信息系统安全等级保护定级指南
信息系统信息安全等级保护定级指南
信息系统信息安全等级保护定级指南你想想,这些信息系统就像是一个个家门口的铁门,防得住小偷,挡得住坏人。
问题是,你的铁门到底得有多坚固?这就涉及到“定级”问题了。
简单来说,定级就是你得评估一下,你家的“铁门”值多少分,能防住多大的威胁。
为了确保信息不被人偷走,也不让重要的事情暴露出去,国家制定了这么一套标准,帮助企业和组织对自己的系统安全进行评级。
别看这玩意儿名字复杂,实际上说白了就是把信息系统分成几个等级,给它们穿上合适的“防护服”。
信息安全的定级到底有啥用呢?简单来说,它能告诉你:这个系统能抵挡的威胁有多大,万一被攻击了,损失能有多严重。
如果系统的等级高,那它的安全要求就高,你得做得更精细,花更多心思去防护。
反过来,如果系统级别低,那你也可以稍微放松点,但也不能完全掉以轻心——毕竟,低级别的防护不代表没风险,谁知道小偷什么时候打破门槛呢?举个例子,假设你的公司搞的是医疗数据管理,涉及到病人的隐私信息。
如果被黑客入侵,后果可就严重了。
因为一旦个人数据泄露,不仅会给公司带来巨大的经济损失,还可能涉及到法律责任。
那你觉得,这样的系统是不是得定个高级别?反过来,如果是一个小小的博客网站,涉及的只是一些无关紧要的内容,那可能就没那么高的安全需求了,定个低级别也行。
不过,说到这里,也不能以为定级就完事儿了。
定级只是个起点,真正的挑战在于如何把定下来的等级落实到实际的安全措施上。
你得根据自己的定级要求,做出相应的技术和管理措施。
比如高级别系统,得有强力的防火墙、入侵检测系统、加密技术等等,确保信息不被泄露。
别小看这些技术,它们可不是一两块钱就能解决的,得好好预算一番,才能搭建出一套符合定级要求的系统。
你还得定期检查、评估,看看自己系统的安全防护到底是不是“硬如铁”。
别到时候等黑客已经把门撞开了,你才发现自己“铁门”上那把锁其实是纸糊的。
这就像是你家门口的狗,如果它天天吃得不好,没力气守家了,那你怎么能放心让它看门呢?所以定级之后,得时刻维护,确保你的安全措施始终在线,不能掉以轻心。
信息系统安全等级保护定级指南
信息系统安全等级保护定级指南信息系统安全等级保护定级指南本标准制定依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)。
范围:本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。
规范性引用文件:下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8信息技术词汇第8部分:安全GB-1999计算机信息系统安全保护等级划分准则术语和定义:本标准适用于GB/T 5271.8和GB-1999确立的术语和定义,以及以下术语和定义。
等级保护对象:信息安全等级保护工作直接作用的具体的信息和信息系统。
客体:受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。
客观方面:对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。
系统服务:信息系统为支撑其所承载业务而提供的程序化过程。
定级原理:信息系统安全保护等级根据等级保护相关管理文件,分为以下五级:第一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
教育行业信息系统安全等级保护定级工作指南
教育行业信息系统安全等级保护定级工作指南一、引言信息系统安全等级保护是指根据信息系统的重要性和对等级保护目标的需求,对信息系统进行等级划分,并按照相应的保护措施和技术要求进行安全防护的工作。
教育行业的信息系统对于学生和学校来说是非常重要的,因此需要制定相应的安全等级保护定级工作指南,以保障教育信息系统的安全性和可靠性。
二、安全等级保护定级的原则和目标1.原则:依据国家有关信息系统等级保护的相关法律法规和标准,结合教育行业的特点,确定教育信息系统的安全等级。
2.目标:确保教育行业的信息系统按照相应的安全等级规范进行设计、建设和运维,提高信息系统的安全性和可用性。
三、安全等级划分原则1.教育信息系统的等级划分应综合考虑信息系统的重要性和对教育教学工作的支撑程度。
