信息安全等级保护操作指南和操作流程DOC
信息安全技术 信息系统安全保护等级定级指南 (GB.doc
信息安全技术信息系统安全保护等级定级指南ICS35.020L 09中华人民共和国国家标准GB 17859-1999信息安全技术信息系统安全等级保护定级指南Information security technology-Classification guide for classified protection of information system2008-11-01实施__________________________________2008-06-19发布中国国家标准化管理委员会中华人民共和国国家质量监督检验检疫总局发布引言依据国家信息安全等级保护管理规定制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T 22239—2008《信息系统安全等级保护基本要求》;——国家标准《信息系统安全等级保护实施指南》;——国家标准《信息系统安全等级保护测评准则》。
本标准依据等级保护相关管理文件,从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出确定信息系统安全保护等级的方法。
信息安全技术信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。
2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8 信息技术词汇第8部分:安全(GB/T 5271.8—2001,idt ISO/IEC 2382-8:1998)GB17859 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。
信息安全等级保护操作的指南和操作流程图
信息安全等级保护操作流程1信息系统定级1.1定级工作实施范围“关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下:(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
注:跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
1.2定级依据标准《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27 号文件)《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文件)《电子政务信息系统安全等级保护实施指南(试行)》(国信办【2005】25 号文件)《信息安全等级保护管理办法》(公通字【2007】43 号文件)《计算机信息系统安全保护等级划分准则》《电子政务信息安全等级保护实施指南》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评指南》1.3定级工作流程信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案• 网络拓扑调查• 资产信息调查• 服务信息调查• 系统边界调查• ……• 管理机构分析• 业务类型分析• 物理位置分析• 运行环境分析• ……• 业务信息分析• 系统服务分析• 综合分析• 确定等级• ……• 编写定级报告• ……• 协助评审审批• 形成最终报告• 协助定级备案图 1-1信息系统定级工作流程1.3.1信息系统调查信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用、服务范围、系统结构、管理组织和管理方式等基本情况。
信息系统安全等级保护实施指南
信息系统安全等级保护实施指南信息系统安全等级保护实施指南是指在信息系统使用过程中,根据信息系统的重要性和敏感性,确定信息系统的安全等级,并对不同安全等级的信息系统实施相应的安全措施和保护措施的指南。
该指南能够帮助组织确定信息系统的保护要求,并指导组织在实施信息系统的过程中进行安全控制和风险管理。
下面将具体介绍信息系统安全等级保护实施指南的主要内容。
1.引言通过介绍信息系统安全等级保护实施指南的背景和目的,使读者了解指南的重要性和适用范围。
同时,还可以对信息系统的安全等级划分方法进行简要说明。
2.术语和定义陈述信息系统安全等级保护实施指南中所使用的术语和定义,明确读者在阅读指南时所需理解的基本概念。
3.安全等级划分原则对信息系统的安全等级划分原则进行详细描述,包括安全需求分析、安全威胁评估、风险评估和风险分级等,以帮助组织科学合理地确定信息系统的安全等级。
4.安全等级保护要求根据信息系统的安全等级,对各个安全等级的系统分别列出各自的安全保护要求。
这些保护要求包括技术措施、管理措施和物理措施等,旨在保障信息系统的安全性。
