信息系统安全保护等级划分、定级流程及备案要求详解

2025-02-14
来源:网络整理

本文主要介绍信息系统安全保护级别的确定,评分工作的过程和要求以及归档工作的过程和要求。

1。信息系统的安全保护水平的部门和保护

(i)评分信息系统的工作原则

信息系统分类工作应按照“独立分类,专家审查,主管部门批准和公共安全器官审查”的原则进行。评分工作的主要内容包括:确定分级对象,确定信息系统的安全保护级别,组织专家审查,批准主管部门的批准以及由公共安全器官进行审查。特定内容可以符合“在国家》( [2007] No. 861)中执行重要信息系统的安全保护和评分的通知,需要实施。每个信息的操作和用户单位和胜任部门系统负责信息安全级别的保护级别。根据相应级别的管理规范和技术标准,建立了信息安全保护设施,建立了安全系统,实施了安全责任,并保护了信息系统。

在层次保护的工作中,信息系统操作以及用户单位和主管部门根据“负责人负责,负责谁,负责谁负责”的原则,并接受监督信息安全监督部门进行级别保护工作。操作和用户单位和主管部门是信息系统安全性的第一批负责人,直接负责其所属信息系统的安全性;公共安全,机密性和密码部门监督,检查和指导操作和用户单位以及主管部门的级别保护工作。负责对重要信息系统安全的监督。由于重要信息系统的安全运行不仅会影响行业和部门的生产和工作顺序,还影响了国家安全,社会稳定和公共利益,国家必须监督重要信息系统的安全。

(ii)信息系统安全保护级别

信息系统的安全保护水平应基于信息系统在国家安全,经济建设和社会生活中的重要性。被摧毁后,对国家安全,社会秩序,公共利益以及公民,法人和其他组织的合法权利和利益的损害程度。确定其他因素。信息系统的安全保护级别分为五个级别,从一级到第五级增加。

(iii)平整信息系统安全保护级别的要素

信息系统的安全保护级别由两个额定元素确定:侵犯水平保护对象的对象和对象侵权程度。

1。侵权的对象

侵犯层面保护对象的对象损坏了以下三个方面:一个是公民,法人和其他组织的合法权利和利益;两个是社会秩序和公共利益;三个是国家安全。

2。物体上的侵权程度

对象的侵权程度是通过客观方面的不同外部表现来全面决定的。由于对物体的侵权是通过破坏层次保护对象实现的,因此对物体对物体的侵权被外部表现为分层保护对象的破坏,这是通过伤害的方法,伤害和损害程度的方法来描述的。在保护对象损坏后,物体有三个级别的损坏:一个是造成一般损坏;另一个是造成严重损害;第三是造成特别严重的损害。

(iv)5级保护和监督

信息系统运营商和用户应根据国家信息安全级别保护政策和相关技术标准保护信息系统,国家信息安全监督部应监督和管理其信息安全级别保护工作。表1-1显示了评分元素与信息系统安全保护级别之间的关系。

表1-1分级要素与安全保护级别之间的关系

年级

目的

侵犯物体

侵权水平

监管强度

1级

一般系统

合法权利和利益

损害

自我保护

级别2

合法权利和利益

严重损坏

指导

社会秩序和公共利益

损害

级别3

重要系统

社会秩序和公共利益

严重损坏

监督和检查

国家安全

损害

级别4

社会秩序和公共利益

非常严重的损害

强制监督和检查

国家安全

严重损坏

5级

极其重要的系统

国家安全

非常严重的损害

特别监督和检查

2。评分工作的主要步骤

信息系统评级是级别保护工作的主要和关键链接,并且是进行信息系统归档,施工纠正,级别评估,监督和检查的重要基础。在这里,我们首先澄清一个概念。信息系统包括用作支持和传输功能以及各种应用程序系统的基本信息网络。信息系统安全级别不准确,随后的工作(例如系统归档,施工整流和成绩评估)将失去其基础,因此无法保证信息系统安全。分级工作可以根据以下步骤进行。

(i)进行调查

根据由“排名工作通知”确定的评分范围,每个单位和部门可以组织其关联信息系统的调查,查找信息系统的基本数据,并掌握信息的业务类型,应用程序或服务系统(包括信息网络)。范围,系统结构等的基本状况奠定了澄清要求和实施责任的基础。

