TC260WG7N01_《信息安全事件分类分级指南》(编制说明)
信息安全技术 信息安全事件分类分级指南定义
信息安全技术综述信息安全技术一直是网络世界中备受关注的重要议题,随着网络技术的不断发展和普及,信息安全问题也变得空前严峻。
在这样的背景下,对于信息安全事件的分类、分级和指南定义显得尤为重要。
本文将从信息安全技术的角度出发,分析信息安全事件的分类和分级指南,帮助读者加深对信息安全的理解。
1. 信息安全事件的分类信息安全事件可以根据其性质、影响和原因等多个角度进行分类。
根据性质,信息安全事件可以分为技术性事件和非技术性事件。
技术性事件包括计算机病毒、网络攻击等,而非技术性事件则包括人为失误、管理漏洞等。
根据影响,信息安全事件可以分为个人信息泄露、财务损失等不同类型。
信息安全事件的原因也多种多样,可以是外部攻击、内部泄露等。
2. 信息安全事件的分级指南定义根据信息安全事件的性质和影响,我们可以对信息安全事件进行分级,并制定相应的指南来应对。
一般来说,信息安全事件可以分为一般事件、重要事件和严重事件三个级别。
一般事件可能导致一定的信息泄露或系统故障,但对整体业务影响较小;重要事件可能导致较大的信息泄露或损失,对业务有一定程度的影响;严重事件可能导致严重的信息泄露或系统瘫痪,对整体业务造成严重影响。
针对不同级别的信息安全事件,我们需要制定不同的指南和措施来进行防范和应对。
对于一般事件,我们可以设置相应的防护措施和备份机制来降低风险;对于重要事件,需要加强监控和应急预案的建立;对于严重事件,则需要采取紧急应对措施,同时进行全面的事后评估和修复工作。
3. 个人观点和理解作为信息安全技术的从业人员,我深刻理解信息安全的重要性,也清楚信息安全事件对个人和企业的潜在威胁。
我认为,信息安全事件的分类和分级指南定义对于提高信息安全意识、加强防范和提高应对效率非常重要。
只有通过对信息安全事件进行全面的分析和评估,我们才能更好地了解信息安全的薄弱环节,并制定相应的预防和控制措施。
总结回顾信息安全技术的重要性不言而喻,而信息安全事件的分类和分级指南定义更是保障信息安全的关键。
信息系统安全等级保护定级指南
信息系统安全等级保护定级指南信息系统安全等级保护定级指南本标准制定依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)。
范围:本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。
规范性引用文件:下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8信息技术词汇第8部分:安全GB-1999计算机信息系统安全保护等级划分准则术语和定义:本标准适用于GB/T 5271.8和GB-1999确立的术语和定义,以及以下术语和定义。
等级保护对象:信息安全等级保护工作直接作用的具体的信息和信息系统。
客体:受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。
客观方面:对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。
系统服务:信息系统为支撑其所承载业务而提供的程序化过程。
定级原理:信息系统安全保护等级根据等级保护相关管理文件,分为以下五级:第一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
信息安全技术 网络安全漏洞分类分级指南-编制说明
国家标准《信息安全技术网络安全漏洞分类分级规范》(草案)编制说明一、工作简况1.1 任务来源根据国家标准化委员会于2018年下达的国家标准修订计划,《信息安全技术网络安全漏洞分类分级指南》由中国信息安全测评中心作为承担单位。
该标准由全国信息安全标准化技术委员会归口管理。
1.2 主要起草单位和工作组成员本标准由中国信息安全测评中心(以下简称“国测”)牵头,国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、中国电子技术标准化研究院等多家单位共同参与编制。
1.3 主要工作过程(1)2018年5月,组织参与本标准编写的相关单位召开项目启动会,成立规范编制小组,确立各自分工,进行初步设计,并听取各协作单位的相关意见。
(2)2018年6月,编制组通过问卷调查的方式,向安全公司、专家收集关于分类分级国标的修订意见,整理相关意见形成了《信息安全漏洞分类分级修订建议调查情况》。
