信息安全体系定级指南(共68页).ppt

1、信息平安体系定级指南信息平安体系定级指南等级确定的依据等级确定的依据等级确定方法等级确定方法定级报告定级报告定级举例定级举例信息系统平安保护等级的依据v 开展平安等级保护定级工作依据的政策和法律依据开展平安等级保护定级工作依据的政策和法律依据v 国家信息化领导小组关于加强信息平安保障工作的意见国家信息化领导小组关于加强信息平安保障工作的意见? ?中办发中办发200327200327号号v ? ?关于信息平安等级保护工作的实施意见关于信息平安等级保护工作的实施意见? ?公通字公通字200466200466号号v ? ?信息平安等级保护管理方法信息平安等级保护管理方法? ?公通字公通字200743

2、200743号号v ? ?关于开展全国重要信息系统平安等级保护定级工作的通关于开展全国重要信息系统平安等级保护定级工作的通知知? ?公信安公信安20078612007861号号信息系统平安保护等级的依据v 开展平安等级保护定级工作的技术依据开展平安等级保护定级工作的技术依据v 根底标准：根底标准：? ?计算机信息系统平安等级保护划分准那么计算机信息系统平安等级保护划分准那么? ?GB17859GB17859v 基线标准：信息系统平安等级保护根本要求基线标准：信息系统平安等级保护根本要求v 辅助标准：定级指南、实施指南、测评要求辅助标准：定级指南、实施指南、测评要求v 目标标准：目标标准：v ?

3、 ?信息系统通用平安技术要求信息系统通用平安技术要求? ?GB/T20271GB/T20271v ? ?网络根底平安技术要求网络根底平安技术要求? ?GB/T20270GB/T20270v ? ?操作系统平安技术要求操作系统平安技术要求? ?GB/T20272GB/T20272v ? ?数据库管理系统平安技术要求数据库管理系统平安技术要求? ?GB/T20273GB/T20273v ? ?终端计算机系统平安等级技术要求终端计算机系统平安等级技术要求? ?GA/T671GA/T671v ? ?信息系统平安管理要求信息系统平安管理要求? ?GB/T20269GB/T20269v ? ?信息系统平安

4、工程管理要求信息系统平安工程管理要求? ?GB/T20282GB/T20282v 产品标准：防火墙、入侵检测、终端设备隔离部件等产品标准：防火墙、入侵检测、终端设备隔离部件等信息系统平安保护等级的依据信息系统平安保护等级的依据v 等级确定原那么和要求等级确定原那么和要求v “自主定级、自主保护与国家监管相统一原那么自主定级、自主保护与国家监管相统一原那么v “谁主管谁负责，谁运营谁负责的原那么谁主管谁负责，谁运营谁负责的原那么v 定级工作的要求定级工作的要求v 加强领导，落实保障加强领导，落实保障v 明确责任，密切配合明确责任，密切配合v 发动部署，开展培训发动部署，开展培训v 及时总结，提出

5、建议及时总结，提出建议信息系统平安保护等级的依据v 定级要素与平安保护等级的关系定级要素与平安保护等级的关系受侵害的客体受侵害的客体对客体的侵害程度对客体的侵害程度一般损害一般损害严重损害严重损害特别严重损害特别严重损害公民、法人和其他组织公民、法人和其他组织的合法权益的合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级内容简介内容简介等级确定的依据等级确定的依据等级确定方法等级确定方法定级报告定级报告定级举例定级举例信息系统平安保护等级确实定 定级工作的主要步骤定级工作的主要

6、步骤 第一步，摸底调查，掌握信息系统底数第一步，摸底调查，掌握信息系统底数 第二步，确定定级对象第二步，确定定级对象 第三步，初步确定信息系统等级第三步，初步确定信息系统等级 第四步，信息系统等级评审第四步，信息系统等级评审 第五步，信息系统等级的最终确定与审批第五步，信息系统等级的最终确定与审批信息系统平安保护等级确实定 第一步，摸底调查，掌握信息系统底数第一步，摸底调查，掌握信息系统底数1 1 按照按照? ?定级工作通知定级工作通知? ?确定定级范围确定定级范围 掌握信息系统包括信息网络的业务类型、应用或掌握信息系统包括信息网络的业务类型、应用或效劳范围、系统结构等根本情况效劳范围、系统结

7、构等根本情况 为下一步明确要求、落实责任奠定根底。为下一步明确要求、落实责任奠定根底。信息系统平安保护等级确实定 第一步，摸底调查，掌握信息系统底数第一步，摸底调查，掌握信息系统底数2 2 识别单位根本信息识别单位根本信息 识别管理框架识别管理框架 识别业务种类、流程和效劳识别业务种类、流程和效劳 识别信息识别信息 识别网络结构和边界识别网络结构和边界 识别主要的软硬件设备识别主要的软硬件设备 识别用户类型和分布识别用户类型和分布信息系统平安保护等级确实定 摸底调查摸底调查1 1识别单位根本信息识别单位根本信息 调查了解对目标系统负有平安责任的单位的单位性质、隶调查了解对目标系统负有平安责任的

8、单位的单位性质、隶属关系、所属行业、业务范围、地理位置等根本情况属关系、所属行业、业务范围、地理位置等根本情况 具有上级主管机构如果有的信息具有上级主管机构如果有的信息 作用：有助于判断单位的职能特点，单位所在行业及单位作用：有助于判断单位的职能特点，单位所在行业及单位在行业所处的地位和所用，由此判断单位主要信息系统的在行业所处的地位和所用，由此判断单位主要信息系统的宏观定位宏观定位信息系统平安保护等级确实定 摸底调查摸底调查2 2识别管理框架识别管理框架 调查了解定级对象信息系统所在单位的组织管理结构、调查了解定级对象信息系统所在单位的组织管理结构、管理策略、部门设置和部门在业务运行中的作用

