信息安全等级保护定级指南

合集下载

信息系统信息安全等级保护定级指南

信息系统信息安全等级保护定级指南

信息系统信息安全等级保护定级指南你想想,这些信息系统就像是一个个家门口的铁门,防得住小偷,挡得住坏人。

问题是,你的铁门到底得有多坚固?这就涉及到“定级”问题了。

简单来说,定级就是你得评估一下,你家的“铁门”值多少分,能防住多大的威胁。

为了确保信息不被人偷走,也不让重要的事情暴露出去,国家制定了这么一套标准,帮助企业和组织对自己的系统安全进行评级。

别看这玩意儿名字复杂,实际上说白了就是把信息系统分成几个等级,给它们穿上合适的“防护服”。

信息安全的定级到底有啥用呢?简单来说,它能告诉你:这个系统能抵挡的威胁有多大,万一被攻击了,损失能有多严重。

如果系统的等级高,那它的安全要求就高,你得做得更精细,花更多心思去防护。

反过来,如果系统级别低,那你也可以稍微放松点,但也不能完全掉以轻心——毕竟,低级别的防护不代表没风险,谁知道小偷什么时候打破门槛呢?举个例子,假设你的公司搞的是医疗数据管理,涉及到病人的隐私信息。

如果被黑客入侵,后果可就严重了。

因为一旦个人数据泄露,不仅会给公司带来巨大的经济损失,还可能涉及到法律责任。

那你觉得,这样的系统是不是得定个高级别?反过来,如果是一个小小的博客网站,涉及的只是一些无关紧要的内容,那可能就没那么高的安全需求了,定个低级别也行。

不过,说到这里,也不能以为定级就完事儿了。

定级只是个起点,真正的挑战在于如何把定下来的等级落实到实际的安全措施上。

你得根据自己的定级要求,做出相应的技术和管理措施。

比如高级别系统,得有强力的防火墙、入侵检测系统、加密技术等等,确保信息不被泄露。

别小看这些技术,它们可不是一两块钱就能解决的,得好好预算一番,才能搭建出一套符合定级要求的系统。

你还得定期检查、评估,看看自己系统的安全防护到底是不是“硬如铁”。

别到时候等黑客已经把门撞开了,你才发现自己“铁门”上那把锁其实是纸糊的。

这就像是你家门口的狗,如果它天天吃得不好,没力气守家了,那你怎么能放心让它看门呢?所以定级之后,得时刻维护,确保你的安全措施始终在线,不能掉以轻心。

信息系统安全等级保护定级指南

信息系统安全等级保护定级指南

信息系统安全等级保护定级指南信息系统安全等级保护定级指南本标准制定依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)。

范围:本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。

规范性引用文件:下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件,其最新版本适用于本标准。

GB/T 5271.8信息技术词汇第8部分:安全GB-1999计算机信息系统安全保护等级划分准则术语和定义:本标准适用于GB/T 5271.8和GB-1999确立的术语和定义,以及以下术语和定义。

等级保护对象:信息安全等级保护工作直接作用的具体的信息和信息系统。

客体:受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。

客观方面:对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。

系统服务:信息系统为支撑其所承载业务而提供的程序化过程。

定级原理:信息系统安全保护等级根据等级保护相关管理文件,分为以下五级:第一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

信息安全技术信息系统安全等级保护定级指南

信息安全技术信息系统安全等级保护定级指南

信息安全技术信息系统安全等级保护定级指南信息安全是指保障信息系统在使用中的安全性。

信息安全的目的是保护数据、网络和介质的完整性,确保对组织敏感性信息的保密性、完整性和可用性。

信息安全包括硬件安全、软件安全、通信安全和管理安全。

本文旨在介绍基于信息安全技术的信息系统安全等级保护定级指南。

首先,信息安全技术在保护信息系统安全中扮演着重要的角色。

实施信息安全技术,可以提高信息系统的安全性,降低攻击的可能性,并确保数据和信息的完整性。

常见的信息安全技术包括加密技术、认证技术、数据库安全技术、网络安全技术、防病毒技术等。

其次,信息系统可以根据其安全等级进行保护定级,即根据系统的攻击概率和损失大小,分配不同的安全等级,从而确定安全控制措施和安全基线措施。

通常,信息系统安全等级可以分为5级,分别为安全等级I、安全等级II、安全等级III、安全等级IV和安全等级V,安全等级V是最高等级,也就是说,安全等级V的信息系统的安全性最高。

