类别。信息系统服务范围，包括服务对象和服务网络覆盖范围。业务处理的自动化程度，或以手工作业替代信息系统处理业务的程度。2022-1-2816信息系统所属类型信息系统所属类型业务数据类别业务数据类别信息系统服务范围信息系统服务范围业务处理的自动化程度业务处理

6、的自动化程度业务重要性业务重要性业务数据安全性业务数据安全性业务处理连续性业务处理连续性业务依赖性业务依赖性2022-1-2817业务数据安全性业务数据安全性业务处理连续性业务处理连续性信息系统安全保护等级信息系统安全保护等级2022-1-2818具体步骤：通过对信息系统类型和业务数据类型赋值，确定信息系统的业务数据安全性等级；通过对信息系统服务范围和业务处理自动化程度赋值，确定信息系统的业务处理连续性等级；通过业务数据安全性等级和业务处理连续性等级确定信息系统安全保护等级。等级调整 2022-1-2819信息系统所属类型赋值表信息系统所属类型赋值信息系统的社会影响1信息系统受到破坏会对单位利

7、益有直接影响2信息系统受到破坏会对公共利益有直接影响，或对国家安全利益有间接影响3信息系统受到破坏会对国家安全利益有直接影响2022-1-2820典型的信息系统所属类型 信息系统所属类型赋值信息系统所属类型1属于一般企事业单位，处理其内部事务的信息系统2属于重要行业、重要领域和国家基础设施，为国计民生、经济建设等提供重要服务的信息系统3属于党政机关，处理国家事务的信息系统2022-1-2821业务数据安全性等级矩阵 业务数据类型信息系统类型123112222333442022-1-2822信息系统的安全保护等级由业务数据安全性等级和业务处理连续性等级较高者决定。 2022-1-2823信息系统

8、安全保护等级对应的业务数据安全性要求级别（Sx）和业务处理连续性要求级别(Cy)的组合。 系统保护安全等级各种组合（Sx，Cy）第一级（S1，C1）第二级（S1，C2）,（S2，C2）,（S2，C1）第三级（S1，C3）,（S2，C3）,（S3，C3）,（S3，C2）,（S3，C1）第四级（S1，C4）,（S2，C4）,（S3，C4）,（S4，C4）,（S4，C3）,（ S4，C2）, （S4，C1）2022-1-2824划分信息系统划分信息系统/子系统子系统分析承载的业务重要性和依赖度分析承载的业务重要性和依赖度确定信息系统确定信息系统/子系统安全保护等级子系统安全保护等级调整信息系统调整信

9、息系统/子系统安全保护等级子系统安全保护等级2022-1-2826根据6号文件描述的5个监管等级对象，确定保护对象；根据保护对象所可能面临的威胁，确定系统的整体保护能力；根据所应具有的整体保护能力，确定系统的安全目标；提出满足安全目标的安全要求。2022-1-2827第一级：信息系统所承载业务涉及公民、法人和其他组织的权益，受到破坏后对公民、法人和其他组织的权益造成一定损害；该业务的开展在一定程度上依托于信息系统，系统受到破坏后对业务正常开展产生一定影响。第二级：信息系统所承载的业务直接关系到公民、法人和其他组织的权益，受到破坏后会对公民、法人和其他组织的权益造成严重损害；该业务的开展主要依托

10、于信息系统，系统受到破坏后影响业务正常开展。第三级：信息系统所承载的业务涉及国家、社会和公共利益，受到破坏后会对国家、社会和公共利益造成损害的；该业务的开展主要依托于信息系统，系统受到破坏后影响业务正常开展。2022-1-2828第四级：信息系统所承载的业务直接关系到国家、社会和公共利益，受到破坏后会对国家、社会和公共利益造成严重损害的；该业务的开展完全依托于信息系统，系统受到破坏后业务无法开展。第五级：信息系统所承载的业务受到破坏后，会直接对国家安全造成严重损害。2022-1-2829各级系统应对威胁的能力是不同的，即能够对抗系统面临的威胁的程度以及在遭到威胁破坏后，系统能够恢复之前的各种状

