等级保护定级方法.ppt

信息安全等级保护电子政务信息系统如何定级 陈冠直 目录 信息系统安全保护等级的依据信息系统安全保护等级的确定信息系统安全保护等级的报告信息系统安全保护等级的案例 信息系统安全保护等级的依据 开展安全等级保护工作依据的政策和法律依据国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 关于信息安全等级保护工作的实施意见 公通字 2004 66号 信息安全等级保护管理办法 公通字 2007 43号 关于开展全国重要信息系统安全等级保护定级工作的通知 公信安 2007 861号 关于印发北京市开展信息安全等级保护工作的实施方案的通知 京公网监字 2007 788号 信息系统安全保护等级的依据 开展安全等级保护工作的技术依据基础标准 计算机信息系统安全等级保护划分准则 GB17859 基线标准 信息系统安全等级保护基本要求 国标报批稿 辅助标准 定级指南 实施指南 测评要求 国标报批稿 目标标准 信息系统通用安全技术要求 GB T20271 网络基础安全技术要求 GB T20270 操作系统安全技术要求 GB T20272 数据库管理系统安全技术要求 GB T20273 终端计算机系统安全等级技术要求 GA T671 信息系统安全管理要求 GB T20269 信息系统安全工程管理要求 GB T20282 产品标准 防火墙 入侵检测 终端设备隔离部件等 信息系统安全保护等级的依据 信息系统安全保护等级的依据 等级确定原则和要求 自主定级 自主保护 与国家监管相统一原则 谁主管谁负责 谁运营谁负责 的原则定级工作的要求加强领导 落实保障明确责任 密切配合动员部署 开展培训及时总结 提出建议 信息系统安全保护等级的依据 定级要素与安全保护等级的关系 目录 信息系统安全保护等级的依据信息系统安全保护等级的确定信息系统安全保护等级的报告信息系统安全保护等级的案例 信息系统安全保护等级的确定 定级工作的主要步骤第一步 摸底调查 掌握信息系统底数第二步 确定定级对象第三步 初步确定信息系统等级第四步 信息系统等级评审第五步 信息系统等级的最终确定与审批 信息系统安全保护等级的确定 第一步 摸底调查 掌握信息系统底数 1按照 定级工作通知 确定的定级范围各单位 各部门可以组织开展对所属信息系统进行摸底调查 摸清信息系统底数掌握信息系统 包括信息网络 的业务类型 应用或服务范围 系统结构等基本情况为下一步明确要求 落实责任奠定基础 信息系统安全保护等级的确定 第一步 摸底调查 掌握信息系统底数 2识别单位基本信息识别管理框架识别业务种类 流程和服务识别信息识别网络结构和边界识别主要的软硬件设备识别用户类型和分布 信息系统安全保护等级的确定 摸底调查 1 识别单位基本信息调查了解对目标系统负有安全责任的单位的单位性质 隶属关系 所属行业 业务范围 地理位置等基本情况具有上级主管机构 如果有 的信息作用 有助于判断单位的职能特点 单位所在行业及单位在行业所处的地位和所用 由此判断单位主要信息系统的宏观定位 信息系统安全保护等级的确定 摸底调查 2 识别管理框架调查了解定级对象信息系统所在单位的组织管理结构 管理策略 部门设置和部门在业务运行中的作用 岗位职责了解信息系统的管理 使用 运维的责任部门当单位的信息系统存在分布于不同的物理区域的情况时 应了解不同区域系统运行的安全管理责任安全管理的责任单位就是等级保护备案工作的责任单位作用 有利于将来对整个单位制定等级保护管理框架及单个定级对象等级管理策略 信息系统安全保护等级的确定 摸底调查 3 识别业务种类 流程和服务调查了解定级对象信息系统内部处理多少种业务 各项业务具体要完成的工作内容 服务目标和业务流程等 不同信息系统之间的业务关系了解这些业务与单位职能的关联 