510 likes | 630 Views
信息安全等级保护制度. 信息安全等级保护定级和备案 广东省公安厅网警总队 林雁飞 2007 年 9 月. 提 纲. 一、主要工作措施 二、信息安全保护等级的划分和标准 三、信息系统安全保护等级的确定 四、备案. 一、主要工作措施. 开展信息系统基本情况的摸底调查 初步确定安全保护等级 评审与审批 备案. 二、信息安全保护等级的划分和标准. 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。.
E N D
信息安全等级保护制度 信息安全等级保护定级和备案 广东省公安厅网警总队 林雁飞 2007年9月
提 纲 一、主要工作措施 二、信息安全保护等级的划分和标准 三、信息系统安全保护等级的确定 四、备案
一、主要工作措施 • 开展信息系统基本情况的摸底调查 • 初步确定安全保护等级 • 评审与审批 • 备案
二、信息安全保护等级的划分和标准 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
二、信息安全保护等级的划分和标准 第一级,信息系统受到破坏后 会对公民、法人和其他组织的合法权益造成损害 但不损害国家安全、社会秩序和公共利益
二、信息安全保护等级的划分和标准 第二级,信息系统受到破坏后 会对公民、法人和其他组织的合法权益产生严重损害 或者对社会秩序和公共利益造成损害, 但不损害国家安全
二、信息安全保护等级的划分和标准 第三级,信息系统受到破坏后 会对社会秩序和公共利益造成严重损害 或者对国家安全造成损害
二、信息安全保护等级的划分和标准 第四级,信息系统受到破坏后 会对社会秩序和公共利益造成特别严重损害 或者对国家安全造成严重损害
二、信息安全保护等级的划分和标准 第五级,信息系统受到破坏后 会对国家安全造成特别严重损害
二、信息安全保护等级的划分和标准 • 信息系统分为所处理的业务信息和作为整体的系统服务两个层次 • 信息系统安全保护等级由业务信息和系统服务两个层次的安全等级之中的较高中决定
二、信息安全保护等级的划分和标准 • 决定信息系统的安全保护等级由两个定级要素决定 • 受到破坏时侵害了什么(客体) • 侵害的程度如何(对客体造成侵害的程度)
二、信息安全保护等级的划分和标准 • 等级保护对象受到破坏时所侵害的客体 • 公民、法人和其他组织的合法权益 • 社会秩序、公共利益 • 国家安全
二、信息安全保护等级的划分和标准 • 对客体造成侵害的程度 • 造成一般损害 • 造成严重损害 • 造成特别严重损害
三、信息系统安全保护等级的确定 • 定级范围 • 电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 • 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 • 市(地)级以上党政机关的重要网站和办公信息系统。 • 涉及国家秘密的信息系统(以下简称涉密信息系统)
三、信息系统安全保护等级的确定 • 定级工作步骤 • 第一步:确定定级对象 作为定级对象的信息系统应具有如下基本特征: 1 .具有唯一确定的安全责任单位。 2 .具有信息系统的基本要素。 3 .承载单一或相对独立的业务应用。 不是涉密信息系统(按照保密等级相关要求定级)
三、信息系统安全保护等级的确定 • 定级工作步骤 • 第二步:初步确定信息系统等级 • 1.定级的一般流程
1、确定定级对象 2、确定业务信息安全受到破坏时所侵害的客体 5、确定系统服务安全受到破坏时所侵害的客体 3、综合评定对客体的侵害程度 6、综合评定对客体的侵害程度 依据表2 依据表3 4、业务信息安全等级 7、系统服务安全等级 8、定级对象的安全保护等级 三、信息系统安全保护等级的确定
三、信息系统安全保护等级的确定 • 2.确定受侵害的客体——侵害了何种权益 定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
三、信息系统安全保护等级的确定 侵害国家安全的事项包括以下方面 影响国家政权稳固和国防实力 影响国家统一、民族团结和社会安定 影响国家对外活动中的政治、经济利益 影响国家重要的安全保卫工作 影响国家经济竞争力和科技实力 其他影响国家安全的事项。
三、信息系统安全保护等级的确定 侵害社会秩序的事项包括以下方面 影响国家机关社会管理和公共服务的工作秩序 影响各种类型的经济活动秩序 影响各行业的科研、生产秩序 影响公众在法律约束和道德规范下的正常生活秩序等 其他影响社会秩序的事项
三、信息系统安全保护等级的确定 影响公共利益的事项包括以下方面 影响社会成员使用公共设施 影响社会成员获取公开信息资源 影响社会成员接受公共服务等方面 其他影响公共利益的事项 影响公民、法人和其他组织的合法权益是指 由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益
三、信息系统安全保护等级的确定 确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
三、信息系统安全保护等级的确定 • 3.确定侵害的客观方面——造成何种损失 在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏。
三、信息系统安全保护等级的确定 信息安全和系统服务安全受到破坏后,可能产生以下危害后果: 影响行使工作职能 导致业务能力下降 引起法律纠纷 导致财务损失 造成社会不良影响 对其他组织和个人造成损失 其他影响
三、信息系统安全保护等级的确定 • 4.综合判定侵害程度 系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数、业务量、业务性质等不同方面确定。 业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
三、信息系统安全保护等级的确定 不同危害后果的三种危害程度描述如下: 一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的资产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