2.根据信息系统的功能、安全威胁、设备数量、技术复杂度等要素进行评估和划分。
3.对于涉密信息系统,需按照国家有关法律法规的要求进行专门的安全等级划分。
四、安全等级保护定级的程序1.收集信息:收集教育信息系统的技术文件、系统配置信息、安全管理措施等相关资料。
2.确定安全等级:根据信息系统的重要性和对等级保护目标的需求,结合信息系统等级保护标准,确定信息系统的安全等级。
3.制定安全保护方案:根据信息系统的安全等级,制定相应的安全保护方案,包括防护措施、技术要求、安全管理制度等。
4.实施方案:根据安全保护方案,实施相应的安全措施,包括加密、防火墙设置、访问控制等。
5.审查和评估:对已实施的安全措施进行审查和评估,确保其符合安全等级的要求。
6.定期检测和评估:对教育信息系统的安全状态进行定期检测和评估,及时发现和解决安全问题。
五、安全等级保护定级的技术要求1.信息系统的网络安全防护:包括网络设备的安全配置、网络防火墙的设置、入侵检测系统的部署等。
2.用户身份认证与授权管理:确保用户身份的合法性,限制用户权限,防止非法操作。
3.数据加密与传输安全:对敏感数据进行加密处理,确保数据传输的安全性。
信息安全技术信息系统安全等级保护定级指南
信息安全技术信息系统安全等级保护定级指南在当今数字化的时代,信息系统已经成为了企业、组织乃至整个社会运转的重要支撑。
然而,伴随着信息系统的广泛应用,信息安全问题也日益凸显。
为了保障信息系统的安全稳定运行,保护公民、法人和其他组织的合法权益,我国制定了信息系统安全等级保护制度。
其中,定级是等级保护工作的首要环节和关键步骤,它决定了信息系统所需采取的安全保护措施和投入的资源。
本文将为您详细介绍信息系统安全等级保护定级的指南。
一、信息系统安全等级保护定级的重要性信息系统安全等级保护定级是对信息系统的重要性和潜在风险进行评估和划分等级的过程。
其重要性主要体现在以下几个方面:1、明确安全责任:通过定级,能够明确信息系统所有者、运营者和使用者在信息安全方面的责任和义务,确保各方对信息安全工作有清晰的认识和目标。
2、合理配置资源:根据信息系统的等级,合理分配安全防护资源,避免过度投入或投入不足,提高安全防护的效率和效果。
3、提高安全意识:定级过程能够促使相关人员增强对信息安全的重视,提升整体的安全意识和防范能力。
4、满足法律法规要求:符合国家关于信息安全等级保护的法律法规和政策要求,避免因未履行相关义务而面临法律风险。
二、信息系统安全等级保护定级的原则在进行信息系统安全等级保护定级时,需要遵循以下原则:1、自主定级原则:信息系统的运营使用单位应当按照相关标准规范,自主确定信息系统的安全保护等级。
2、客观公正原则:定级过程应当基于信息系统的实际情况,客观、公正地评估其重要性和潜在风险,不受主观因素的干扰。
3、科学合理原则:采用科学的方法和手段,综合考虑信息系统的业务特点、数据类型、用户规模等因素,合理确定等级。
4、动态调整原则:信息系统的安全保护等级应根据其变化情况进行动态调整,确保等级的准确性和有效性。
三、信息系统安全等级保护的等级划分信息系统安全等级保护分为五级,从低到高依次为:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)和第五级(专控保护级)。
等级保护定级指南
为什么要实施等级保护毒
3Q大战
荆州市商务局
沧州电信泄密
网站篡改
敏感数据泄密
钓鱼网站
假冒的中国工商银行网站
真正的中国工商银行网站
扬州市城乡建设局网站(/)
我们身边的重大安全事件案例
• 深圳市10万孕妇信息泄露 1.2万元一张光盘 贩卖 怀疑卫生局、计生委 • 广东电网珠海供电局无人值守终端向互联 网扫描 导致GDCERT告警 • 广州市政府机关网络信息中心UPS电池火 灾 瘫痪72小时 • 广州市越秀区教育局门户网站域名过期抢 注变色情网站 • 广州市破获省人事厅网站被入侵案,带破 福建省建设信息网等10多起黑客入侵案件 。
受到破坏时侵害了什 么?(客体) • 公民、法人 • 社会秩序、公共利益 • 国家安全
信息系统安全保 护等级
系统服务范围 业务服务保 证性 业务依赖程度
侵害的程度如何? (对客体造成侵害 的程度) • 一般损害 • 严重损害 • 特别严重损害
等级保护组合可能性
安全等级
