安全生產_信息安全體系定級指南

信息安全體系定級指南 等級確定的依據等級確定方法定級報告定級舉例 信息系統(tǒng)安全保護等級的依據 開展安全等級保護定級工作依據的政策和法律依據國家信息化領導小組關于加強信息安全保障工作的意見 中辦發(fā) 2003 27號 關于信息安全等級保護工作的實施意見 公通字 2004 66號 信息安全等級保護管理辦法 公通字 2007 43號 關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知 公信安 2007 861號 信息系統(tǒng)安全保護等級的依據 開展安全等級保護定級工作的技術依據基礎標準 計算機信息系統(tǒng)安全等級保護劃分準則 GB17859 基線標準 信息系統(tǒng)安全等級保護基本要求輔助標準 定級指南 實施指南 測評要求目標標準 信息系統(tǒng)通用安全技術要求 GB T20271 網絡基礎安全技術要求 GB T20270 操作系統(tǒng)安全技術要求 GB T20272 數據庫管理系統(tǒng)安全技術要求 GB T20273 終端計算機系統(tǒng)安全等級技術要求 GA T671 信息系統(tǒng)安全管理要求 GB T20269 信息系統(tǒng)安全工程管理要求 GB T20282 產品標準 防火墻 入侵檢測 終端設備隔離部件等 信息系統(tǒng)安全保護等級的依據 信息系統(tǒng)安全保護等級的依據 等級確定原則和要求 自主定級 自主保護 與國家監(jiān)管相統(tǒng)一原則 誰主管誰負責 誰運營誰負責 的原則定級工作的要求加強領導 落實保障明確責任 密切配合動員部署 開展培訓及時總結 提出建議 信息系統(tǒng)安全保護等級的依據 定級要素與安全保護等級的關系 內容簡介 等級確定的依據等級確定方法定級報告定級舉例 信息系統(tǒng)安全保護等級的確定 定級工作的主要步驟第一步 摸底調查 掌握信息系統(tǒng)底數第二步 確定定級對象第三步 初步確定信息系統(tǒng)等級第四步 信息系統(tǒng)等級評審第五步 信息系統(tǒng)等級的最終確定與審批 信息系統(tǒng)安全保護等級的確定 第一步 摸底調查 掌握信息系統(tǒng)底數 1按照 定級工作通知 確定定級范圍掌握信息系統(tǒng) 包括信息網絡 的業(yè)務類型 應用或服務范圍 系統(tǒng)結構等基本情況為下一步明確要求 落實責任奠定基礎 信息系統(tǒng)安全保護等級的確定 第一步 摸底調查 掌握信息系統(tǒng)底數 2識別單位基本信息識別管理框架識別業(yè)務種類 流程和服務識別信息識別網絡結構和邊界識別主要的軟硬件設備識別用戶類型和分布 信息系統(tǒng)安全保護等級的確定 摸底調查 1 識別單位基本信息調查了解對目標系統(tǒng)負有安全責任的單位的單位性質 隸屬關系 所屬行業(yè) 業(yè)務范圍 地理位置等基本情況具有上級主管機構 如果有 的信息作用 有助于判斷單位的職能特點 單位所在行業(yè)及單位在行業(yè)所處的地位和所用 由此判斷單位主要信息系統(tǒng)的宏觀定位 信息系統(tǒng)安全保護等級的確定 摸底調查 2 識別管理框架調查了解定級對象信息系統(tǒng)所在單位的組織管理結構 管理策略 部門設置和部門在業(yè)務運行中的作用 崗位職責了解信息系統(tǒng)的管理 使用 運維的責任部門當單位的信息系統(tǒng)存在分布于不同的物理區(qū)域的情況時 應了解不同區(qū)域系統(tǒng)運行的安全管理責任安全管理的責任單位就是等級保護備案工作的責任單位作用 