`
yangzb
  • 浏览: 3507374 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

信息系统安全等级2

阅读更多

2           <!---->定级方法

<!---->2.1         <!---->定级 的一般流程

信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。

从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。

从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。

确定信息系统安全保护等级的一般流程如下:

<!---->a)         <!---->确定作为定级对象的信息系统;

<!---->b)        <!---->确定业务信息安全受到破坏时所侵害的客体;

<!---->c)        <!---->根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;

<!---->d)        <!---->依据表 2 ,得到业务信息安全保护等级;

<!---->e)         <!---->确定系统服务安全受到破坏时所侵害的客体;

<!---->f)         <!---->根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;

<!---->g)        <!---->依据表 3 ,得到系统服务安全保护等级;

<!---->h)        <!---->将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。

上述步骤如图1 确定等级一般流程所示。

<!----><!----><!----><!----> <!---->

1 确定等级一般流程

 

<!---->2.2         <!---->确定定级对象

一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。

作为定级对象的信息系统应具有如下基本特征:

<!---->a)        <!---->具有唯一确定的安全责任单位

作 为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位 可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所 属的单位。

<!---->b)        <!---->具有信息系统的基本要素

作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。

<!---->c)         <!---->承载单一或相对独立的业务应用

定 级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应 用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。

<!---->2.3         <!---->确定受侵害的客体

定级对象受到破坏时所侵害的 客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。

侵害国家安全的事项包括以下方面:

<!----><!----> <!---->

侵害国家安全的事项包括以下方面:

<!---->-           <!---->影响国家政权稳固和国防实力;

<!---->-           <!---->影响国家统一、民族团结和社会安定;

<!---->-           <!---->影响国家对外活动中的政治、经济利益;

<!---->-           <!---->影响国家重要的安全保卫工作;

<!---->-           <!---->影响国家经济竞争力和科技实力;

<!---->-           <!---->其他影响国家安全的事项。

侵害社会秩序的事项包括以下方面:

<!---->-           <!---->影响国家机关社会管理和公共服务的工作秩序;

<!---->-           <!---->影响各种类型的经济活动秩序;

<!---->-           <!---->影响各行业的科研、生产秩序;

<!---->-           <!---->影响公众在法律约束和道德规范下的正常生活秩序等;

<!---->-           <!---->其他影响社会秩序的事项。

影响公共利益的事项包括以下方面:

<!---->-           <!---->影响社会成员使用公共设施;

<!---->-           <!---->影响社会成员获取公开信息资源;

<!---->-           <!---->影响社会成员接受公共服务等方面;

<!---->-           <!---->其他影响公共利益的事项。

影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。

确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。

各行业可根据本行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。

<!---->1.1         <!---->确定对客体的侵害程度

<!---->1.1.1          <!---->侵害的客观方面

在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保 信息系统可以及时、有效地提供服务,以完成预定的业务目标。 由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。

信息安全和系统服务安全受到破坏后,可能产生以下危害后果:

<!---->-           <!---->影响行使工作职能;

<!---->-           <!---->导致业务能力下降;

<!---->-           <!---->引起法律纠纷;

<!---->-           <!---->导致财产损失;

<!---->-           <!---->造成社会不良影响;

<!---->-           <!---->对其他组织和个人造成损失;

<!---->-           <!---->其他影响。

<!---->1.1.2          <!---->综合判定侵害程度

侵 害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的 方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信 息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。

在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:

<!---->-           <!---->如果受 侵害客体 是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;

<!---->-           <!---->如果受 侵害客体 是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。

不同危害后果的三种危害程度描述如下:

一般损害 :工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。

严重损害 :工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。

特别严重损害 :工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。

信 息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相 同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评 定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。

<!---->1.1         <!---->确定定级对象的安全保护等级

根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表 2 业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。

2 业务信息安全保护等级矩阵表

 

业务信息安全被破坏时所侵害的客体

对相应客体的侵害程度

一般损害

严重损害

特别严重损害

公民、法人和其他组织的合法权益

第一级

第二级

第二级

社会秩序、公共利益

第二级

第三级

第四级

国家安全

第三级

第四级

第五级

根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表 2 系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。

3 系统服务安全保护等级矩阵表

 

系统服务安全被破坏时所侵害的客体

对相应客体的侵害程度

一般损害

严重损害

特别严重损害

公民、法人和其他组织的合法权益

第一级

第二级

第二级

社会秩序、公共利益

第二级

第三级

第四级

国家安全

第三级

第四级

第五级

 

作为定

分享到:
评论

相关推荐

    电力行业信息系统安全等级保护基本要求.doc

    "电力行业信息系统安全等级保护基本要求" 电力行业信息系统安全等级保护是指电力行业信息系统在不同安全等级下的保护要求和技术规范。该标准旨在确保电力行业信息系统的安全运行,防止非法访问、数据泄露、恶意攻击...