5.安全防护措施对不同安全等级的信息系统,通过列出安全防护措施的具体内容,帮助组织在信息系统实施过程中采取相应的安全控制措施,保障信息的机密性、完整性和可用性。
6.安全保护实施流程根据信息系统安全等级保护的实施指南,给出了详细的安全保护实施流程,包括安全等级备案申请、安全需求分析、安全设计评审和安全验收等。
这些流程可以帮助组织在实施信息系统时有序地进行各项安全控制工作。
7.安全评估和安全检查指导组织对已经实施的信息系统进行定期的安全评估和安全检查,以验证安全控制的有效性,及时发现和解决潜在的安全风险。
8.附录信息系统安全等级保护实施指南对信息系统的安全保护提供了一套科学、系统的操作指南,通过合理的划分安全等级和实施相应的安全措施,帮助组织保护信息系统的安全和合法性。
同时,该指南还可以作为组织内部安全培训和管理的参考依据,提高组织在信息系统安全保护方面的能力和水平。
等保操作指南
等保操作指南1. 引言本文档旨在提供一份等保操作指南,以帮助组织有效管理和保护其信息系统的安全。
等保操作是确保信息系统得到安全保护的重要步骤,它有助于预防和应对潜在的安全威胁,确保组织的信息资产得到适当的保护。
2. 等级保护等级定义等保操作的第一步是了解和确定适用于组织的等保等级。
等级保护等级定义了信息系统的安全保护级别,它根据信息系统的重要性和敏感程度进行分类。
根据等级保护等级,组织可以优先分配资源和采取相应的安全措施。
等保等级常见分为一级、二级和三级,具体的等级定义如下:- 一级:关键信息系统,安全保护级别最高,严格控制访问和保护措施;- 二级:重要信息系统,安全保护级别适中,采取必要的安全措施;- 三级:一般信息系统,安全保护级别较低,采取基本的安全措施。
3. 等保操作措施为了确保信息系统的安全,组织应采取一系列的等保操作措施。
以下是一些建议的操作措施:- 访问控制:根据职责和权限划分用户角色,并进行严格的访问控制管理,包括身份验证、授权和审计等;- 加密保护:对重要数据或网络通信进行加密处理,以防止信息泄漏和未授权访问;- 安全审计:建立日志记录和监控机制,对系统活动和事件进行实时监测和审计;- 恶意软件防护:安装和更新恶意软件防护软件,以保护系统不受恶意软件的侵害;- 物理安全措施:保护服务器和网络设备的物理安全,限制未经授权的物理访问;- 安全培训:对组织成员进行定期的安全培训和意识提高,提升他们的安全意识;- 灾备备份:建立数据备份和灾难恢复机制,以防止意外数据丢失和灾难发生。
4. 等保操作计划组织应制定适当的等保操作计划,确保等保操作措施的有效实施和管理。
等保操作计划应包括以下内容:- 等保操作目标和范围的明确定义;- 等保操作措施的详细描述和要求;- 等保操作的时间表和逐步实施计划;- 负责等保操作的责任人和团队的角色和责任;- 监测和评估等保操作执行情况的机制和方法。
5. 结论等保操作是保护信息系统安全的重要手段,组织应根据其等级保护等级制定适合的等保操作措施和计划。
信息系统安全等级保护实施指南介绍
概述-背景(续)
在“66号文”的职责分工和工作要求中指出: 信息和信息系统的运营、使用单位按照等级保护的管理规
范和技术标准,确定其信息和信息系统的安全保护等级
信息和信息系统的运营、使用单位按照等级保护的管理规 范和技术标准对新建、改建、扩建的信息系统进行信息系 统的安全规划设计、安全建设施工
阶段主要活动- 1.安全评估和需求分析
活动目标
通过系统调查和安全评估了解系统目前的安全现 状;
评估系统已经采用的或将要采用的保护措施和等 级保护安全要求之间的差距,这种差距作为系统 的一种安全需求;
了解系统额外的安全需求; 明确系统的完整安全需求。
主要参考标准
《信息系统安全等级保护基本要求》 《信息系统安全等级保护测评准则》 GB/T xxxxx-2019 信息系统安全通用技术要求 《信息安全风险评估指南》
阶段主要活动- 2.安全总体设计
主要活动过程
系统等级化模型处理 总体安全策略设计 各级系统安全技术措施设计 单位整体安全管理策略设计 设计结果文档化
阶段主要活动- 2.安全总体设计
系统等级化模型处理
输入
过程的工作内容
输出
系统详细描述文件 符合性评估结果 风险评估结果 特殊安全要求
信息和信息系统的运营、使用单位及其主管部门按照与信 息系统安全保护等级相对应的管理规范和技术标准的要求, 定期进行安全状况检测评估
国家指定信息安全监管职能部门按照等级保护的管理规范 和技术标准的要求,对信息和信息系统的安全等级保护状 况进行监督检查
概述-背景(续)
管理规范和技术标准的作用
主管部门
阶段主要活动- 2.安全总体设计
各级系统安全技术措施设计
信息系统安全等级保护实施指南
信息系统安全等级保护实施指南为了确保信息系统的安全性,保护敏感数据和减少安全风险,组织需要制定相应的信息系统安全等级保护实施指南。
以下是一些实施指南的建议:1. 确定信息系统的安全等级首先,组织需要对其信息系统进行评估,以确定其安全等级。
