201307档案信息系统安全等级保护指南
信息系统安全等级保护实施指南介绍PPT文档共110页
➢ 信息系统实施等级保护的思路是首先根据信息系 统定级方法对信息系统进行定级,根据安全级别 确定基本安全保护措施,通过风险分析补充其它 需要的安全措施,构成等级保护安全设计方案, 并依据方案进行安全工程实施。
概述-与风险管理之间的关系(续)
主要阶段和主要活动
重要概念
阶段
阶段主要活动
主要活动过程
工作内容
阶段目标
活动目标
参与角色
主要参考标准
实施流程/ 主要活动
主要活动过程
过程目标 输入 输出
主要工作内容
实施等级保护的主要阶段
第一阶段:系统定级 第二阶段:安全规划设计 第三阶段:安全实施/实现 第四阶段:安全运行管理 第五阶段:系统终止
系统定级阶段-系统识别和划分(续)
▪ 信息系统划分方法
– 从组织管理角度划分 – 从业务类型角度划分 – 从物理区域或运行环境角度划分
系统定级阶段-业务子系统识别和描述
过程目标
➢ 如果某一个信息系统中包含多个业务子系统,识别 出主要的业务子系统;
➢ 对主要业务子系统的安全属性进行识别和描述。
输入
等级保护的基本实施过程
基本实施过程 与信息系统生命周期之间的关系 重要概念
等级保护的基本实施过程
局部调整
系统定级 安全规划设计 安全实施/实现 安全运行管理
系统终止
重大变更
与信息系统生命周期之间的关系
▪ 新建信息系统
信息系统生命周期
启动 阶段
设计开 发阶段
实施 阶段
运行维护阶段
中止 阶段
新建信息系统等级保护实施过程
信息系统安全等级保护实施指南介绍
信息系统安全等级保护定级指南
信息系统安全等级保护定级指南信息系统安全等级保护定级指南本标准制定依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)。
范围:本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。
规范性引用文件:下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8信息技术词汇第8部分:安全GB-1999计算机信息系统安全保护等级划分准则术语和定义:本标准适用于GB/T 5271.8和GB-1999确立的术语和定义,以及以下术语和定义。
等级保护对象:信息安全等级保护工作直接作用的具体的信息和信息系统。
客体:受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。
客观方面:对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。
系统服务:信息系统为支撑其所承载业务而提供的程序化过程。
定级原理:信息系统安全保护等级根据等级保护相关管理文件,分为以下五级:第一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
信息系统安全等级保护定级指南
1信息系统安全等级保护定级指南为宣贯《信息系统安全等级保护定级指南》(以下简称《定级指南》)国家标准,由标准起草人介绍标准制、修订过程,讲解标准的主要内容,解答标准执行中可能遇到的问题。
1.1定级指南标准制修订过程1.1.1制定背景本标准是公安部落实66号文件,满足开展等级保护工作所需要的重要规范性文件之一,是其他标准规范文件的基础。
本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则,从信息系统对国家安全、经济建设、社会生活重要作用,信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素,确定信息系统的安全保护等级,提出了分级的原则和方法。
本任务来自全国信息系统安全标准化技术委员会,由全国信息安全标准化技术委员会WG5工作组负责管理。
1.1.2国外相关资料分析本标准编制前,编制人员收集与信息系统确定等级相关的国外资料,其中主要是来自美国的标准或文献资料,例如:●FIPS 199 Standards for Security Categorization ofFederal Information and Information Systems(美国国家标准和技术研究所)●DoD INSTRUCTION 8510.1-M DoD InformationTechnology Security Certification andAccreditation Process Application Manual(美国国防部)●DoD INSTRUCTION 8500.2 Information Assurance(IA) Implementation(美国国防部)●Information Assurance Technology Framework3.1(美国国家安全局)这些资料表明,美国政府及军方也在积极进行信息系统分等级保护的尝试,从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家,也适用于信息化发达国家。
信息安全等级保护操作指南和操作流程
信息安全等级保护操作流程1信息系统定级1.1 定级工作实行范围“关于展开全国重要信息系统安全等级保护定级工作的通知”关于重要信息系统的范围规定以下:(一)电信、广电行业的公用通讯网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调换、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家奥密的信息系统(以下简称“涉密信息系统”)。
注:跨省或许全国一致联网运转的信息系统可以由主管部门一致确定安全保护等级。
涉密信息系统的等级确定依照国家保密局的相关规定和标准执行。
《国家书息化领导小组关于增强信息安全保障工作的建议》(中办发【 2003】27 号文件)《关于信息安全等级保护工作的实行建议》(公通字【 2004】66号文件)《电子政务信息系统安全等级保护实行指南(试行)》(国信办【2005】25 号文件)《信息安全等级保护管理方法》(公通字【 2007】43 号文件)《计算机信息系统安全保护等级区分准则》《电子政务信息安全等级保护实行指南》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实行指南》《信息系统安全等级保护测评指南》·网络拓扑检查·财富信息检查信息系统检查·服务信息检查·系统界限检查··管理机构解析·业务种类解析确定定级对象·物理地点解析·运转环境解析··业务信息解析·系统服务解析定级因素解析·综合解析·确定等级··编写定级报告编写定级报告··辅助评审审批辅助定级存案·形成最后报告·辅助定级存案图 1-1 信息系统定级工作流程信息系统检查信息系统检查是经过一系列的信息系统状况检查表对信息系统基本状况进行摸底检查,全面掌握信息系统的数目、分布、业务种类、应用、服务范围、系统结构、管理组织和管理方式等基本状况。