单位对定级对象信息系统完成业务使命的期待和依赖程度 由此判断该信息系统在单位的作用和影响程度 应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单位职能方面具体方式和程度 影响的区域范围 用户人数 业务量的具体数据以及对本单位以外机构或个人的影响等方面作用 这些具体数据即可以为主管部门制定定级指导意见提供参照 也可以作为主管部门审批定级结果的重要依据 信息系统安全保护等级的确定 摸底调查 4 识别信息调查了解定级对象信息系统所处理的信息 及对信息的三个安全属性的需求了解不同业务数据在其保密性 完整性和可用性被破坏后在单位职能 单位资金 单位信誉 人身安全等方面可能对国家 社会 本单位造成的影响 对影响程度的描述应尽可能量化根据系统不同业务数据可能是用户数据 业务处理数据 业务过程记录 流水 数据 系统控制数据或文件等了解数据信息还应关注信息系统的数据流 以及不同信息系统之间的数据交换或共享关系 信息系统安全保护等级的确定 摸底调查 5 识别网络结构和边界调查了解定级对象信息系统所在单位的整体网络状况和安全防护情况 包括网络覆盖范围 全国 全省或本地区 网络的构成 广域网 城域网或局域网等 内部网段 VLAN划分 网段 VLAN划分与系统的关系与上级单位 下级单位 外部用户 合作单位等的网络连接方式与互联网的连接方式作用 了解定级对象信息系统自身网络在单位整个网络中的位置 该信息系统所处的单位内部网络环境和外部环境特点 以及该信息系统的网络安全保护与单位内部网络环境的安全保护的关系 信息系统安全保护等级的确定 摸底调查 6 识别主要的软硬件设备调查了解与定级对象信息系统相关的服务器 网络 终端 存储设备以及安全设备等设备所在网段 在系统中的功能和作用信息系统定级本应仅与信息系统有关 但由于在划分信息系统时 不可避免地会涉及到设备共用问题调查设备的位置和作用主要就是发现不同信息系统在设备使用方面的共用程度 信息系统安全保护等级的确定 摸底调查 7 识别用户类型和分布调查了解各系统的管理用户和一般用户 内部用户和外部用户 本地用户和远程用户等类型了解用户或用户群的数量分布 各类用户可访问的数据信息类型和操作权限作用 了解用户类型和数量 有助于判断系统服务中断或系统信息被破坏可能影响的范围和程度 信息系统安全保护等级的确定 第二步 确定定级对象 1应用系统应按照不同业务类别单独确定为定级对象 不以系统是否进行数据交换 是否独享设备为确定定级对象条件起传输作用的基础网络要作为单独的定级对象确认负责定级的单位是否对所定级系统具有控制 管理等责任 对信息系统所承载的业务有主管责任具有信息系统的基本要素 信息系统安全保护等级的确定 第二步 确定定级对象 2定级对象的三个条件承载相对独立或单一业务应用的信息系统信息系统的信息安全由本单位主管具有信息系统的基本要素 计算机及其相关配套设备 实施构成的人机系统 只有同时满足上述三个条件 才可由本单位对其进行定级起支撑作用的网络可以作为定级对象应用类的信息系统以应用种类划分定级对象 信息系统安全保护等级的确定 第二步 确定定级对象 3定级对象识别安全责任单位 依据安全责任单位的不同 划分信息系统业务类型和业务重要性 根据业务的类型 功能 阶段的不同 对信息系统进行划分分析物理位置的差异 根据物理位置的不同 对信息系统进行划分 信息系统安全保护等级的确定 第二步 确定定级对象 4确定定级对象信息系统边界和边界设备确定定级对象信息系统的边界和边界设备服务器共用的系统一般归入同一个信息系统不同信息系统的共用设备一般是网络 边界设备或终端设备两个信息系统边界存在共用设备时 共用设备的安全保护等级按两个信息系统安全保护等级较高者确定信息系统的管理终端与相应被管理的服务器 网络设备及安全设备等同属于一个系统处理涉密信息的终端必须划分到相应的信息系统中 