9、、岗位管理策略、部门设置和部门在业务运行中的作用、岗位职责职责 了解信息系统的管理、使用、运维的责任部门了解信息系统的管理、使用、运维的责任部门 当单位的信息系统存在分布于不同的物理区域的情况时，当单位的信息系统存在分布于不同的物理区域的情况时，应了解不同区域系统运行的平安管理责任应了解不同区域系统运行的平安管理责任 平安管理的责任单位就是等级保护备案工作的责任单位平安管理的责任单位就是等级保护备案工作的责任单位 作用：有利于将来对整个单位制定等级保护管理框架及作用：有利于将来对整个单位制定等级保护管理框架及单个定级对象等级管理策略。单个定级对象等级管理策略。信息系统平安保护等级确实定 摸底调

10、查摸底调查3 3识别业务种类、流程和效劳识别业务种类、流程和效劳 调查了解定级对象信息系统内部处理多少种业务，各项调查了解定级对象信息系统内部处理多少种业务，各项业务具体要完成的工作内容、效劳目标和业务流程等，业务具体要完成的工作内容、效劳目标和业务流程等，不同信息系统之间的业务关系不同信息系统之间的业务关系 了解这些业务与单位职能的关联，单位对定级对象信息了解这些业务与单位职能的关联，单位对定级对象信息系统完成业务使命的期待和依赖程度，由此判断该信息系统完成业务使命的期待和依赖程度，由此判断该信息系统在单位的作用和影响程度。系统在单位的作用和影响程度。 应重点了解定级对象信息系统中不同业务系

11、统提供的效应重点了解定级对象信息系统中不同业务系统提供的效劳在影响履行单位职能方面具体方式和程度，影响的区劳在影响履行单位职能方面具体方式和程度，影响的区域范围、用户人数、业务量的具体数据以及对本单位以域范围、用户人数、业务量的具体数据以及对本单位以外机构或个人的影响等方面外机构或个人的影响等方面 作用：这些具体数据即可以为主管部门制定定级指导意作用：这些具体数据即可以为主管部门制定定级指导意见提供参照，也可以作为主管部门审批定级结果的重要见提供参照，也可以作为主管部门审批定级结果的重要依据依据信息系统平安保护等级确实定 摸底调查摸底调查4 4识别信息识别信息 调查了解定级对象信息系统所处理的

12、信息，及对信息的调查了解定级对象信息系统所处理的信息，及对信息的三个平安属性的需求三个平安属性的需求 了解不同业务数据在其保密性、完整性和可用性被破坏了解不同业务数据在其保密性、完整性和可用性被破坏后在单位职能、单位资金、单位信誉、人身平安等方面后在单位职能、单位资金、单位信誉、人身平安等方面可能对国家、社会、本单位造成的影响，对影响程度的可能对国家、社会、本单位造成的影响，对影响程度的描述应尽可能量化描述应尽可能量化 根据系统不同业务数据可能是用户数据、业务处理数据、根据系统不同业务数据可能是用户数据、业务处理数据、业务过程记录流水数据、系统控制数据或文件等业务过程记录流水数据、系统控制数据

13、或文件等 了解数据信息还应关注信息系统的数据流，以及不同信了解数据信息还应关注信息系统的数据流，以及不同信息系统之间的数据交换或共享关系息系统之间的数据交换或共享关系信息系统平安保护等级确实定 摸底调查摸底调查5 5识别网络结构和边界识别网络结构和边界 调查了解定级对象信息系统所在单位的整体网络状况和平调查了解定级对象信息系统所在单位的整体网络状况和平安防护情况，包括安防护情况，包括 网络覆盖范围全国、全省或本地区网络覆盖范围全国、全省或本地区 网络的构成广域网、城域网或局域网等网络的构成广域网、城域网或局域网等 内部网段内部网段/VLAN/VLAN划分，网段划分，网段/VLAN/VLAN划分

14、与系统的关系划分与系统的关系 与上级单位、下级单位、外部用户、合作单位等的网络连与上级单位、下级单位、外部用户、合作单位等的网络连接方式接方式 与互联网的连接方式与互联网的连接方式 作用：了解定级对象信息系统自身网络在单位整个网络中作用：了解定级对象信息系统自身网络在单位整个网络中的位置，该信息系统所处的单位内部网络环境和外部环境的位置，该信息系统所处的单位内部网络环境和外部环境特点，以及该信息系统的网络平安保护与单位内部网络环特点，以及该信息系统的网络平安保护与单位内部网络环境的平安保护的关系境的平安保护的关系信息系统平安保护等级确实定 摸底调查摸底调查6 6识别主要的软硬件设备识别主要的软

15、硬件设备 调查了解与定级对象信息系统相关的效劳器、网络、终端、调查了解与定级对象信息系统相关的效劳器、网络、终端、存储设备以及平安设备等存储设备以及平安设备等 设备所在网段，在系统中的功能和作用设备所在网段，在系统中的功能和作用 信息系统定级本应仅与信息系统有关，但由于在划分信息信息系统定级本应仅与信息系统有关，但由于在划分信息系统时，不可防止地会涉及到设备共用问题系统时，不可防止地会涉及到设备共用问题 调查设备的位置和作用主要就是发现不同信息系统在设备调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度使用方面的共用程度信息系统平安保护等级确实定v 摸底调查摸底调查7 7识别

