信息系统安全等级保护定级--备案--测评流程概要

内部消息信息系统安全等级保护的规定和依据信息系统安全等级保护分级归档和信息系统安全等级保护评估的评估依据如下：1.中华人民共和国计算机信息系统安全保护条例(国务院令第147号)2.信息安全等级保护管理办法(工统字200743号)3、国标17859-1999 计算机信息系统安全保护等级划分准则4、GB/T20274 信息安全技术信息系统安全保障评估框架5、GB/T22081-2008 信息技术安全技术信息安全管理实用规则6、GB/T20271-2006 信息系统通用安全技术要求7、GB/T18336-2008 信息技术安全技术信息技术安全性评估准则8、GB17859-1999 计算机信息系统安全保护等级划分准则9、GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求10、GB/T22240-2008 信息安全技术信息系统安全等级保护定级指南11、信息安全技术信息系统安全等级保护测评要求12、信息安全技术信息系统安全等级保护实施指南13、信息安全等级保护管理办法信息系统安全等级保护分级归档流程1、分级原则信息系统安全保护级别根据与等级保护相关的管理文件，信息系统的安全保护等级分为以下五个等级：首先，破坏信息系统会损害公民、法人和其他组织的合法权益，但不会损害国家安全、社会秩序和公共利益。第二，破坏信息系统会对公民、法人和其他组织的合法权益造成严重损害，或者损害社会秩序和公共利益，但不会危害国家安全。第三个层次，信息系统被破坏后，会对社会秩序和公共利益造成严重损害，或者损害国家安全。第四，信息系统被破坏后，将对社会秩序和公共利益造成特别严重的损害，或对国家安全造成严重损害。第五，破坏信息系统将对国家安全造成特别严重的损害。信息系统安全防护等级的分级要素信息系统的安全防护等级由两个等级要素决定：等级防护对象损坏时被侵害的对象和侵害对象的程度。受伤物体等级保护对象损坏时侵犯的对象包括以下三个方面：(一)公民、法人和其他组织的合法权益；(b)社会秩序和公共利益；(c)国家安全。侵害客体的程度侵害客体的程度是由客观方面不同的外在表现形式综合决定的。由于侵害客体是通过对等级保护客体的破坏来实现的，侵害客体的外在表现是对等级保护客体的破坏，通过危害方式、危害后果和危害程度来描述。等级保护对象损坏后对对象造成的损坏程度可归纳为以下三种类型：(a)造成一般损害；(b)造成严重损害；(c)造成特别严重的损害。等级要素与等级的关系分级要素与信息系统安全防护等级的关系如下表所示。受伤物体侵害客体的程度一般损坏严重损害特别严重损害公民、法人和其他组织的合法权益第一步第二级第二级社会秩序和公共利益第二级三级第四阶段国家安全三级第四阶段5级2.分级过程信息系统安全包括业务信息安全和系统服务安全，相关的被侵害对象和侵害对象的程度可能不同。因此，信息系统的分类也应该由业务信息安全和系统服务安全来决定。从业务信息安全角度反映的信息系统安全防护等级称为业务信息安全防护等级。从系统服务安全角度反映的信息系统安全防护等级称为系统服务安全防护等级。确定信息系统安全保护级别的一般过程如下：a)将信息系统确定为分级对象；b)确定当业务信息安全被破坏时被侵犯的对象；c)根据不同的侵权对象，从各个方面综合评价因破坏业务信息安全而对该对象造成的侵权程度；d)根据服务信息安全保护等级矩阵表获取服务信息安全保护等级；e)当系统服务安全被破坏时，确定被侵犯的对象；f)根据不同的侵害对象，综合评价侵害对象造成的损害程度h)将业务信息安全保护级别和系统服务安全保护级别中较高的一个确定为分级对象的安全保护级别。业务信息安全保护级别矩阵销毁业务信息安全时违反的对象对相应对象的侵权程度一般损坏严重损害特别严重的损害公民、法人和其他组织的合法权益第一步第二级第二级社会秩序和公共利益第二级三级第四阶段国家安全三级第四阶段5级系统服务安全保护级别矩阵当系统服务被破坏时，对象被违反对相应对象的侵权程度一般损坏严重损害特别严重的损害公民、法人和其他组织的合法权益第一步第二级第二级社会秩序和公共利益第二级三级第四阶段国家安全三级第四阶段5级3.