且不能与非涉密系统共用终端 信息系统安全保护等级的确定 第三步 初步确定信息系统等级 1信息系统的安全保护等级是信息系统的客观属性 不以已采取或将采取什么安全保护措施为依据 而是以信息系统的重要性和信息系统遭到破坏后对国家安全 社会稳定 人民群众合法权益的危害程度为依据 确定信息系统的安全保护等级既要防止个别单位片面追求绝对安全而定级过高 也要防止为了逃避监管定级偏低信息网络的安全等级可以参照在其上运行的信息系统的等级 网络的服务范围和自身的安全需求确定适当的保护等级 不以在其上运行的信息系统的最高等级或最低等级为标准 信息系统安全保护等级的确定 第三步 初步确定信息系统等级 2信息系统跨省或者全国统一联网运行的信息系统 可以由主管部门统一确定安全保护等级由各行业统一规划 统一建设 统一安全保护策略的信息系统 应由各部委统一确定一个级别由各部委统一规划 分级建设 运行的信息系统 应由部 省 地市分别确定系统等级 但各行业应对该类系统提出定级意见 避免出现同类系统定级出现较大偏差问题 信息系统安全保护等级的确定 第三步 初步确定信息系统等级 3 1 确定定级对象 3 综合评定对客体的侵害程度 2 确定业务信息安全受到破坏时所侵害的客体 4 业务信息安全等级 6 综合评定对客体的侵害程度 5 确定系统服务安全受到破坏时所侵害的客体 7 系统服务安全等级 8 定级对象的安全保护等级 信息系统安全保护等级的确定 第三步 初步确定信息系统等级 4确定受侵害客体定级对象受到破坏时所侵害的客体包括 国家安全社会秩序 公众利益公民 法人和其他组织的合法权益确定侵害客体时从定级对象的两方面进行考虑 业务信息安全被破坏时所侵害的客体系统服务安全被破坏时所侵害的客体 信息系统安全保护等级的依据 确定受侵害客体 1 国家安全重要的国家事务处理系统 国防工业生产系统和国防设施的控制系统等属于影响国家政权稳固和国防实力的信息系统 广播 电视 网络等重要新闻媒体的发布或播出系统 其受到非法控制可能引发影响国家统一 民族团结和社会安定的重大事件 处理国家对外活动信息的信息系统 处理国家重要安全保卫工作信息的信息系统和重大刑事案件的侦查系统 尖端科技领域的研发 生产系统等影响国家经济竞争力和科技实力的信息系统 电力 通信 能源 交通运输 金融等国家重要基础设施的生产 控制 管理系统等 信息系统安全保护等级的依据 确定受侵害客体 1 国家安全侵害国家安全的事项包括以下方面 影响国家政权稳固和国防实力 影响国家统一 民族团结和社会安定 影响国家对外活动中的政治 经济利益 影响国家重要的安全保卫工作 影响国家经济竞争力和科技实力 其他影响国家安全的事项 信息系统安全保护等级的依据 确定受侵害客体 2 社会秩序财政 金融 工商 税务 公检法 海关 社保等的信息系统 教育 科研机构的工作系统 所有为公众提供医疗卫生 应急服务 供水 供电 邮政等必要服务的生产系统或管理系统侵害社会秩序的事项包括以下方面 影响国家机关社会管理和公共服务的工作秩序 影响各种类型的经济活动秩序 影响各行业的科研 生产秩序 影响公众在法律约束和道德规范下的正常生活秩序等 其他影响社会秩序的事项 信息系统安全保护等级的依据 确定受侵害客体 3 公共利益借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面如公共通信设施 公共卫生设施 公共休闲娱乐设施 公共管理设施 公共服务设施等影响公共利益的事项包括以下方面 影响社会成员使用公共设施 影响社会成员获取公开信息资源 影响社会成员接受公共服务等方面 其他影响公共利益的事项 信息系统安全保护等级的依据 确定受侵害客体 4 公民 法人和其他组织的合法权益受侵害的对象是明确的 即拥有信息系统的个体或某个单位影响公民 