第一级 第二级 第三级 S1A1G1 S1A2G2,S2A2G2,S2A1G2 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
第二级
指导性保护
Байду номын сангаас第三级
监督性保护
国家安全
社会秩序和公共利益
损害
特别严重损害 强制性保护 专控性保护
国家安全 极端重要系 统
国家安全
严重损害
特别严重损害
定级三条件
• 具有唯一确定的安全责任单位 • 满足信息系统的基本要素 • 承载相对独立的业务应用
定级对象识别与划分
• 可能使定级要素赋值不同因素
– 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。 • • 本身运行在不同的网络环境中的系统。 分不开的系统,按照高级别保护。
信息系统安全等级保护定级指南
信息系统安全等级保护定级指南1. 引言信息系统的安全等级保护定级对于保障信息系统的安全性至关重要。
本指南旨在给予系统管理员和安全团队一个关于信息系统安全等级保护定级的概述,以及相关的指导原则和建议。
2. 定义2.1 信息系统安全等级信息系统安全等级是对信息系统重要性和需求的一种标识。
根据信息系统对机密性、完整性、可用性、可信任性等方面的需求,将信息系统划分为不同的安全等级。
2.2 信息系统安全等级保护定级信息系统安全等级保护定级是根据信息系统的特性、功能、数据资产等因素,对信息系统进行安全等级评估,并给予相应的等级保护定级。
3. 安全等级保护定级的原则安全等级保护定级需要遵循以下原则:3.1 风险分析和评估在进行定级之前,需要对信息系统进行全面的风险分析和评估。
考虑到信息系统的特点和可能存在的威胁,以及可能造成的损失,评估系统中的安全风险。
3.2 机密性、完整性和可用性考虑信息系统的机密性、完整性和可用性需求。
不同的信息系统可能对这些方面的需求有所不同,因此在定级时需要充分考虑这些需求。
3.3 法律法规和标准要求根据相关的法律法规和标准要求,确定信息系统的安全等级。
不同的行业和地区对信息系统的安全等级有不同的要求,需要充分考虑这些因素。
3.4 保护资源的价值和重要性保护资源的价值和重要性是定级的重要因素。
信息系统中的数据、设备以及其他资源可能具有不同的价值和重要性,需要根据这些因素来确定安全等级。
3.5 平衡成本和效益定级需要在成本和效益之间进行平衡。
评估不同等级所需的投入和可能获得的效益,选择适当的等级保护方案。
4. 安全等级保护定级方法4.1 安全等级划分根据系统的特点和需求,将信息系统划分为不同的安全等级。
常见的安全等级划分包括:低、中、高三个等级,也可以根据实际情况划分更多的等级。
4.2 安全需求分析对不同安全等级的信息系统,进行安全需求分析。
根据机密性、完整性、可用性等方面的需求,确定不同等级信息系统的安全要求。
信息系统安全等级保护定级指南
前言本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。
引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T BBBBB-BBBB信息系统安全等级保护基本要求;——GB/T CCCCC-CCCC信息系统安全等级保护实施指南;——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。
本标准依据等级保护相关管理文件,从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出确定信息系统安全保护等级的方法。
信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。
2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8 信息技术词汇第8部分:安全GB17859-1999 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。
3.1等级保护对象 target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。
信息安全等级保护定级指南