16、用户类型和分布识别用户类型和分布v 调查了解各系统的管理用户和一般用户，内部用户和外部调查了解各系统的管理用户和一般用户，内部用户和外部用户，本地用户和远程用户等类型用户，本地用户和远程用户等类型v 了解用户或用户群的数量分布，各类用户可访问的数据信了解用户或用户群的数量分布，各类用户可访问的数据信息类型和操作权限息类型和操作权限v 作用：了解用户类型和数量，有助于判断系统效劳中断或作用：了解用户类型和数量，有助于判断系统效劳中断或系统信息被破坏可能影响的范围和程度系统信息被破坏可能影响的范围和程度信息系统平安保护等级确实定 第二步，确定定级对象第二步，确定定级对象1 1 应用系统应按照不同业

17、务类别单独确定为定级对象，不以应用系统应按照不同业务类别单独确定为定级对象，不以系统是否进行数据交换、是否独享设备为确定定级对象条系统是否进行数据交换、是否独享设备为确定定级对象条件件 起传输作用的根底网络要作为单独的定级对象起传输作用的根底网络要作为单独的定级对象 确认负责定级的单位是否对所定级系统具有控制、管理等确认负责定级的单位是否对所定级系统具有控制、管理等责任，对信息系统所承载的业务有主管责任责任，对信息系统所承载的业务有主管责任 具有信息系统的根本要素具有信息系统的根本要素信息系统平安保护等级确实定v第二步，确定定级对象第二步，确定定级对象2 2v定级对象的三个条件定级对象的三个条

18、件v承载相对独立或单一业务应用的信息系统承载相对独立或单一业务应用的信息系统v信息系统的信息平安由本单位主管信息系统的信息平安由本单位主管v具有信息系统的根本要素计算机及其相关配套设备、具有信息系统的根本要素计算机及其相关配套设备、实施构成的人机系统实施构成的人机系统v只有同时满足上述三个条件，才可由本单位对其进行只有同时满足上述三个条件，才可由本单位对其进行定级定级v起支撑作用的网络可以作为定级对象起支撑作用的网络可以作为定级对象v应用类的信息系统以应用种类划分定级对象应用类的信息系统以应用种类划分定级对象信息系统平安保护等级确实定v 第二步，确定定级对象第二步，确定定级对象3 3v 定级对

19、象识别定级对象识别v 平安责任单位：依据平安责任单位的不同，划分信息系统平安责任单位：依据平安责任单位的不同，划分信息系统v 业务类型和业务重要性：根据业务的类型、功能、阶段的业务类型和业务重要性：根据业务的类型、功能、阶段的不同，对信息系统进行划分不同，对信息系统进行划分v 分析物理位置的差异：根据物理位置的不同，对信息系统分析物理位置的差异：根据物理位置的不同，对信息系统进行划分进行划分信息系统平安保护等级确实定v 第二步，确定定级对象第二步，确定定级对象4 4v 确定定级对象信息系统边界和边界设备确定定级对象信息系统边界和边界设备v 确定定级对象信息系统的边界和边界设备确定定级对象信息系

20、统的边界和边界设备v 效劳器共用的系统一般归入同一个信息系统效劳器共用的系统一般归入同一个信息系统v 不同信息系统的共用设备一般是网络不同信息系统的共用设备一般是网络/ /边界设备或终端设边界设备或终端设备备v 两个信息系统边界存在共用设备时，共用设备的平安保护两个信息系统边界存在共用设备时，共用设备的平安保护等级按两个信息系统平安保护等级较高者确定等级按两个信息系统平安保护等级较高者确定v 信息系统的管理终端与相应被管理的效劳器、网络设备及信息系统的管理终端与相应被管理的效劳器、网络设备及平安设备等同属于一个系统平安设备等同属于一个系统v 处理涉密信息的终端必须划分到相应的信息系统中，且不处

21、理涉密信息的终端必须划分到相应的信息系统中，且不能与非涉密系统共用终端能与非涉密系统共用终端信息系统平安保护等级确实定 第三步，初步确定信息系统等级第三步，初步确定信息系统等级-1-1 信息系统的平安保护等级是信息系统的客观属性，不以已信息系统的平安保护等级是信息系统的客观属性，不以已采取或将采取什么平安保护措施为依据，而是以信息系统采取或将采取什么平安保护措施为依据，而是以信息系统的重要性和信息系统遭到破坏后对国家平安、社会稳定、的重要性和信息系统遭到破坏后对国家平安、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的平人民群众合法权益的危害程度为依据，确定信息系统的平安保护等级安保

22、护等级 既要防止个别单位片面追求绝对平安而定级过高，也要防既要防止个别单位片面追求绝对平安而定级过高，也要防止为了逃避监管定级偏低止为了逃避监管定级偏低 信息网络的平安等级可以参照在其上运行的信息系统的等信息网络的平安等级可以参照在其上运行的信息系统的等级、网络的效劳范围和自身的平安需求确定适当的保护等级、网络的效劳范围和自身的平安需求确定适当的保护等级，不以在其上运行的信息系统的最高等级或最低等级为级，不以在其上运行的信息系统的最高等级或最低等级为标准标准决定等级的主要因素分析决定等级的主要因素分析n 划分等级时应考虑以下因素：n系统所属类型，即信息系统的平安利益主体。n信息系统主要处理的业