有利于將來對整個單位制定等級保護管理框架及單個定級對象等級管理策略 信息系統(tǒng)安全保護等級的確定 摸底調查 3 識別業(yè)務種類 流程和服務調查了解定級對象信息系統(tǒng)內部處理多少種業(yè)務 各項業(yè)務具體要完成的工作內容 服務目標和業(yè)務流程等 不同信息系統(tǒng)之間的業(yè)務關系了解這些業(yè)務與單位職能的關聯(lián) 單位對定級對象信息系統(tǒng)完成業(yè)務使命的期待和依賴程度 由此判斷該信息系統(tǒng)在單位的作用和影響程度 應重點了解定級對象信息系統(tǒng)中不同業(yè)務系統(tǒng)提供的服務在影響履行單位職能方面具體方式和程度 影響的區(qū)域范圍 用戶人數 業(yè)務量的具體數據以及對本單位以外機構或個人的影響等方面作用 這些具體數據即可以為主管部門制定定級指導意見提供參照 也可以作為主管部門審批定級結果的重要依據 信息系統(tǒng)安全保護等級的確定 摸底調查 4 識別信息調查了解定級對象信息系統(tǒng)所處理的信息 及對信息的三個安全屬性的需求了解不同業(yè)務數據在其保密性 完整性和可用性被破壞后在單位職能 單位資金 單位信譽 人身安全等方面可能對國家 社會 本單位造成的影響 對影響程度的描述應盡可能量化根據系統(tǒng)不同業(yè)務數據可能是用戶數據 業(yè)務處理數據 業(yè)務過程記錄 流水 數據 系統(tǒng)控制數據或文件等了解數據信息還應關注信息系統(tǒng)的數據流 以及不同信息系統(tǒng)之間的數據交換或共享關系 信息系統(tǒng)安全保護等級的確定 摸底調查 5 識別網絡結構和邊界調查了解定級對象信息系統(tǒng)所在單位的整體網絡狀況和安全防護情況 包括網絡覆蓋范圍 全國 全省或本地區(qū) 網絡的構成 廣域網 城域網或局域網等 內部網段 VLAN劃分 網段 VLAN劃分與系統(tǒng)的關系與上級單位 下級單位 外部用戶 合作單位等的網絡連接方式與互聯(lián)網的連接方式作用 了解定級對象信息系統(tǒng)自身網絡在單位整個網絡中的位置 該信息系統(tǒng)所處的單位內部網絡環(huán)境和外部環(huán)境特點 以及該信息系統(tǒng)的網絡安全保護與單位內部網絡環(huán)境的安全保護的關系 信息系統(tǒng)安全保護等級的確定 摸底調查 6 識別主要的軟硬件設備調查了解與定級對象信息系統(tǒng)相關的服務器 網絡 終端 存儲設備以及安全設備等設備所在網段 在系統(tǒng)中的功能和作用信息系統(tǒng)定級本應僅與信息系統(tǒng)有關 但由于在劃分信息系統(tǒng)時 不可避免地會涉及到設備共用問題調查設備的位置和作用主要就是發(fā)現(xiàn)不同信息系統(tǒng)在設備使用方面的共用程度 信息系統(tǒng)安全保護等級的確定 摸底調查 7 識別用戶類型和分布調查了解各系統(tǒng)的管理用戶和一般用戶 內部用戶和外部用戶 本地用戶和遠程用戶等類型了解用戶或用戶群的數量分布 各類用戶可訪問的數據信息類型和操作權限作用 了解用戶類型和數量 有助于判斷系統(tǒng)服務中斷或系統(tǒng)信息被破壞可能影響的范圍和程度 信息系統(tǒng)安全保護等級的確定 第二步 確定定級對象 1應用系統(tǒng)應按照不同業(yè)務類別單獨確定為定級對象 不以系統(tǒng)是否進行數據交換 是否獨享設備為確定定級對象條件起傳輸作用的基礎網絡要作為單獨的定級對象確認負責定級的單位是否對所定級系統(tǒng)具有控制 管理等責任 對信息系統(tǒng)所承載的業(yè)務有主管責任具有信息系統(tǒng)的基本要素 