    信息系统安全等级保护定级指南(报批稿)

    信息系统安全等级保护定级指南 信息系统安全等级保护定级指南是国家标准化技术委员会发布的信息安全技术标准之一。该标准旨在为信息系统安全建设提供指导和规范,确保信息系统的安全等级保护达标。下面是该标准的...

    GBT22239-2008_信息安全技术_信息系统安全等级保护基本要求

    《GBT22239-2008_信息安全技术_信息系统安全等级保护基本要求》是中华人民共和国国家标准化管理委员会发布的一项国家标准,旨在为我国的信息系统安全等级保护提供基础性的指导和技术规范。这一标准的出台,标志着...

    信息系统安全等级保护备案表.doc

    总之,《信息系统安全等级保护备案表》的准确填写和及时提交是信息系统安全等级保护制度得以有效执行的前提。它不仅体现了单位对信息安全的重视程度,也是公安机关对信息系统进行有效监管的手段。只有严格遵循等保...

    《教育行业信息系统安全等级保护定级工作指南(试行)》.docx

    教育行业信息系统安全等级保护定级工作指南(试行) 本指南依据国家信息安全等级保护相关政策和标准,结合教育行业信息化工作的特点和具体实际,对教育行业信息系统进行分类,提出安全等级保护的定级思路,给出建议...

    信息系统安全等级保护基本要求

    安全等级保护 安全等级保护 安全等级保护 安全等级保护 安全等级保护 安全等级保护

    信息系统安全等级保护实施指南.pdf

    2. 标准相关系列:本标准是信息安全等级保护系列标准的一部分,其中GB/TAAAA-AAAA为信息系统安全等级保护定级指南,GB/TBBBB-BBBB为信息系统安全等级保护基本要求。 3. 实施过程:实施指南中规定了信息系统的安全...

    信息系统安全保护等级.rar

    制定了包括《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》、《信息系统安全等级保护测评要求》...

    信息系统安全等级保护测评申请书-上海信息安全测评认证中心.pdf

    信息系统安全等级保护测评申请书-上海信息安全测评认证中心.pdf信息系统安全等级保护测评申请书-上海信息安全测评认证中心.pdf信息系统安全等级保护测评申请书-上海信息安全测评认证中心.pdf信息系统安全等级保护...

    《信息系统安全等级保护定级报告》模板参考《信息系统安全等级保护定级报告》模板参考《信息系统安全等级保护定级报告》模板参考信息系

    《信息系统安全等级保护定级报告》模板参考《信息系统安全等级保护定级报告》模板参考《信息系统安全等级保护定级报告》模板参考《信息系统安全等级保护定级报告》模板参考《信息系统安全等级保护定级报告》模板参考...

    信息系统安全等级保护定级指南.pdf

    信息系统安全等级保护定级指南是一份详细的指导性文件,旨在规范信息系统安全等级保护的实施过程。本文将基于提供的部分内容,详述信息系统安全等级保护定级指南中的关键知识点。 首先,信息系统安全等级保护的核心...

    信息系统安全等级保护方案 介绍

    ### 信息系统安全等级保护方案详解 #### 一、信息系统安全等级保护方案概览 随着全球网络安全形势的日益严峻,信息安全不仅关乎组织自身的运营安全,更直接影响国家和社会的安全稳定。面对计算机病毒、黑客攻击、...

    信息系统安全等级保护测评过程指南.docx

    信息系统安全等级保护测评过程指南.docx信息系统安全等级保护测评过程指南.docx信息系统安全等级保护测评过程指南.docx信息系统安全等级保护测评过程指南.docx信息系统安全等级保护测评过程指南.docx信息系统安全...

    信息系统安全等级保护定级指南

    《信息系统安全等级保护定级指南》是国家针对信息安全领域的一项重要标准,旨在为各类组织的信息系统提供一套科学、规范的安全等级评定方法,从而提升整体的信息安全保障能力。此标准的出台,标志着我国在信息安全...

    JRT 0071-2012 金融行业信息系统信息安全等级保护实施指引.pdf

    金融行业重要的信息系统关系到国计民生,是国家信息安全重点保护对象,国家信息交全监管职能 部门需要对其重要信息和信息系统的信息安全保护工作进行指导监督。 信息安全等級保护是国家在信息安全保障工作的一項基本...

    GAT 390-2002计算机信息系统安全等级保护通用技术要求.pdf

    《GAT 390-2002计算机信息系统安全等级保护通用技术要求》作为一项中华人民共和国公共安全行业标准,主要内容涉及计算机信息系统安全等级保护的通用技术要求。该标准自2002年7月18日起发布并实施,旨在确保计算机...

    信息系统安全等级保护测评要求(报批稿)

    信息系统安全等级保护测评要求(报批稿),下载后重新排版。

Global site tag (gtag.js) - Google Analytics