信息系统安全等级保护实施指南
目次前言.................................................................................... 引言....................................................................................1 范围.................................................................................2 规范性引用文件.......................................................................3 术语和定义...........................................................................4 等级保护实施概述.....................................................................基本原则..............................................................................角色和职责............................................................................实施的基本流程........................................................................5 信息系统定级.........................................................................信息系统定级阶段的工作流程............................................................信息系统分析..........................................................................系统识别和描述........................................................................信息系统划分..........................................................................安全保护等级确定......................................................................定级、审核和批准......................................................................形成定级报告..........................................................................6 总体安全规划.........................................................................总体安全规划阶段的工作流程............................................................安全需求分析..........................................................................基本安全需求的确定....................................................................额外/特殊安全需求的确定...............................................................形成安全需求分析报告..................................................................总体安全设计..........................................................................总体安全策略设计......................................................................安全技术体系结构设计..................................................................整体安全管理体系结构设计..............................................................设计结果文档化........................................................................安全建设项目规划......................................................................安全建设目标确定......................................................................安全建设内容规划......................................................................形成安全建设项目计划..................................................................7 安全设计与实施.......................................................................安全设计与实施阶段的工作流程..........................................................安全方案详细设计......................................................................技术措施实现内容设计..................................................................管理措施实现内容设计..................................................................设计结果文档化........................................................................管理措施实现..........................................................................管理机构和人员的设置..................................................................管理制度的建设和修订..................................................................人员安全技能培训......................................................................安全实施过程管理......................................................................技术措施实现..........................................................................信息安全产品采购......................................................................安全控制开发..........................................................................安全控制集成..........................................................................系统验收..............................................................................8 安全运行与维护.......................................................................安全运行与维护阶段的工作流程..........................................................运行管理和控制........................................................................运行管理职责确定......................................................................运行管理过程控制......................................................................变更管理和控制........................................................................变更需求和影响分析....................................................................变更过程控制..........................................................................安全状态监控..........................................................................监控对象确定..........................................................................监控对象状态信息收集..................................................................监控状态分析和报告....................................................................安全事件处置和应急预案................................................................安全事件分级..........................................................................应急预案制定..........................................................................安全事件处置..........................................................................安全检查和持续改进....................................................................安全状态检查..........................................................................改进方案制定..........................................................................