标准解读
《GA/T 1389-2017 信息安全技术 网络安全等级保护定级指南》是由中国公安部发布的一项技术标准,旨在为各类网络系统和信息系统的安全保护工作提供一个统一的、规范化的定级框架。该标准详细阐述了如何根据信息系统的重要程度、受到破坏时可能产生的危害以及业务特性,将其划分为不同的安全保护等级,并针对每个等级提出相应的安全保护要求。
标准核心内容
-
定级原则:强调应遵循“自主保护、重点保护、积极防御、综合防范”的原则,确保信息系统的安全保护与其承载的业务重要性相匹配。
-
定级对象:明确网络和信息系统是定级的基本单位,包括但不限于基础信息网络、重要信息系统、工业控制系统、云计算平台、大数据应用等。
-
等级划分:将信息系统安全保护等级划分为五级,第一级为最低级别,第五级为最高级别。每一级别的划分依据主要是信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的损害程度。
- 第一级:受到破坏后,会对公民、法人和其他组织的合法权益造成轻微损害。
- 第二级:对公共利益、社会秩序造成一般损害。
- 第三级:对社会秩序、公共利益造成较大损害,或者对国家安全造成一定损害。
- 第四级:对国家安全、社会秩序、公共利益造成严重损害。
- 第五级:对国家安全造成特别严重损害。
-
定级流程:包括信息收集、初步定级、专家评审、审批发布和备案等环节。要求组织应全面分析信息系统服务范围、业务类型、数据重要性等因素,通过科学评估确定其安全保护等级。
-
保护要求:针对不同安全保护等级的信息系统,标准提出了具体的安全控制措施和管理要求,涉及物理安全、网络安全、主机安全、应用安全、数据安全及安全管理等多个方面。等级越高,要求的安全防护措施越严格。
-
持续监督与改进:强调了定级工作不是一劳永逸的,随着信息系统环境和业务的变化,需要定期进行重新评估和调整等级,确保安全保护措施的有效性和适应性。
实施意义
该标准为政府部门、企事业单位提供了网络安全等级保护工作的指导,帮助其合理分配资源,优先保障关键信息基础设施的安全,有效应对不断变化的网络安全威胁,确保国家和社会稳定。同时,也为监管机构提供了评估和检查的依据,推动了我国网络安全保护工作的规范化、标准化进程。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 现行
- 正在执行有效
- 2017-05-08 颁布
- 2017-05-08 实施
文档简介
ICS3540
L80.
中华人民共和国公共安全行业标准
GA/T1389—2017
信息安全技术
网络安全等级保护定级指南
Informationsecuritytechnology—
Guidelinesforgradingofclassifiedprotectionofcybersecurity
2017-05-08发布2017-05-08实施
中华人民共和国公安部发布
GA/T1389—2017
目次
前言
…………………………Ⅰ
引言
…………………………Ⅱ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
定级原理及流程
4…………………………2
安全保护等级
4.1………………………2
定级要素
4.2……………2
定级要素概述
4.2.1…………………2
受侵害的客体
4.2.2…………………2
对客体的侵害程度
4.2.3……………3
定级要素与安全保护等级的关系
4.3…………………3
定级流程
4.4……………3
确定定级对象
5……………4
基础信息网络
5.1………………………4
信息系统
5.2……………4
工业控制系统
5.2.1…………………4
云计算平台
5.2.2……………………4
物联网
5.2.3…………………………4
采用移动互联技术的信息系统
5.2.4………………5
其他信息系统
5.2.5…………………5
大数据
5.3………………5
初步确定安全保护等级
6…………………5
定级方法概述
6.1………………………5
确定受侵害的客体
6.2…………………6
确定对客体的侵害程度
6.3……………6
侵害的客观方面
6.3.1………………6
综合判定侵害程度
6.3.2……………6
确定安全保护等级
6.4…………………6
专家评审
7…………………7
主管部门审核
8……………7
公安机关备案审查
9………………………7
等级变更
10…………………7
附录资料性附录各级等级保护对象定级工作要求
A()………………8
附录资料性附录定级方法流程
B()……………………9
参考文献
……………………10
GA/T1389—2017
前言
本标准按照给出的规则起草
GB/T1.1—2009。
本标准由公安部网络安全保卫局提出
。
本标准由公安部信息系统安全标准化技术委员会归口
。
本标准起草单位公安部信息安全等级保护评估中心电力行业信息安全等级保护测评中心第一测
:、
评实验室阿里云计算有限公司杭州华三通信技术有限公司
、、。
本标准主要起草人李明曲洁任卫红张振峰袁静朱建平马力刘韧陈雪秀刘鑫
:、、、、、、、、、。
Ⅰ
GA/T1389—2017
引言
依据中华人民共和国计算机信息系统安全保护条例国务院号令和信息安全等级保护管
《》(147)《
理办法公通字号制定本标准
》(〔2007〕43)。
与本标准相关的国家系列标准包括
:
信息安全技术信息系统安全等级保护实施指南
———GB/T25058—2010;
信息安全技术信息系统安全等级保护基本要求
———GB/T22239—2008;
信息安全技术信息系统安全等级保护测评要求
———GB/T28448—2012。
本标准依据等级保护相关管理文件综合考虑保护对象在国家安全经济建设社会生活中的重要
,、、
程度以及保护对象遭到破坏后对国家安全社会秩序公共利益以及公民法人和其他组织的合法权益
,、、、
的危害程度等因素提出确定保护对象安全保护等级的方法
,。
Ⅱ
GA/T1389—2017
信息安全技术
网络安全等级保护定级指南
1范围
本标准规定了网络安全等级保护的定级方法和定级流程
。
本标准适用于为等级保护对象的定级工作提供指导
。
2规范性引用文件
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件
。,()。
计算机信息系统安全保护等级划分准则
GB17859—1999
信息安全技术术语
GB/T25069—2010
3术语和定义
和界定的以及下列术语和定义适用于本文件
GB17859—1999GB/T25069—2010。
31
.
等级保护对象targetofclassifiedprotection
网络安全等级保护工作的作用对象主要包括基础信息网络信息系统例如工业控制系统云计算
,、(、
平台物联网使用移动互联技术的信息系统以及其他信息系统和大数据等
、、)。
32
.
基础信息网络basicinformationnetwork
为信息流通信息系统运行等起基础支撑作用的信息网络包括电信网广播电视传输网互联网
、,、、、
业务专网等网络设备设施
。
33
.
信息系统informationsystem
由计算机和类计算机的软硬件及其相关的和配套
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 浸水挡土墙路堤边坡稳定性分析-课件(-精)
- 《逆全球化粗略综述》课件
- 《输卵管与子宫》课件
- 2024年甲乙双方二手机床设备买卖合同
- 拉头生产合同范本(2篇)
- 《OCTAVE评估方法》课件
- 2025年烟台货物从业资格证考试
- 2025年宝鸡货运从业资格证试题库及答案
- 2025年玉溪货运考试题目
- 2025年丹东c1货运从业资格证考试题
- 北京市海淀区2023-2024学年八年级上学期期末英语试卷
- 果品类原料的烹调应用课件
- 24节气中的传统服饰与饰品
- 地弹簧行业分析
- 如何发挥采购在公司高质量发展中作用
- 民事纠纷及其解决机制课件
- 美术高考总结汇报
- 北宋词之临江仙夜归临皋【宋】苏轼课件
- 监理质量评估报告
- 《中国封建社会》课件
- 药物代谢动力学-中国药科大学中国大学mooc课后章节答案期末考试题库2023年
评论
0/150
提交评论