(ii)确定分级对象

在国家安全级别的保护和分类工作(以下简称“分级工作”)中,如何科学和合理地确定分级对象是最关键的问题。信息系统操作和使用单元或主管部门应根据以下原则确定分级对象。

首先,应将扮演支持和传输角色的信息网络(包括专用网络,内部网络,外部网络和网络管理系统)评为目标。但是,从安全管理和安全责任的角度来看,基本信息网络不是将整个网络视为分级对象,而是将基本信息网络分为几个最低安全域或最低单位。

其次,应根据不同业务类别分别确定用于生产,调度,管理,操作,命令,办公室和其他目的的各种业务系统作为分级对象,并且不应根据系统是否执行数据交换来确定分级对象,并且不应确定设备是独家的。关卡对象条件。某种类型的信息系统不能作为分级对象分级。

第三,每个单元的网站应用作独立的评分对象。如果网站的后端数据库管理系统的安全级别很高,则还应将其用作独立的评分对象。在网站上运行的信息系统(例如社会服务的注册检查系统)也应用作独立的分级对象。

第四,确认负责分级的部门是否负责分级系统的业务监督责任。换句话说,业务部应领导业务信息系统的评分,运营和维护部门(例如信息中心,受托人)可以根据要求的要求,并根据要求进行分级并进行后续的安全保护工作。商业部。

网站定级是什么意思_网站定级报告_网站建设等级定级

第五,它具有信息系统的基本要素。作为分级对象,信息系统应是根据某些应用程序目标和规则组成的相关和支持设备和设施的切实实体。应避免将单个系统组件(例如服务器,终端,网络设备等)作为分级对象。

例如,奥林匹克网络主要包括“奥林匹克组织委员会办公室外部网络”(携带16个企业,包括自动办公室,场地管理,电子邮件,物流,员工之家等)和“奥运会组织委员会内部办公室当地网络“(携带财务管理),人事管理和其他三个业务),“奥林匹克票务网络”(票务网站和票务管理系统),“奥林匹克官方网站”(门户网站和后端数据处理系统),“奥林匹克互联网访问”,“ “竞争网络”等六个奥林匹克信息系统。奥林匹克组织委员会办公室外部网络,奥运会组织委员会内部办公室本地网络,票务网站,票务管理系统,奥运会官方网站和竞争网络被确定为分级目标。

(iii)信息系统级别的初步确定

信息系统级别可以根据以下要求确定:

1。负责任的受试者。每个信息系统操作以及用户单元和主管部门都是信息系统评级的负责实体。

2。级别元素。信息系统的安全保护级别由两个分级元素确定:侵犯级别保护对象的对象以及对对象的侵权程度。

信息系统的安全保护级别是信息系统本身的客观和自然属性。它不是基于已采取或将采取的安全保护措施,而是基于信息系统的重要性以及对国家安全和社会稳定的损害。 ,信息系统的安全保护水平是根据对人民合法公共福利的损害程度确定的。评分时,应主要考虑销毁信息系统对国家安全和社会稳定的影响,在国内外,应考虑国内外各种敌对的部队,敌对元素以及其他因素以及其他因素,例如入侵,攻击以及窃取重要信息系统。有必要防止单个单位在追求绝对安全方面的评分过高,并避免降低分级以避免监督。

3。分级各种系统的方法。首先,由单元构建的信息系统(与上级单位无关),并且该单元是独立分类的。其次,可以由主管安全部门确定跨各省或全国范围内运行的信息系统。其中:在计划,建设和安全保护策略中统一的国家网络系统应由行业主管部门确定,以确定每个级别的水平;该国在计划,建设和网络上统一的信息系统应由每个行业在该国计划,建设和网络统一。系统级别应由各部委,省和城市和城市确定,但是每个行业的主管部门应提出对系统的评分意见,以避免相似系统的下属比上级高。对于此类系统的水平,下属必须在确认后将其提交给高级主管部门以供批准。

应当指出的是,通过降低政府部门,省和城市的行政级别,不能降低类似信息系统的安全保护级别。例如,市政级别重要行业的重要系统不能指定为第一和第二层。

4。创建新系统的评分工作

对于新系统,信息系统操作和用户单位应在计划和设计时确定信息系统安全保护级别,并根据信息系统级别同时实施安全保护技术措施和管理措施。有关确定信息系统安全保护级别的特定方法和要求,请参见第1.3节。