编制组同时对国内外漏洞分类分级的现状做了调研,整理出《信息安全漏洞分类分级修订相关情况调研与分析》报告,进一步佐证了标准修订的必要性以及提供了标准修订的依据。
(3)2018年7月,编制组结合充分的调研结果,参考CWE、CVSS等国际通用漏洞分类分级方法,提出详细的标准修订计划,形成标准草案第一稿。
(4)2018年8月,编制组召开组内研讨会,基于前期成果,经多次内部讨论研究,组织完善草案内容,形成草案第二稿。
(5)2018年9月,编制组继续研究讨论,并与国内其他漏洞平台运营单位进行交流,吸收各位专家的意见,反复修订完善草案,形成草案第三稿。
(6)2018年10月8日,编制组召开针对草案第三稿的讨论会,会上各参与单位的代表对漏洞分类分级的具体内容进行了深入讨论。
根据讨论结果,编制组对草案进行进一步修改,形成草案第四稿。
(7)2018年10月15日,安标委组织WG5组相关专家召开评审会,对项目进行评审,审阅了标准草案文本、编制说明、意见汇总表等项目相关文档,质询了有关问题,提出增加网络安全漏洞分类分级概述说明、细化编制说明、增加实验验证和使用情况说明、简化分级评价指标等意见。
信息安全技术分类指南 国标
信息安全技术分类指南国标导言信息安全技术的发展日新月异,涵盖的范围也日益扩大。
为了便于对信息安全技术进行系统的分类和理解,我国制定了一系列国家标准,其中关于信息安全技术分类的标准对于行业从业者具有指导意义。
本文将对国家标准中关于信息安全技术分类的内容进行详细介绍,以便读者更好地了解和应用这些标准。
一、信息安全技术分类的概念信息安全技术是指为了防止信息系统中信息的机密性、完整性和可用性遭到破坏或泄露而采取的各种技术手段和方法。
信息安全技术分类指南便是针对这些技术手段和方法进行的分门别类和归纳总结,使得从业者能够更清晰地了解信息安全技术的体系结构和应用范围。
二、信息安全技术分类的标准国家标准对信息安全技术分类提出了一系列规范和要求,其中主要包括以下几个方面的内容:1. 标准编号及名称:国家标准中确定了信息安全技术分类指南的标准编号及名称,以便对标准进行统一管理和应用。
2. 技术分类原则:国家标准明确了信息安全技术分类所遵循的原则,包括技术的适用范围、技术的独立性和综合性、技术的分类标准等。
3. 技术分类方法:国家标准对信息安全技术进行了详细的分类方法的说明,包括对技术进行分门别类的标准和规则等。
4. 技术分类体系:国家标准建立了一套完整的信息安全技术分类体系,将信息安全技术划分为不同的类别和子类别,以便于对各类技术进行系统的管理和应用。
5. 技术分类的应用:国家标准对信息安全技术分类的应用范围进行了详细说明,包括在信息系统设计、建设和运行管理等各个阶段的应用要求和指导意见。
三、信息安全技术分类的内容国家标准中对信息安全技术分类的内容主要包括以下几个方面:1. 密码技术:包括对称加密算法、非对称加密算法、散列算法等密码学相关的技术分类和应用指南。
2. 认证技术:包括身份认证、数字证书、生物特征识别等认证技术的分类和应用指南。
3. 安全通信技术:包括网络安全协议、虚拟专用网技术、防火墙技术等安全通信技术的分类和应用指南。
信息安全技术信息安全事件分类分级指南
信息安全技术信息安全大事分类分级指南1范围本指导性技术文件为信息安全大事的分类分级供给指导, 用于信息安全大事的防范与处置, 为事前预备、事中应对、事后处理供给一个根底指南,可供信息系统和根底信息传输网络的运营和使用单位以及信息安全主管部门参考使用。
2术语和定义以下术语和定义适用于本指导性技术文件。
2.1信息系统information system由计算机及其相关的和配套的设备、设施(含网络)构成的, 依据确定的应用目标和规章对信息进展采集、加工、存储、传输、检索等处理的人机系统。
2.2信息安全大事information security incident由于自然或者人为以及软硬件本身缺陷或故障的缘由, 对信息系统造成危害, 或对社会造成负面影响的大事。
3缩略语以下缩略语适用于本指导性技术文件。