23、务信息类别。n系统效劳范围，包括效劳对象和效劳网络覆盖范围。n业务依赖程度，或以手工作业替代信息系统处理业务的程度。n 其中第1、2个要素决定信息系统内信息资产的重要性，第3、4个要素决定信息系统所提供效劳的重要性，而信息资产及信息系统效劳的重要性决定了信息系统的重要性。 决定等级的主要因素分析决定等级的主要因素分析系统所属类型系统所属类型业务信息类别业务信息类别系统效劳范围系统效劳范围业务依赖程度业务依赖程度业务信息平安性业务信息平安性业务效劳保证性业务效劳保证性决定等级的主要因素分析决定等级的主要因素分析业务信息平安性业务信息平安性业务效劳保证性业务效劳保证性信息系统平安保护等级信息系统平

24、安保护等级信息系统平安保护等级确实定 第三步，初步确定信息系统等级第三步，初步确定信息系统等级-2-2 信息系统跨省或者全国统一联网运行的信息系统，可以由信息系统跨省或者全国统一联网运行的信息系统，可以由主管部门统一确定平安保护等级主管部门统一确定平安保护等级 由各行业统一规划、统一建设、统一平安保护策略的信息由各行业统一规划、统一建设、统一平安保护策略的信息系统，应由各部委统一确定一个级别系统，应由各部委统一确定一个级别 由各部委统一规划、分级建设、运行的信息系统，应由部、由各部委统一规划、分级建设、运行的信息系统，应由部、省、地市分别确定系统等级，但各行业应对该类系统提出省、地市分别确定系

25、统等级，但各行业应对该类系统提出定级意见，防止出现同类系统定级出现较大偏差问题定级意见，防止出现同类系统定级出现较大偏差问题信息系统平安保护等级确实定 第三步，初步确定信息系统等级第三步，初步确定信息系统等级-3-31 1、确定定级对象、确定定级对象3 3、综合评定对客体的侵、综合评定对客体的侵害程度害程度2 2、确定业务信息平安受、确定业务信息平安受到破坏时所侵害的客体到破坏时所侵害的客体4 4、业务信息平安等级、业务信息平安等级6 6、综合评定对客体的侵、综合评定对客体的侵害程度害程度5 5、确定系统效劳平安受、确定系统效劳平安受到破坏时所侵害的客体到破坏时所侵害的客体7 7、系统效劳平安

26、等级、系统效劳平安等级8 8、定级对象的平安保护等级、定级对象的平安保护等级信息系统平安保护等级确实定 第三步，初步确定信息系统等级第三步，初步确定信息系统等级-4-4 确定受侵害客体确定受侵害客体 定级对象受到破坏时所侵害的客体包括：定级对象受到破坏时所侵害的客体包括： 国家平安国家平安 社会秩序、公众利益社会秩序、公众利益 公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益 确定侵害客体时从定级对象的两方面进行考虑：确定侵害客体时从定级对象的两方面进行考虑： 业务信息平安被破坏时所侵害的客体业务信息平安被破坏时所侵害的客体 系统效劳平安被破坏时所侵害的客体系统效劳平安被破坏时所侵

27、害的客体信息系统平安保护等级的依据v 确定受侵害客体确定受侵害客体1 1国家平安国家平安v 重要的国家事务处理系统、国防工业生产系统和国防设施重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系的控制系统等属于影响国家政权稳固和国防实力的信息系统；统；v 播送、电视、网络等重要新闻媒体的发布或播出系统，其播送、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件；定的重大事件；v 处理国家对外活动信息的信息系统；处理国家对外活动信息的信息系统；

28、v 处理国家重要平安保卫工作信息的信息系统和重大刑事案处理国家重要平安保卫工作信息的信息系统和重大刑事案件的侦查系统；件的侦查系统；v 尖端科技领域的研发、生产系统等影响国家经济竞争力和尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统；科技实力的信息系统；v 电力、通信、能源、交通运输、金融等国家重要根底设施电力、通信、能源、交通运输、金融等国家重要根底设施的生产、控制、管理系统等。的生产、控制、管理系统等。信息系统平安保护等级的依据v 确定受侵害客体确定受侵害客体1 1国家平安国家平安v 侵害国家平安的事项包括以下方面：侵害国家平安的事项包括以下方面：v 影响国家政权稳固

29、和国防实力；影响国家政权稳固和国防实力；v 影响国家统一、民族团结和社会安定；影响国家统一、民族团结和社会安定；v 影响国家对外活动中的政治、经济利益；影响国家对外活动中的政治、经济利益；v 影响国家重要的平安保卫工作；影响国家重要的平安保卫工作；v 影响国家经济竞争力和科技实力；影响国家经济竞争力和科技实力；v 其他影响国家平安的事项。其他影响国家平安的事项。信息系统平安保护等级的依据v 确定受侵害客体确定受侵害客体2 2社会秩序社会秩序v 财政、金融、工商、税务、公检法、海关、社保等的信息财政、金融、工商、税务、公检法、海关、社保等的信息系统；系统；v 教育、科研机构的工作系统；教育、科研