(iv)信息系统级别审查

在信息系统操作和使用单元或主管部门最初确定信息系统的安全保护级别之后,以确保合理和准确的评级,它可能会雇用专家来审查和发出专家审查意见。

(v)批准信息系统级别

在确定级别后,由单位构建的信息系统(与上级单位无关)应由每个行业确定。信息系统操作和使用单元是指专家评级评论意见,以最终确定信息系统级别并形成“级别报告”。如果专家审查意见与操作和使用单位的意见不一致,则操作和使用单位应独立决定系统级别。如果信息系统操作和使用单位具有优越的主管部门,则安全保护级别应由高级主管部门审查和批准。主管部门通常是指该行业的高级主管部或监管部门。如果它是跨区域运行的信息系统,则必须得到其优越的主管部门的批准,以确保每个地区类似系统或分支系统的分类一致性。

(vi)公共安全器官审查

收到信息系统操作和使用单元的注册材料后,公共安全器官应审查信息系统分级的准确性。对公共安全器官的审查是评分工作的最后一条防线,应受到认真和严格控制。如果信息系统的评级基本上是准确的,则公共安全器官应签发“信息系统安全级别保护注册证书”(以下称为“注册证书”),由公共安全部统一监督。对于不准确的评级,公共安全机构应向申报单元发出整流通知,并建议申请单位组织专家进行重新评估审查,并向上级主管部门报告以供批准。如果备案单位仍然遵守原始水平,则公共安全机构可以接受其备案,但它应以书面形式告知其承担由此造成的责任和后果。高级公共安全机构同意后,它还应通知备案部门的高级主管部门。

3。如何确定信息系统的安全保护级别

(i)如何理解信息系统的五个安全保护水平

信息系统的安全保护级别是信息系统的客观属性。它不是基于已采取或将采取的安全保护措施。相反,它基于信息系统的重要性以及对国家安全,社会稳定和人员的损害。信息系统的安全保护水平是根据对人民合法权利和利益的损害程度确定的。有必要防止单个单位单方面追求绝对安全,并使评分过高,并避免过低以至于无法逃避监督。信息网络的安全级别可以通过参考在此处运行的信息系统,网络的服务范围及其自身的安全要求来确定。它不符合其运行的信息系统的最高级别或最低水平。它都不是高还是低。

为了帮助信息系统操作和用户单元准确确定信息系统安全保护级别,您可以参考以下5级指令以确定系统级别。

一级信息系统:通常适用于小型私人企业,个人企业,小学和中学,乡镇信息系统和县级单位。

二级信息系统:通常适用于县级单位之间的重要信息系统;州机器人,企业和机构内或更高的一般信息系统。例如,不涉及工作秘密,商业秘密,敏感信息等的办公系统和管理系统。

第三级信息系统:通常适用于市政机构,企业和机构内部或更高层面的重要信息系统,例如涉及工作秘密,商业秘密和敏感信息的办公系统和管理系统;那些跨省或全国网络运行的人在生产,调度,管理,指挥,操作,控制和其他方面使用的重要信息系统,以及省和城市中此类系统的分支系统;中央部和委员会的门户网站和重要网站,省份(自治地区,市政当局);跨省连接的网络系统等。

第四级信息系统:通常适用于重要的国家和部门中特别重要的系统和核心系统。例如,涉及国家安全,国民经济和人民生计的核心系统,例如权力,电信,广播电视,铁路,民航,银行,税收,税收,税收和其他重要部门安全,国民经济和人民生计。

5级信息系统:通常适用于该国重要领域和部门中极为重要的系统。

(ii)评分的一般过程

信息系统安全包括业务信息安全性和系统服务安全性。相关的侵权物体和对物体的侵权程度可能有所不同。因此,信息系统的分类也应由业务信息安全和系统服务安全确定。从业务信息安全的角度反映的信息系统的安全保护级别称为服务信息安全级别。从系统服务安全的角度反映的信息系统安全保护级别称为系统服务安全级别。

确定信息系统安全保护级别的一般过程如下:确定信息系统作为分级对象;确定业务信息安全性损坏时侵犯的对象;根据不同的侵权物体,从多个方面全面评估业务信息的安全性。侵权程度应根据业务信息的重要性和损坏后的伤害确定;应确定侵犯系统服务安全的对象;侵犯系统服务损坏的对象应根据不同的侵权物体从多个方面进行全面评估。对系统服务安全对象的损害程度是根据系统服务的重要性和损坏后的损坏确定的;分级对象的安全性取决于业务信息安全级别的较高和系统服务安全级别保护级别的较高。上述步骤如图1-1所示。

