解读——等级保护定级指南
前言
信息系统安全等级,由系统运用、使用单位根据《信息系统安全等级保护定级指南》自主确定信息系统的安全保护等级,有主管部门的,应当经主管部门审批。对于拟确定为四级及以上信息系统,还应经专家评审会评审。新建信息系统在设计、规划阶段确定安全保护等级。
定级要素
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
a) 公民、法人和其他组织的合法权益;
b) 社会秩序、公共利益;
c) 国家安全。
对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
a) 造成一般损害(工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题、较低的财产损失、有限的社会不良影响,对其他组织和个人造成较低损害);
b) 造成严重损害(工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害);
c) 造成特别严重损害(工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现及其严重的法律问题、极高的财产损失、大范围的社会不良影响,对其他组织和个人造成非常严重损害);
定级要素和等级之间的关系
定级的流程
信息系统定级工作应按照“自主定级、专家评审、主管部门审核、公安机关审查”的原则进行。
定级工作的主要内容包括:确定定级对象、初步确定等级、组织专家评审、主管部门审核、公安机关备案审查、最终确定等级。其流程图如下:
确定定级对象
一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。
定级对象基本特征
- 具有唯一确定的安全责任单位。作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。(谁是建设维护谁负责)
- 具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。(需是组合系统)
- 承载单一或相对独立的业务应用。定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。(主要业务流程独立)
初步确定定级
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。
定级方法概述
a:确定受到破坏时所侵害的客体
- 确定业务信息受到破坏时所侵害的客体
- 确定系统服务受到侵害时所侵害的客体
b:确定对客体的侵害程度
- 根据不同受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度
- 根据不同受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度
c:确定安全保护等级
- 确定业务信息安全保护等级
- 确定系统服务安全保护等级
- 将业务信息安全保护等级和系统服务安全保护等级的较高者初步确定为定级对象的安全保护定级
确定受侵害客体
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
国家安全
- 影响国家政权稳固和国防实力;
- 影响国家统一、民族团结和社会安定;
- 影响国家对外活动中的政治、经济利益;
- 影响国家重要的安全保卫工作;
- 影响国家经济竞争力和科技实力;
(政权、社会、对外利益、军事、经济)
社会秩序
影响国家机关社会管理和公共服务的工作秩序;
- 影响各种类型的经济活动秩序;
- 影响各行业的科研、生产秩序;
- 影响公众在法律约束和道德规范下的正常生活秩序等;
(公共服务、经济活动、生产秩序、生活秩序)
公共利益
- 影响社会成员使用公共设施;
- 影响社会成员获取公开信息资源;
- 影响社会成员接受公共服务等方面;
- 其他影响公共利益的事项。
(公共设施、信息资源、公共服务)
影响公民、法人和其他组织的合法权益:
指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定对客体的侵害程度
客观方面
在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对业务信息安全的破坏和对信息系统服务的破坏,其中业务信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。
信息安全和系统服务安全受到破坏后可能产生以下危害结果:
- 影响行使工作职能;
- 导致业务能力下降;
- 引起法律纠纷;
- 导致财产损失;
- 造成社会不良影响;
- 对其他组织和个人造成损失
综合判定
侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害后果分别确定其危害程度。
针对不同客体参照不同判别标准:
- 如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判 断侵害程度的基准;
- 如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
确定保护等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据下表即可得到业务信息安全保护等级:
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据下表即可得到系统服务安全保护等级:
定级对象的安全保护等级由两者相比较,以较高者为准。
专家评审
定级对象的运营、使用单位应组织网络安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家评审意见。
主管部门审核
定级对象的运营、使用单位应将初步定级结果上报行业主管部门,由上级有关部门进行审核。
公安机关备案审查
定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查。审查不通过,其网络运营者应组织重新定级;审查通过后最终确定定级对象的安全保护定级。
等级变更
当等级保护对象所处理的信息、业务状态和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度有较大的变化时,应根据标准要求重新确定定级对象和安全保护等级。
————————————————
版权声明:本文为CSDN博主「whoim_i」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/whoim_i/article/details/105311305