最后,要正确评估信息系统的安全等级,必须充分考虑安全控制的有效性和可负担性,并依照业界建议的安全实践来分配恰当的安全等级。

例如,可以根据ISO/IEC,BSI,NIST,OWASP,CWSS和其他安全框架,对信息系统进行安全定级。

此外,还可以采用安全测试和审计,以识别系统中存在的安全漏洞,并且可以根据安全测试和审计的结果,对信息系统的安全等级进行评估和调整。

总之,基于信息安全技术的信息系统安全等级保护定级指南旨在提高信息系统的安全性,减少攻击的可能性,并使信息系统更加安全和可靠。

信息安全技术是保障信息系统安全的基础,而信息系统安全等级保护定级是保护信息系统安全的重要手段。

在评估信息系统安全等级时,必须充分考虑安全控制的有效性和可负担性,并根据业界建议的安全实践和安全测试、审计结果,对信息系统安全等级进行评估和调整。

信息安全技术信息系统安全等级保护定级指南

信息安全技术信息系统安全等级保护定级指南

信息安全技术信息系统安全等级保护定级指南在当今数字化的时代,信息系统已经成为了企业、组织乃至整个社会运转的重要支撑。

然而,伴随着信息系统的广泛应用,信息安全问题也日益凸显。

为了保障信息系统的安全稳定运行,保护公民、法人和其他组织的合法权益,我国制定了信息系统安全等级保护制度。

其中,定级是等级保护工作的首要环节和关键步骤,它决定了信息系统所需采取的安全保护措施和投入的资源。

本文将为您详细介绍信息系统安全等级保护定级的指南。

一、信息系统安全等级保护定级的重要性信息系统安全等级保护定级是对信息系统的重要性和潜在风险进行评估和划分等级的过程。

其重要性主要体现在以下几个方面:1、明确安全责任:通过定级,能够明确信息系统所有者、运营者和使用者在信息安全方面的责任和义务,确保各方对信息安全工作有清晰的认识和目标。

2、合理配置资源:根据信息系统的等级,合理分配安全防护资源,避免过度投入或投入不足,提高安全防护的效率和效果。

3、提高安全意识:定级过程能够促使相关人员增强对信息安全的重视,提升整体的安全意识和防范能力。

4、满足法律法规要求:符合国家关于信息安全等级保护的法律法规和政策要求,避免因未履行相关义务而面临法律风险。

二、信息系统安全等级保护定级的原则在进行信息系统安全等级保护定级时,需要遵循以下原则:1、自主定级原则:信息系统的运营使用单位应当按照相关标准规范,自主确定信息系统的安全保护等级。

2、客观公正原则:定级过程应当基于信息系统的实际情况,客观、公正地评估其重要性和潜在风险,不受主观因素的干扰。

3、科学合理原则:采用科学的方法和手段,综合考虑信息系统的业务特点、数据类型、用户规模等因素,合理确定等级。

4、动态调整原则:信息系统的安全保护等级应根据其变化情况进行动态调整,确保等级的准确性和有效性。

三、信息系统安全等级保护的等级划分信息系统安全等级保护分为五级,从低到高依次为:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)和第五级(专控保护级)。

等级保护定级指南

等级保护定级指南

为什么要实施等级保护毒
3Q大战
荆州市商务局
沧州电信泄密
网站篡改
敏感数据泄密
钓鱼网站
假冒的中国工商银行网站
真正的中国工商银行网站
扬州市城乡建设局网站(/)
我们身边的重大安全事件案例
• 深圳市10万孕妇信息泄露 1.2万元一张光盘 贩卖 怀疑卫生局、计生委 • 广东电网珠海供电局无人值守终端向互联 网扫描 导致GDCERT告警 • 广州市政府机关网络信息中心UPS电池火 灾 瘫痪72小时 • 广州市越秀区教育局门户网站域名过期抢 注变色情网站 • 广州市破获省人事厅网站被入侵案,带破 福建省建设信息网等10多起黑客入侵案件 。
受到破坏时侵害了什 么?(客体) • 公民、法人 • 社会秩序、公共利益 • 国家安全
信息系统安全保 护等级
系统服务范围 业务服务保 证性 业务依赖程度
侵害的程度如何? (对客体造成侵害 的程度) • 一般损害 • 严重损害 • 特别严重损害
等级保护组合可能性
安全等级
第一级 第二级 第三级 S1A1G1 S1A2G2,S2A2G2,S2A1G2 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
第二级
指导性保护
Байду номын сангаас第三级
监督性保护
国家安全
社会秩序和公共利益
损害
特别严重损害 强制性保护 专控性保护
国家安全 极端重要系 统
国家安全
严重损害
特别严重损害
定级三条件
• 具有唯一确定的安全责任单位 • 满足信息系统的基本要素 • 承载相对独立的业务应用
定级对象识别与划分
• 可能使定级要素赋值不同因素
– 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。 • • 本身运行在不同的网络环境中的系统。 分不开的系统,按照高级别保护。