信息系統(tǒng)安全保護等級的確定 第二步 確定定級對象 2定級對象的三個條件承載相對獨立或單一業(yè)務應用的信息系統(tǒng)信息系統(tǒng)的信息安全由本單位主管具有信息系統(tǒng)的基本要素 計算機及其相關配套設備 實施構成的人機系統(tǒng) 只有同時滿足上述三個條件 才可由本單位對其進行定級起支撐作用的網絡可以作為定級對象應用類的信息系統(tǒng)以應用種類劃分定級對象 信息系統(tǒng)安全保護等級的確定 第二步 確定定級對象 3定級對象識別安全責任單位 依據安全責任單位的不同 劃分信息系統(tǒng)業(yè)務類型和業(yè)務重要性 根據業(yè)務的類型 功能 階段的不同 對信息系統(tǒng)進行劃分分析物理位置的差異 根據物理位置的不同 對信息系統(tǒng)進行劃分 信息系統(tǒng)安全保護等級的確定 第二步 確定定級對象 4確定定級對象信息系統(tǒng)邊界和邊界設備確定定級對象信息系統(tǒng)的邊界和邊界設備服務器共用的系統(tǒng)一般歸入同一個信息系統(tǒng)不同信息系統(tǒng)的共用設備一般是網絡 邊界設備或終端設備兩個信息系統(tǒng)邊界存在共用設備時 共用設備的安全保護等級按兩個信息系統(tǒng)安全保護等級較高者確定信息系統(tǒng)的管理終端與相應被管理的服務器 網絡設備及安全設備等同屬于一個系統(tǒng)處理涉密信息的終端必須劃分到相應的信息系統(tǒng)中 且不能與非涉密系統(tǒng)共用終端 信息系統(tǒng)安全保護等級的確定 第三步 初步確定信息系統(tǒng)等級 1信息系統(tǒng)的安全保護等級是信息系統(tǒng)的客觀屬性 不以已采取或將采取什么安全保護措施為依據 而是以信息系統(tǒng)的重要性和信息系統(tǒng)遭到破壞后對國家安全 社會穩(wěn)定 人民群眾合法權益的危害程度為依據 確定信息系統(tǒng)的安全保護等級既要防止個別單位片面追求絕對安全而定級過高 也要防止為了逃避監(jiān)管定級偏低信息網絡的安全等級可以參照在其上運行的信息系統(tǒng)的等級 網絡的服務范圍和自身的安全需求確定適當的保護等級 不以在其上運行的信息系統(tǒng)的最高等級或最低等級為標準 決定等級的主要因素分析 劃分等級時應考慮以下因素 系統(tǒng)所屬類型 即信息系統(tǒng)的安全利益主體 信息系統(tǒng)主要處理的業(yè)務信息類別 系統(tǒng)服務范圍 包括服務對象和服務網絡覆蓋范圍 業(yè)務依賴程度 或以手工作業(yè)替代信息系統(tǒng)處理業(yè)務的程度 其中第1 2個要素決定信息系統(tǒng)內信息資產的重要性 第3 4個要素決定信息系統(tǒng)所提供服務的重要性 而信息資產及信息系統(tǒng)服務的重要性決定了信息系統(tǒng)的重要性 決定等級的主要因素分析 系統(tǒng)所屬類型 業(yè)務信息類別 系統(tǒng)服務范圍 業(yè)務依賴程度 業(yè)務信息安全性 業(yè)務服務保證性 決定等級的主要因素分析 業(yè)務信息安全性 業(yè)務服務保證性 信息系統(tǒng)安全保護等級 信息系統(tǒng)安全保護等級的確定 第三步 初步確定信息系統(tǒng)等級 2信息系統(tǒng)跨省或者全國統(tǒng)一聯(lián)網運行的信息系統(tǒng) 可以由主管部門統(tǒng)一確定安全保護等級由各行業(yè)統(tǒng)一規(guī)劃 統(tǒng)一建設 統(tǒng)一安全保護策略的信息系統(tǒng) 應由各部委統(tǒng)一確定一個級別由各部委統(tǒng)一規(guī)劃 