信息安全等级保护制度

《信息安全等级保护制度》由会员分享，可在线阅读，更多相关《信息安全等级保护制度（51页珍藏版）》请在装配图网上搜索。

1、信息安全等级保护制度信息安全等级保护制度信息安全等级保护定级和备案信息安全等级保护定级和备案广东省公安厅网警总队广东省公安厅网警总队 林雁飞林雁飞20072007年年9 9月月提提 纲纲 一、主要工作措施一、主要工作措施 二、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 四、备案四、备案一、主要工作措施一、主要工作措施 开展信息系统基本情况的摸底调查开展信息系统基本情况的摸底调查 初步确定安全保护等级初步确定安全保护等级评审与审批评审与审批 备案备案二、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 信

2、息系统的安全保护等级应当根据信信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。的合法权益的危害程度等因素确定。二、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 第一级，信息系统受到破坏后第一级，信息系统受到破坏后会对公民、法人和其他组织的合法权益造成损害会对公民、法人和其他组织的合法权益造成损害但不损害国家安全、社会秩序和公共利益但不损害

3、国家安全、社会秩序和公共利益 二、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 第二级，信息系统受到破坏后第二级，信息系统受到破坏后 会对公民、法人和其他组织的合法权益会对公民、法人和其他组织的合法权益产生严重损害产生严重损害 或者对社会秩序和公共利益造成损害，或者对社会秩序和公共利益造成损害，但不损害国家安全但不损害国家安全二、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 第三级，信息系统受到破坏后第三级，信息系统受到破坏后 会对社会秩序和公共利益造成严重损害会对社会秩序和公共利益造成严重损害 或者对国家安全造成损害或者对国家安全造成损害 二、信息安全保护等级

4、的划分和标准二、信息安全保护等级的划分和标准 第四级，信息系统受到破坏后第四级，信息系统受到破坏后 会对社会秩序和公共利益造成特别严重会对社会秩序和公共利益造成特别严重损害损害 或者对国家安全造成严重损害或者对国家安全造成严重损害 二、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 第五级，信息系统受到破坏后第五级，信息系统受到破坏后 会对国家安全造成特别严重损害会对国家安全造成特别严重损害 二、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 信息系统分为所处理的业务信息和作为整体信息系统分为所处理的业务信息和作为整体的系统服务两个层次的系统服务两个层次信息系统安全

5、保护等级由业务信息和系统服信息系统安全保护等级由业务信息和系统服务两个层次的安全等级之中的较高中决定务两个层次的安全等级之中的较高中决定二、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 决定信息系统的安全保护等级由两个定级要决定信息系统的安全保护等级由两个定级要素决定素决定受到破坏时侵害了什么（客体）受到破坏时侵害了什么（客体）侵害的程度如何（对客体造成侵害的程度）侵害的程度如何（对客体造成侵害的程度）二、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 等级保护对象受到破坏时所侵害的客体等级保护对象受到破坏时所侵害的客体公民、法人和其他组织的合法权益公民、法人和其

6、他组织的合法权益社会秩序、公共利益社会秩序、公共利益国家安全国家安全 二、信息安全保护等级的划分和标准二、信息安全保护等级的划分和标准 对客体造成侵害的程度对客体造成侵害的程度造成一般损害造成一般损害造成严重损害造成严重损害造成特别严重损害造成特别严重损害三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 定级范围定级范围 电信、广电行业的公用通信网、广播电视传输网等基础信电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。务单位、数据中心等单位的重

7、要信息系统。铁路、银行、海关、税务、民航、电力、证券、保险、外铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。生产、调度、管理、办公等重要信息系统。市（地）级以上党政机关的重要网站和办公信息系统。市（地）级以上党政机关的重要网站和办公信息系统。涉及国家秘密

8、的信息系统（以下简称涉密信息系统）涉及国家秘密的信息系统（以下简称涉密信息系统）三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 定级工作步骤定级工作步骤 第一步：确定定级对象第一步：确定定级对象 作为定级对象的信息系统应具有如下基本特征：作为定级对象的信息系统应具有如下基本特征：1.1.具有唯一确定的安全责任单位。具有唯一确定的安全责任单位。2.2.具有信息系统的基本要素。具有信息系统的基本要素。3.3.承载单一或相对独立的业务应用。承载单一或相对独立的业务应用。不是涉密信息系统（按照保密等级相关要求定级）不是涉密信息系统（按照保密等级相关要求定级）三、信息系统安全保护等级的确定