安全等级的确定通常基于系统中所存储、处理和传输的信息的敏感程度和重要性。
根据不同的安全等级,组织可以制定相应的安全控制措施。
2. 制定安全策略和流程建立信息系统安全策略和流程是保障信息系统安全的关键。
这些策略和流程应该包括对安全等级的定义、安全控制措施的实施、事件管理、恢复计划等方面的规定。
3. 实施访问控制访问控制是信息系统安全的重要组成部分。
组织应该实施身份验证和授权措施,以确保只有经过授权的用户才能访问敏感信息。
4. 加密敏感数据对于高安全等级的信息系统,组织应该考虑对敏感数据进行加密。
加密可以有效地保护数据,防止其在传输或存储过程中被窃取或篡改。
5. 实施安全审计和监控定期对信息系统进行安全审计和监控,及时发现和应对安全事件。
这些活动可以帮助组织发现系统中可能存在的漏洞和威胁,并采取相应的措施加以应对。
6. 培训员工组织应该定期为员工提供关于信息系统安全的培训,加强员工对安全意识的培养,确保他们能够遵守安全策略和流程,避免因为操作失误造成安全风险。
总之,信息系统安全等级保护实施指南是确保信息系统安全的重要工具。
通过制定相应的安全策略和流程,实施适当的安全控制措施,加强对安全事件的监控和应对,组织可以有效地保护其信息系统的安全。
7. 实施安全漏洞管理及时修补安全漏洞是保护信息系统安全的重要步骤。
组织应该建立漏洞管理流程,对系统中发现的漏洞进行跟踪、分析和修补,以保障系统的安全性。
8. 建立数据备份和恢复机制数据备份是防范信息系统风险的重要手段。
组织应该制定详细的数据备份策略,并确保备份数据的安全性和可靠性。
同时,组织还需要建立完善的数据恢复机制,以应对系统遭受攻击或故障时能够及时恢复。
信息安全等级保护工作流程图
信息安全等级保护工作流程一、定级一、等级划分计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益.第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
二、定级程序信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》(下载专区附)确定信息系统的安全保护等级.有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
三、定级注意事项第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。
例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,地市级以上国家机关、企事业单位网站等第三级信息系统:一般适用于地市级以上国家机关、企事业单位内部重要的信息系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省门户网站和重要网站;跨省连接的网络系统等。
例如网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统.第四级信息系统:一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统.例如电信骨干传输网、电力能量管理系统、银行核心业务系统、铁路票客系统、列车指挥调度系统等第五级信息系统:适用于国家特殊领域的极端重要系统。
信息系统安全等级保护定级指南
1信息系统安全等级保护定级指南为宣贯《信息系统安全等级保护定级指南》(以下简称《定级指南》)国家标准,由标准起草人介绍标准制、修订过程,讲解标准的主要内容,解答标准执行中可能遇到的问题。
1.1定级指南标准制修订过程1.1.1制定背景本标准是公安部落实66号文件,满足开展等级保护工作所需要的重要规范性文件之一,是其他标准规范文件的基础。
本标准依据66号文件与“信息安全等级保护管理办法”的精神与原则,从信息系统对国家安全、经济建设、社会生活重要作用,信息系统承载业务的重要性、业务对信息系统的依赖程度与信息系统的安全需求等方面的因素,确定信息系统的安全保护等级,提出了分级的原则与方法。
本任务来自全国信息系统安全标准化技术委员会,由全国信息安全标准化技术委员会WG5工作组负责管理。