分級建設 運行的信息系統(tǒng) 應由部 省 地市分別確定系統(tǒng)等級 但各行業(yè)應對該類系統(tǒng)提出定級意見 避免出現(xiàn)同類系統(tǒng)定級出現(xiàn)較大偏差問題 信息系統(tǒng)安全保護等級的確定 第三步 初步確定信息系統(tǒng)等級 3 1 確定定級對象 3 綜合評定對客體的侵害程度 2 確定業(yè)務信息安全受到破壞時所侵害的客體 4 業(yè)務信息安全等級 6 綜合評定對客體的侵害程度 5 確定系統(tǒng)服務安全受到破壞時所侵害的客體 7 系統(tǒng)服務安全等級 8 定級對象的安全保護等級 信息系統(tǒng)安全保護等級的確定 第三步 初步確定信息系統(tǒng)等級 4確定受侵害客體定級對象受到破壞時所侵害的客體包括 國家安全社會秩序 公眾利益公民 法人和其他組織的合法權益確定侵害客體時從定級對象的兩方面進行考慮 業(yè)務信息安全被破壞時所侵害的客體系統(tǒng)服務安全被破壞時所侵害的客體 信息系統(tǒng)安全保護等級的依據 確定受侵害客體 1 國家安全重要的國家事務處理系統(tǒng) 國防工業(yè)生產系統(tǒng)和國防設施的控制系統(tǒng)等屬于影響國家政權穩(wěn)固和國防實力的信息系統(tǒng) 廣播 電視 網絡等重要新聞媒體的發(fā)布或播出系統(tǒng) 其受到非法控制可能引發(fā)影響國家統(tǒng)一 民族團結和社會安定的重大事件 處理國家對外活動信息的信息系統(tǒng) 處理國家重要安全保衛(wèi)工作信息的信息系統(tǒng)和重大刑事案件的偵查系統(tǒng) 尖端科技領域的研發(fā) 生產系統(tǒng)等影響國家經濟競爭力和科技實力的信息系統(tǒng) 電力 通信 能源 交通運輸 金融等國家重要基礎設施的生產 控制 管理系統(tǒng)等 信息系統(tǒng)安全保護等級的依據 確定受侵害客體 1 國家安全侵害國家安全的事項包括以下方面 影響國家政權穩(wěn)固和國防實力 影響國家統(tǒng)一 民族團結和社會安定 影響國家對外活動中的政治 經濟利益 影響國家重要的安全保衛(wèi)工作 影響國家經濟競爭力和科技實力 其他影響國家安全的事項 信息系統(tǒng)安全保護等級的依據 確定受侵害客體 2 社會秩序財政 金融 工商 稅務 公檢法 海關 社保等的信息系統(tǒng) 教育 科研機構的工作系統(tǒng) 所有為公眾提供醫(yī)療衛(wèi)生 應急服務 供水 供電 郵政等必要服務的生產系統(tǒng)或管理系統(tǒng)侵害社會秩序的事項包括以下方面 影響國家機關社會管理和公共服務的工作秩序 影響各種類型的經濟活動秩序 影響各行業(yè)的科研 生產秩序 影響公眾在法律約束和道德規(guī)范下的正常生活秩序等 其他影響社會秩序的事項 信息系統(tǒng)安全保護等級的依據 確定受侵害客體 3 公共利益借助信息化手段為社會成員提供使用的公共設施和通過信息系統(tǒng)對公共設施進行進行管理控制都應當是要考慮的方面如公共通信設施 公共衛(wèi)生設施 公共休閑娛樂設施 公共管理設施 公共服務設施等影響公共利益的事項包括以下方面 影響社會成員使用公共設施 影響社會成員獲取公開信息資源 影響社會成員接受公共服務等方面 其他影響公共利益的事項 信息系統(tǒng)安全保護等級的依據 確定受侵害客體 4 公民 法人和其他組織的合法權益受侵害的對象是明確的 即擁有信息系統(tǒng)的個體或某個單位影響公民 法人和其他組織的合法權益是指由法律確認的并受法律保護的公民 法人和其他組織所享有的一定的社會權利和利益提示 