信息系统安全等级保护定级备案讲义

信息系统安全等级保护定级立案信息系统安全等级保护定级备案讲义第1页信息系统安全等级保护定级指南主要内容引言第一部分：等级保护定级概述第二部分：掌握信息系统实际情况第三部分：确定定级对象第四部分：定级方法第五部分：初步定级第六部分：评审、确定与审批第七部分：等级调整第八部分：立案工作第九部分：问题解答信息系统安全等级保护定级备案讲义第2页引言 为推进我国信息安全等级保护工作开展，十多年来，在公安部领导和支持下，在国内相关教授、企业共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要一系列标准，形成了比较完整信息安全等级保护标准体系，为开展信息安全等级保护工作提供了标准保障。引言信息系统安全等级保护定级备案讲义第3页定级政策《关于开展全国主要信息系统安全等级保护定级工作通知》（公通字[]861号）。引言信息系统安全等级保护定级备案讲义第4页定级标准《信息系统安全等级保护定级指南》和信息系统安全等级保护行业定级细则为确定信息系统安全保护等级提供支持。《信息系统安全等级保护定级指南》（GB/T22240-）信息系统安全等级保护行业定级细则引言信息系统安全等级保护定级备案讲义第5页信息系统安全保护等级第一级，信息系统受到破坏后，会对公民、法人和其它组织正当权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其它组织正当权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第一部分等级保护定级概述第一部分：等级保护定级概述信息系统安全等级保护定级备案讲义第6页第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成尤其严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成尤其严重损害。第一部分等级保护定级概述信息系统安全等级保护定级备案讲义第7页定级普通流程第一部分等级保护定级概述信息系统安全等级保护定级备案讲义第8页行业系统定级工作指导意见提出各个行业职能存在差异信息系统所发挥作用依据不一样行业存在较大差异不一样行业信息系统被破坏后对国家和社会危害不尽相同各行业主管部门能够从行业整体出发，从宏观上更加好把握本行业内各运行单位信息系统定级工作第一部分等级保护定级概述信息系统安全等级保护定级备案讲义第9页指导意见依据《管理方法》第十条：信息系统运行、使用单位应该依据本方法和《信息系统安全等级保护定级指南》确定信息系统安全保护等级。有主管部门，应该经主管部门审核同意。跨省或者全国统一联网运行信息系统能够由主管部门统一确定安全保护等级。依据《关于开展全国主要信息系统安全等级保护定级工作通知》（以下简称《定级通知》）要求：各行业主管部门要依据行业特点提出指导当地域、本行业定级工作指导意见。第一部分等级保护定级概述信息系统安全等级保护定级备案讲义第10页行业定级工作指导意见意义：愈加好落实落实《管理方法》使本行业实施等级保护工作政策和方针目标性愈加明确有利于本行业制订定级工作阶段计划有利于统一本行业对定级要素赋值规范第一部分等级保护定级概述信息系统安全等级保护定级备案讲义第11页认真调查，掌握信息系统实际情况 全方面掌握信息系统（包含信息网络）业务类型、应用或服务范围、系统结构等基本情况，第二部分掌握实际情况第二部分：掌握信息系统实际情况信息系统安全等级保护定级备案讲义第12页第三部分确定定级对象定级对象基本特征定级对象确实定方法科学、合理确定定级对象确定定级对象举例第三部分：确定定级对象信息系统安全等级保护定级备案讲义第13页第三部分确定定级对象定级对象基本特征：含有唯一确定安全责任主体