信息安全等级保护定级指南The document was finally revised on 2021附件2信息系统安全保护等级定级指南(试用稿)公安部二〇〇五年十二月目次信息系统安全保护等级定级指南1范围本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。
有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统,该系统的安全保护等级定为5级,不再使用本指南的方法定级。
各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。
2术语和定义下列术语和定义适用于本指南。
2.1 业务信息(Business Information)为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。
2.2 业务信息安全性(Security of Business Information)保证业务信息机密性、完整性和可用性程度的表征。
2.3 业务服务保证性(Assurance of Business Service)保证信息系统完成业务使命程度的表征。
业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。
2.4 信息系统(Information System)基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。
2.5 业务子系统(Business Subsystem)由信息系统的一部分组件构成,是信息系统中能够承载某项业务工作的子系统。
3定级对象如果信息系统只承载一项业务,可以直接为该信息系统确定等级,不必划分业务子系统。
如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级,信息系统的安全保护等级由各业务子系统的最高等级决定。
信息系统是进行等级确定和等级保护管理的最终对象。
3.1 信息系统的划分一个组织机构内可能运行一个或多个信息系统,这些信息系统的安全保护等级可以是相同的,也可以是不同的。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1信息系统安全等级保护定级指南为宣贯《信息系统安全等级保护定级指南》(以下简称《定级指南》)国家标准,由标准起草人介绍标准制、修订过程,讲解标准的主要内容,解答标准执行中可能遇到的问题。
1.1定级指南标准制修订过程1.1.1制定背景本标准是公安部落实66号文件,满足开展等级保护工作所需要的重要规范性文件之一,是其他标准规范文件的基础。
本标准依据66号文件和“信息安全等级保护管理办法”的精神和原则,从信息系统对国家安全、经济建设、社会生活重要作用,信息系统承载业务的重要性、业务对信息系统的依赖程度和信息系统的安全需求等方面的因素,确定信息系统的安全保护等级,提出了分级的原则和方法。
本任务来自全国信息系统安全标准化技术委员会,由全国信息安全标准化技术委员会WG5工作组负责管理。
1.1.2国外相关资料分析本标准编制前,编制人员收集与信息系统确定等级相关的国外资料,其中主要是来自美国的标准或文献资料,例如:●FIPS 199 Standards for Security Categorization of Federal Information and InformationSystems(美国国家标准和技术研究所)●DoD INSTRUCTION 8510.1-M DoD Information Technology Security Certificationand Accreditation Process Application Manual(美国国防部)●DoD INSTRUCTION 8500.2 Information Assurance (IA) Implementation(美国国防部)●Information Assurance Technology Framework3.1(美国国家安全局)这些资料表明,美国政府及军方也在积极进行信息系统分等级保护的尝试,从一个侧面反映了分等级对重要信息系统实施重点保护的思想不仅适用于像我国这样的信息技术水平不高的发展中国家,也适用于信息化发达国家。