信息安全-技术网络安全等级保护定级指南

信息安全-技术网络安全等级保护定级指南

信息安全-技术网络安全等级保护定级指南下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。

文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!信息安全技术网络安全等级保护定级指南第一部分:引言。

信息系统安全等级保护定级指南

信息系统安全等级保护定级指南

信息系统安全等级保护定级指南1. 引言信息系统的安全等级保护定级对于保障信息系统的安全性至关重要。

本指南旨在给予系统管理员和安全团队一个关于信息系统安全等级保护定级的概述,以及相关的指导原则和建议。

2. 定义2.1 信息系统安全等级信息系统安全等级是对信息系统重要性和需求的一种标识。

根据信息系统对机密性、完整性、可用性、可信任性等方面的需求,将信息系统划分为不同的安全等级。

2.2 信息系统安全等级保护定级信息系统安全等级保护定级是根据信息系统的特性、功能、数据资产等因素,对信息系统进行安全等级评估,并给予相应的等级保护定级。

3. 安全等级保护定级的原则安全等级保护定级需要遵循以下原则:3.1 风险分析和评估在进行定级之前,需要对信息系统进行全面的风险分析和评估。

考虑到信息系统的特点和可能存在的威胁,以及可能造成的损失,评估系统中的安全风险。

3.2 机密性、完整性和可用性考虑信息系统的机密性、完整性和可用性需求。

不同的信息系统可能对这些方面的需求有所不同,因此在定级时需要充分考虑这些需求。

3.3 法律法规和标准要求根据相关的法律法规和标准要求,确定信息系统的安全等级。

不同的行业和地区对信息系统的安全等级有不同的要求,需要充分考虑这些因素。

3.4 保护资源的价值和重要性保护资源的价值和重要性是定级的重要因素。

信息系统中的数据、设备以及其他资源可能具有不同的价值和重要性,需要根据这些因素来确定安全等级。

3.5 平衡成本和效益定级需要在成本和效益之间进行平衡。

评估不同等级所需的投入和可能获得的效益,选择适当的等级保护方案。

4. 安全等级保护定级方法4.1 安全等级划分根据系统的特点和需求,将信息系统划分为不同的安全等级。

常见的安全等级划分包括:低、中、高三个等级,也可以根据实际情况划分更多的等级。

4.2 安全需求分析对不同安全等级的信息系统,进行安全需求分析。

根据机密性、完整性、可用性等方面的需求,确定不同等级信息系统的安全要求。

信息系统安全等级保护定级指南

信息系统安全等级保护定级指南

前言本标准由公安部和全国信息安全标准化技术委员会提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位:公安部信息安全等级保护评估中心。

本标准主要起草人:任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。

引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括:——GB/T BBBBB-BBBB信息系统安全等级保护基本要求;——GB/T CCCCC-CCCC信息系统安全等级保护实施指南;——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。

本标准依据等级保护相关管理文件,从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出确定信息系统安全保护等级的方法。

信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。

2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件,其最新版本适用于本标准。

GB/T 5271.8 信息技术词汇第8部分:安全GB17859-1999 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。

3.1等级保护对象 target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

附件2信息系统安全保护等级定级指南(试用稿)公安部二〇〇五年十二月目次1范围 (11)2术语和定义 (11)2.1 业务信息(Business Information) (11)2.2 业务信息安全性(Security of Business Information) (11)2.3 业务服务保证性(Assurance of Business Service) (11)2.4 信息系统(Information System) (11)2.5 业务子系统(Business Subsystem) (11)3定级对象 (11)3.1 信息系统的划分 (12)3.2 信息系统和业务子系统 (12)4决定信息系统安全保护等级的要素 (12)4.1 决定信息系统重要性的要素 (13)4.2 定级要素赋值 (13)5确定信息系统安全保护等级的步骤 (15)6信息系统安全保护等级的确定方法 (16)6.1 确定业务信息安全性等级 (16)6.2 确定业务服务保证性等级 (16)6.3 确定信息系统安全保护等级 (18)7信息系统安全保护等级的调整 (18)8附录 (20)8.1 实例1 (20)8.2 实例2 (21)信息系统安全保护等级定级指南1范围本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。

有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统,该系统的安全保护等级定为5级,不再使用本指南的方法定级。