MI: 有害程序大事(Malware Incidents)CVI: 计算机病毒大事(Computer Virus Incidents) W I:蠕虫大事(Worms Incidents)THI: 特洛伊木马大事(Trojan Horses Incidents)BI: 僵尸网络大事(Botnets Incidents)BAI: 混合攻击程序大事(Blended Attacks Incidents)WBPI:网页内嵌恶意代码大事( Web Browser Plug-Ins Incidents) N AI: 网络攻击大事(Network Attacks Incidents)DOSAI 拒绝效劳攻击大事(Denial of Service Attacks Incidents) BDAI:后门攻击大事(Backdoor Attacks Incidents)VAI: 漏洞攻击大事(Vulnerability Attacks Incidents)NSEI:网络扫描窃听大事(Network Scan & Eavesdropping Incidents) PI: 网络钓鱼大事(Phishing Incidents)II: 干扰大事(Interference Incidents)IDI: 信息破坏大事(Information Destroy Incidents)IAI: 信息篡改大事(Information Alteration Incidents)IMI: 信息假冒大事(Information Masquerading Incidents) I LEI:信息泄漏大事(Information Leakage Incidents)III: 信息窃取大事(Information Interception Incidents) I LOI:信息丧失大事(Information Loss Incidents)ICSI: 信息内容安全大事(Information Content Security Incidents)FF: 设备设施故障(Facilities Faults)SHF:软硬件自身故障( Software and Hardware Faults)PSFF:外围保障设施故障(Periphery Safeguarding Facilities Faults)MDA 人为破坏事故(Man-made Destroy Accidents)DI: 灾难性大事(Disaster Incidents) O I:其他大事(Other Incidents)4信息安全大事分类4.1考虑要素与根本分类信息安全大事可以是有意、过失或非人为缘由引起的。
信息安全事件分级PPT
特别重大事件(Ⅰ级)
• 特别重大事件是指能够导致特别严重影响 或破坏的信息安全事件,包括以下情况:
a) 会使特别重要信息系统遭受特别严重的系 统损失;
b) 产生特别重大的社会影响。
重大事件(Ⅱ级)
有害程序事件
• 有害程序事件是指蓄意制造、传播有害程序,或是 因受到有害程序的影响而导致的信息安全事件。
• 有害程序是指插入到信息系统中的一段程序,有害 程序危害系统中数据、应用程序或操作系统的保密 性、完整性或可用性,或影响信息系统的正常运行。
• 有害程序事件包括计算机病毒事件、蠕虫事件、特 洛伊木马事件、僵尸网络事件、混合攻击程序事件、 网页内嵌恶意代码事件和其它有害程序事件等7个 子类。
• 系统损失是指由于信息安全事件对信息系统的软硬 件、功能及数据的破坏,导致系统业务中断,从而 给事发组织所造成的损失,其大小主要考虑恢复系 统正常运行和消除安全事件负面影响所需付出的代 价,划分为特别严重的系统损失、严重的系统损失、 较大的系统损失和较小的系统损失。
• 社会影响是指信息安全事件对社会所造 成影响的范围和程度,其大小主要考虑 国家安全、社会秩序、经济建设和公众 利益等方面的影响,划分为特别重大的 社会影响、重大的社会影响、较大的社 会影响和一般的社会影响
• 信息安全事件的分类分级是快速有效处置信 息安全事件的基础之一。
信息安全事件定义
• 信息安全事件 information security incident 由于自然或者人为以及软硬件本身缺陷或故 障的原因,对信息系统造成危害,或对社会 造成负面影响的事件。
• 信息安全事件分为有害程序事件、网络攻击 事件、信息破坏事件、信息内容安全事件、 设备设施故障、灾害性事件和其他信息安全 事件等7个基本分类,每个基本分类分别包 括若干个子类。
信息安全事故定级与应急预案
信息安全事故定级与应急预案一、引言随着互联网的迅猛发展,信息安全问题日益凸显,各种信息安全事故频繁发生,给社会带来了巨大的损失和影响。
为了保障信息系统的安全性,减少事故发生的可能性以及降低事故给组织带来的危害,制定并执行合理有效的信息安全事故定级与应急预案显得尤为重要。
二、信息安全事故定级1. 定级的必要性信息安全事故定级是对不同信息安全事故进行分类和分级,以便组织能够针对不同级别的事故采取相应的应对措施。
合理的定级可以提高应急响应的效率,减少不必要的资源浪费。
2. 定级的原则(1)严重性原则:根据信息安全事故可能导致的危害程度来进行定级,包括对生命财产、声誉和市场的影响等方面进行综合评估。