9、三、信息系统安全保护等级的确定 定级工作步骤定级工作步骤 第二步：第二步：初步确定信息系统等级初步确定信息系统等级1 1定级的一般流程定级的一般流程 三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级依据表2依据表31、确定定级对象三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 2确定受侵害的客体确定受侵害的客体侵害了何种权益侵害了何种权益 定级对象受到破坏时所侵害

10、的客体包括国家定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。和其他组织的合法权益。三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 侵害国家安全的事项包括以下方面侵害国家安全的事项包括以下方面影响国家政权稳固和国防实力影响国家政权稳固和国防实力影响国家统一、民族团结和社会安定影响国家统一、民族团结和社会安定影响国家对外活动中的政治、经济利益影响国家对外活动中的政治、经济利益影响国家重要的安全保卫工作影响国家重要的安全保卫工作影响国家经济竞争力和科技实力影响国家经济竞争力和科技实力其他影响国家安

11、全的事项。其他影响国家安全的事项。三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 侵害社会秩序的事项包括以下方面侵害社会秩序的事项包括以下方面影响国家机关社会管理和公共服务的工作秩序影响国家机关社会管理和公共服务的工作秩序影响各种类型的经济活动秩序影响各种类型的经济活动秩序影响各行业的科研、生产秩序影响各行业的科研、生产秩序影响公众在法律约束和道德规范下的正常生活秩影响公众在法律约束和道德规范下的正常生活秩序等序等其他影响社会秩序的事项其他影响社会秩序的事项三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 影响公共利益的事项包括以下方面影响公共利益的事项包括以下方面

12、影响社会成员使用公共设施影响社会成员使用公共设施 影响社会成员获取公开信息资源影响社会成员获取公开信息资源 影响社会成员接受公共服务等方面影响社会成员接受公共服务等方面 其他影响公共利益的事项其他影响公共利益的事项 影响公民、法人和其他组织的合法权益是指影响公民、法人和其他组织的合法权益是指 由法律确认的并受法律保护的公民、法人和其由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益他组织所享有的一定的社会权利和利益三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 确定作为定级对象的信息系统受到破坏后所确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先

13、判断是否侵害国家安全，侵害的客体时，应首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权判断是否侵害公民、法人和其他组织的合法权益。益。三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 3 3确定侵害的客观方面确定侵害的客观方面造成何种损失造成何种损失 在客观方面，对客体的侵害外在表现为对在客观方面，对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息安定级对象的破坏，其危害方式表现为对信息安全的破坏和对信息系统服务的破坏。全的破坏和对信息系统服务的破坏。三、信息系统安全保护等

14、级的确定三、信息系统安全保护等级的确定 信息安全和系统服务安全受到破坏后，可能产信息安全和系统服务安全受到破坏后，可能产生以下危害后果：生以下危害后果：影响行使工作职能影响行使工作职能 导致业务能力下降导致业务能力下降 引起法律纠纷引起法律纠纷 导致财务损失导致财务损失 造成社会不良影响造成社会不良影响 对其他组织和个人造成损失对其他组织和个人造成损失 其他影响其他影响 三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 4 4综合判定侵害程度综合判定侵害程度 系统服务安全被破坏导致业务能力下降的程度系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人可以

15、从信息系统服务覆盖的区域范围、用户人数、业务量、业务性质等不同方面确定。数、业务量、业务性质等不同方面确定。业务信息安全被破坏导致的财物损失可以从直业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方接的资金损失大小、间接的信息恢复费用等方面进行确定。面进行确定。三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 不同危害后果的三种危害程度描述如下：不同危害后果的三种危害程度描述如下：一般损害：工作职能受到局部影响，业务能力有所一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，降低但不影响主要功能的执行，出现较轻的

16、法律问题，较低的资产损失，有限的社会不良影响，对其他组织较低的资产损失，有限的社会不良影响，对其他组织和个人造成较低损害。和个人造成较低损害。三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 严重损害：工作职能受到严重影响，业务能力显著下严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。组织和个人造成较严重损害。三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 特

17、别严重损害：工作职能受到特别严重影响或丧失行特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社极其严重的法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。会不良影响，对其他组织和个人造成非常严重损害。三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 5 5确定信息系统安全保护等级确定信息系统安全保护等级 业务信息安全被破坏时业务信息安全被破坏时所侵害的客体所侵害的客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般