確定作為定級對象的信息系統(tǒng)受到破壞后所侵害的客體時 應首先判斷是否侵害國家安全 然后判斷是否侵害社會秩序或公眾利益 最后判斷是否侵害公民 法人和其他組織的合法權益 信息系統(tǒng)安全保護等級的確定 第三步 初步確定信息系統(tǒng)等級 5確定對客體的侵害程度在針對不同的受侵害客體進行侵害程度的判斷時 應參照以下不同的判別基準 如果受侵害客體是公民 法人或其他組織的合法權益 則以本人或本單位的總體利益作為判斷侵害程度的基準如果受侵害客體是社會秩序 公共利益或國家安全 則應以整個行業(yè)或國家的總體利益作為判斷侵害程度的基準 信息系統(tǒng)安全保護等級的確定 第三步 初步確定信息系統(tǒng)等級 6確定對客體的侵害程度一般損害 工作職能受到局部影響業(yè)務能力有所降低但不影響主要功能的執(zhí)行出現(xiàn)較輕的法律問題較低的資產損失有限的社會不良影響對其他組織和個人造成較低損害 信息系統(tǒng)安全保護等級的確定 第三步 初步確定信息系統(tǒng)等級 7確定對客體的侵害程度嚴重損害 工作職能受到嚴重影響業(yè)務能力顯著下降且嚴重影響主要功能執(zhí)行出現(xiàn)較嚴重的法律問題較高的資產損失較大范圍的社會不良影響對其他組織和個人造成較嚴重損害 信息系統(tǒng)安全保護等級的確定 第三步 初步確定信息系統(tǒng)等級 8確定對客體的侵害程度特別嚴重損害 工作職能受到特別嚴重影響或喪失行使能力業(yè)務能力嚴重下降且或功能無法執(zhí)行出現(xiàn)極其嚴重的法律問題極高的資產損失大范圍的社會不良影響對其他組織和個人造成非常嚴重損害 信息系統(tǒng)安全保護等級的確定 第三步 初步確定信息系統(tǒng)等級 9 信息系統(tǒng)安全保護等級的確定 第三步 初步確定信息系統(tǒng)等級 10定級人員需要將定級對象信息系統(tǒng)中的不同類重要信息分別分析其安全性受到破壞后所侵害的客體及對客體的侵害程度 取其中最高結果作為業(yè)務信息安全保護等級再將定級對象信息系統(tǒng)中的不同類重要系統(tǒng)服務分別分析其受到破壞后所侵害的客體及對客體的侵害程度 取其中最高結果作為業(yè)務服務安全保護等級 信息系統(tǒng)安全保護等級的確定 第四步 信息系統(tǒng)等級評審在信息系統(tǒng)安全保護等級確定過程中 可以聘請專家進行咨詢評審 并出具定級評審意見對擬確定為第四級以上信息系統(tǒng)的 運營使用單位或者主管部門應當請國家信息安全保護等級專家評審委員會評審 出具評審意見信息系統(tǒng)等級當專家意見與運營使用單位或者主管部門不一致時 以運營使用單位或者主管部門意見為準 信息系統(tǒng)安全保護等級的確定 第五步 信息系統(tǒng)等級的最終確定與審批信息系統(tǒng)運營使用單位參考專家定級評審意見 最終確定信息系統(tǒng)等級 形成 定級報告 信息系統(tǒng)運營使用單位有上級主管部門的 應當經上級主管部門對安全保護等級進行審核批準主管部門一般是指行業(yè)的上級主管部門或監(jiān)管部門如果是跨地域聯(lián)網運營使用的信息系統(tǒng) 則必須由其上級主管部門審批 確保同類系統(tǒng)或分支系統(tǒng)在各地域分別定級的一致性 內容簡介 等級確定的依據等級確定方法定級報告定級舉例 信息系統(tǒng)安全保護等級的報告 定級報告是什么公安部定級報告是為詳細了解和掌握定級過程情況由信息系統(tǒng)運營使用單位負責填寫的文檔定級報告作為 備案表 表三的附件 