11、态的能力是不同的。系统的整体保护能力就是由威胁对抗能力和恢复能力的组合而成。 2022-1-28302022-1-2831不同级别对抗的威胁的种类不同对于同类威胁，不同级别对抗的具体威胁的破坏能力也不同。2022-1-2832 每一级的安全目标与威胁之间存在对应关系，每个威胁至少被一个安全目标所覆盖；反过来，每个安全目标至少覆盖一个威胁。 一级具有15个技术目标，16个管理目标；二级具有29个技术目标，25个管理目标；三级具有36个技术目标，27个管理目标；四级具有41个技术目标，28个管理目标。2022-1-2833信息系统的安全要求包括安全技术要求和安全管理要求两类。根据信息系统的业务数据

12、安全性等级（S）和业务处理连续性等级（C），分别选择S类技术要求、C类技术要求和G类技术要求。 信息系统的安全等级与技术要求组合是一对多的关系。 2022-1-2834安全要求的增加安全要求的增强 2022-1-28352022-1-28362022-1-28372022-1-28382022-1-28392022-1-28402022-1-28412022-1-2842系统规划管理机构和人员政策和制度系统设计管理系统实施管理系统运维管理系统废弃管理信息系统生命周期检查和监督管理指导限制执行监督2022-1-2843信息系统的生命周期系统规划(定级规划等)系统设计(设计开发采购等)系统实施(安

13、装配置测试等)系统运维系统废弃管理人员管理制度组织的使命目标战略政策系统变更管理机构2022-1-2844管理活动控制点的增加管理活动控制点的增加每个控制点具体管理要求的增多每个控制点具体管理要求的增多管理活动的能力逐步加强管理活动的能力逐步加强借鉴能力成熟度模型（借鉴能力成熟度模型（CMM） 一级一级 非正式执行非正式执行 二级二级 计划和跟踪计划和跟踪 三级三级 良好定义良好定义 四级四级 持续改进持续改进2022-1-2845岗位设置岗位设置人员配备人员配备授权和审批授权和审批沟通和合作沟通和合作审核和检查审核和检查2022-1-2846管理制度管理制度制定和发布制定和发布评审和修订评审

14、和修订2022-1-2847人员录用人员录用人员离岗人员离岗人员考核人员考核安全意识教育和培训安全意识教育和培训第三方人员管理第三方人员管理2022-1-2848系统定级系统定级安全风险评估安全风险评估安全方案设计安全方案设计产品采购产品采购自行开发设计自行开发设计外包开发设计外包开发设计工程实施工程实施测试验收测试验收系统交付系统交付安全测评安全测评系统备案系统备案安全服务商选择安全服务商选择2022-1-2849环境管理环境管理资产管理资产管理介质管理介质管理设备使用管理设备使用管理运行维护和监控管理运行维护和监控管理网络安全管理网络安全管理系统安全管理系统安全管理恶意代码防护管理恶意代码

15、防护管理密码管理密码管理变更管理变更管理备份和恢复管理备份和恢复管理安全事件处置安全事件处置应急计划管理应急计划管理2022-1-2851实施指南实施指南作为一个对信息系统实施等级保护的指作为一个对信息系统实施等级保护的指南性文件，其目标是介绍和描述实施信息系统等级保护过南性文件，其目标是介绍和描述实施信息系统等级保护过程中应该涉及的程中应该涉及的阶段和从事的活动阶段和从事的活动，包括：，包括：活动的内容和控制方法；活动的内容和控制方法；活动的主要参与者；活动的主要参与者；活动中将要使用的等级保护相关标准；活动中将要使用的等级保护相关标准；活动的主要工作产品等活动的主要工作产品等通过过程和活动