法人和其他组织的合法权益是指由法律确认的并受法律保护的公民 法人和其他组织所享有的一定的社会权利和利益提示 确定作为定级对象的信息系统受到破坏后所侵害的客体时 应首先判断是否侵害国家安全 然后判断是否侵害社会秩序或公众利益 最后判断是否侵害公民 法人和其他组织的合法权益 信息系统安全保护等级的确定 第三步 初步确定信息系统等级 5确定对客体的侵害程度在针对不同的受侵害客体进行侵害程度的判断时 应参照以下不同的判别基准 如果受侵害客体是公民 法人或其他组织的合法权益 则以本人或本单位的总体利益作为判断侵害程度的基准如果受侵害客体是社会秩序 公共利益或国家安全 则应以整个行业或国家的总体利益作为判断侵害程度的基准 信息系统安全保护等级的确定 第三步 初步确定信息系统等级 6确定对客体的侵害程度一般损害 工作职能受到局部影响业务能力有所降低但不影响主要功能的执行出现较轻的法律问题较低的资产损失有限的社会不良影响对其他组织和个人造成较低损害 信息系统安全保护等级的确定 第三步 初步确定信息系统等级 7确定对客体的侵害程度严重损害 工作职能受到严重影响业务能力显著下降且严重影响主要功能执行出现较严重的法律问题较高的资产损失较大范围的社会不良影响对其他组织和个人造成较严重损害 信息系统安全保护等级的确定 第三步 初步确定信息系统等级 8确定对客体的侵害程度特别严重损害 工作职能受到特别严重影响或丧失行使能力业务能力严重下降且或功能无法执行出现极其严重的法律问题极高的资产损失大范围的社会不良影响对其他组织和个人造成非常严重损害 信息系统安全保护等级的确定 第三步 初步确定信息系统等级 9 信息系统安全保护等级的确定 第三步 初步确定信息系统等级 10定级人员需要将定级对象信息系统中的不同类重要信息分别分析其安全性受到破坏后所侵害的客体及对客体的侵害程度 取其中最高结果作为业务信息安全保护等级再将定级对象信息系统中的不同类重要系统服务分别分析其受到破坏后所侵害的客体及对客体的侵害程度 取其中最高结果作为业务服务安全保护等级 信息系统安全保护等级的确定 第四步 信息系统等级评审在信息系统安全保护等级确定过程中 可以聘请专家进行咨询评审 并出具定级评审意见对拟确定为第四级以上信息系统的 运营使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审 出具评审意见信息系统等级当专家意见与运营使用单位或者主管部门不一致时 以运营使用单位或者主管部门意见为准 信息系统安全保护等级的确定 第五步 信息系统等级的最终确定与审批信息系统运营使用单位参考专家定级评审意见 最终确定信息系统等级 形成 定级报告 信息系统运营使用单位有上级主管部门的 应当经上级主管部门对安全保护等级进行审核批准主管部门一般是指行业的上级主管部门或监管部门如果是跨地域联网运营使用的信息系统 则必须由其上级主管部门审批 确保同类系统或分支系统在各地域分别定级的一致性 目录 信息系统安全保护等级的依据信息系统安全保护等级的确定信息系统安全保护等级的报告信息系统安全保护等级的案例 信息系统安全保护等级的报告 定级报告是什么公安部定级报告是为详细了解和掌握定级过程情况由信息系统运营使用单位负责填写的文档定级报告作为 备案表 表三的附件 要在信息系统备案时一并提交信息系统运营使用单位在起草定级报告时可以请技术支持单位协助 信息系统安全保护等级的报告 定级报告的构成和起草 1信息系统描述简述确定该信息系统为定级对象的理由该信息系统所承载业务的主管单位和部门 该信息系统具有信息系统的基本要素 有主机 网络及相关配套设施构成的人机系统 该信息系统承载着独立或单一的业务应用 业务应用主要包括哪些 各包含哪些功能等 信息系统安全保护等级的报告 定级报告的构成和起草 2信息系统安全保护等级的确定业务信息安全保护等级的确定第一步 