1.1.2国外相关资料分析本标准编制前,编制人员收集与信息系统确定等级相关的国外资料,其中主要是来自美国的标准或文献资料,例如:●FIPS 199 Standards for Security Categorization of Federal Information and InformationSystems(美国国家标准与技术研究所)●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certificationand Accreditation Process Application Manual(美国国防部)●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation(美国国防部)●Information Assurance Technology Framework3.1(美国国家安全局)这些资料表明,美国政府及军方也在积极进行信息系统分等级保护的尝试,从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家,也适用于信息化发达国家。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全等级保护操作流程1信息系统定级1.1定级工作实施范围“关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下:(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
注:跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
1.2定级依据标准《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号文件)《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文件)《电子政务信息系统安全等级保护实施指南(试行)》(国信办【2005】25号文件)《信息安全等级保护管理办法》(公通字【2007】43号文件)《计算机信息系统安全保护等级划分准则》《电子政务信息安全等级保护实施指南》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评指南》1.3定级工作流程图1-1 信息系统定级工作流程1.3.1信息系统调查信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用、服务范围、系统结构、管理组织和管理方式等基本情况。
同时,通过信息系统调查还可以明确信息系统存在的资产价值、威胁等级、风险等级以及可能造成的影响客体、影响范围等基本情况。
信息系统调查结果将作为信息系统安全等级保护定级工作的主要依据,保证定级结果的客观、合理和准确。
1.3.1.1调查工具表通常,信息系统调查工具表包括系统资产调查表、系统应用调查表、和管理信息调查表等。
●系统资产调查表用于调查信息系统的基本情况,主要包括主机、网络设备、人员、人员、服务等信息。
在调查过程中,可以得到系统资产的基本信息、主要用途、重要程度、服务对象等相关信息。
●系统应用调查表用于明确系统应用的基本状况。
明确各个系统应用的拓扑信息、边界信息、应用架构、数据流等基本情况,为确定和分析定级对象提供详细信息。
●管理信息调查表用于明确信息系统的组织结构、隶属关系等管理信息。
1.3.1.2调查方法信息系统调查的实施包括信息收集、访谈和核查三个步骤。
●信息收集协助信息系统使用管理单位完成系统资产调查表填写工作,同时收集信息系统所涉及的一系列●访谈核查对调查表中的信息进行验证的过程,验证包括检查和测试等方式。
1.3.2确定定级对象一个单位可能运行了比较庞大的信息系统,为了重点保护重要部分,有效控制信息安全建设和管理成本,优化信息安全资源配置等保护原则,可将较大的信息系统划分为若干个较小的、相对独立的、具有不同安全保护等级的定级对象。
这样,可以保证信息系统安全建设能够突出重点、兼顾一般。
1.3.2.1基本原则如果信息系统只承载一项业务,可以直接为该信息系统确定等级,不必划分业务子系统。
如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级,信息系统的安全保护等级由各业务子系统的最高等级决定。
信息系统是进行等级确定和等级保护管理的最终对象。
主要划分原则有:一、具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位。
如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
二、具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
三、承载单一或相对独立的业务应用定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。
定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
1.3.2.2信息系统的划分方法一个组织机构内可能运行一个或多个信息系统,这些信息系统的安全保护等级可以是相同的,也可以是不同的。
为体现重点保护重要信息系统安全,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,在进行信息系统的划分时应考虑以下几个方面:一、相同的管理机构信息系统内的各业务子系统在同一个管理机构的管理控制之下,可以保证遵循相同的安全管理策略。