16、的介绍，使读者了解和知晓对信息系通过过程和活动的介绍，使读者了解和知晓对信息系统实施等级保护的方法，不同的角色在不同阶段的作用等统实施等级保护的方法，不同的角色在不同阶段的作用等等。等。2022-1-28521.以信息系统等级保护建设为主要线索以信息系统等级保护建设为主要线索 2.定义信息系统等级保护实施的生命周期定义信息系统等级保护实施的生命周期 3.对每个阶段介绍和描述主要的实施活动对每个阶段介绍和描述主要的实施活动 4.对每个活动说明实施主体、主要内容和输对每个活动说明实施主体、主要内容和输入输出入输出 2022-1-2853信息系统等级保护的实施过程中涉及到各类信息系统等级保护的实施过

17、程中涉及到各类组织和人员，他们将会参与不同的或相同的活动，组织和人员，他们将会参与不同的或相同的活动，比如信息系统的主管单位和信息系统的运营单位比如信息系统的主管单位和信息系统的运营单位将参与系统定级活动，如果委托安全服务商进行将参与系统定级活动，如果委托安全服务商进行定级，则安全服务商也会参与定级活动；又如信定级，则安全服务商也会参与定级活动；又如信息系统的运营单位可以自己完成风险分析活动，息系统的运营单位可以自己完成风险分析活动，也可以委托安全服务商完成风险分析活动。也可以委托安全服务商完成风险分析活动。2022-1-2854本指南将面临的使用对象将是：本指南将面临的使用对象将是：信息系统

18、的主管单位；信息系统的主管单位；运营单位；运营单位；建设单位；建设单位；安全服务商；安全服务商；安全测评机构；安全测评机构；监督管理机构等。监督管理机构等。为了保证实施指南的描述有一个清晰的思路，各类使用人为了保证实施指南的描述有一个清晰的思路，各类使用人员都能够理解和较好地使用，实施指南并不以某个特定单位员都能够理解和较好地使用，实施指南并不以某个特定单位的活动为主线进行描述，而是以信息系统等级保护建设所要的活动为主线进行描述，而是以信息系统等级保护建设所要从事的活动为主线，有些活动可能是这个单位执行的，另一从事的活动为主线，有些活动可能是这个单位执行的，另一些活动可能是另一个单位执行的。本

19、指南的读者根据自己的些活动可能是另一个单位执行的。本指南的读者根据自己的角色和从事的活动选择相应的内容作为指导。角色和从事的活动选择相应的内容作为指导。2022-1-2855本指南将根据信息系统等级保护实施的特点，结合风险管本指南将根据信息系统等级保护实施的特点，结合风险管理和安全工程方法提出信息系统等级保护实施的生命周期，理和安全工程方法提出信息系统等级保护实施的生命周期，将等级保护实施过程划分为将等级保护实施过程划分为4个不同的阶段，然后分章节介绍个不同的阶段，然后分章节介绍和描述不同阶段的安全活动，同时也将表述信息系统等级保和描述不同阶段的安全活动，同时也将表述信息系统等级保护实施的生命

20、周期和信息系统生命周期的关系，指导系统建护实施的生命周期和信息系统生命周期的关系，指导系统建设者和系统运营者在系统建设和运营期间更好地同步进行等设者和系统运营者在系统建设和运营期间更好地同步进行等级保护建设。级保护建设。将通过信息系统等级保护实施生命周期的提出，更好地描将通过信息系统等级保护实施生命周期的提出，更好地描述信息系统等级保护实施的不断循环过程；系统变更可能导述信息系统等级保护实施的不断循环过程；系统变更可能导致系统的等级变化从而触发另一个等级保护实施过程的执行致系统的等级变化从而触发另一个等级保护实施过程的执行过程；风险评估和安全测评可能导致的等级保护实施过程局过程；风险评估和安全测评可能导致的等级保护实施过程局部活动的重复执行过程等。部活动的重复执行过程等。2022-1-2856系统定级阶段系统定级阶段安全规划设计阶段安全规划设计阶段产品采购和工程实施阶段产品采购和工程实施阶段运行管理和状态监控阶段运行管理和