(2)可能性原则:考虑到事故发生的可能性以及通过安全预防措施减少事故发生的概率。
(3)连带影响原则:评估事故可能会引发的连带影响,包括对其他系统或组织的影响等。
3. 定级的方法(1)定性与定量相结合:综合采用定性和定量的方法,对信息安全事故进行全面准确的评估。
(2)参考国内外标准:借鉴国际上常用的信息安全事故定级标准,结合本土实际进行调整和优化。
(3)制定评估指标体系:建立科学完善的信息安全事故评估指标体系,对事故的严重程度、可能性以及连带影响进行综合评估。
三、应急预案的编制1. 编制的重要性应急预案是在信息安全事故发生后采取的一系列有条理、有效的行动方案,旨在快速、高效地处置信息安全事故,最大程度地减少损失。
编制应急预案是组织对信息安全事故进行全面规划和准备的体现。
2. 编制的步骤(1)风险评估:基于信息安全风险评估结果,分析可能发生的信息安全事故,并确定不同级别事故的处理流程。
(2)资源分配:明确应急处理过程中所需的人员、设备、技术等资源,并合理配置。
(3)组织架构:明确应急预案的执行团队和各成员的职责和权限,建立组织架构和指挥体系。
(4)处置措施:制定对应不同级别事故的处置措施和流程,确保能够快速有效地应对事故。
信息安全事件分类分级与应急处理
信息安全事件其分他类信息安全事件
• 其他信息安全事件是指不能归为以上6个基 本分类的信息安全事件。
安徽省卫生厅信息中心
信息安全事件分级
安徽省卫生厅信息中心
信息安全事件分级分级考虑要素
信息安全事件分级安徽省卫生厅信息中心wwwahwstgovcn分级考虑要素系统损失指由于信息安全事件对信息系统的软硬件功能及数据的破坏导致系统业务中断从而给事发组织所造成的损失其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价信息安全事件分级安徽省卫生厅信息中心wwwahwstgovcn分级考虑要素较小的系统损失信息安全事件分级23安徽省卫生厅信息中心wwwahwstgovcn分级考虑要素特别严重的系统损失造成系统大面积瘫痪使其丧失业务处理能力或系统关键数据的保密性完整性可用性遭到严重破坏恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大对于事发组织是不可承受的
• 灾害性事件的防范: 火灾:火灾自动报警器(与大楼报警联动)、 火 灾探测器(烟感、温感)、气体灭火系统 水灾:防水处理(防水坝、漏水报警感应线等) 雷击:防雷接地系统
安徽省卫生厅信息中心
具体事例应急处理
安徽省卫生厅信息中心
27
信息安全事件分级分级考虑要
素
• 社会影响:
• 特别重大的社会影响 • 重大的社会影响 • 较大的社会影响 • 一般的社会影响
28
信息安全事件分级分级考虑要
素
• 特别重大的社会影响波及到一个或多个省市的大 部分地区,极大威胁国家安全,引起社会动荡, 对经济建设有极其恶劣的负面影响,或者严重损 害公众利益。
安徽省卫生厅信息中心
信息安全事件分类
信息内容安全事件
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《信息安全事件分类分级指南》(征求意见稿)编制说明一、项目背景目前国外对信息安全事件的分类分级还没有单独的标准和指南,不过在与信息安全事件相关的标准或文献中对信息安全事件的分类分级有所描述,例如ISO/IEC 18044《信息安全事件管理》、NIST SP 800-61《计算机安全事件处理指南》等。
18044给出了信息安全事件的定义,明确提出应建立用于给事件“定级”的信息安全事件严重性衡量尺度。
但18044没有给出如何确定事件的级别,以及事件级别的描述,只在附录给出了信息安全事件负面后果评估和分类的要点指南示例。
18044中没有给出具体的信息安全事件的分类,其第6节描述了信息安全事件及其原因的举例,介绍了拒绝服务、信息收集和未经授权访问三种信息安全事件。
在标准的附录A:信息安全事件报告单示例中,列出了在事件报告中可参考的事件类别。
NIST SP 800-61《计算机安全事件处理指南》针对安全事件处理,特别是安全事件相关数据的分析以及确定采用哪种方式来响应每一安全事件提供指南。
在本指南中没有明确给出计算机安全事件的定义,只是对安全事件作出了解释。
本治安介绍了安全事件的分类,但明确说明所列出的安全事件分类不是包罗一切的,也不打算对安全事件进行明确的分类。
2003年出版的LAND Europe在为European Commission Directorate-General Information Society研究并得到授权和赞助的《在欧盟国家中计算机和网络滥用立法规程手册》2002年中,提出一个计算机滥用和安全事件的分析框架来描述和分类。