18、损害严重损害严重损害特别严重特别严重损害损害公民、法人和其他组织公民、法人和其他组织的合法权益的合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 系统服务安全被破坏时系统服务安全被破坏时所侵害的客体所侵害的客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重特别严重损害损害公民、法人和其他组织公民、法人和其他组织的合法权益的合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益

19、社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 作为定级对象的信息系统的安全保护等级作为定级对象的信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较由业务信息安全等级和系统服务安全等级的较高者决定。定级对象等级确定后，起草高者决定。定级对象等级确定后，起草信息信息系统安全保护等级定级报告系统安全保护等级定级报告。三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 定级工作步骤定级工作步骤 第三步：信息系统等级评审第三步：信息系统等级评审 在信息系统安全保

20、护等级确定过程中，可以聘请在信息系统安全保护等级确定过程中，可以聘请专家进行咨询评审，并出具定级评审意见专家进行咨询评审，并出具定级评审意见 对拟确定为第四级以上信息系统的，运营、使用对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当邀请国家信息安全保护等级单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审，出具评审意见。专家评审委员会评审，出具评审意见。三、信息系统安全保护等级的确定三、信息系统安全保护等级的确定 定级工作步骤定级工作步骤 第四步：信息系统等级的最终确定与审批第四步：信息系统等级的最终确定与审批信息系统运营使用单位参考专家定级评审意信息系统运营使用单位

21、参考专家定级评审意见，最终确定信息系统等级，形成见，最终确定信息系统等级，形成定级报定级报告告。如果专家评审意见与运营使用单位意见不一如果专家评审意见与运营使用单位意见不一致时，由运营使用单位自主决定系统等级。致时，由运营使用单位自主决定系统等级。信息系统运营使用单位有上级主管部门的，信息系统运营使用单位有上级主管部门的，应当经上级主管部门对安全保护等级进行审应当经上级主管部门对安全保护等级进行审核批准。核批准。定级实例定级实例1 1 系统简述：某省政府网站系统系统简述：某省政府网站系统ZFWZZFWZ，用于，用于发布政务公开信息、地方行政法规和管理措发布政务公开信息、地方行政法规和管理措施、

22、领导讲话、政府办事流程、新闻发布、施、领导讲话、政府办事流程、新闻发布、政府公告、举报投诉、省内经济形势介绍、政府公告、举报投诉、省内经济形势介绍、电子表单下载等信息，服务对象主要是省内电子表单下载等信息，服务对象主要是省内企业和市民。企业和市民。定级实例定级实例1 1 ZFWZZFWZ系统等级确定过程：系统等级确定过程：ZFWZZFWZ系统是省政府对社会办公的窗口，其中发布系统是省政府对社会办公的窗口，其中发布的信息内容代表政府形象和体现政府的社会管理和的信息内容代表政府形象和体现政府的社会管理和社会服务职能，因此该信息安全被破坏可能对社会社会服务职能，因此该信息安全被破坏可能对社会秩序造成

23、一定影响秩序造成一定影响由于省政府网站的访问量并不很大，信息被篡改可由于省政府网站的访问量并不很大，信息被篡改可能造成的不良社会影响不会很大，因此对社会秩序能造成的不良社会影响不会很大，因此对社会秩序的侵害程度为一般损害；的侵害程度为一般损害；查表知查表知ZFWZZFWZ系统的业务信息安全保护等级为第二系统的业务信息安全保护等级为第二级，如下表所示。级，如下表所示。定级实例定级实例1 1 定级实例定级实例1 1 ZFWZZFWZ系统为省内企业和市民提供政府信息查询系统为省内企业和市民提供政府信息查询和下载服务，其系统服务如果不可用侵害的不是和下载服务，其系统服务如果不可用侵害的不是省政府本身的

24、利益，而是公众获取公开信息的公省政府本身的利益，而是公众获取公开信息的公众利益；众利益；但由于没有必须通过网络才能够执行的办事流程，但由于没有必须通过网络才能够执行的办事流程，ZFWZZFWZ系统对服务实时性和服务质量要求不高，系统对服务实时性和服务质量要求不高，政务服务工作主要通过网络之外完成，网络仅提政务服务工作主要通过网络之外完成，网络仅提供相关信息和表单下载，网站不能提供服务对市供相关信息和表单下载，网站不能提供服务对市民办事影响不大；民办事影响不大；查表知查表知ZFWZZFWZ系统的业务服务安全保护等级为第系统的业务服务安全保护等级为第二级，如下表所示。二级，如下表所示。定级实例定级