图1-1确定水平的一般过程

1。识别受伤的物体

侵犯层次结构损害的对象包括国家安全,社会秩序,公共利益以及公民,法人和其他组织的合法权利和利益。

侵犯国家安全的问题包括以下方面:影响州政权和国防力量的稳定;影响民族团结,民族团结和社会稳定;影响该国外部活动的政治和经济利益;影响重要的国家安全和保护工作;影响国民经济竞争的力量,科学和技术力量;影响国家安全的其他事项。

侵犯社会秩序的事项包括以下方面:影响国家机构的社会管理和公共服务的工作顺序;影响各种经济活动的顺序;影响各个行业的科学研究和生产顺序;在法律限制和道德规范下影响公众的正常性。生命秩序等;影响社会秩序的其他事项。

影响公共利益的事项包括以下方面:影响社会对公共设施的使用;影响社会访问公共信息资源的成员;影响社会接受公共服务等的成员;影响公共利益的其他事项。

公民,法人和其他组织的合法权利和利益是指公民,法人和其他法律认可并受法律保护的社会权利和利益。

在确定信息系统之后侵权的对象作为分级对象被破坏时,我们应该首先确定它是否侵犯了国家安全,然后确定其是否侵犯了社会秩序还是公共利益,并最终确定它是否侵犯了合法权利以及公民,法人和其他组织的利益。

每个行业都可以根据该行业的业务特征来分析各种信息与各种信息系统与国家安全,社会秩序,公共利益以及公民,法人和其他组织的合法权利和利益之间的关系,以确定该行业的各种信息和各种信息。侵犯信息系统被摧毁的对象。

2。确定物体侵权程度

侵权的客观方面。就客观性而言,对象的侵权在外部表现为对分级对象的损害,其有害方法表现为对信息安全性的损害和信息系统服务的损害。信息安全是指确保信息系统中信息的机密性。 ,完整性和可用性等。系统服务安全是指确保信息系统可以及时有效地提供服务以实现预定的业务目标。由于侵犯业务信息的安全性和系统服务安全性的对象受到损害,并且对物体的侵权程度可能会有所不同,因此在分级过程中需要单独处理这两种危害。

信息安全性和系统服务的安全性损坏后,可能会造成以下有害后果:影响工作功能的行使;导致业务能力下降;引起法律纠纷;导致财产损失;造成不利的社会影响;给其他组织和个人造成损失;其他影响。

3。综合确定侵权程度

侵权程度是客观方面不同外部表现的全面表现。因此,应首先基于侵权的不同对象和不同伤害的后果来确定损害程度。确定不同危害危害程度的方法和角度可能不同。例如,由于系统服务安全性损坏而导致的业务能力下降程度可能与信息系统服务的区域覆盖范围,用户数量或业务量不同。可以证实,可以从直接资本损失和间接信息恢复成本的各个方面确定由商业信息安全造成的财产损失。

在判断不同侵权对象的侵权程度时,应提及以下不同的判断标准:

如果侵权的目的是公民,合法人或其他组织的合法权利和利益,则该人或单位的总体利益被用作判断侵权程度的基础;

如果侵权的目的是社会秩序,公共利益或国家安全,则应将整个行业或国家的总体利益用作判断侵权程度的基准。

不同危害的三个危害级别如下:

一般损害:工作职能受到本地影响,业务能力降低但不影响主要职能的执行,发生较小的法律问题,财产损失低,社会不利影响有限以及对其他组织和个人的损害较低。

严重损害:工作职能受到严重影响,业务能力大大降低,主要职能执行严重影响,严重的法律问题,高财产损失,大规模的社会不利影响,对其他组织和个人造成严重损害。

尤其严重的损害:工作职能受到特别严重的影响或失去运动能力,商业能力大大降低并且无法实施职能,极为严重的法律问题,极为高的财产损失,大规模的不利社会影响以及其他组织和个人造成非常严重的伤害。

信息安全性和系统服务安全被破坏后,对物体的侵权程度取决于对不同危害结果的危害程度的全面评估。由于每个行业中信息系统处理的信息和系统服务特征的类型都不同,因此危害结果的计算方法以及在信息安全性和系统服务安全性损坏后关注的危险程度可能不同。每个行业都可以使用该行业的信息特征和系统服务特征,为危害程度制定全面的评估方法,并为一般,严重,尤其是严重的损害给出了特定的定义。