作为定级对象信息系统应能够唯一地确定其安全责任单位。（含有唯一确定安全责任单位）含有信息系统基本要素作为定级对象信息系统应该是由相关和配套设备、设施按照一定应用目标和规则组合而成有形实体。信息系统安全等级保护定级备案讲义第14页定级对象基本特征：承载单一或相对独立业务应用定级对象承载“单一”业务应用是指该业务应用业务流程独立，且与其它业务应用没有数据交换，且独享全部信息处理设备。定级对象承载“相对独立”业务应用是指其业务应用主要业务流程独立，同时与其它业务应用有少许数据交换，定级对象可能会与其它业务应用共享一些设备，尤其是网络传输设备。第三部分确定定级对象只有同时满足上述三个条件，才可由本单位对信息系统进行定级信息系统安全等级保护定级备案讲义第15页第三部分确定定级对象定级对象确实定方法：从管理机构角度划分从业务类型角度划分从相同物理位置和相同运行环境划分信息系统安全等级保护定级备案讲义第16页科学、合理确定定级对象要把握以下几个标准：一是以相对独立应用系统为定级对象。二是确认负责定级单位是否含有对所定级系统安全责任。三是确定定级对象方法允许各种多样。第三部分确定定级对象信息系统安全等级保护定级备案讲义第17页确定定级对象举例一、识别和描述定级对象识别基本信息、管理框架、业务种类和业务流程、信息资产、网络结构、软硬件设备、用户类型和分布，描述单位基本信息。二、划分定级对象分析安全管理责任，确定管理边界；分析网络结构和已经有内外部边界；分析业务流程和业务间关系；初步划定信息系统，确定定级对象。第三部分确定定级对象信息系统安全等级保护定级备案讲义第18页三、识别和划分定级对象中难点影响定级要素赋值产生不一样原因系统所包括客体不一样系统对客体造成损害程度不一样系统处理业务类型不一样本身运行在不一样网络环境中系统分不开系统，按照高级别保护第三部分确定定级对象信息系统安全等级保护定级备案讲义第19页四、系统边界划分注意事项不一样信息系统共用设备普通是网络/边界设备或终端设备。两个信息系统边界存在共用设备安全保护等级按两个信息系统安全保护等级较高者确定管理终端与被管理对象相对应，被管理对象属于哪个系统，终端就应属于该信息系统一部分处理涉密信息终端必须划分到对应信息系统中，且不能与非涉密系统共用终端。第三部分确定定级对象信息系统安全等级保护定级备案讲义第20页确定定级对象举例第三部分确定定级对象信息系统安全等级保护定级备案讲义第21页 受侵害信息系统安全保护等级由两个要素决定：等级保护对象受到破坏时所侵害客体和对客体造成侵害程度。受侵害客体：

公民、法人和其它组织正当权益；社会秩序、公共利益；三是国家安全。对客体侵害程度：

普通损害；严重损害；尤其严重损害。第四部分定级方法第四部分：定级方法信息系统安全等级保护定级备案讲义第22页业务信息安全和系统服务安全信息系统与之相关受侵害客体和对客体侵害程度可能不一样，而信息系统安全包含业务信息安全和系统服务安全两方面，所以定级也应由这两方面决定。对客体侵害外在表现为对定级对象破坏，其危害方式表现为对信息安全破坏和对信息系统服务破坏。第四部分定级方法信息系统安全等级保护定级备案讲义第23页信息安全

信息安全是指确保信息系统内信息保密性、完整性和可用性等；系统服务安全 系统服务安全是指确保信息系统能够及时、有效地提供服务，以完成预定业务目标；因为业务信息安全和系统服务安全受到破坏所侵害客体和对客体侵害程度可能会有所不一样，在定级过程中，需要分别处理这两种危害方式。第四部分定级方法信息系统安全等级保护定级备案讲义第24页第四部分定级方法确定受侵害客体：受侵害客体指等级保护对象(即定级对象)受到破坏时所侵害客体。包含以下三个方面：公民、法人和其它组织正当权益；社会秩序、公共利益；国家安全。信息系统安全等级保护定级备案讲义第25页第四部分定级方法对客体侵害程度：在客观方面，对客体侵害外在表现为对定级对象破坏。危害方式表现为对信息安全破坏和对信息系统服务破坏。客体侵害客观方面-危害方式：对信息安全破坏：信息系统内信息保密性、完整性和可用性。对信息系统服务破坏：信息系统能够及时、有效地提供服务，以完成预定业务目标。信息系统安全等级保护定级备案讲义第26页确定业务信息安全等级第四部分定级方法业务信息安全被破坏时所侵害客体对对应客体侵害程度普通损害严重损害尤其严重损害公民、法人和其它组织正当权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级信息系统安全等级保护定级备案讲义第27页确定系统服务安全等级第四部分定级方法系统服务安全被破坏时所侵害客体对对应客体侵害程度普通损害严重损害尤其严重损害公民、法人和其它组织正当权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级信息系统安全等级保护定级备案讲义第28页信息安全和系统服务安全受到破坏后果：影响行使工作职能；造成业务能力下降；引发法律纠纷；造成财务损失；造成社会不良影响；对其它组织和个人造成损失；其它影响。