25、实例1 1 定级实例定级实例1 1 ZFWZZFWZ系统的安全保护等级为第二级。系统的安全保护等级为第二级。定级实例定级实例2 2 系统简述：某省电力集团公司的省级电力系统简述：某省电力集团公司的省级电力实时监控系统，主要运行调度自动化控制实时监控系统，主要运行调度自动化控制系统和能量管理系统（系统和能量管理系统（SCADA/EMSSCADA/EMS）DDZDHDDZDH，负责省级超高压输电变电站的，负责省级超高压输电变电站的调度控制和数据采集。系统实时性要求极调度控制和数据采集。系统实时性要求极高，达到秒级。高，达到秒级。定级实例定级实例2 2 定级实例定级实例2 2 业务信息安全被破坏时所

26、业务信息安全被破坏时所侵害的客体侵害的客体对相应客体的侵害程度对相应客体的侵害程度一般损害一般损害严重损害严重损害特别严重特别严重损害损害公民、法人和其他组织的公民、法人和其他组织的合法权益合法权益第一级第一级第二级第二级第二级第二级社会秩序、公共利益社会秩序、公共利益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级 DDZDHDDZDH系统的安全保护等级为第四级。系统的安全保护等级为第四级。四、备案四、备案 备案（以下两种形式都要做）备案（以下两种形式都要做）书面填写书面填写信息系统安全等级保护备案表信息系统安全等级保护备案表 一式两一式两份。可填份。

27、可填WORDWORD文档，再打印输出，附上附件。文档，再打印输出，附上附件。1010月月1010日前交换到省公安厅网络警察总队管理监察日前交换到省公安厅网络警察总队管理监察科科。利用备案工具填写，利用备案工具填写，1010月月1010日前生成电子数据发到日前生成电子数据发到电子邮箱电子邮箱。涉密系统填写涉密系统填写涉及国家秘密的信息系统分级保护备案涉及国家秘密的信息系统分级保护备案表表，向保密部门备案。，向保密部门备案。四、备案四、备案 信息系统安全等级保护备案表信息系统安全等级保护备案表 WORD WORD文档和备案工具及其他相关材料可到文档和备案工具及其他相关材料可到广东网警广东网警网站网

28、站信息安全等级保护信息安全等级保护栏目下载。栏目下载。信息系统安全等级保护备案表信息系统安全等级保护备案表补充说明补充说明 一、表一一、表一0404行政区划代码行政区划代码可到可到广东网警广东网警网站信息安全等级保护栏目下载网站信息安全等级保护栏目下载广东行广东行政区划代码政区划代码查询。查询。二、表一二、表一0808隶属关系隶属关系1 1省直国家机关、省政府直属的企业、事业单位，国资委省直国家机关、省政府直属的企业、事业单位，国资委管理的企业选管理的企业选“2 2省省(自治区、直辖市自治区、直辖市)”)”。2 2省直部门下设的企业、事业单位选省直部门下设的企业、事业单位选“9 9其他其他 ”

29、，再在横线上注明是哪个部门下设的企业、事业单位。再在横线上注明是哪个部门下设的企业、事业单位。信息系统安全等级保护备案表信息系统安全等级保护备案表补充说明补充说明 三、表二三、表二0707关键产品使用情况的部分使用及使用率关键产品使用情况的部分使用及使用率使用率按产品的种类来计。使用率按产品的种类来计。四、表三四、表三0505专家评审情况专家评审情况来不及评审可先报备案数据再办理评审、更新数据。来不及评审可先报备案数据再办理评审、更新数据。五、表三五、表三0606是否有主管部门是否有主管部门1 1企业、事业单位有主管部门的应履行相关报批手续，选企业、事业单位有主管部门的应履行相关报批手续，选“

30、有有”。2 2国家机关可选国家机关可选“无无”，但在实际操作中可征求上级部门，但在实际操作中可征求上级部门意见；如本系统内部有规定明确要经上级部门审批的，意见；如本系统内部有规定明确要经上级部门审批的，应履行审批手续。应履行审批手续。四、备案四、备案 备案审核备案审核信息系统备案后，公安机关应当对信息系统信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的备案情况进行审核，对符合等级保护要求的，颁发信息系统安全等级保护备案证明。的，颁发信息系统安全等级保护备案证明。发现不符合本办法及有关标准的，将通知备发现不符合本办法及有关标准的，将通知备案单位予以纠正。案单位予以纠正。谢谢大家！