安全改进实施..........................................................................等级测评..............................................................................系统备案..............................................................................监督检查..............................................................................9 信息系统终止.........................................................................信息系统终止阶段的工作流程............................................................信息转移、暂存和清除..................................................................设备迁移或废弃........................................................................存储介质的清除或销毁.................................................................. 附录A(规范性附录)主要过程及其活动输出 ................................................前言本标准的附录A是规范性附录。
信息系统安全保护等级定级指南-13页精选文档
附件2信息系统安全保护等级定级指南(试用稿)公安部二〇〇五年十二月第 9 页目次1范围 (11)2术语和定义 (11)2.1 业务信息(Business Information) (11)2.2 业务信息安全性(Security of Business Information) (11)2.3 业务服务保证性(Assurance of Business Service) (11)2.4 信息系统(Information System) (11)2.5 业务子系统(Business Subsystem) (11)3定级对象 (11)3.1 信息系统的划分 (12)3.2 信息系统和业务子系统 (12)4决定信息系统安全保护等级的要素 (12)4.1 决定信息系统重要性的要素 (13)4.2 定级要素赋值 (13)5确定信息系统安全保护等级的步骤 (15)6信息系统安全保护等级的确定方法 (16)6.1 确定业务信息安全性等级 (16)6.2 确定业务服务保证性等级 (16)6.3 确定信息系统安全保护等级 (18)7信息系统安全保护等级的调整 (18)8附录 (19)8.1 实例1 (19)8.2 实例2 (20)第 10 页信息系统安全保护等级定级指南1范围本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。
有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统,该系统的安全保护等级定为5级,不再使用本指南的方法定级。
各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。
2术语和定义下列术语和定义适用于本指南。
2.1 业务信息(Business Information)为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。
2.2 业务信息安全性(Security of Business Information)保证业务信息机密性、完整性和可用性程度的表征。
信息系统安全等级保护原理及应用
信息系统安全等级保护原理及应用1.等级划分:等级划分是基于信息系统中的资源重要性和敏感程度的评估,将信息系统划分为多个等级。
通常,信息系统等级划分为4个等级,分别是一级、二级、三级和四级。
等级划分主要考虑的因素包括信息资产的价值、涉及的业务功能、系统关键性以及系统对社会、国家的影响等。
2.等级保护:等级保护是根据信息系统的安全等级要求,采取相应的技术措施和管理措施,确保信息系统的安全运行。
等级保护需要从不同的角度进行保护,包括物理安全、网络安全、应用安全和数据安全等。
在信息系统安全等级保护的应用中,主要包括以下几个方面。
1.安全等级评估:对信息系统进行安全等级评估是划分等级和确定相应保护措施的基础。
评估主要包括对系统的信息资产进行辨识和价值评估,根据评估结果确定信息系统的安全等级。
2.安全策略制定:对于不同等级的信息系统,需要制定相应的安全策略来保护信息系统的安全。
安全策略的制定包括制定安全规定、安全策略和安全控制措施等,确保信息系统的安全等级能够得到有效保证。
3.安全需求分析:在信息系统的开发和维护过程中,需要进行安全需求分析,明确系统对于安全控制的需求。
安全需求分析包括对系统的安全性能和安全功能进行分析和规划,确保系统能够满足相应的安全等级要求。
4.安全技术措施:信息系统安全等级保护需要采取一系列的技术措施来确保系统的安全。
技术措施主要包括物理安全措施、网络安全措施、应用系统安全措施、密码学技术等,通过技术措施来提高系统的安全性。
5.安全管理措施:除了技术措施外,信息系统安全等级保护还需要采取一系列的管理措施来保护系统的安全。
管理措施包括安全培训、安全审计、安全访问控制、应急响应等,通过管理措施来提高系统的管理和运维的安全性。
综上所述,信息系统安全等级保护是一种基于等级划分的信息安全管理方法,通过对信息系统进行等级划分和等级保护,确保信息系统能够按照相应的安全等级要求进行安全运行。
在应用中,需要进行安全等级评估、安全策略制定、安全需求分析,采取安全技术和管理措施来确保系统的安全性。
信息系统安全等级保护基本要求资料
信息系统安全等级保护基本要求资料信息系统安全等级保护是指根据信息系统所处的特定环境以及信息系统风险等级,确定一定的安全措施和管理要求,以达到对信息系统进行有效保护的目的。
三级保护是对信息系统安全等级的一种分类,需要满足一定的基本要求。