手册将信息安全事件分成了九类。
并给出了它们的定义、使用的技术以及攻击方法和特点。
它只是将攻击行为描述成样本,而不是提供无一遗漏的清单。
在国内,北京市出台了《北京市国家机关重大信息安全事件报告制度(试行)》,并为配合报告制度,随同发布了《北京市国家机关信息安全事件定级指南(试行)》,其中对安全事件的分类分级做出了描述,并于05年进行了修订。
“国家网络与信息安全信息通报中心”为规范和指导通报成员单位的信息安全事件的通报工作,编写制定了《网络与信息安全事件分类分级办法》,本办法规定了信息安全事件的分类分级原则并对事件的各类别和级别进行了描述,还规定了事件的报告流程。
根据国家关于应急处理制度和网络与信息安全信息通报制度的有关文件精神和要求,急需制定信息安全事件分类分级的标准,来指导用户对信息安全事件进行分类定级,以便于更好的对信息安全事件进行应急处理和通报。
信息安全事件的应急处理和通报是国家信息安全保障体系中的重要环节,也是重要的工作内容。
信息安全事件的分类分级是应急处理和通报的基础。
制定《信息安全事件分类分级指南》的目标是对信息安全事件进行合理的分类分级,其意义在于:①促进信息安全事件信息的交流和共享;②提高信息安全事件应急处理和通报的自动化程度;③提高信息安全事件应急处理和通报的效率和效果;④利于对信息安全事件进行统计分析;⑤利于信息安全事件严重程度的确定。
《信息安全事件分类分级指南》课题组在积极学习、研究、分析相关国际标准及资料的同时,组织编写了《信息安全事件分类分级指南》,主要用于为国内各组织实施应急处理和通报提供借鉴和参考,另外,更重要的是以国内各组织的实际需求为基础,研究合理的信息安全事件分类分级规范,为进一步促进该项工作,特向各专家广泛征求意见。
二、内容概述现今信息安全问题日益凸现,信息安全事件时常发生,而且还没有一劳永逸的解决方案能够完全消除所有的信息安全风险。
《信息安全事件分类分级指南》规定了信息安全事件的分类分级规范,用于信息安全事件的防范与处置,为事前准备、事中应对、事后处理提供一个基础指南,可供信息系统的运营和使用组织参考使用。
本标准旨在给出信息安全事件分类分级的普适性原则,各单位在使用时,可根据本标准规定的原则,结合自己单位的实际情况,制定适合自己单位的行业或部门规范,以便于操作。
2.1 术语和定义本指南给出了信息系统以及信息安全事件的定义。
信息安全事件一般发生于信息系统之中,但目前的标准中缺乏对信息系统的准确定义,因此,本指南在研究相关资料的基础上,定义了信息系统的术语,参考了《中华人民共和国计算机信息系统安全保护条例》中关于“计算机信息系统”的定义。
一个准确的信息安全事件的定义对于理解掌握信息安全事件的内涵非常关键,另外,定义也要给出对信息安全事件的界定。
本指南通过对现有信息安全事件的研究分析,对其特征进行归纳和总结,并参考其他标准以及专家的反馈意见,根据现有的一些定义结合项目要求总结出了信息安全事件的定义:由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件。
2.2 信息安全事件分类信息安全事件的分类有利于对事件的快速确认,本指南给出了信息安全事件的分类规范,将事件划分为七个基本类别:有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等。
这七个基本分类的划分主要考虑了信息安全事件发生的原因、表现形式等,以体现事件分类的可操作性,另一方面,为更清晰的对信息安全事件的类别进行说明,突出事件分类的科学性,本指南还给出了二层子类的划分。
其中“有害程序事件”不仅仅包括由“计算机病毒”所导致的信息安全事件,还包括由蠕虫、木马、僵尸网络、混合攻击程序以及网页内嵌恶意代码等所导致的信息安全事件。
对于此概念的解释,我们参考了NIST SP 800-83中“Malware”的概念,同时结合我国的实际情况,对其进行了调整。
信息内容安全事件由于其特殊性,没有完全按照其他类别的格式来描述。
由于信息安全事件本身具有发生、发展以及事件发生后人们对事件认识程度会不断深入的特性,因此,信息安全事件的分类具有动态性的特点。
这意味着对同一信息安全事件的分类,从事中应对、事后处理的整个过程中的不同阶段可能有不同的结果。
另外,由于人们认知水平的差异性、局限性以及事件本身的复杂性,信息安全事件发生后,人们对信息安全事件的行为、表现形式、关注度、发生频度等方面的认识会有较大的差异,在事件处理完毕、最终的评估分析结果确定之前,对信息安全事件的分类更多地取决于事件的判别主体对事件已知信息的快速汇总分析和主观判断的结果。