二、相同的业务类型信息系统内的各业务子系统具有相同的业务类型,安全需求相近,可以保证遵循相同的安全策略。
三、相同的物理位置或相似的运行环境信息系统内的各业务子系统具有相同的物理位置或相似的运行环境意味着系统所面临的威胁相似,有利于采取统一的安全保护。
1.3.3定级要素分析通过针对定级对象分别进行业务信息安全分析和系统服务安全分析,最终确定信息系统安全等级保护系统等级。
在进行业务信息安全分析和系统服务安全分析时,充分考虑行业特点、业务应用特点等因素,细化受侵害客体组成及损害程度判定要素,从而确保信息系统定级的合理准确。
1.3.3.1定级流程根据定级流程,在定级要素分析时需对业务信息安全等级和系统服务安全等级进行分析,分析内容包括确定受侵害的客体、确定对客体的侵害程度,从而确定相应的业务信息安全等级和系统服务安全等级。
最后,综合业务信息安全等级和系统服务安全等级得到信息系统安全等级保护系统等级。
1.3.3.2确定受侵害客体定级对象收到破坏时所侵害的客体包括国家安全、社会秩序、公众利益及公民、法人和其他组织的合法权益。
●国家安全⏹影响国家政权稳固和国防实力;⏹影响国家统一、民族团结和社会安定;⏹影响国家对外活动中的政治、经济利益;⏹影响国家重要的安全保卫工作;⏹影响国家经济竞争力和科技实力;⏹其他影响国家安全的事项。
●社会秩序⏹影响国家机关社会管理和公共服务的工作秩序;⏹影响各种类型的经济活动秩序;⏹影响各行业的科研、生产秩序;⏹影响公众在法律约束和道德规范下的正常生活秩序等;⏹其他影响社会秩序的事项。
●公共利益⏹影响社会成员使用公共设施;⏹影响社会成员获取公开信息资源;⏹影响社会成员接受公共服务等方面;⏹其他影响公共利益的事项。
●公民、法人和其他组织⏹由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益的关系,从而确定信息和信息系统受到破坏时所侵害的客体。
1.3.3.3确定对客体的损害程度在针对不同的受侵害客体进行侵害程度的判断时,应参照以下的判别基准。
●如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准。
●如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
不同危害后果的三种危害程度危害程度描述如下:●一般损害工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
●严重损害工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
特别严重损害工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
1.3.3.4确定定级对象的安全保护等级在确定完成受侵害客体以及对客体的侵害程度后,依据表1分别确定业务信息安全等级和系统服务安全等级。
作为定级对象的信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定。
表1 定级要素与安全保护等级的关系1.3.4编写定级报告根据定级过程和定级结果,编写初步信息系统定级报告。
1.3.5协助定级备案在完成初步定级报告后,协助信息系统管理使用单位进行评审与审批,并最终确定定级报告,完成信息系统备案工作。
2等级测试2.1工作内容等级测评是信息安全等级保护实施中的一个重要环节。
等级测评是指具有相关资质的、独立的第三方评测服务机构,对信息系统的等级保护落实情况与信息安全等级保护相关标准要求之间的符合程度的测试判定。
2.2依据标准《计算机信息系统安全保护等级划分准则》《信息系统安全等级保护基本要求》《信息系统安全等级保护定级指南》《电子政务信息安全等级保护实施指南》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评指南》《信息安全技术信息系统通用安全技术要求》《信息安全技术网络基础安全技术要求》《信息安全技术操作系统安全技术要求》《信息安全技术数据库管理系统安全技术要求》《信息安全技术服务器技术要求》《信息安全技术终端计算机系统安全等级技术要求》2.3等级评测内容2.3.1基本内容对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。
其中,安全控制测评是信息系统整体安全测评的基础。
对安全控制测评的描述,使用工作单元方式组织。
工作单元分为安全技术测评和安全管理测评两大类。
安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。
因此,全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。