下面将对信息系统安全等级保护基本要求(三级要求)进行详细介绍。
一、制定安全保护管理制度1.明确组织安全保护的权责和制度规范,包括安全保护管理机构和人员职责、安全工作制度及流程等。
2.建立相应的安全管理机构和组织架构,确保安全管理职能能够有效运转,并有专责人员进行安全保护管理工作。
二、实施信息系统安全管理1.制定完善的安全管理制度和规范,包括信息系统开发、维护、运行、使用等各个阶段的安全管理要求。
2.建立完善的安全管理体系和流程,包括对系统运行状态监控、安全漏洞扫描和防护措施等。
三、建立完善的访问控制机制1.针对不同的用户和角色,建立完善的用户身份认证和授权机制,确保只有授权的用户才能访问相应的系统和资源。
2.建立访问审计机制,对系统和资源的访问行为进行监控和审计,并保留相应的日志。
四、建立完善的网络安全防护机制1.建立网络边界安全防护设备,包括防火墙、入侵检测系统(IDS)等,阻止未经授权的外部进入。
2.建立网络入侵检测和响应机制,及时发现和处理可能的攻击行为。
3.实施网络设备的安全配置和管理,确保网络设备的安全性。
五、实施系统安全加固1.对操作系统、数据库等系统软件进行安全配置和加固,关闭不必要的服务和端口,避免被攻击利用。
2.对系统进行漏洞扫描和补丁管理,及时修复已知漏洞,确保系统的稳定性和安全性。
六、实施物理安全措施1.建立访问控制制度,设置门禁系统和监控设备,确保未经授权人员无法进入机房和服务器等关键区域。
2.定期检查维护服务器、网络设备等硬件设备,保障其正常运行。
七、完善应急响应和恢复机制1.建立应急响应和事件处理机制,对可能发生的安全事件进行预案制定和演练,及时响应和处理安全事件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
档案信息系统安全等级保护定级工作指南国家档案局2013年7月目录1.工作背景 (4)2.适用范围 (4)3.编制依据 (4)4.档案信息系统类型的划分 (3)5.档案信息系统的定级 (4)5.1档案信息系统的定级原则 (4)5.2档案信息系统安全保护等级的划分 (5)5.2.1受侵害客体 (5)5.2.2对客体侵害程度的划分 (5)5.2.3档案信息系统安全等级的划分 (6)5.3档案信息系统安全保护等级确定的方法 (6)5.3.1确定定级对象 (7)5.3.2确定受侵害的客体 (7)5.3.3确定对客体的侵害程度 (7)5.3.4确定档案信息系统的安全保护等级 (8)5.3.5编制定级报告 (10)6.评审 (10)7.备案与报备 (11)8.等级变更 (11)附录1《信息系统安全等级保护定级报告》模版 (12)附录2《信息系统安全等级保护备案表》 (14)1.工作背景1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,计算机信息系统实行安全等级保护,公安部主管全国计算机信息系统安全保护工作。
近年来,公安部会同有关部门组织制订了一系列有关计算机信息系统安全等级保护的规章和标准,加强了对重点行业信息系统安全等级保护工作的监督、检查和指导,并于2011年建立了54个行业主管部门参加的等级保护联络员制度,档案行业为其中之一。
随着档案信息化进程的不断加快,档案部门通过档案信息系统管理的数字档案资源越来越多,提高档案信息系统的安全防护能力和水平,已经成为加强档案信息安全管理、促进档案事业健康发展的一项重要内容。
为做好档案信息系统安全等级保护工作,国家档案局编制《档案信息系统安全等级保护定级工作指南》(以下简称《指南》),以指导档案信息系统安全等级保护的定级工作。
2.适用范围本《指南》是档案信息系统安全等级保护定级工作的操作规范,适用于省级(含计划单列市、副省级市,下同)及以上档案行政管理部门及国家综合档案馆非涉密信息系统安全等级保护定级工作。
地市级档案局馆和其他档案馆可参照执行。
3.编制依据本《指南》的编制主要依据以下标准、规范:●《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)●《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)●《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)●《信息安全等级保护管理办法》(公通字〔2007〕43号)●《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)●《数字档案馆建设指南》(档办〔2010〕116号)●《各级国家档案馆馆藏档案解密和划分控制使用范围的暂行规定》(国家档案局、国家保密局1992年)●《计算机信息系统安全保护等级划分准则》(GB 17859—1999)●《信息安全技术信息安全事件分类分级指南》(GB/Z 20986—2007)●《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240—2008)●《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239—2008)4.档案信息系统类型的划分档案信息系统是指开展档案业务所使用的档案信息管理系统、档案信息服务系统和档案办公系统等三类信息管理系统。
(1)档案信息管理系统类包括档案目录管理系统、数字档案接收系统、数字档案管理系统、档案数字化加工系统等;(2)档案信息服务系统类包括档案利用服务系统、档案网站系统等;(3)档案办公系统类包括承担档案工作管理的档案局馆办公业务系统等。
档案信息系统的基本功能描述如表1。
表1 档案信息系统基本功能描述5.档案信息系统的定级5.1档案信息系统的定级原则自主定级原则。
档案信息系统使用单位按照国家相关法规、标准和本《指南》要求,自主确定档案信息系统的安全保护等级,自行组织实施安全保护。
重点保护原则。
根据重要程度和业务特点,将档案信息系统划分为不同等级,实施不同强度的安全保护,集中资源,优先保护涉及重要数字档案资源的信息系统。
动态保护原则。
根据档案信息系统管理对象、服务范围等方面的变化,重新确定安全保护等级,及时调整安全保护措施。
同步建设原则。
档案信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障档案信息安全与档案信息化建设相适应。