30、机构的工作系统；v 所有为公众提供医疗卫生、应急效劳、供水、供电、邮政所有为公众提供医疗卫生、应急效劳、供水、供电、邮政等必要效劳的生产系统或管理系统等必要效劳的生产系统或管理系统v 侵害社会秩序的事项包括以下方面：侵害社会秩序的事项包括以下方面：v 影响国家机关社会管理和公共效劳的工作秩序；影响国家机关社会管理和公共效劳的工作秩序；v 影响各种类型的经济活动秩序；影响各种类型的经济活动秩序；v 影响各行业的科研、生产秩序；影响各行业的科研、生产秩序；v 影响公众在法律约束和道德标准下的正常生活秩序等；影响公众在法律约束和道德标准下的正常生活秩序等；v 其他影响社会秩序的事项。其他影响社会秩序

31、的事项。信息系统平安保护等级的依据v 确定受侵害客体确定受侵害客体3 3公共利益公共利益v 借助信息化手段为社会成员提供使用的公共设施和通过信借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方息系统对公共设施进行进行管理控制都应当是要考虑的方面面v 如公共通信设施、公共卫生设施、公共休闲娱乐设施、公如公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共效劳设施等共管理设施、公共效劳设施等v 影响公共利益的事项包括以下方面：影响公共利益的事项包括以下方面：v 影响社会成员使用公共设施；影响社会成员使用公共设施；v 影响社会成员获取公开

32、信息资源；影响社会成员获取公开信息资源；v 影响社会成员接受公共效劳等方面；影响社会成员接受公共效劳等方面；v 其他影响公共利益的事项。其他影响公共利益的事项。信息系统平安保护等级的依据 确定受侵害客体确定受侵害客体-4-4公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益 受侵害的对象是明确的，即拥有信息系统的个体或某个单受侵害的对象是明确的，即拥有信息系统的个体或某个单位位 影响公民、法人和其他组织的合法权益是指由法律确认的影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社并受法律保护的公民、法人和其他组织所享有的一定的社会权利和

33、利益会权利和利益 提示：提示： 确定作为定级对象的信息系统受到破坏后所侵害的客体时，确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害国家平安，然后判断是否侵害社会秩应首先判断是否侵害国家平安，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益的合法权益信息系统平安保护等级确实定 第三步，初步确定信息系统等级第三步，初步确定信息系统等级-5-5 确定对客体的侵害程度确定对客体的侵害程度 在针对不同的受侵害客体进行侵害程度的判断时，应参照在针对不同的受侵害客体进行侵害程度的判断时，应参照以下不同

34、的判别基准：以下不同的判别基准： 如果受侵害客体是公民、法人或其他组织的合法权益，那如果受侵害客体是公民、法人或其他组织的合法权益，那么以本人或本单位的总体利益作为判断侵害程度的基准么以本人或本单位的总体利益作为判断侵害程度的基准 如果受侵害客体是社会秩序、公共利益或国家平安，那么如果受侵害客体是社会秩序、公共利益或国家平安，那么应以整个行业或国家的总体利益作为判断侵害程度的基准应以整个行业或国家的总体利益作为判断侵害程度的基准信息系统平安保护等级确实定 第三步，初步确定信息系统等级第三步，初步确定信息系统等级-6-6 确定对客体的侵害程度确定对客体的侵害程度 一般损害一般损害：工作职能受到局

35、部影响工作职能受到局部影响业务能力有所降低但不影响主要功能的执行业务能力有所降低但不影响主要功能的执行出现较轻的法律问题出现较轻的法律问题较低的资产损失较低的资产损失有限的社会不良影响有限的社会不良影响对其他组织和个人造成较低损害对其他组织和个人造成较低损害信息系统平安保护等级确实定 第三步，初步确定信息系统等级第三步，初步确定信息系统等级-7-7 确定对客体的侵害程度确定对客体的侵害程度 严重损害严重损害：工作职能受到严重影响工作职能受到严重影响业务能力显著下降且严重影响主要功能执行业务能力显著下降且严重影响主要功能执行出现较严重的法律问题出现较严重的法律问题较高的资产损失较高的资产损失较大

36、范围的社会不良影响较大范围的社会不良影响对其他组织和个人造成较严重损害对其他组织和个人造成较严重损害信息系统平安保护等级确实定 第三步，初步确定信息系统等级第三步，初步确定信息系统等级-8-8 确定对客体的侵害程度确定对客体的侵害程度 特别严重损害特别严重损害：工作职能受到特别严重影响或丧失行使能力工作职能受到特别严重影响或丧失行使能力业务能力严重下降且或功能无法执行业务能力严重下降且或功能无法执行出现极其严重的法律问题出现极其严重的法律问题极高的资产损失极高的资产损失大范围的社会不良影响大范围的社会不良影响对其他组织和个人造成非常严重损害对其他组织和个人造成非常严重损害信息系统平安保护等级确

37、实定 第三步，初步确定信息系统等级第三步，初步确定信息系统等级-9 -9 业务信息业务信息安全被破坏时所侵害的客体安全被破坏时所侵害的客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重损害特别严重损害公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级系统服务系统服务安全被破坏时所侵害的客体安全被破坏时所侵害的客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重损

38、害特别严重损害公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级信息系统平安保护等级确实定 第三步，初步确定信息系统等级第三步，初步确定信息系统等级-10-10 定级人员需要将定级对象信息系统中的不同类重要信息分定级人员需要将定级对象信息系统中的不同类重要信息分别分析其平安性受到破坏后所侵害的客体及对客体的侵害别分析其平安性受到破坏后所侵害的客体及对客体的侵害程度，取其中最高结果作为业务信息平安保护等级程度，取其中最高结果作为