第四部分定级方法信息系统安全等级保护定级备案讲义第29页第四部分定级方法综合判定侵害程度： 依据不一样受侵害客体、不一样危害后果分别确定其危害程度。造成普通损害造成严重损害造成尤其严重损害信息系统安全等级保护定级备案讲义第30页第四部分定级方法安全保护等级信息系统基本保护要求组合第一级S1A1G1第二级S1A2G2，S2A2G2，S2A1G2第三级S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四级S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五级S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5信息系统安全等级保护定级备案讲义第31页定级普通流程确定作为定级对象信息系统；确定业务信息安全受到破坏时所侵害客体；依据不一样受侵害客体，从多个方面综合评定业务信息安全被破坏对客体侵害程度；得到业务信息安全保护等级；第五部分初步定级第五部分：初步确定安全保护等级信息系统安全等级保护定级备案讲义第32页确定系统服务安全受到破坏时所侵害客体；依据不一样受侵害客体，从多个方面综合评定系统服务安全被破坏对客体侵害程度；得到系统服务安全保护等级；将业务信息安全保护等级和系统服务安全保护等级较高者确定为定级对象安全保护等级。第六部分定级工作总结信息系统安全等级保护定级备案讲义第33页定级普通流程第六部分定级工作总结信息系统安全等级保护定级备案讲义第34页尤其注意 起传输作用基础网络要单独定级,等级能够参考在其上运行信息系统等级、网络服务范围和本身安全需求确定适当保护等级，不以在其上运行信息系统最高等级或最低等级为标准。第五部分初步定级信息系统安全等级保护定级备案讲义第35页信息系统等级对照表第五部分初步定级等级对象侵害客体侵害程度监管强度第一级社会秩序和公共利益正当权益损害自主保护第二级正当权益严重损害指导损害第三级主要系统社会秩序和公共利益严重损害监督检验国家安全损害第四级社会秩序和公共利益尤其严重损害强制监督检验国家安全严重损害第五级极端主要系统国家安全尤其严重损害专门监督检验信息系统安全等级保护定级备案讲义第36页信息系统等级评审信息系统等级确定与审批第六部分评审、确定与审批第六部分：等级评审、确定与审批信息系统安全等级保护定级备案讲义第37页定级汇报定级汇报是为详细了解和掌握定级过程情况由信息系统运行使用单位负责填写文档。定级汇报要在信息系统立案时一并提交。信息系统运行使用单位在起草定级汇报时能够请技术支持单位帮助。第六部分评审、确定与审批信息系统安全等级保护定级备案讲义第38页定级汇报撰写信息系统描述简述确定该信息系统为定级对象理由。包含：该信息系统所承载业务主管单位和部门，该信息系统含有信息系统基本要素（有主机、网络及相关配套设施组成人机系统），该信息系统承载着独立或单一业务应用，业务应用主要包含哪些，各包含哪些功效等。第六部分评审、确定与审批信息系统安全等级保护定级备案讲义第39页信息系统安全保护等级确实定业务信息安全保护等级确实定。第一步：简明描述信息系统所处理主要业务信息，包含各项业务主要数据项有哪些等。第二步：确定业务信息受到破坏后所侵害客体第三步：确定对客体侵害程度第四步：查表确定业务信息安全等级第六部分评审、确定与审批信息系统安全等级保护定级备案讲义第40页系统服务安全保护等级确实定第一步：简明描述系统服务范围、服务对象、服务要求等等。第二步：确定系统服务受到破坏后所侵害客体第三步：确定对客体侵害程度第四步：查表确定系统服务安全等级信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。定级汇报模板第六部分评审、确定与审批信息系统安全等级保护定级备案讲义第41页调整对象：信息系统运行、使用单位确定信息系统安全保护等级 调整主体：信息系统决议者或上级主管部门 调整标准：只能调高等级而不能降低等级

第七部分等级调整第七部分：等级调整信息系统安全等级保护定级备案讲义第42页等级调整参考原因上级主管部门在政策和管理方面特殊要求。预测信息安全受到破坏后受侵害客体和对客体侵害程度可能会有较大改变。预测系统服务受到破坏后受侵害客体和对客体侵害程度伴随业务发展会有较大改变。第七部分等级调整信息系统安全等级保护定级备案讲义第43页《管理方法》第十四条中要求：已运行（运行）第二级以上信息系统，应该在安全保护等级确定后30日内，由其运行、使用单位到所在地设区市级以上公安机关办理立案手续。新建第二级以上信息系统，应该在投入运行后30日内，由其运行、使用单位到所在地设区市级以上公安机关办理立案手续。第八部分立案工作第八部分：立案工作步骤信息系统安全等级保护定级备案讲义第