但仔细分析起来,这些文献资料中所描述的等级在其适用对象、定级方法、划定的等级和定级要素选择方面各有不同。
FIPS 199作为美国联邦政府标准,依据2002年通过的联邦信息安全管理法,适用于所有联邦政府内的信息(除其它规定外的)和除已定义为国家安全系统之外的联邦信息系统。
根据FIPS 199,信息和信息系统根据信息系统中信息的保密性、完整性和可用性被破坏的潜在影响将信息分类,影响程度可为高、中或低。
例如某政府采购系统中,包含合同信息和管理信息,各自的信息分类为:SC合同信息={(保密性,中),(完整性,中),(可用性,低)SC管理信息={(保密性,低),(完整性,低),(可用性,低)该政府采购系统分类的各项,将是系统中所有信息分类的三性取值中的最高值:SC政府采购系统={(保密性,中),(完整性,中),(可用性,低)尽管该标准仅将信息系统按照对信息安全三性的安全需求进行了分类,没有明确说明信息系统的安全等级,但从与该标准配套的安全控制措施(SP800-53等)内容来看,最终信息系统的等级是由分类中的较高者决定。
8510.1-M为美国国防部发布的DITSCAP计划提供实施手册,DITSCAP计划的主要目的是保护国防信息基础设施,适用于国防大臣办公室、军事部门、参谋长联席会议主席、作战指挥部、国防机构、DoD组成部门及其承包商和机构。
在考虑系统的功能、国家和国防的安全要求以及系统的使命的危险程度、系统所处理的数据和用户类型等因素的基础上,DITSCAP 的认证任务要求每个系统在四个认证级别中确定一个适合自身的认证级别。
这四个认证级别是:1级—基本的安全评审,2级—最小分析,3级—详细分析,4级—复杂分析。
8510.1-M提出用于描述系统的7个特征量,互联模式、处理模式、归因性(责任追溯)业务依赖性、信息三性等,根据对这7个特征量赋权值,得出某个信息系统的总的权值,再根据权值所处的区间,确定信息系统的认证级别。
8500.2 没有直接针对信息系统分级,但给出了两种分等级的信息保障需求,一种是按信息保密性分级,DoD定义了三个保密性等级:保密、敏感和公开,另一种是按业务保障分类(Mission Assurance Category):MACⅠ、MACII和MACIII,由此可以排列出9种组合。
保密性分级反映了系统内所处理的信息的重要程度,业务保障类反映了与DoD实现业务目标相关的重要性,业务保障类主要用于满足完整性和可用性方面的需求,其中MACⅠ系统比MACII和MACIII系统要求有更为严格的保护措施。
《信息保障技术框架》(IATF)由美国国家安全局主持编制,其所面向的对象既包括Internet这样的全球信息基础设施,也包括国家信息基础设施,以及作为机构专有资源以实现其业务的本地信息基础设施。
IATF为安全机制的强度和实现保证提出了三个强健度等级(SML),并对资产按其信息价值分为5个等级,威胁环境按其强弱分为7个等级,以矩阵表的方式给出了35种情况下可以选择的强健度等级。
信息系统的所有者可以根据其信息价值与可能面临的威胁环境,选择系统安全保护的强健度等级和信息技术产品的评估保证级别(EAL)。
1.1.3定级指南编制原则通过分析可以发现上述定级方法分别在不同方面不能满足我国等级保护的需要,具体分析如下:●FIPS199可能是与我们的需求最为接近的一种信息系统定级方法,它以信息安全保密性、完整性和可用性需求中的最高者作为信息系统的安全等级,用于美国联邦政府信息系统的保护可能合适,但我国的等级保护面向国内所有行业,包括那些生产系统和自动化处理系统,这些系统对信息保密性要求不高,而对业务安全保障要求非常高,三性取高的定级方法,没有反映出这些系统的安全需求特点,可能造成对多数系统要求过高而无法实现。
●8510.1-M确定的是用于管理的认证级,各等级之间没有安全保护强度的差别,而等级保护的定级应当反映保护强度和保护能力的逐级提高。
●8500.2 没有明确提出定级方法,当两种信息保障类别排列出不同组合时,没有给出信息系统等级如何确定,但它提出两类信息保障的不同需求组合,反映信息系统不同安全需求的做法值得借鉴。
●IATF提出的是信息系统的强健性等级,不是信息系统安全等级,没有反映信息系统的安全需求。
但它提出了根据信息价值和信息系统面临的威胁环境强度决定信息系统的保护强度的概念,值得借鉴。