39、业务信息平安保护等级 再将定级对象信息系统中的不同类重要系统效劳分别分析再将定级对象信息系统中的不同类重要系统效劳分别分析其受到破坏后所侵害的客体及对客体的侵害程度，取其中其受到破坏后所侵害的客体及对客体的侵害程度，取其中最高结果作为业务效劳平安保护等级最高结果作为业务效劳平安保护等级信息系统平安保护等级确实定 第四步，信息系统等级评审第四步，信息系统等级评审 在信息系统平安保护等级确定过程中，可以聘请专家进行在信息系统平安保护等级确定过程中，可以聘请专家进行咨询评审，并出具定级评审意见咨询评审，并出具定级评审意见 对拟确定为第四级以上信息系统的，运营使用单位或者主对拟确定为第四级以上信息系统

40、的，运营使用单位或者主管部门应当请国家信息平安保护等级专家评审委员会评审，管部门应当请国家信息平安保护等级专家评审委员会评审，出具评审意见信息系统等级出具评审意见信息系统等级 当专家意见与运营使用单位或者主管部门不一致时，以运当专家意见与运营使用单位或者主管部门不一致时，以运营使用单位或者主管部门意见为准营使用单位或者主管部门意见为准信息系统平安保护等级确实定 第五步，信息系统等级的最终确定与审批第五步，信息系统等级的最终确定与审批 信息系统运营使用单位参考专家定级评审意见，最终确定信息系统运营使用单位参考专家定级评审意见，最终确定信息系统等级，形成信息系统等级，形成? ?定级报告定级报告?

41、? 信息系统运营使用单位有上级主管部门的，应当经上级主信息系统运营使用单位有上级主管部门的，应当经上级主管部门对平安保护等级进行审核批准管部门对平安保护等级进行审核批准 主管部门一般是指行业的上级主管部门或监管部门主管部门一般是指行业的上级主管部门或监管部门 如果是跨地域联网运营使用的信息系统，那么必须由其上如果是跨地域联网运营使用的信息系统，那么必须由其上级主管部门审批，确保同类系统或分支系统在各地域分别级主管部门审批，确保同类系统或分支系统在各地域分别定级的一致性定级的一致性内容简介内容简介等级确定的依据等级确定的依据等级确定方法等级确定方法定级报告定级报告定级举例定级举例信息系统平安保护

42、等级的报告 定级报告是什么定级报告是什么 公安部定级报告是为详细了解和掌握定级过程情况由信息公安部定级报告是为详细了解和掌握定级过程情况由信息系统运营使用单位负责填写的文档系统运营使用单位负责填写的文档 定级报告作为定级报告作为? ?备案表备案表? ?表三的附件，要在信息系统备案时表三的附件，要在信息系统备案时一并提交一并提交 信息系统运营使用单位在起草定级报告时可以请技术支持信息系统运营使用单位在起草定级报告时可以请技术支持单位协助单位协助信息系统平安保护等级的报告 定级报告的构成和起草定级报告的构成和起草1 1 信息系统描述信息系统描述 简述确定该信息系统为定级对象的理由简述确定该信息系统

43、为定级对象的理由 该信息系统所承载业务的主管单位和部门，该信息系统所承载业务的主管单位和部门， 该信息系统具有信息系统的根本要素有主机、网络及相该信息系统具有信息系统的根本要素有主机、网络及相关配套设施构成的人机系统关配套设施构成的人机系统 该信息系统承载着独立或单一的业务应用，业务应用主要该信息系统承载着独立或单一的业务应用，业务应用主要包括哪些，各包含哪些功能等包括哪些，各包含哪些功能等信息系统平安保护等级的报告 定级报告的构成和起草定级报告的构成和起草2 2 信息系统平安保护等级确实定信息系统平安保护等级确实定 业务信息平安保护等级确实定业务信息平安保护等级确实定 第一步：简要描述信息系

44、统所处理的主要业务信息，包括第一步：简要描述信息系统所处理的主要业务信息，包括各项业务的主要数据项有哪些等各项业务的主要数据项有哪些等 第二步：确定业务信息受到破坏后所侵害的客体第二步：确定业务信息受到破坏后所侵害的客体 第三步：确定对客体的侵害程度第三步：确定对客体的侵害程度 第四步：查表确定业务信息平安等级第四步：查表确定业务信息平安等级信息系统平安保护等级的报告 定级报告的构成和起草定级报告的构成和起草3 3 信息系统平安保护等级确实定信息系统平安保护等级确实定 系统效劳平安保护等级确实定系统效劳平安保护等级确实定 第一步：简要描述系统的效劳范围、效劳对象、效劳要求第一步：简要描述系统的

45、效劳范围、效劳对象、效劳要求等等等等 第二步：确定系统效劳受到破坏后所侵害的客体第二步：确定系统效劳受到破坏后所侵害的客体 第三步：确定对客体的侵害程度第三步：确定对客体的侵害程度 第四步：查表确定系统效劳平安等级第四步：查表确定系统效劳平安等级信息系统平安保护等级的报告 定级报告的构成和起草定级报告的构成和起草4 4 信息系统平安保护等级确实定信息系统平安保护等级确实定 信息系统平安保护等级确实定信息系统平安保护等级确实定 信息系统的平安保护等级由业务信息平安等级和系统效劳信息系统的平安保护等级由业务信息平安等级和系统效劳平安等级较高者决定平安等级较高者决定信息系统平安保护等级的报告 备案表