因此,事件的分类具有主观性的特点。
信息安全事件分类是一个由粗逐步细化的过程。
根据直观判断,可以对部分信息安全事件进行基本分类;借助工具和经验,可以对不能通过直观判断分类的信息安全事件进行基本分类和二层分类。
由于事件的动态性和认识事件的主观性,有时候无法对信息安全事件进行深入分类,事件分类流程可以中止在基本分类。
在借助工具判断时,可使用的工具有:各种类别的扫描工具、入侵检测系统、杀毒软件、日志分析工具、完整性校验工具等。
2.3 信息安全事件分级对信息安全事件进行分级的主要目的是使用户可以根据不同的级别,制定并在需要时启动相应的事件处理流程,级别描述的准确与否会影响用户对事件级别的确定。
本指南力求在对信息安全事件进行分级时,做到科学准确、描述严密,同时本指南主要用于信息安全事件的防范与处置,因此分级要考虑应急响应的因素,为与《国家突发公共事件总体应急预案》的相关内容相协调,本指南将信息安全事件划分为四级:特别重大事件(Ⅰ级)、重大事件(Ⅱ级)、较大事件(Ⅲ级)和一般事件(Ⅳ级),并给出了级别划分的主要参考要素:信息系统的重要程度、系统损失和社会影响。
信息系统的重要程度主要考虑信息系统所承载的业务对国家、社会和公众的重要性,以及业务对信息系统的依赖程度,可据此划分为特别重要信息系统、重要信息系统和一般信息系统;系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏,导致系统业务中断,从而给事发组织和国家所造成的损失,其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价;社会影响是指信息安全事件对社会所造成影响的范围和程度,其大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响,其中“国家安全、社会秩序、经济建设和公众利益”四个词汇引自66号文:“关于信息安全等级保护工作的实施意见”。
在使用信息系统的重要程度、系统损失和社会影响这三个参考要素确定事件级别时,为避免形成复杂的矩阵关系,我们将每个级别的满足条件分两个方面进行阐述,其中第一个方面主要考虑信息系统的重要程度和系统损失,第二个方面主要考虑社会影响,这两个方面是或的关系,满足其中任一个条件,都属于此级别。
在对信息系统的重要程度进行分级描述时,没有对特别重要信息系统、重要信息系统和一般信息系统做出解释,我国的等级保护制度已经在这方面做出了规定,为与等级保护制度相对应,特别重要信息系统对应于信息系统等级保护中的4级和5级系统,重要信息系统对应于3级系统,一般信息系统对应于1级和2级系统。
另外,在分级时的一个原则是:“在特别重要信息系统中发生的最大级别事件为特别重大事件,在重要信息系统中发生的最大级别事件为重大事件,在一般信息系统中发生的最大级别事件为较大事件。
”对于分级规范的描述,考虑到不同的组织有不同的需求,很难用统一的定量的方式描述定义的参考要素,因此在本指南中,我们基本采用了抽象的描述方式,而没有给出细粒度的量化,各组织在使用本指南时,可根据分级原则,结合组织的实际业务情况,确定不同级别的具体量化指标,以此指导信息安全事件的定级。
三、编制过程为制定《信息安全事件分类分级指南》做准备,根据安标委WG7工作组的安排,2005年9月28日,由北京知识安全工程中心牵头,在中心召开了信息安全事件分类分级研讨会,邀请了多位专家出席。
此次研讨会在《信息安全事件分类分级指南》编制课题负责人赵战生教授的主持下,重点讨论研究了信息安全事件分类分级中的几个关键问题,包括信息安全事件分类分级的目的、标准使用的范围、信息安全事件的定义、分类原则以及分级原则等,与会专家表达了自己对这些关键问题的看法。
2005年10月27日,由北京知识安全工程中心牵头,成立了《信息安全事件分类分级指南》编制课题组,课题组成员包括:赵战生、徐国爱、高志民、王连强、笋大伟、谢宗晓。
课题组在11月4日召开讨论会,在9月28日会议纪要的基础上,对几个关键问题初步达成了一致意见,并形成了基本的任务分工,明确了标准的编写期限。
在经过《信息安全事件分类分级指南》编制课题组多次讨论的基础上,2005年11月底形成了《信息安全事件分类分级指南》的初稿,后经过修正与完善,最终于2005年12月14日形成了征求意见稿。
随后将征求意见稿在部分专家范围内征求意见,于2005年12月20日召开了第一次专家评审会,与会专家经过讨论研究,提出了一些改进的建议。