5.2档案信息系统安全保护等级的划分5.2.1受侵害客体受侵害客体是指受法律保护对象受到破坏时所侵害的社会关系,主要包括国家安全;社会秩序、公共利益;公民、法人和其他社会组织的合法权益等三方面。
确定档案信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序、公共利益,最后判断是否侵害公民、法人和其他社会组织的合法权益。
5.2.2对客体侵害程度的划分等级保护对象受到破坏后对客体造成侵害的程度有三种:(1)造成一般损害工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题、较小的财产损失、有限的社会不良影响,对其他组织和个人造成较低损害。
(2)造成严重损害工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题、较大的财产损失、较大范围的社会不良影响,对其他组织和个人造成较严重损害。
(3)造成特别严重损害工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题、极大的财产损失、大范围的社会不良影响,对其他组织和个人造成非常严重损害。
5.2.3档案信息系统安全保护等级根据国家有关信息系统安全保护等级的相关规定和标准,从低到高依次划分为自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级:第一级,自主保护级。
档案信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,指导保护级。
档案信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,监督保护级。
档案信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,强制保护级。
档案信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,专控保护级。
档案信息系统受到破坏后,会对国家安全造成特别严重损害。
5.3档案信息系统安全保护等级确定的方法档案信息系统安全保护等级确定的步骤包括:确定定级对象,确定档案信息系统受到破坏时受侵害的客体,确定档案信息系统受到破坏时对客体的侵害程度,确定档案信息系统的安全保护等级,编制定级报告。
5.3.1确定定级对象根据本《指南》对档案信息系统的划分,档案部门对本单位档案信息系统进行梳理,确定本单位应定级的档案信息系统。
5.3.2确定受侵害的客体根据档案行业特点,分析档案信息系统受到破坏时所侵害的客体,侵害的事项主要包括以下三个方面:(1)国家安全方面。
档案信息系统受到破坏后影响到有关国家政治、经济、文化、外交、科技、民族、宗教、安全等档案信息保管、利用、发布、展示的正常进行,进而损害国家政权稳固、国防建设、国家统一、民族团结和社会安定。
(2)社会秩序、公共利益方面。
档案信息系统受到破坏后影响数字档案资源的真实性、完整性和可用性,致使国家机关政务信息发布、档案业务开展、办公等工作无法正常进行,进而侵害社会正常生产、生活秩序和公众获取公开信息资源、使用公共设施、接受公共服务等方面的合法权益。
(3)公民、法人和其他组织的合法权益方面。
档案信息系统受到破坏后影响到档案的移交、接收、管理、保存、查阅、利用、获取、公布、展示、捐赠等工作的正常进行,进而侵害公民、法人和其他组织的隐私、知识产权、物权、信息获取等方面的合法权益。
5.3.3确定对客体的侵害程度档案信息系统受到破坏后,对客体的侵害程度与信息系统所属单位的行政级别、所管理信息的重要敏感程度以及信息系统的影响范围有关。
分别描述如下:国家级“数字档案管理系统”所管理的档案记录了过去和现在的国家政权的历史真实面貌,对国家历史、现在与未来具有不可或缺的重要作用,社会影响极大。
这些系统受到破坏,可能直接造成国家档案的损失,对国家安全造成一般损害或严重损害,对社会秩序和公共利益造成特别严重损害。
省级“数字档案管理系统”所管理的档案记录了过去和现在的省级党政机构的历史真实面貌,对该地区历史、现在与未来具有不可或缺的重要作用,社会影响重大。
这些系统受到破坏,可能直接造成该地区档案的损失,对国家安全造成一般损害,对社会秩序和公共利益造成一般损害或严重损害。
国家级“档案目录管理系统”、“数字档案接收系统”、“档案利用服务系统”包含有国家较高级别的敏感信息,具有很大的社会影响力。
这些系统受到破坏,可能导致敏感档案信息或政务信息的泄露或损失,档案管理和服务能力下降,对国家安全造成一般损害,对社会秩序和公共利益造成一般损害或严重损害,对公民、法人和其他组织的合法权益造成严重损害。
省级“档案目录管理系统”、“数字档案接收系统”、“档案利用服务系统”包含的业务信息有一定的区域性和社会影响力。
这些系统受到破坏,可能造成本地区敏感档案数字资源信息或政务信息泄露,档案管理和服务能力下降,对社会秩序和公共利益造成一般损害或严重损害,对公民、法人和其他组织的合法权益造成严重损害。
国家级、省级“档案数字化加工系统”包含有较高级别的敏感信息,但存储档案数量较少,这些系统受到破坏,可能导致档案业务能力下降,给信息系统所属单位造成一定损失,对单位权益造成严重损害。
国家级、省级“档案网站系统”、“档案办公系统”受到破坏,不直接影响档案管理业务,但可能造成公布信息的篡改、办公效率的下降,给信息系统所属单位造成一定的财产损失、经济纠纷、法律纠纷等,对单位权益或社会秩序造成一般损害或严重损害。
5.3.4确定档案信息系统的安全保护等级确定档案信息系统安全保护等级时需要考虑业务信息安全和系统服务安全两个方面,其中业务信息安全是指确保信息系统内信息的真实性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务。
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,可以形成业务信息安全保护等级矩阵表(表2),并可据此得到业务信息安全保护等级。
表2 业务信息安全保护等级矩阵表根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,可以形成系统服务安全保护等级矩阵表(表3),并可据此得到系统服务安全保护等级。
表3 系统服务安全保护等级矩阵表在确定档案信息系统的安全保护等级时,应按业务信息安全保护等级和系统服务安全保护等级的较高者定级。