4。确定信息系统的安全保护级别

根据侵犯业务信息安全性的对象,当业务信息的安全性损坏并侵犯了相应的对象的程度时,可以根据服务信息安全保护级别的矩阵矩阵表获得服务信息安全保护级别。 1-2。

表1-2服务信息安全保护级矩阵表

当业务信息安全损坏时侵犯的对象

对相应物体的侵权程度

一般损坏

严重损坏

非常严重的损害

网站定级是什么意思_网站定级报告_网站建设等级定级

公民,法人和其他组织的合法权利和利益

1级

级别2

级别2

社会秩序,公共利益

级别2

级别3

级别4

国家安全

级别3

级别4

5级

根据侵犯系统服务安全性的对象被破坏并侵犯了相应的对象,可以根据系统服务安全保护级矩阵表1-3获得系统服务安全保护级别。

表1-3系统服务安全保护级矩阵表

系统服务安全性损坏时侵犯的对象

对相应物体的侵权程度

一般损坏

严重损坏

非常严重的损害

公民,法人和其他组织的合法权利和利益

1级

级别2

级别2

社会秩序,公共利益

级别2

级别3

级别4

国家安全

级别3

级别4

5级

作为分级对象,信息系统的安全保护级别取决于服务信息安全保护级别和系统服务安全保护级别的较高级别。确定分级对象级别后,可以参考附录1中的模板“信息系统安全保护级别的分级报告”起草分级报告。

例如,“奥林匹克组织委员会”在奥林匹克组织委员会内提供人员,金融和其他服务,仅在奥林匹克组织委员会的几个部门内使用,并且不会传递秘密信息或敏感信息。损坏后,它将影响内部办公室的工作,并损害社会秩序和公共利益,并被指定为第二层。 “奥林匹克组织委员会办公室外部网络”通过独特的出口连接到互联网,在奥林匹克组织委员会内携带电子邮件和物流。 , SMS , and are used the of the . , it will to and , and are as -. The " " is for , and , ' and , and is not to the " ". it is , it will to and . Set as . The " " and data for for and , and is the core of the " ". it is , it will to and , and is set to 3. The " " and on on the . It is the for the to the . Its are very high. , it will to and . Set to 3. The " " such as , , and . Its data and are very high. , it will to and , and is set at 3.

4. and for work

(I) and

The of , , and . The and user and the that the the work in with the of the " for the of " ( [2007] No. 1360).

1。注册

For at or the , 30 days the is , and user or ( to as the " unit") will go to the or in to go the . When the , you and fill in the form at the by the , the , and then go to the to file.

When , the " Form" ( to as the " Form" be , see 2 ( ) and its . When at or the , you must 1, 2 and 3 in the " Form"; at or the also 4 and 30 days the and are . .

For that are to the , or , and are in a by the , the go the with the of ; be with the . for that or in be with and . The of each and in ( and of ) must be with the even if the is .

2. and

The of at or the the of . The to the - unit, the (city) is and by the of the .

The in that is to the , or , and is in a by the , be and by the of the of , and be by the of the . The the .

The of non-in- to the be and by the of the (or its of the 器官)。

that or and and at by the in ( that are by and ), and are at or the . The of the the .

3.

The of and an and , it to , and a for the of at the , and . The is by the at the and and by the at the , and , for the , , and work, and the of . in all in with the of the " on the of the of and ", the and data into the , and use the to out work.

(II) for and by the

1. The of the that the set up a , with and , and be for the work. The , time, and be to the .

2. the , the the : the are in , they meet the , and are ; the set by the is .

3. the by the unit, the a " of of for " to the unit if it the of of the at the same ; if the are , the be on the spot or five days; if it does not fall the of by the at this , the unit be in to the with for .

4. If the are , the , ten days from the date of of the , a " Form" with the seal (or seal) of the at the same . unit, one file; for that do not meet the , the of the the unit to make ten days, and the " of the " and of and ".

5. If the of 1, 2 and 3 of the " Form" are and , the the " " ( to as the " ") 。 The " " is by the of .

6. The of the that the a , the to the , by the , and not to the .

(III) of and non-

1. When the of the that are not , the that the unit to a re- and it to the for .

2. If the unit to the , the may its , but it it in that it the and by it. the of the , it also the of the unit.

3. For who to file a , the a time in with the of the " on the of of the 's of " and laws和法规。 If the is not the , a will be and the will be . If you the and , you must it to the of for .

分享