归档过程立案管理办法第15条规定，已经运行(运行)的二级以上信息系统，应当在安全防护等级确定后30日内，向其运行使用单位所在设区的市级以上公安机关办理备案手续。新建二级以上信息系统，应当在投入运行后30日内，由运营使用单位向所在地设区的市级以上公安机关备案。中央政府所属的北京信息系统跨省或全国统一联网运行，由主管部门分级的，由主管部门向公安部备案。跨省或全国统一联网信息系统在各地运行和应用的分支机构，应向所在地市级以上公安机关备案。省级或省级单位信息系统向省公安厅备案。跨地区、跨省、跨省、全国统一联网运行和应用的信息系统分支机构，应当向地级以上公安局备案。管理办法第16条规定，备案信息系统安全防护等级时应填写信息系统安全等级保护备案表，三级以上信息系统还应提供以下材料：1.系统拓扑结构和描述(描述可以是系统结构的简要描述)；2系统安全组织管理体系(安全组织包括组织名称、负责人、成员、职责分工等。管理体系包括安全管理规范、章程等。)；3.系统安全防护设施设计或改造实施方案(简要安全建设和整改方案)；4.系统使用的信息安全产品清单及其认证和销售许可证书(已确认认证和销售许可标志的主要信息安全产品清单)；5.评估后符合系统安全防护等级的技术测试和评估报告(最新评估的简要等级评估报告)；6 .信息系统安全保护等级专家评审意见(评审意见表，附专家名单)；7.主管部门应当审批信息系统安全防护等级的意见(审批表，由领导签字盖章)。归档审查管理办法第17条规定，信息系统备案后，公安机关应当对信息系统的备案进行审查，符合等级保护要求的，应当自收到备案材料之日起10个工作日内出具信息系统安全等级保护备案证明；发现不符合本办法及相关标准的，应当自收到备案材料之日起10个工作日内通知备案单位予以纠正；发现不允许分级的，应当自收到备案材料之日起10个工作日内通知备案单位重新审查确定。运营使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。信息系统级保护简述准备评估所需的材料：一般描述文件、详细描述文件、分级报告、自检报告和分级评估报告(如有)，以及信息系统设计和施工过程的文件，如安全需求分析报告、安全总体计划、系统验收报告等。2.2。方案编制(评价机构实施):1)评价对象和评价指标的确定评估对象的确定：确定要测试的系统级别；确定被测系统的整体结构；识别被测系统的边界；识别被测系统的网络区域；识别被测系统的关键节点和业务应用；确定评价对象。评价指标的确定：识别被测系统的服务信息和系统服务安全防护等级；选择ASG三类相应等级的安全要求作为评价指标；l根据高原则调整多个评级对象共享的一些物理安全或管理安全评价指标。2)评价内容的确定确定每个评价对象对应的评价指标；一种评价方法，用于识别对应于每个评价对象的每个评价指标。3)工具测试方法的确定确定工具测试的评价对象；选择测试路径；确定测试工具的访问点。4)评估说明的制定从现有评估说明书中选择评估对象对应的手册；为没有现成评估说明的评估对象开发新的评估说明。5)评价方案的编制描述评估项目的基本情况和工作依据；描述被测系统的总体结构、边界和网络区域；描述被测系统的重要节点和业务应用；描述评价指标；描述评估对象；描述评估的内容、方法和工具；人员安排和时间表。2.3、现场评价：1)现场评估准备：现场评估授权书的签署；召开现场评估启动会议；l双方确认评估计划；双方确认与人员、环境和其他资源合作；我确认信息系统已经备份。2)结果确认和数据返回召开现场评估末次会议；l .确认评估过程中获得的证据和数据的正确性，并签字认可；l评价人员归还各种借来的材料。2.4、报告编制(评价组织实施):1)、单项评价结果分析评估项目面临的威胁；分析单个评价项目是否有各种要求，按照“优势证据”方法选择优势证据，并将优势证据与预期评价结果进行比较；综合评判单项评价项目的评价结果。2)单元评价结果的确定汇总各评价单元中各评价对象的单项评价结果；确定每个评价对象的单元评价结果。3)总体评价分析不符合和部分符合评价项目与其他评价项目(包括单位、等级和区域)的相关性及其对结果的影响。4)风险分析整体评价后的单元评价结果再次汇总；分析部分或不符合项引起的安全问题受到威胁和利用的可能性；分析利用安全问题的威胁所造成的影响程度；根据评估单元选择的风险分析方法，对被测系统面临的安全