46、的作用和构成备案表的作用和构成1 1 备案表的作用备案表的作用 备案表是信息系统运营使用单位实施信息平安等级保护工备案表是信息系统运营使用单位实施信息平安等级保护工作的重要记录，也是公安机关履行监督检查职责进行重要作的重要记录，也是公安机关履行监督检查职责进行重要信息系统管理的重要凭证信息系统管理的重要凭证 公安机关只有通过备案表才能及时了解和掌握信息系统及公安机关只有通过备案表才能及时了解和掌握信息系统及其运营使用单位的根本情况，进行汇总、分析、统计等工其运营使用单位的根本情况，进行汇总、分析、统计等工作，并实施有针对性地监督、管理措施。作，并实施有针对性地监督、管理措施。信息系统平安保护等

47、级的报告 备案表的作用和构成备案表的作用和构成2 2 备案表由四张表单构成备案表由四张表单构成 表一是单位信息，每个单位填写一张表一是单位信息，每个单位填写一张 表二是信息系统根本信息表二是信息系统根本信息 表三是信息系统定级信息，表二、表三每个信息系统填写表三是信息系统定级信息，表二、表三每个信息系统填写一张一张 表四为第三级以上信息系统需要在系统整改、测评等工作表四为第三级以上信息系统需要在系统整改、测评等工作完成后再行提交的信息。表二、三、四可以复印使用，使完成后再行提交的信息。表二、三、四可以复印使用，使用时要注意编号用时要注意编号 如一个单位有如一个单位有6 6个信息系统，那么只需要

48、填写一张表一，个信息系统，那么只需要填写一张表一，分别填写六个表二、三四，此时，表二、三四遵分别填写六个表二、三四，此时，表二、三四遵循循1/61/6、2/62/6、3/66/63/66/6的编号规那么。的编号规那么。信息系统平安保护等级的报告 备案表时需要提交的材料备案表时需要提交的材料1 1 保护等级为二级的信息系统运营、使用单位到属地、保卫保护等级为二级的信息系统运营、使用单位到属地、保卫关系所属公安机关备案需要提交以下材料：关系所属公安机关备案需要提交以下材料： ? ?信息系统平安等级保护定级报告信息系统平安等级保护定级报告? ?纸制盖章和电子版纸制盖章和电子版 ? ?信息系统平安等级

49、保护备案表信息系统平安等级保护备案表? ?纸制盖章和电子版纸制盖章和电子版信息系统平安保护等级的报告备案表时需要提交的材料备案表时需要提交的材料2 2保护等级为三级保护等级为三级( (含含) )以上的信息系统运营、使用单位到属地、以上的信息系统运营、使用单位到属地、保卫关系所属公安机关备案需要提交以下材料：保卫关系所属公安机关备案需要提交以下材料：系统拓扑结构及说明系统拓扑结构及说明系统平安组织机构和管理制度系统平安组织机构和管理制度系统平安保护设施设计实施方案或者改建实施方案系统平安保护设施设计实施方案或者改建实施方案使用的信息平安产品清单及其认证、销售许可证明使用的信息平安产品清单及其认证

50、、销售许可证明测评后符合系统平安保护等级的技术检测评估报告测评后符合系统平安保护等级的技术检测评估报告信息系统平安保护等级专家评审意见信息系统平安保护等级专家评审意见? ?信息系统平安等级保护备案表信息系统平安等级保护备案表? ?纸制盖章和电子版纸制盖章和电子版? ?信息系统平安等级保护定级报告信息系统平安等级保护定级报告? ?纸制盖章和电子版纸制盖章和电子版内容简介内容简介等级确定的依据等级确定的依据等级确定方法等级确定方法定级报告定级报告定级举例定级举例信息系统平安保护等级的案例 信息系统定级案例某局政府网站系统信息系统定级案例某局政府网站系统-1-1： 某局政府网站系统描述某局政府网站系

51、统描述 某局政府网站系统，由局办公室负责运行维护，并为责任某局政府网站系统，由局办公室负责运行维护，并为责任单位单位 按照政务公开原那么，对主管业务工作动态及业务信息进按照政务公开原那么，对主管业务工作动态及业务信息进行采集、加工、发布行采集、加工、发布 属于属于“首都之窗下链网站，为互联网上的独立效劳器，首都之窗下链网站，为互联网上的独立效劳器，WebWeb结构结构 效劳对象主要是本局管理的企业和本市市民效劳对象主要是本局管理的企业和本市市民 某局政府网站系统平安保护等级确实定某局政府网站系统平安保护等级确实定 业务信息平安保护等级确实定业务信息平安保护等级确实定 系统效劳平安保护等级确实定

52、系统效劳平安保护等级确实定 平安保护等级确实定平安保护等级确实定信息系统平安保护等级的案例信息系统定级案例某局政府网站系统信息系统定级案例某局政府网站系统-2 -2 ：某局政府网站系统平安保护等级确实定某局政府网站系统平安保护等级确实定业务信息平安保护等级确实定业务信息平安保护等级确实定业务信息描述业务信息描述业务信息受到破坏时所侵害客体确实定业务信息受到破坏时所侵害客体确实定信息受到破坏后对侵害客体的侵害程度信息受到破坏后对侵害客体的侵害程度确定业务信息平安等级确定业务信息平安等级业务信息业务信息安全被破坏时所侵害的客体安全被破坏时所侵害的客体对相应客体的侵害程度对相应客体的侵害程度一般损害