要在信息系統(tǒng)備案時一并提交信息系統(tǒng)運營使用單位在起草定級報告時可以請技術支持單位協(xié)助 信息系統(tǒng)安全保護等級的報告 定級報告的構成和起草 1信息系統(tǒng)描述簡述確定該信息系統(tǒng)為定級對象的理由該信息系統(tǒng)所承載業(yè)務的主管單位和部門 該信息系統(tǒng)具有信息系統(tǒng)的基本要素 有主機 網絡及相關配套設施構成的人機系統(tǒng) 該信息系統(tǒng)承載著獨立或單一的業(yè)務應用 業(yè)務應用主要包括哪些 各包含哪些功能等 信息系統(tǒng)安全保護等級的報告 定級報告的構成和起草 2信息系統(tǒng)安全保護等級的確定業(yè)務信息安全保護等級的確定第一步 簡要描述信息系統(tǒng)所處理的主要業(yè)務信息 包括各項業(yè)務的主要數據項有哪些等第二步 確定業(yè)務信息受到破壞后所侵害的客體第三步 確定對客體的侵害程度第四步 查表確定業(yè)務信息安全等級 信息系統(tǒng)安全保護等級的報告 定級報告的構成和起草 3信息系統(tǒng)安全保護等級的確定系統(tǒng)服務安全保護等級的確定第一步 簡要描述系統(tǒng)的服務范圍 服務對象 服務要求等等第二步 確定系統(tǒng)服務受到破壞后所侵害的客體第三步 確定對客體的侵害程度第四步 查表確定系統(tǒng)服務安全等級 信息系統(tǒng)安全保護等級的報告 定級報告的構成和起草 4信息系統(tǒng)安全保護等級的確定信息系統(tǒng)安全保護等級的確定信息系統(tǒng)的安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級較高者決定 信息系統(tǒng)安全保護等級的報告 備案表的作用和構成 1備案表的作用備案表是信息系統(tǒng)運營使用單位實施信息安全等級保護工作的重要記錄 也是公安機關履行監(jiān)督檢查職責進行重要信息系統(tǒng)管理的重要憑證公安機關只有通過備案表才能及時了解和掌握信息系統(tǒng)及其運營使用單位的基本情況 進行匯總 分析 統(tǒng)計等工作 并實施有針對性地監(jiān)督 管理措施 信息系統(tǒng)安全保護等級的報告 備案表的作用和構成 2備案表由四張表單構成表一是單位信息 每個單位填寫一張表二是信息系統(tǒng)基本信息表三是信息系統(tǒng)定級信息 表二 表三每個信息系統(tǒng)填寫一張表四為第三級以上信息系統(tǒng)需要在系統(tǒng)整改 測評等工作完成后再行提交的信息 表二 三 四可以復印使用 使用時要注意編號如一個單位有6個信息系統(tǒng) 則只需要填寫一張表一 分別填寫六個表二 三 四 此時 表二 三 四 遵循1 6 2 6 3 6 6 6的編號規(guī)則 信息系統(tǒng)安全保護等級的報告 備案表時需要提交的材料 1保護等級為二級的信息系統(tǒng)運營 使用單位到屬地 保衛(wèi)關系所屬公安機關備案需要提交以下材料 信息系統(tǒng)安全等級保護定級報告 紙制蓋章和電子版 信息系統(tǒng)安全等級保護備案表 紙制蓋章和電子版 信息系統(tǒng)安全保護等級的報告 備案表時需要提交的材料 2保護等級為三級 含 以上的信息系統(tǒng)運營 使用單位到屬地 保衛(wèi)關系所屬公安機關備案需要提交以下材料 系統(tǒng)拓撲結構及說明系統(tǒng)安全組織機構和管理制度系統(tǒng)安全保護設施設計實施方案或者改建實施方案使用的信息安全產品清單及其認證 銷售許可證明測評后符合系統(tǒng)安全保護等級的技術檢測評估報告信息系統(tǒng)安全保護等級專家評審意見 