简要描述信息系统所处理的主要业务信息 包括各项业务的主要数据项有哪些等第二步 确定业务信息受到破坏后所侵害的客体第三步 确定对客体的侵害程度第四步 查表确定业务信息安全等级 信息系统安全保护等级的报告 定级报告的构成和起草 3信息系统安全保护等级的确定系统服务安全保护等级的确定第一步 简要描述系统的服务范围 服务对象 服务要求等等第二步 确定系统服务受到破坏后所侵害的客体第三步 确定对客体的侵害程度第四步 查表确定系统服务安全等级 信息系统安全保护等级的报告 定级报告的构成和起草 4信息系统安全保护等级的确定信息系统安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全等级较高者决定 信息系统安全保护等级的报告 备案表的作用和构成 1备案表的作用备案表是信息系统运营使用单位实施信息安全等级保护工作的重要记录 也是公安机关履行监督检查职责进行重要信息系统管理的重要凭证公安机关只有通过备案表才能及时了解和掌握信息系统及其运营使用单位的基本情况 进行汇总 分析 统计等工作 并实施有针对性地监督 管理措施 信息系统安全保护等级的报告 备案表的作用和构成 2备案表由四张表单构成表一是单位信息 每个单位填写一张表二是信息系统基本信息表三是信息系统定级信息 表二 表三每个信息系统填写一张表四为第三级以上信息系统需要在系统整改 测评等工作完成后再行提交的信息 表二 三 四可以复印使用 使用时要注意编号如一个单位有6个信息系统 则只需要填写一张表一 分别填写六个表二 三 四 此时 表二 三 四 遵循1 6 2 6 3 6 6 6的编号规则 目录 信息系统安全保护等级的依据信息系统安全保护等级的确定信息系统安全保护等级的报告信息系统安全保护等级的案例 信息系统安全保护等级的案例 信息系统定级案例 某局政府网站系统 1 某局政府网站系统描述某局政府网站系统 由局办公室负责运行维护 并为责任单位按照政务公开原则 对主管业务工作动态及业务信息进行采集 加工 发布属于 首都之窗 下链网站 为互联网上的独立服务器 Web结构服务对象主要是本局管理的企业和本市市民某局政府网站系统安全保护等级的确定业务信息安全保护等级的确定系统服务安全保护等级的确定安全保护等级的确定 信息系统安全保护等级的案例 信息系统定级案例 某局政府网站系统 2 某局政府网站系统安全保护等级的确定业务信息安全保护等级的确定业务信息描述业务信息受到破坏时所侵害客体的确定信息受到破坏后对侵害客体的侵害程度确定业务信息安全等级 业务信息包括发布的政务公开信息 地方行政法规和管理措施 领导讲话 政府办事流程 新闻发布 政府公告 举报投诉 本市经济形势介绍 电子表单下载等信息 公民 法人和其他组织的合法权益社会秩序 公共利益 表现 一旦信息系统的业务信息遭到入侵 修改 增加 删除等侵害 将影响公众接受政务公开的信息资料 部分工作职能到受影响 业务能力下降 出现一般范围的不良影响造成社会不良影响 引起公众与政府机关之间的矛盾 1 公民 法人和其他组织的合法权益的严重损害2 社会秩序 公共利益的一般损害 优先考虑 业务信息的安全保护等级确定为第二级 信息系统安全保护等级的案例 信息系统定级案例 某局政府网站系统 3 某局政府网站系统安全保护等级的确定系统服务安全保护等级的确定系统服务描述系统服务受到破坏时所侵害客体的确定信息受到破坏后对侵害客体的侵害程度确定系统服务安全等级 该系统主要承担公开信息发布和部分网上办公业务 属于为国计民生 经济建设提供服务的信息系统 其服务范围为本局系统干部及全市本行业相关的公众 公民 法人和其他组织的合法权益社会秩序 公共利益 表现 一旦信息系统不能正常运行或出现中断 将影响公众接受政务公开的信息资料 造成社会不良影响 引起公众与政府机关之间矛盾 致使部分工作职能受到影响 