53、一般损害严重损害严重损害特别严重损害特别严重损害公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级业务信息包括发布的政务公开信息、地方行业务信息包括发布的政务公开信息、地方行政法规和管理措施、领导讲话、政府办事流政法规和管理措施、领导讲话、政府办事流程、新闻发布、政府公告、举报投诉、本市程、新闻发布、政府公告、举报投诉、本市经济形势介绍、电子表单下载等信息经济形势介绍、电子表单下载等信息公民、法人和其他组织的合法权益公民、法人

54、和其他组织的合法权益社会秩序、公共利益社会秩序、公共利益表现：一旦信息系统的业务信息遭到入侵、表现：一旦信息系统的业务信息遭到入侵、修改、增加、删除等侵害，将影响公众接受修改、增加、删除等侵害，将影响公众接受政务公开的信息资料，局部工作职能到受影政务公开的信息资料，局部工作职能到受影响，业务能力下降，出现一般范围的不良影响，业务能力下降，出现一般范围的不良影响造成社会不良影响，引起公众与政府机关响造成社会不良影响，引起公众与政府机关之间的矛盾；之间的矛盾；1 1、公民、法人和其他组织的合法权益的严重、公民、法人和其他组织的合法权益的严重损害损害2 2、社会秩序、公共利益的一般损害优先考、社会秩

55、序、公共利益的一般损害优先考虑虑业务信息的平安业务信息的平安保护等级确定为保护等级确定为第二级第二级信息系统平安保护等级的案例 信息系统定级案例某局政府网站系统信息系统定级案例某局政府网站系统-3 -3 ： 某局政府网站系统平安保护等级确实定某局政府网站系统平安保护等级确实定 系统效劳平安保护等级确实定系统效劳平安保护等级确实定 系统效劳描述系统效劳描述 系统效劳受到破坏时所侵害客体确实定系统效劳受到破坏时所侵害客体确实定 信息受到破坏后对侵害客体的侵害程度信息受到破坏后对侵害客体的侵害程度 确定系统效劳平安等级确定系统效劳平安等级系统服务系统服务安全被破坏时所侵害的客体安全被破坏时所侵害的客

56、体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重损害特别严重损害公民、法人和其他组织的合法权益公民、法人和其他组织的合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级该系统主要承担公开信息发布和该系统主要承担公开信息发布和局部网上办公业务，属于为国计局部网上办公业务，属于为国计民生、经济建设提供效劳的信息民生、经济建设提供效劳的信息系统，其效劳范围为本局系统干系统，其效劳范围为本局系统干部及全市本行业相关的公众部及全市本行业相关的公众公民、法人

57、和其他组织的合法权益公民、法人和其他组织的合法权益社会秩序、公共利益社会秩序、公共利益表现：一旦信息系统不能正常运行或出现表现：一旦信息系统不能正常运行或出现中断，将影响公众接受政务公开的信息资中断，将影响公众接受政务公开的信息资料，造成社会不良影响，引起公众与政府料，造成社会不良影响，引起公众与政府机关之间矛盾；致使局部工作职能受到影机关之间矛盾；致使局部工作职能受到影响，业务能力下降，出现一般社会矛盾问响，业务能力下降，出现一般社会矛盾问题，一般范围的不良影响题，一般范围的不良影响1 1、公民、法人和其他组织的合法权益的、公民、法人和其他组织的合法权益的严重损害严重损害2 2、社会秩序、公

58、共利益的一般损害优、社会秩序、公共利益的一般损害优先考虑先考虑系统效劳的平安保护等级确定为第二系统效劳的平安保护等级确定为第二级取所有判定级别中最高的级取所有判定级别中最高的信息系统平安保护等级的案例 信息系统定级案例某局政府网站系统信息系统定级案例某局政府网站系统-4-4： 某局政府网站系统平安保护等级确实定某局政府网站系统平安保护等级确实定 平安保护等级确实定平安保护等级确实定 信息系统的平安保护等级由业务信息平安等级和系统效劳信息系统的平安保护等级由业务信息平安等级和系统效劳平安务安等级的较高者决定平安务安等级的较高者决定 所以，某局政府网站系统平安保护等级为第二级所以，某局政府网站系统

59、平安保护等级为第二级信息系统名称信息系统名称安全保护等级安全保护等级业务信息业务信息安全等级安全等级系统服务系统服务安全等级安全等级某局政府网站系统某局政府网站系统第二级第二级二二二二信息系统平安保护等级的案例 信息系统定级案例某委办局办公应用系统信息系统定级案例某委办局办公应用系统-1-1： 某委办局办公应用系统描述某委办局办公应用系统描述 某委办局办公应用系统某委办局办公应用系统 主要集内部办公应用系统、信息资源共享、网上审批平台主要集内部办公应用系统、信息资源共享、网上审批平台和人力资源管理于一体的协同办公系统和人力资源管理于一体的协同办公系统 主要功能公文流转、任务管理、网上审批、公共

60、信息、信主要功能公文流转、任务管理、网上审批、公共信息、信息资源共享、会议管理等息资源共享、会议管理等 系统实时性要求一般，最短的工作时限为半天。系统实时性要求一般，最短的工作时限为半天。 某委办局办公应用系统平安保护等级确实定某委办局办公应用系统平安保护等级确实定 业务信息平安保护等级确实定业务信息平安保护等级确实定 系统效劳平安保护等级确实定系统效劳平安保护等级确实定 平安保护等级确实定平安保护等级确实定信息系统定级案例某委办局办公应用系统信息系统定级案例某委办局办公应用系统-2 -2 ：某委办局办公应用系统平安保护等级确实定某委办局办公应用系统平安保护等级确实定业务信息平安保护等级确实定