各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。

2术语和定义下列术语和定义适用于本指南。

2.1 业务信息(Business Information)为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。

2.2 业务信息安全性(Security of Business Information)保证业务信息机密性、完整性和可用性程度的表征。

2.3 业务服务保证性(Assurance of Business Service)保证信息系统完成业务使命程度的表征。

业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。

2.4 信息系统(Information System)基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。

2.5 业务子系统(Business Subsystem)由信息系统的一部分组件构成,是信息系统中能够承载某项业务工作的子系统。

3定级对象如果信息系统只承载一项业务,可以直接为该信息系统确定等级,不必划分业务子系统。

如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级,信息系统的安全保护等级由各业务子系统的最高等级决定。

信息系统是进行等级确定和等级保护管理的最终对象。

3.1 信息系统的划分一个组织机构内可能运行一个或多个信息系统,这些信息系统的安全保护等级可以是相同的,也可以是不同的。

为体现重点保护重要信息系统安全,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,在进行信息系统的划分时应考虑以下几个方面:1)相同的管理机构信息系统内的各业务子系统在同一个管理机构的管理控制之下,可以保证遵循相同的安全管理策略。

2)相同的业务类型信息系统内的各业务子系统具有相同的业务类型,安全需求相近,可以保证遵循相同的安全策略。

3)相同的物理位置或相似的运行环境信息系统内的各业务子系统具有相同的物理位置或相似的运行环境意味着系统所面临的威胁相似,有利于采取统一的安全保护。

3.2 信息系统和业务子系统按照信息系统的定义,典型的信息系统应由计算机硬件设备(包括服务器设备、客户端设备、打印机及存储器等外围设备)、计算机网络硬件设备(包括交换机、路由器、各种适配器以及通信线路等)、安装于这些硬件设备上的软件、所提供的服务以及相关的人员构成。

信息系统内的各业务子系统一般有较为紧密的关联,可能存在共用设备或较为频繁的数据交换。

业务子系统是按照信息系统所承载的业务对信息系统进行划分所形成的子系统。

业务子系统是信息系统中可以为定级要素赋值的最小单元,业务子系统应具有信息系统的全部特点,应该是由计算机硬件、计算机网络硬件以及安装于这些硬件上的软件、提供的服务以及相关人员构成的一个有形实体,并且承载确定的业务。

如无特殊说明,本文以下各章节所描述的信息系统指信息系统和业务子系统。

4决定信息系统安全保护等级的要素信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度决定,从另一个角度看,信息系统重要程度越高,其遭到破坏后对国家安全、经济建设、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度也越高。

4.1 决定信息系统重要性的要素信息系统的重要性由以下要素决定:1)信息系统所属类型,即信息系统资产的安全利益主体。

2)信息系统主要处理的业务信息类别。

3)信息系统服务范围,包括服务对象和服务网络覆盖范围。

4)业务对信息系统的依赖程度。

其中第1、2个要素决定信息系统内信息资产的重要性,第3、4个要素决定信息系统所提供服务的重要性,而信息资产及信息系统服务的重要性决定了信息系统的重要性。

4.2 定级要素赋值4.2.1信息系统所属类型及赋值信息系统所属类型在较大程度上决定了信息系统受到破坏后对其社会价值的影响程度,根据社会影响高低,典型的信息系统所属类型、赋值及其社会影响如表1所示。

表1 信息系统所属类型赋值表4.2.2业务信息类型及赋值根据信息系统中业务信息机密性、完整性或可用性被破坏后,对国家安全利益、经济建设、公共利益或单位利益的影响程度,典型的业务信息类型、赋值及其安全影响如表2所示。

表2 业务信息类型赋值表4.2.3信息系统服务范围及赋值根据信息系统因完整性和可用性受到破坏,无法提供服务或无法提供有效服务造成的社会影响范围大小,典型的信息系统服务范围、赋值和相关影响如表3所示。

表3 信息系统服务范围赋值表4.2.4业务依赖程度赋值根据信息系统因完整性和可用性受到破坏,无法提供服务或无法提供有效服务对单位完成其使命的最大影响程度,典型的业务依赖程度、赋值及相关影响如表4所示。

表4 业务依赖程度赋值表5确定信息系统安全保护等级的步骤为确定信息系统的安全保护等级,首先要确定信息系统内各业务子系统在4个定级要素方面的赋值,然后分别由4个定级要素确定业务信息安全性和业务服务保证性两个定级指标的等级,再根据业务信息安全性等级和业务服务保证性等级确定业务子系统安全保护等级,最后由信息系统内各业务子系统的最高等级确定信息系统的安全保护等级。

