信息安全等级保护制度

《信息安全等级保护制度》由会员分享，可在线阅读，更多相关《信息安全等级保护制度（51页珍藏版）》请在装配图网上搜索。

1、信息安全等级保护制度 信息安全等级保护定级和备案 广东省公安厅网警总队 林雁飞 2007年 9月 提 纲 一、主要工作措施 二、信息安全保护等级的划分和标准 三、信息系统安全保护等级的确定 四、备案 一、主要工作措施 开展信息系统基本情况的摸底调查 初步确定安全保护等级 评审与审批 备案 二、信息安全保护等级的划分和标准 信息系统的安全保护等级应当根据信 息系统在国家安全、经济建设、社会生活中 的重要程度，遭到破坏后对国家安全、社会 秩序、公共利益以及公民、法人和其他组织 的合法权益的危害程度等因素确定。 二、信息安全保护等级的划分和标准 第一级，信息系统受到破坏后 会对公民、法人和其他组织的

2、合法权益造成损害 但不损害国家安全、社会秩序和公共利益 二、信息安全保护等级的划分和标准 第二级，信息系统受到破坏后 会对公民、法人和其他组织的合法权益 产生严重损害 或者对社会秩序和公共利益造成损害， 但不损害国家安全 二、信息安全保护等级的划分和标准 第三级，信息系统受到破坏后 会对社会秩序和公共利益造成严重损害 或者对国家安全造成损害 二、信息安全保护等级的划分和标准 第四级，信息系统受到破坏后 会对社会秩序和公共利益造成特别严重 损害 或者对国家安全造成严重损害 二、信息安全保护等级的划分和标准 第五级，信息系统受到破坏后 会对国家安全造成特别严重损害 二、信息安全保护等级的划分和标准

3、 信息系统分为所处理的业务信息和作为整体 的系统服务两个层次 信息系统安全保护等级由业务信息和系统服 务两个层次的安全等级之中的较高中决定 二、信息安全保护等级的划分和标准 决定信息系统的安全保护等级由两个定级要 素决定 受到破坏时侵害了什么（客体） 侵害的程度如何（对客体造成侵害的程度） 二、信息安全保护等级的划分和标准 等级保护对象受到破坏时所侵害的客体 公民、法人和其他组织的合法权益 社会秩序、公共利益 国家安全 二、信息安全保护等级的划分和标准 对客体造成侵害的程度 造成一般损害 造成严重损害 造成特别严重损害 三、信息系统安全保护等级的确定 定级范围 电信、广电行业的公用通信网、广播

4、电视传输网等基础信 息网络，经营性公众互联网信息服务单位、互联网接入服 务单位、数据中心等单位的重要信息系统。 铁路、银行、海关、税务、民航、电力、证券、保险、外 交、科技、发展改革、国防科技、公安、人事劳动和社会 保障、财政、审计、商务、水利、国土资源、能源、交通、 文化、教育、统计、工商行政管理、邮政等行业、部门的 生产、调度、管理、办公等重要信息系统。 市（地）级以上党政机关的重要网站和办公信息系统。 涉及国家秘密的信息系统（以下简称涉密信息系统） 三、信息系统安全保护等级的确定 定级工作步骤 第一步：确定定级对象 作为定级对象的信息系统应具有如下基本特征： 1 .具有唯一确定的安全责任

5、单位。 2 .具有信息系统的基本要素。 3 .承载单一或相对独立的业务应用。 不是涉密信息系统（按照保密等级相关要求定级） 三、信息系统安全保护等级的确定 定级工作步骤 第二步： 初步确定信息系统等级 1定级的一般流程 三、信息系统安全保护等级的确定 3、综合评定对客体的侵害 程度 2、 确定业务信息安全受到 破坏时所侵害的客体 6、综合评定对客体的侵 害程度 5、 确定系统服务安全受到 破坏时所侵害的客体 7、系统服务安全等级 4、业务信息安全等级 8、定级对象的安全保护等 级 依据表 2 依据表 3 1、确定定级对象 三、信息系统安全保护等级的确定 2 确定受侵害的客体 侵害了何种权益 定

6、级对象受到破坏时所侵害的客体包括国家 安全、社会秩序、公众利益以及公民、法人 和其他组织的合法权益。 三、信息系统安全保护等级的确定 侵害国家安全的事项包括以下方面 影响国家政权稳固和国防实力 影响国家统一 、 民族团结和社会安定 影响国家对外活动中的政治 、 经济利益 影响国家重要的安全保卫工作 影响国家经济竞争力和科技实力 其他影响国家安全的事项 。 三、信息系统安全保护等级的确定 侵害社会秩序的事项包括以下方面 影响国家机关社会管理和公共服务的工作秩序 影响各种类型的经济活动秩序 影响各行业的科研 、 生产秩序 影响公众在法律约束和道德规范下的正常生活秩 序等 其他影响社会秩序的事项 三

