3-信息安全技术 信息系统安全保护等级定级指南下载简介:
内容预览截取文档部分内容,仅供参考
3-信息安全技术 信息系统安全保护等级定级指南《信息安全技术信息系统安全保护等级定级指南》是国家信息安全标准体系中的重要组成部分,旨在为我国信息系统的安全保护等级划分提供科学、规范的指导依据。该标准主要适用于非涉密的信息系统,通过对信息系统的安全需求进行分析,确定其安全保护等级,从而实现分级管理、重点保护的目标。
核心内容
1.等级划分原则标准明确了信息系统的安全保护等级划分为五个级别(从第一级到第五级),每一级的安全要求逐级提高。等级划分基于信息系统的重要性、业务信息的安全性和系统服务的安全性三个方面进行综合评估。其中,第一级为最低保护要求,第五级为最高保护要求。
2.定级要素定级过程需要考虑三个关键要素:受侵害的客体(如公民、法人、社会秩序、国家安全等)、对客体的侵害程度(一般损害、严重损害、特别严重损害)以及信息系统在国民经济和社会发展中的重要性。通过综合评估这些要素东西城市轴线跨兰成渝输油管线保护钢栈桥专项施工方案(2019),确定系统的安全保护等级。
3.定级流程标准规定了定级的基本流程,包括:明确定级对象;分析系统的重要性和面临的风险;确定安全保护等级;编制定级报告并报备相关部门。
4.定级方法结合定量和定性分析方法,评估信息系统的安全性需求。例如,通过问卷调查、专家评审或风险评估工具等方式,收集数据并进行分析,确保定级结果的科学性和准确性。
意义与作用
该标准的实施有助于推动我国信息安全工作的规范化和制度化建设,为政府、企业和各类组织提供了一套明确的信息系统安全保护框架。通过合理划分安全保护等级,可以有效分配资源,优先保护关键信息基础设施,降低整体安全风险。同时,也为后续的安全建设和监督检查提供了依据,提升了信息系统的整体防护能力。
总之,《信息系统安全保护等级定级指南》是我国信息安全领域的重要基础性文件,对于保障国家网络安全、促进信息化健康发展具有重要意义。
中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布
中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布
GB/T 22240—2008
目次 前言. 1 引言 m 范围 规范性引用文件 术语和定义.. 定级原理... f.1 信息系统安全保护等级 4.2 信息系统安全保护等级的定级要素, 4.2.1 受侵害的客体 4.2.2 对客体的侵害程度.. 4.3 定级要素与等级的关系, 定级方法. 5.1 定级的一般流程. 5.2 确定定级对象. 5.3 确定受侵害的客体. 5.4 确定对客体的侵害程度, 5.4.1 侵害的客观方面... 5.4.2 综合判定侵害程度, 5.5 确定定级对象的安全保护等级, 整级亦重
GB/T 22240—2008
GB/T 22240—2008
依据国家信息安全等级保护管理规定制定本标准。 本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: —GB/T22239一2008《信息系统安全等级保护基本要求》; 一国家标准《信息系统安全等级保护实施指南》; 国家标准《信息系统安全等级保护测评准则》。 本标准依据等级保护相关管理文件,从信息系统所承载的业务在国家安全、经济建设、社会生活中 的重要作用和业务对信息系统的依赖程度这两方面,提出确定信息系统安全保护等级的方法。
GB/T22240—2008
信息系统安全等级保护定级指南
本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的 供指导。
4.1信息系统安全保护等级
GB/T22240—2008 根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家 安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社 会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损 害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造 成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体 造成侵害的程度
等级保护对象受到破坏时所侵害的客体包括以下三个方面: a 2 公民、法人和其他组织的合法权益; b) 1 社会秩序、公共利益; C 国家安全。
4.2.2对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对 象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和 危害程度加以描述。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种: a)造成一般损害; b)造成严重损害; C) )造成特别严重损害。
4.3定级要素与等级的关系
定级要素与信息系统安全保护等级的关系如表1所示
GB/T 22240—2008
表1定级要素与安全保护等级的关系
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度 ,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。 从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。 从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。 确定信息系统安全保护等级的一般流程如下: a)确定作为定级对象的信息系统; b)确定业务信息安全受到破坏时所侵害的客体; c)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度; d)依据表2,得到业务信息安全保护等级; e)确定系统服务安全受到破坏时所侵害的客体; f)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度; g)依据表3,得到系统服务安全保护等级; h)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等 级。 上述步骤如图1确定等级一般流程所示。
GB/T 22240—2008
图1确定等级一般流程
一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设 成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不 同安全保护等级的定级对象。 作为定级对象的信息系统应具有如下基本特征: a)具有唯一确定的安全责任单位。作为定级对象的信息系统应能够唯一地确定其安全责任单位, 如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则 这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担 信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的 单位。 b)具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按 照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、 终端、网络设备等作为定级对象。 c)承载单一或相对独立的业务应用。定级对象承载“单一”的业务应用是指该业务应用的业务 流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相 对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数
GB/T22240—2008
5.4确定对客体的侵害程度
GB/T 22240—2008
5.4.1侵害的客观方面
在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏 和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统 服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和 系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处 理这两种危害方式。 信息安全和系统服务安全受到破坏后,可能产生以下危害后果: 一M 影响行使工作职能; 一导致业务能力下降; 一 引起法律纠纷; 一 导致财产损失; 一 造成社会不良影响; 对其他组织和个人造成损失; 其他影响。
5.4.2综合判定侵害程度
侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害 果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例 系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务 等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复 用等方面进行确定。 在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准: 1 如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判 断侵害程度的基准; 一如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为 判断侵害程度的基准。 不同危害后果的三种危害程度描述如下: 一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的 法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。 严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重 的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害,
GB/T22240 2008
中建馨和园住宅小区施工组织设计5.5确定定级对象的安全保护等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2业务信息安全保 护等级矩阵表,即可得到业务信息安全保护等级
表2业务信息安全保护等级矩阵表
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2系统服务安全保 等级矩阵表,即可得到系统服务安全保护等级。
表3系统服务安全保护等级矩阵表
××加油站改扩建工程施工组织设计作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保 高者决定。