信息安全等级保护工作

信息平安等级保护工作吴江市公安局网络平安监察大队二OO八年十月--定级、备案工作培训讲义目录一、信息平安等级保护工作概述二、信息平安等级保护定级工作具体实施1、备案表的填写2、形成?定级报告?三、系统定级技术环节一、信息平安等级保护工作概述〔一〕根本概念

信息平安等级保护是国家信息平安保障的根本制度、根本策略和根本方法。开展信息平安等级保护工作是保护信息化开展、维护国家信息平安的根本保障,是信息平安保障工作中国家意志的表达。

一、信息平安等级保护工作概述〔二〕政策和法律依据1994年，?中华人民共和国计算机信息系统平安保护条例?规定，“计算机信息系统实行平安等级保护，平安等级的划分标准和平安等级保护的具体方法，由公安部会同有关部门制定〞。1995年,?中华人民共和国警察法?规定，公安机关人民警察依法履行“监督管理计算机信息系统的平安保护工作〞。1999年，强制性国家标准－?计算机信息系统平安保护等级划分准那么?GB17859〕。2003年，中办、国办转发的?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号〕明确指出“实行信息平安等级保护〞。“要重点保护根底信息网络和关系国家平安、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息平安等级保护制度，制定信息平安等级保护的管理方法和技术指南〞。2004年，公安部、国家保密局、国家密码管理局、国信办联合印发了?关于信息平安等级保护工作的实施意见?〔66号文件〕2007年6月，公安部、国家保密局、国家密码管理局、国信办联合制定了?信息平安等级保护管理方法?〔公通字[2007]43号〕一、信息平安等级保护工作概述〔三〕信息平安等级保护的根本原那么一是明确责任，共同保护；二是依照标准，自行保护；三是同步建设，动态调整；四是监督指导，重点保护。〔四〕责任义务信息平安监管部门的职责分工公安机关负责信息平安等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。一、信息平安等级保护工作概述信息系统主管部门责任义务信息系统主管部门应当依照?管理方法?及相关标准标准，催促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息平安等级保护工作。运营使用单位的责任义务信息系统的运营、使用单位应当依照本方法及其相关标准标准，履行信息平安等级保护的义务和责任。涉及国家秘密信息系统的分级保护管理涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责；非涉及国家秘密信息系统的等级保护监督管理工作由公安机关负责。

一、信息平安等级保护工作概述〔五〕主要流程1、定级与审批；2、等级评审；3、备案；4、备案管理；5、系统建设；6、等级测评；7、自查自纠；8、监督检查。等级变更局部调整信息系统定级总体平安规划平安设计与实施平安运行维护信息系统终止备案管理监督检查一、信息平安等级保护工作概述〔六〕总体要求按照“准确定级、严格审批、及时备案、认真整改、科学测评〞的要求完成等级保护的定级、备案、整改、测评等工作。对成心将信息系统平安级别定低，逃避公安、保密、密码部门监管，造成信息系统出现重大平安事故的，要追究单位和人员的责任。一、信息平安等级保护工作概述定级工作日程安排１、第一阶段自现在起-10月19日发动、培训、调查摸底阶段。２、第二阶段10月20日-10月27日自评和初评阶段。３、第三阶段10月28日-12月10日上报苏州评审和备案阶段，备案方式：电子备案和书面备案。4、第四阶段12月11日-12月20日总结阶段。备案表备案表模板二、信息平安等级保护定级工作具体实施

〔一〕定级原那么坚持“自主定级、自主保护〞与国家监管相结合的原那么〔二〕等级划分等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导保护社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查保护国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查保护国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查保护二、信息平安等级保护定级工作具体实施

〔三〕确定需要定级的系统〔1〕省辖市以上党政机关的重要网站和办公信息系统；〔2〕电信、广电行业的公用通信网、播送电视传输网等根底信息网络，经营性公众互联网信息效劳单位、互联网接入效劳单位、数据中心等单位的重要信息系统；〔3〕铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、开展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统；〔4〕涉及国家秘密的信息系统。二、信息平安等级保护定级工作概述(四)对五级信息系统的具体说明1、一级信息系统定义：适用于一般信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家平安、社会秩序和公共利益。举例：公民个人的单机系统，小型集体、民营企业所属的信息系统，中、小学校的信息系统，乡镇级党政机关、事业单位的信息系统等。2、二级信息系统定义：适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家平安.举例县级、地市级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财政、金融、社保、工商、审计、能源、化工、社会效劳保障、卫生、交通运输、国土资源、邮政、应急抢险、农业等行业所属独立的信息系统；中型集体、民营企业、小型国有企业所属的信息系统；县级党政机关、事业单位的信息系统；普通高等院校和科研机构的信息系统；其他中型组织的信息系统。二、信息平安等级保护定级工作概述3.三级信息系统定义：适用于涉及国家平安、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家平安、社会秩序和公共利益造成一定损害。举例：省级和副省级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险、公安、财政、金融、社保、工商、审计、能源、化工、社会效劳保障、卫生、交通运输、国土资源、邮政、应急抢险、农业等行业所属独立的重要信息系统；大型集体、民营企业、大中型国有企业所属的重要信息系统；地市级党政机关、事业单位的重要信息系统；重点高等院校和科研机构的重要信息系统；其他大中型组织的信息系统。