业务能力下降 出现一般社会矛盾问题 一般范围的不良影响1 公民 法人和其他组织的合法权益的严重损害2 社会秩序 公共利益的一般损害 优先考虑 系统服务的安全保护等级确定为第二级 取所有判定级别中最高的 信息系统安全保护等级的案例 信息系统定级案例 某局政府网站系统 4 某局政府网站系统安全保护等级的确定安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全务安等级的较高者决定所以 某局政府网站系统安全保护等级为第二级 信息系统安全保护等级的案例 信息系统定级案例 某委办局办公应用系统 1 某委办局办公应用系统描述某委办局办公应用系统主要集内部办公应用系统 信息资源共享 网上审批平台和人力资源管理于一体的协同办公系统主要功能公文流转 任务管理 网上审批 公共信息 信息资源共享 会议管理等系统实时性要求一般 最短的工作时限为半天 某委办局办公应用系统安全保护等级的确定业务信息安全保护等级的确定系统服务安全保护等级的确定安全保护等级的确定 信息系统定级案例 某委办局办公应用系统 2 某委办局办公应用系统安全保护等级的确定业务信息安全保护等级的确定业务信息描述业务信息受到破坏时所侵害客体的确定信息受到破坏后对侵害客体的侵害程度确定业务信息安全等级 信息系统安全保护等级的案例 该系统业务信息属于该委办局专有信息 包括来自北京市政府各单位 以及所属单位的公文 单位制订的信息化长期 中期 短期和年度规划以及执行情况信息 网上审批信息 个人事物信息等等 客体确定 公民 法人和其他组织的合法权益 及社会秩序 公共利益 表现 该系统信息属委办局专有信息 但牵涉到该单位执行的一些政府审批事宜 这些信息被破坏会影响公众利益 也会影响公民 法人和其他组织 侵害程度确定 主要对公共利益造成一定损害 同时对公民 法人和其他组织的合法权益造成的一定损害 表现 工作职能受到一定影响 造成业务能力下降 会对公众利益造成不良影响 对其他组织和个人造成一定损害 业务信息的安全保护等级确定为第二级 信息系统安全保护等级的案例 信息系统定级案例 某委办局办公应用系统 3 某委办局办公应用系统安全保护等级的确定系统服务安全保护等级的确定系统服务描述系统服务受到破坏时所侵害客体的确定信息受到破坏后对侵害客体的侵害程度确定系统服务安全等级 系统属某委办局内部办公系统 其服务范围为本委办局各业务处室及下属事业单位 客体确定 公民 法人和其他组织的合法权益 公众利益 表现 该系统信息属内部专有信息 这些信息被破坏会对影响到公民 法人和其他组织的合法权益 间接影响公众利益 侵害程度确定 表现 服务中断 造成该委办局办公能力下降 会对公众利益造成一定影响 对公民 法人和其他组织的合法权益造成一定损害 系统服务的安全保护等级确定为第二级 信息系统安全保护等级的案例 信息系统定级案例 某委办局办公应用系统 4 某委办局办公应用系统安全保护等级的确定安全保护等级的确定信息系统的安全保护等级由业务信息安全等级和系统服务安全务安等级的较高者决定所以 某电力实时监控系统安全保护等级为第四级 信息系统安全保护等级的案例 信息系统定级案例 某委办局核心业务系统 1 某委办局核心业务系统描述该核心业务属北京市电子政务重要信息系统目录中的一个系统 于 年 月 日由某委办局立项建设 目前由该局运维中心负责系统 网络及安全维护 某业务处室负责业务应用维护 该核心业务主要包含 基层税收征管系统 办公自动化管理 网上纳税服务 辅助决策支持等各类应用系统 基本上覆盖了按该委办局核心的13大类业务 咨询辅导 税务登记 纳税核定 发票管理 涉税审批 申报征收 会计核算 税务稽查 纳税评估 计划统计 票证管理 税务档案和决策支持分析等 信息系统安全保护等级的案例 信息系统定级案例 某委办局核心业务系统 2 某委办局核心业