信息系統(tǒng)安全等級保護備案表 紙制蓋章和電子版 信息系統(tǒng)安全等級保護定級報告 紙制蓋章和電子版 內容簡介 等級確定的依據等級確定方法定級報告定級舉例 信息系統(tǒng)安全保護等級的案例 信息系統(tǒng)定級案例 某局政府網站系統(tǒng) 1 某局政府網站系統(tǒng)描述某局政府網站系統(tǒng) 由局辦公室負責運行維護 并為責任單位按照政務公開原則 對主管業(yè)務工作動態(tài)及業(yè)務信息進行采集 加工 發(fā)布屬于 首都之窗 下鏈網站 為互聯(lián)網上的獨立服務器 Web結構服務對象主要是本局管理的企業(yè)和本市市民某局政府網站系統(tǒng)安全保護等級的確定業(yè)務信息安全保護等級的確定系統(tǒng)服務安全保護等級的確定安全保護等級的確定 信息系統(tǒng)安全保護等級的案例 信息系統(tǒng)定級案例 某局政府網站系統(tǒng) 2 某局政府網站系統(tǒng)安全保護等級的確定業(yè)務信息安全保護等級的確定業(yè)務信息描述業(yè)務信息受到破壞時所侵害客體的確定信息受到破壞后對侵害客體的侵害程度確定業(yè)務信息安全等級 業(yè)務信息包括發(fā)布的政務公開信息 地方行政法規(guī)和管理措施 領導講話 政府辦事流程 新聞發(fā)布 政府公告 舉報投訴 本市經濟形勢介紹 電子表單下載等信息 公民 法人和其他組織的合法權益社會秩序 公共利益 表現(xiàn) 一旦信息系統(tǒng)的業(yè)務信息遭到入侵 修改 增加 刪除等侵害 將影響公眾接受政務公開的信息資料 部分工作職能到受影響 業(yè)務能力下降 出現(xiàn)一般范圍的不良影響造成社會不良影響 引起公眾與政府機關之間的矛盾 1 公民 法人和其他組織的合法權益的嚴重損害2 社會秩序 公共利益的一般損害 優(yōu)先考慮 業(yè)務信息的安全保護等級確定為第二級 信息系統(tǒng)安全保護等級的案例 信息系統(tǒng)定級案例 某局政府網站系統(tǒng) 3 某局政府網站系統(tǒng)安全保護等級的確定系統(tǒng)服務安全保護等級的確定系統(tǒng)服務描述系統(tǒng)服務受到破壞時所侵害客體的確定信息受到破壞后對侵害客體的侵害程度確定系統(tǒng)服務安全等級 該系統(tǒng)主要承擔公開信息發(fā)布和部分網上辦公業(yè)務 屬于為國計民生 經濟建設提供服務的信息系統(tǒng) 其服務范圍為本局系統(tǒng)干部及全市本行業(yè)相關的公眾 公民 法人和其他組織的合法權益社會秩序 公共利益 表現(xiàn) 一旦信息系統(tǒng)不能正常運行或出現(xiàn)中斷 將影響公眾接受政務公開的信息資料 造成社會不良影響 引起公眾與政府機關之間矛盾 致使部分工作職能受到影響 業(yè)務能力下降 出現(xiàn)一般社會矛盾問題 一般范圍的不良影響1 公民 法人和其他組織的合法權益的嚴重損害2 社會秩序 公共利益的一般損害 優(yōu)先考慮 系統(tǒng)服務的安全保護等級確定為第二級 取所有判定級別中最高的 信息系統(tǒng)安全保護等級的案例 信息系統(tǒng)定級案例 某局政府網站系統(tǒng) 4 某局政府網站系統(tǒng)安全保護等級的確定安全保護等級的確定信息系統(tǒng)的安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全務安等級的較高者決定所以 某局政府網站系統(tǒng)安全保護等級為第二級 信息系統(tǒng)安全保護等級的案例 信息系統(tǒng)定級案例 