具体步骤如图1所示。

图1等级确定图示图1确定信息系统系统保护等级的步骤具体描述如下:1)参照4.2.1、4.2.2、4.2.3和4.2.4节内容为信息系统所属类型、业务信息类型、信息系统服务范围和业务依赖程度赋值;2)根据6.1和6.2节内容确定两个定级指标——业务信息安全性等级和业务服务保证性的等级,业务信息安全性等级体现信息资产重要性,业务服务保证性等级体现信息系统服务重要性;3)由两个定级指标的较高者确定业务子系统的安全保护等级;4)由信息系统内所有业务子系统的最高等级,确定信息系统的安全保护等级。

值得注意的是,等级的确定可能不是一个过程就可以完成的,可能要经过信息系统划分、赋值、定级、调整、重新赋值、再定级、再调整的循环过程,通过不断反馈和调整,最终确定出较为适当的信息系统安全保护等级。

6信息系统安全保护等级的确定方法6.1 确定业务信息安全性等级将信息系统所属类型的赋值(1,2,3)与业务信息类型的赋值(1,2,3)构成一个3 3矩阵,去掉不合理的交叉点,构成业务信息安全性等级矩阵,如表5所示。

表5 业务信息安全性等级矩阵表6.2 确定业务服务保证性等级将信息系统服务范围的赋值(1,2,3)与业务依赖程度的赋值(1,2,3)构成一个3 3矩阵,构成业务服务保证性取值矩阵,如表6所示。

表6 业务服务保证性取值矩阵表考虑信息系统服务范围和业务依赖程度两个因素赋值时均没有涉及国家安全利益,因此增加调节因子k,以反映信息系统无法提供服务或无法提供有效服务所造成损失对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的影响程度。

调节因子k的取值范围为大于0小于1的数值,可根据信息系统服务的影响程度参照表7进行选取。

表7 调节因子取值表将调节因子与业务服务保证性取值相乘,根据所得结果,选取相应的业务服务保证性等级。

考虑到调节因子为主观选取,存在一定的不确定性,相乘结果与业务服务保证性等级的对应中存在一定的交叠,对这一部分相乘结果,信息系统的相关定级人员可以根据本系统的具体情况适当选择。

由于一级系统没有必要调节,表8列出对业务服务保证性取值为2、3、4的调节结果。

表8 调节后的业务服务保证性等级6.3 确定信息系统安全保护等级业务子系统的安全保护等级由业务信息安全性等级和业务服务保证性等级较高者决定。

信息系统的安全保护等级由各业务子系统的最高等级决定。

7信息系统安全保护等级的调整根据本指南第4、5、6章的步骤和方法,信息系统的运行、使用单位确定的信息系统安全保护等级,信息系统的决策者或上级主管部门可根据系统的特殊需求进行调整,但调整只能调高等级而不能降低等级。

信息系统的安全保护等级和采取的基本安全保护措施是有对应关系的,信息系统的运行、使用单位虽然可以根据系统的特殊安全需求对一些安全保护措施进行增强,但整体上的安全保护水平还是原来的级别,如果考虑系统的特殊需求,需要加强保护,可提升级别,提高整体安全保护水平。

信息系统的决策者或上级主管部门可根据系统的特殊安全需求进行等级调整,可以参考以下因素:1)上级主管部门在政策和管理方面的特殊要求。

2)预测业务信息可能会随着时间的变化从量变转化为质变。

3)业务依赖程度在将来会进一步提高,或随着信息系统所承载的业务不断完善和稳定,与信息系统并行的手工处理(或老的系统)的业务将有可能取消。

4)信息系统服务范围随着业务的发展,将会有较大的变化。

8附录为方便信息系统的主管部门和运营使用单位相关人员确定本单位信息系统的安全保护等级,本章给出了信息系统定级的两个实例。

8.1 实例1系统简述:某省政府网站系统ZFWZ,用于发布政务公开信息、地方行政法规和管理措施、领导讲话、政府办事流程、新闻发布、政府公告、举报投诉、省内经济形势介绍、电子表单下载等信息,服务对象主要是省内企业和市民。

ZFWZ系统等级分析:1、ZFWZ系统是省政府对社会办公的窗口,其类型为党政机关处理国家事务的信息系统,其信息系统所属类型赋值为3;2、网站信息属公开信息,信息被破坏不会对国家利益和社会利益造成严重损害,其业务信息类型赋值为1;3、查表知ZFWZ系统的业务信息安全性等级为2级,如下表9所示。

相关文档
最新文档