三、信息系统安全保护等级的确定 严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的资产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
三、信息系统安全保护等级的确定 特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的资产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
三、信息系统安全保护等级的确定 • 5.确定信息系统安全保护等级
三、信息系统安全保护等级的确定 作为定级对象的信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较高者决定。定级对象等级确定后,起草《信息系统安全保护等级定级报告》。
三、信息系统安全保护等级的确定 • 定级工作步骤 • 第三步:信息系统等级评审 • 在信息系统安全保护等级确定过程中,可以聘请专家进行咨询评审,并出具定级评审意见 • 对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审,出具评审意见。
三、信息系统安全保护等级的确定 • 定级工作步骤 • 第四步:信息系统等级的最终确定与审批 • 信息系统运营使用单位参考专家定级评审意见,最终确定信息系统等级,形成《定级报告》。 • 如果专家评审意见与运营使用单位意见不一致时,由运营使用单位自主决定系统等级。 • 信息系统运营使用单位有上级主管部门的,应当经上级主管部门对安全保护等级进行审核批准。
定级实例1 • 系统简述:某省政府网站系统ZFWZ,用于发布政务公开信息、地方行政法规和管理措施、领导讲话、政府办事流程、新闻发布、政府公告、举报投诉、省内经济形势介绍、电子表单下载等信息,服务对象主要是省内企业和市民。
定级实例1 • ZFWZ系统等级确定过程: • ZFWZ系统是省政府对社会办公的窗口,其中发布的信息内容代表政府形象和体现政府的社会管理和社会服务职能,因此该信息安全被破坏可能对社会秩序造成一定影响 • 由于省政府网站的访问量并不很大,信息被篡改可能造成的不良社会影响不会很大,因此对社会秩序的侵害程度为一般损害; • 查表知ZFWZ系统的业务信息安全保护等级为第二级,如下表所示。
定级实例1 • ZFWZ系统为省内企业和市民提供政府信息查询和下载服务,其系统服务如果不可用侵害的不是省政府本身的利益,而是公众获取公开信息的公众利益; • 但由于没有必须通过网络才能够执行的办事流程,ZFWZ系统对服务实时性和服务质量要求不高,政务服务工作主要通过网络之外完成,网络仅提供相关信息和表单下载,网站不能提供服务对市民办事影响不大; • 查表知ZFWZ系统的业务服务安全保护等级为第二级,如下表所示。
定级实例1 • ZFWZ系统的安全保护等级为第二级。
定级实例2 • 系统简述:某省电力集团公司的省级电力实时监控系统,主要运行调度自动化控制系统和能量管理系统(SCADA/EMS)DDZDH,负责省级超高压输电变电站的调度控制和数据采集。系统实时性要求极高,达到秒级。
定级实例2 • 系统等级确定过程: • 电力系统是国家重要基础设施,省级DDZDH系统负责全省范围内的电力调度,调度控制指令或调度程序被修改,可能造成的停电事故会影响几乎所有行业的正常生产和工作,其所侵害的客体为社会秩序和公共利益; • 调度控制指令或调度程序被修改可能造成全省范围大面积停电、人员伤亡和巨额财产损失,同时对其它行业的生产和工作造成非常严重的影响,因此对社会秩序和公共利益的侵害程度为特别严重损害; • 查表知DDZDH系统的业务信息安全保护等级为第四级,如下表所示。
定级实例2 • DDZDH系统负责省级超高压输电变电站的调度控制和数据采集,该系统无法提供服务可能造成全省范围供电异常,可能造成大面积停电、人员伤亡和巨额财产损失, 同时对其它行业的生产和工作造成非常严重的影响,因此对社会秩序和公共利益的侵害程度为特别严重损害; • 查表知DDZDH系统的系统服务安全保护等级取值为4,如下表所示。
定级实例2 • DDZDH系统的安全保护等级为第四级。
四、备案 • 备案(以下两种形式都要做) • 书面填写《信息系统安全等级保护备案表》 一式两份。可填WORD文档,再打印输出,附上附件。 10月10日前交换到省公安厅网络警察总队管理监察科。 • 利用备案工具填写,10月10日前生成电子数据发到电子邮箱kinn10290704@126.com。 涉密系统填写《涉及国家秘密的信息系统分级保护备案表》,向保密部门备案。
四、备案 《信息系统安全等级保护备案表》 WORD文档和备案工具及其他相关材料可到《广东网警》网站www.gdnet110.gov.cn信息安全等级保护栏目下载。
《信息系统安全等级保护备案表》补充说明 一、表一04行政区划代码 可到《广东网警》网站信息安全等级保护栏目下载《广东行政区划代码》查询。 二、表一08隶属关系 1.省直国家机关、省政府直属的企业、事业单位,国资委管理的企业选“2省(自治区、直辖市)”。 2.省直部门下设的企业、事业单位选“9其他 ”,再在横线上注明是哪个部门下设的企业、事业单位。
《信息系统安全等级保护备案表》补充说明 三、表二07关键产品使用情况的部分使用及使用率 使用率按产品的种类来计。 四、表三05专家评审情况 来不及评审可先报备案数据再办理评审、更新数据。 五、表三06是否有主管部门 1.企业、事业单位有主管部门的应履行相关报批手续,选“有”。 2.国家机关可选“无”,但在实际操作中可征求上级部门意见;如本系统内部有规定明确要经上级部门审批的,应履行审批手续。
四、备案 • 备案审核 • 信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,颁发信息系统安全等级保护备案证明。 • 发现不符合本办法及有关标准的,将通知备案单位予以纠正。