二、信息平安等级保护定级工作具体实施

〔二〕形成?定级报告?一、、XXX信息系统的描述；二、XXX信息系统平安保护等级确定〔1〕确定业务信息平安等级1、业务信息描述；2、业务信息受到破坏时所侵害客体确实定；3、业务信息受到破坏后对侵害客体的侵害程度；4、业务信息平安等级确实定〔2〕确定系统效劳平安等级1、系统效劳描述；2、系统效劳受到破坏时所侵害客体确实定；3、系统效劳受到破坏后对侵害客体的侵害程度；4、系统效劳平安等级确实定三、平安保护等级确实定信息系统平安保护等级由业务信息平安等级和系统效劳平安等级较高者决定二、信息平安等级保护定级工作具体实施1、确定定级对象2、确定业务信息平安受到破坏时所侵害的客体5、确定系统效劳平安受到破坏时所侵害的客体3、综合评定对客体的侵害程度6、综合评定对客体的侵害程度依据表1依据表2业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级7、系统效劳平安等级4、业务信息平安等级8、定级对象的平安保护等级表1表2初步确定信息系统等级三、信息平安等级保护定级工作流程系统描述责任单位根本要素业务情况等级确定业务信息平安等级确定系统效劳平安等级确定平安保护等级确定1、描述2、受到破坏时所侵害客体确实定3、受到破坏时对侵害客体侵害程度确实定4、平安等级确实定定级报告二、信息平安等级保护定级工作具体实施

信息系统等级评审对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当邀请国家信息平安保护等级专家评审委员会评审；对拟确定为第三级以上信息系统的，运营、使用单位或者主管部门应当邀请省信息平安保护等级专家评审组评审，出具评审意见。对拟确定为第二级以上信息系统的，运营、使用单位或者主管部门应当邀请市信息平安保护等级专家评审组评审，出具评审意见四、系统定级的技术环节定级对象确实定业务信息和系统效劳确定受侵害客体和侵害程度的分析确定定级对象—定级对象识别与划分依据平安责任单位可以根据平安责任单位的不同划分成不同的信息系统。业务类型和业务重要性可能涉及不同客体的系统可能对客体造成不同程度损害的系统处理不同类型业务的系统。物理位置物理位置也可以作为信息系统划分的考虑因素之一。确定业务信息和系统效劳业务信息业务系统处理的主要业务信息等系统效劳业务系统的效劳范围、效劳对象等四、系统定级的技术环节

受侵害的客体：公民、法人和其他组织的合法权益；社会秩序、公共利益；国家平安。

对客体的侵害程度：造成一般损害；造成严重损害；造成特别严重损害。侵害客体和侵害程度国家平安表达了国家层面、与全局相关的国家政治平安、军事平安、经济平安、社会平安、科技平安等方面利益。社会秩序和公共利益包括政治、经济、生产、生活、科研、工作等各方面的正常秩序和社会公众生产、生活、教育、卫生等方面的利益。合法权益是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。确定对客体的侵害程度—综合判定侵害程度一般损害工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的资产损失，有限的社会不良影响，对其他组织和个人造成较低损害。严重损害工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。特别严重损害工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害北京奥运会信息系统的定级案例奥运网络主要包括，“奥组委办公外网〞、“奥组委内部办公局域网〞、“奥运票务网〞〔票务网站和票务管理系统〕、“奥运官方网站〞、“奥运互联网接入〞等五个奥运网络和信息系统。确定奥组委办公外网、奥组委内部办公局域网、票务网站、票务管理系统和奥运官方网站为定级对象。“奥组委办公内网〞承载奥组委内部的人事、财务等业务，仅在奥组委少数部门内应用，不传输秘密信息和敏感信息。其受到破坏后，仅会影响内部办公，会对社会秩序、公共利益造成损害，定为二级；“奥组委办公外网〞通过唯一出口与互联网相连，承载奥组委内部的电子邮件、物流、短信平台、场馆管理等业务，在奥组委总部范围应用，其受到破坏后，会对社会秩序、公共利益造成损害，定为二级；“票务网站〞负责提供票务申请、信息填写等业务，采集购票者信息和定票信息，不与“票务管理系统〞直接相连，其受到破坏后，会对社会秩序、公共利益造成损害，定为二级；“票务管理系统〞存储处理通过各种方式申请、购置奥运票务的个人数据,是“票务网站〞的核心，其受到破坏后，会对社会秩序、公共利益造成严重损害，定为三级；“奥运官方网站〞承担在互联网上对外宣传、报道奥运重大事项，是北京奥运通过互联网对外宣传的门户，其效劳保障性要求很高，受到破坏后，会对社会秩序、公共利益造成严重损害，定为三级。四、系统定级的技术环节

定级工作中需要关注的几个问题１、业务主管部门为主。２、主要参考?定级指南?对要素的描述。３、对客体的危害和影响是预估的，必须依据实践经验