究其原因,上述国外标准和文献资料一般针对特定系统,在特定系统中适用,但不能满足我国在全国范围内、在所有行业内开展等级保护工作的要求。
因此必须在对国外资料进行研究和吸收的基础上,探索适合我国国情、简便易行的定级方法。
因此,等级保护的定级方法应反映出信息系统对国家安全、经济建设、社会生活重要程度的差异。
从这一点出发考虑,信息系统安全保护等级定级的出发点应当是信息系统所承载的业务,或称业务应用的重要性。
此外,我国的等级保护制度针对“涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括:国家事务处理信息系统(党政机关办公系统);财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统;教育、国家科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统;网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。
”(摘自《实施意见》)。
由此可以看出,《定级指南》既要有较大的通用性,也应具备一定的灵活性。
因此在编制过程中坚持以下原则:●满足管理要求原则:《定级指南》所确定的信息系统安全保护等级不是信息系统安全保障程度等级,因此也不是信息系统的技术能力等级,而是从国家管理的需要出发,从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息或信息系统被破坏后造成危害的严重性角度对信息系统确定的等级;●全局性原则:信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度,信息系统安全保护等级的定级也必须从国家层面考虑,体现全局性;●业务为核心原则:信息系统是为业务应用服务的,信息系统的安全保护等级应当反映信息系统承载业务的重要性,应以业务为出发点和核心,将信息重要性纳入业务重要性统筹考虑;●合理性原则:充分反映出信息系统的主要安全特征,优化结构、降低投资、突出重点,有效保护。
1.1.4主要编制过程《信息系统安全保护等级划分准则》初稿于2005年5月完成,其中提出了定级的四个要素:信息系统所属类型、业务数据类型、信息系统服务范围和业务自动化处理程度,通过信息系统所属类型和业务数据类型可以确定业务数据安全性等级,通过信息系统服务范围和业务自动化处理程度及调节因子,可以确定业务服务连续性等级。
经向业内专家,安全服务企业专家以及部分用户进行了较为广泛的征求意见,根据各方意见,编制小组对文档名称(建议改为定级指南)、形式和内容均进行了多处修改,形成《信息系统安全保护等级分准则定级指南》(以下简称《定级指南》)征求意见稿第1稿。
2005年10月国信办安全组召开定级评审专家组对《定级指南》征求意见稿第1稿进行了专家评审,根据评审意见,编制小组对文稿进行了修改。
主要修改为:在信息系统划分中将从业务流程角度划分与从业务类型角度划分两方面合并,补充说明设置调节因子的理由,将第五级的定级方法处理成在四级的基础上根据有关部门的需要另行制定。
由此形成定级指南征求意见稿第2稿。
2005年11月编制组分两次向定级评审专家组专家征求对定级指南征求意见稿第2稿的意见,根据专家意见,修改子系统划分方面内容,将信息系统/子系统统称为信息系统,明确定级对象是信息系统,信息系统内可以包含业务子系统,突出根据业务重要性划分信息系统。
进一步强调三性作为信息系统重要安全属性在确定定级要素赋值方面的作用,突出信息和服务两个定级指标,将调节因子的赋值方法从定值改为区间赋值,由此形成定级指南征求意见稿第3稿,即等级保护试点工作中采用的试用版本。
通过2006年1月-10月在全国开展的信息系统基础调查工作和等级保护试点工作,各试点单位将《定级指南》使用过程中发现的问题以书面形式提交公安部。
编写组根据试点单位提出的意见,取消调节因子,将四个定级要素改为业务信息类型、业务信息受到破坏影响的客体,系统服务类型和系统服务受到破坏影响的客体,由前两个要素确定业务信息安全性等级,后两个要素确定系统服务安全性等级。
为帮助使用者确定定级对象,增加了定级对象三个特征的描述,形成定级指南征求意见稿第4稿。
2007年4月对定级指南征求意见稿第4稿评审专家提出四个要素应分出主次,应当明确体现影响程度等意见。