7、、信息系统安全保护等级的确定 影响公共利益的事项包括以下方面 影响社会成员使用公共设施 影响社会成员获取公开信息资源 影响社会成员接受公共服务等方面 其他影响公共利益的事项 影响公民、法人和其他组织的合法权益是指 由法律确认的并受法律保护的公民、法人和其 他组织所享有的一定的社会权利和利益 三、信息系统安全保护等级的确定 确定作为定级对象的信息系统受到破坏后所 侵害的客体时，应首先判断是否侵害国家安全， 然后判断是否侵害社会秩序或公众利益，最后 判断是否侵害公民、法人和其他组织的合法权 益。 三、信息系统安全保护等级的确定 3确定侵害的客观方面 造成何种损失 在客观方面，对客体的侵害外在表现为

8、对 定级对象的破坏，其危害方式表现为对信息安 全的破坏和对信息系统服务的破坏。 三、信息系统安全保护等级的确定 信息安全和系统服务安全受到破坏后，可能产 生以下危害后果： 影响行使工作职能 导致业务能力下降 引起法律纠纷 导致财务损失 造成社会不良影响 对其他组织和个人造成损失 其他影响 三、信息系统安全保护等级的确定 4综合判定侵害程度 系统服务安全被破坏导致业务能力下降的程度 可以从信息系统服务覆盖的区域范围、用户人 数、业务量、业务性质等不同方面确定。 业务信息安全被破坏导致的财物损失可以从直 接的资金损失大小、间接的信息恢复费用等方 面进行确定。 三、信息系统安全保护等级的确定 不同危

9、害后果的三种危害程度描述如下： 一般损害：工作职能受到局部影响，业务能力有所 降低但不影响主要功能的执行，出现较轻的法律问题， 较低的资产损失，有限的社会不良影响，对其他组织 和个人造成较低损害。 三、信息系统安全保护等级的确定 严重损害：工作职能受到严重影响，业务能力显著下 降且严重影响主要功能执行，出现较严重的法律问题， 较高的资产损失，较大范围的社会不良影响，对其他 组织和个人造成较严重损害。 三、信息系统安全保护等级的确定 特别严重损害：工作职能受到特别严重影响或丧失行 使能力，业务能力严重下降且或功能无法执行，出现 极其严重的法律问题，极高的资产损失，大范围的社 会不良影响，对其他组

10、织和个人造成非常严重损害。 三、信息系统安全保护等级的确定 5确定信息系统安全保护等级 业务信息安全被破坏时 所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重 损害 公民、法人和其他组织 的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 三、信息系统安全保护等级的确定 系统服务安全被破坏时 所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重 损害 公民、法人和其他组织 的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 三、信息系统安全保护

11、等级的确定 作为定级对象的信息系统的安全保护等级 由业务信息安全等级和系统服务安全等级的较 高者决定。定级对象等级确定后，起草 信息 系统安全保护等级定级报告 。 三、信息系统安全保护等级的确定 定级工作步骤 第三步：信息系统等级评审 在信息系统安全保护等级确定过程中，可以聘请 专家进行咨询评审，并出具定级评审意见 对拟确定为第四级以上信息系统的，运营、使用 单位或者主管部门应当邀请国家信息安全保护等级 专家评审委员会评审，出具评审意见。 三、信息系统安全保护等级的确定 定级工作步骤 第四步：信息系统等级的最终确定与审批 信息系统运营使用单位参考专家定级评审意 见，最终确定信息系统等级，形成

12、定级报 告 。 如果专家评审意见与运营使用单位意见不一 致时，由运营使用单位自主决定系统等级。 信息系统运营使用单位有上级主管部门的， 应当经上级主管部门对安全保护等级进行审 核批准。 定级实例 1 系统简述：某省政府网站系统 ZFWZ，用于 发布政务公开信息、地方行政法规和管理措 施、领导讲话、政府办事流程、新闻发布、 政府公告、举报投诉、省内经济形势介绍、 电子表单下载等信息，服务对象主要是省内 企业和市民。 定级实例 1 ZFWZ系统等级确定过程： ZFWZ系统是省政府对社会办公的窗口，其中发布 的信息内容代表政府形象和体现政府的社会管理和 社会服务职能，因此该信息安全被破坏可能对社会

