信息安全技术,网络安全等级保护定级指南
一、基本概念和定级要素
等级的含义: 角度:从重要性等级的角度进行定级。
1.对国家安全、经济建设、公共利益等方面的重要性。
2.被破坏后造成的严重程度。
概念解释:
1.等级保护对象:网路安全等级保护工作的作用对象,主要包括通信网络设施、信息系统(工业控制系统、物联网、云计算平台、使用互动互联技术信息系统)和数据资源等。
2.通信网络设施:为信息流通、网络运行等起基础支撑作用的网络设施设备,包括电信网、广播电视传输网、互联网、行业或单位的专用通信网等。
3.数据资源:具有或预期具有价值的数据集合。
4.信息系统:应用、服务、信息技术资产或其他信息处理组件。
5.客体:受法律保护、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。
6.网络安全:通过采取措施,防范对网络攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
7.客体方面:对客体造成侵害的客观外在表现,包括侵害方式和侵害结果。
定级要素
要素一:受侵害的客体
要素二:对客体的侵害程度
要素和等级的关系(定级方法)
受侵害的客体:
1.公民、法人和其他组织的合法权益
2.社会秩序、公共利益
3.国家安全
公民、法人和其他组织的合法权益:
法律确定的并受法律保护的公民、法人和其他组织所享有的一定的社会权益和利益,特指拥有信息系统的个人或确定组织所享有的社会权利和利益。
社会秩序包括:
1.国家机关、政企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序
2.公共场所的活动秩序、公共交通秩序
3.人民群众的生活秩序
4.其他社会秩序的事项
公共利益:不特定社会成员所共同享有的,维护其生产、生活、教育、卫生等方面的利益,表现为:
1.社会成员使用公共设施
2.社会成员获取公开信息资源
3.社会成员获取公共服务等
国家安全:
1.国家政权稳固和领土完整、海洋权益完整
2.国家统一、民族团结和社会稳定
3.国家社会主义市场经济秩序和文化实力
4.其他影响国家安全的事项
对客体的侵害程度: 两个角度:1.直观2.恢复
造成一般损害:对客体造成一定损害,经采取恢复和弥补措施,可消除部分影响。
造成严重损害:对客体造成严重损害,采取恢复和弥补措施,仍产生较大影响。
造成特别严重损坏:对客体造成特别严重损害,后果特别严重,影响重大且无法弥补。
安全保护等级:根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或数据篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,划分为5个等级
二、定级工作流程
流程:确定定级对象->初步确定等级->专家评审->主管部门核准->备案审核
定级对象基本特征–定级对象应具备以下条件:
1.具有确定的安全责任主体
2.包含相互关联的多个资源
3.承载相对独立的业务应用
云计算平台/系统
应将云服务商侧的云计算平台单独作为定级对象定级,云服务客户侧的等级保护对象也应作为单独的定级对象定级。并根据不同服务模式将云计算平台/系统划分为不同的定级对象。
对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统化为不同的定级对象。
物联网
物联网主要包括感知、网络传输和处理应用等特征要素,应将以上要素作为一个整体对象定级,各要素不单独定级。
工业控制系统
现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,各要素不单独定级;生产管理要素可单独定级。
对于大型工业控制系统,可以根据系统功能责任主体、控制对象和生产厂商等因素划分为多个定级对象
移动互联网
采用移动互联技术的信息系统主要包括移动终端、移动应用、无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。
通信网络设施
对于电信网、广播电视传输网、互联网等基础信息网络,应根据责任主体、服务类型或地域等将其划分为不同的定级对象
跨省的行业或单位内部专用网可作为一个整体对象定级,或分区域划分为若干个定级对象
数据资源
数据资源可作为单独定级对象进行定级
当安全责任主体相同时,大数据、大数据平台/系统可作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。
三、定级方法
业务信息安全和系统服务安全收到破坏后,可能产生的影响:
等级调整
定级对象的决策者或上级主管部门可根据系统的特殊安全需求进行等级调整,可以参考以下因素:
1.上级主管部门在政策和管理方面的特殊要求
2.预测业务数据可能会随着时间的变化从量变转化为质变
3.随着信息系统所承载的业务不断完善和稳定,各种业务的取消或合并
4.信息系统服务范围随着业务的发展,将会有较大的变化
定级报告模板
一、XXX信息系统描述
二、XXX信息系统安全保护等级确定
(一)业务信息安全保护等级的确定
1、业务信息描述
2、业务信息受到破坏时所侵害客体的确定
3、信息受到破坏后对侵害客体的侵害程度的确定
4、业务信息安全等级的确定
(二)系统服务安全保护等级的确定
1、系统服务描述
2、系统服务受到破坏时所侵害客体的确定
3、系统服务受到破坏后对侵害客体的侵害程度的确定
4、系统服务安全等级的确定
(三)安全保护等级的确定
扫一扫
5963
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