13、秩序造成一定影响 由于省政府网站的访问量并不很大，信息被篡改可 能造成的不良社会影响不会很大，因此对社会秩序 的侵害程度为一般损害； 查表知 ZFWZ系统的业务信息安全保护等级为第二 级，如下表所示。 定级实例 1 业务信息安全被破坏时 所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重 损害 公民、法人和其他组织 的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 定级实例 1 ZFWZ系统为省内企业和市民提供政府信息查询 和下载服务，其系统服务如果不可用侵害的不是 省政府本身的利益，而是公众获取公开信息的公 众利益

14、； 但由于没有必须通过网络才能够执行的办事流程， ZFWZ系统对服务实时性和服务质量要求不高， 政务服务工作主要通过网络之外完成，网络仅提 供相关信息和表单下载，网站不能提供服务对市 民办事影响不大； 查表知 ZFWZ系统的业务服务安全保护等级为第 二级，如下表所示。 定级实例 1 系统服务安全被破坏时 所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重 损害 公民、法人和其他组织 的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 定级实例 1 ZFWZ系统的安全保护等级为第二级。 定级实例 2 系统简述：某省电力集

15、团公司的省级电力 实时监控系统，主要运行调度自动化控制 系统和能量管理系统（ SCADA/EMS） DDZDH，负责省级超高压输电变电站的 调度控制和数据采集。系统实时性要求极 高，达到秒级。 定级实例 2 系统等级确定过程： 电力系统是国家重要基础设施，省级 DDZDH系统负责全 省范围内的电力调度，调度控制指令或调度程序被修改， 可能造成的停电事故会影响几乎所有行业的正常生产和工 作，其所侵害的客体为社会秩序和公共利益； 调度控制指令或调度程序被修改可能造成全省范围大面积 停电、人员伤亡和巨额财产损失，同时对其它行业的生产 和工作造成非常严重的影响，因此对社会秩序和公共利益 的侵害程度为特

16、别严重损害； 查表知 DDZDH系统的业务信息安全保护等级为第四级， 如下表所示。 定级实例 2 业务信息安全被破坏时所 侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重 损害 公民、法人和其他组织的 合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 定级实例 2 DDZDH系统负责省级超高压输电变电站的调度 控制和数据采集，该系统无法提供服务可能造成 全省范围供电异常，可能造成大面积停电、人员 伤亡和巨额财产损失 , 同时对其它行业的生产和 工作造成非常严重的影响，因此对社会秩序和公 共利益的侵害程度为特别严重损害；

17、 查表知 DDZDH系统的系统服务安全保护等级取 值为 4，如下表所示。 定级实例 2 系统服务安全被破坏时 所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重 损害 公民、法人和其他组织 的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 定级实例 2 DDZDH系统的安全保护等级为第四级。 四、备案 备案（以下两种形式都要做） 书面填写 信息系统安全等级保护备案表 一式两份。 可填 WORD文档，再打印输出，附上附件。 10月 10日前交换到省公安厅网络警察总队管理监察 科 。 利用备案工具填写， 10月 10日前

18、生成电子数据发到 电子邮箱 。 涉密系统填写 涉及国家秘密的信息系统分级保护备案 表 ，向保密部门备案。 四、备案 信息系统安全等级保护备案表 WORD 文档和备案工具及其他相关材料可到 广东网警 网站 信息安全等级保护 栏目下载。 信息系统安全等级保护备案表 补充说明 一、表一 04行政区划代码 可到 广东网警 网站信息安全等级保护栏目下载 广东行 政区划代码 查询。 二、表一 08隶属关系 1省直国家机关、省政府直属的企业、事业单位，国资委 管理的企业选“ 2省 (自治区、直辖市 )” 。 2省直部门下设的企业、事业单位选“ 9其他 ”， 再在横线上注明是哪个部门下设的企业、事业单位。 信

19、息系统安全等级保护备案表 补充说明 三、表二 07关键产品使用情况的部分使用及使用率 使用率按产品的种类来计。 四、表三 05专家评审情况 来不及评审可先报备案数据再办理评审、更新数据。 五、表三 06是否有主管部门 1企业、事业单位有主管部门的应履行相关报批手续，选 “有”。 2国家机关可选“无”，但在实际操作中可征求上级部门 意见；如本系统内部有规定明确要经上级部门审批的， 应履行审批手续。 四、备案 备案审核 信息系统备案后，公安机关应当对信息系统 的备案情况进行审核，对符合等级保护要求 的，颁发信息系统安全等级保护备案证明。 发现不符合本办法及有关标准的，将通知备 案单位予以纠正。 谢谢大家！