某委辦局辦公應用系統(tǒng) 1 某委辦局辦公應用系統(tǒng)描述某委辦局辦公應用系統(tǒng)主要集內部辦公應用系統(tǒng) 信息資源共享 網上審批平臺和人力資源管理于一體的協(xié)同辦公系統(tǒng)主要功能公文流轉 任務管理 網上審批 公共信息 信息資源共享 會議管理等系統(tǒng)實時性要求一般 最短的工作時限為半天 某委辦局辦公應用系統(tǒng)安全保護等級的確定業(yè)務信息安全保護等級的確定系統(tǒng)服務安全保護等級的確定安全保護等級的確定 信息系統(tǒng)定級案例 某委辦局辦公應用系統(tǒng) 2 某委辦局辦公應用系統(tǒng)安全保護等級的確定業(yè)務信息安全保護等級的確定業(yè)務信息描述業(yè)務信息受到破壞時所侵害客體的確定信息受到破壞后對侵害客體的侵害程度確定業(yè)務信息安全等級 信息系統(tǒng)安全保護等級的案例 該系統(tǒng)業(yè)務信息屬于該委辦局專有信息 包括來自北京市政府各單位 以及所屬單位的公文 單位制訂的信息化長期 中期 短期和年度規(guī)劃以及執(zhí)行情況信息 網上審批信息 個人事物信息等等 客體確定 公民 法人和其他組織的合法權益 及社會秩序 公共利益 表現(xiàn) 該系統(tǒng)信息屬委辦局專有信息 但牽涉到該單位執(zhí)行的一些政府審批事宜 這些信息被破壞會影響公眾利益 也會影響公民 法人和其他組織 侵害程度確定 主要對公共利益造成一定損害 同時對公民 法人和其他組織的合法權益造成的一定損害 表現(xiàn) 工作職能受到一定影響 造成業(yè)務能力下降 會對公眾利益造成不良影響 對其他組織和個人造成一定損害 業(yè)務信息的安全保護等級確定為第二級 信息系統(tǒng)定級案例 某委辦局辦公應用系統(tǒng) 3 某委辦局辦公應用系統(tǒng)安全保護等級的確定系統(tǒng)服務安全保護等級的確定系統(tǒng)服務描述系統(tǒng)服務受到破壞時所侵害客體的確定信息受到破壞后對侵害客體的侵害程度確定系統(tǒng)服務安全等級 系統(tǒng)屬某委辦局內部辦公系統(tǒng) 其服務范圍為本委辦局各業(yè)務處室及下屬事業(yè)單位 客體確定 公民 法人和其他組織的合法權益 公眾利益 表現(xiàn) 該系統(tǒng)信息屬內部專有信息 這些信息被破壞會對影響到公民 法人和其他組織的合法權益 間接影響公眾利益 侵害程度確定 表現(xiàn) 服務中斷 造成該委辦局辦公能力下降 會對公眾利益造成一定影響 對公民 法人和其他組織的合法權益造成一定損害 系統(tǒng)服務的安全保護等級確定為第二級 信息系統(tǒng)安全保護等級的案例 信息系統(tǒng)安全保護等級的案例 信息系統(tǒng)定級案例 某委辦局辦公應用系統(tǒng) 4 某委辦局辦公應用系統(tǒng)安全保護等級的確定安全保護等級的確定信息系統(tǒng)的安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全務安等級的較高者決定所以 某委辦局辦公應用系統(tǒng)安全保護等級為第二級 信息系統(tǒng)安全保護等級的案例 信息系統(tǒng)定級案例 某委辦局核心業(yè)務系統(tǒng) 1 某委辦局核心業(yè)務系統(tǒng)描述該核心業(yè)務屬北京市電子政務重要信息系統(tǒng)目錄中的一個系統(tǒng) 于 年 月 日由某委辦局立項建設 目前由該局運維中心負責系統(tǒng) 網絡及安全維護 某業(yè)務處室負責業(yè)務應用維護 該核心業(yè)務主要包含 基層稅收征管系統(tǒng) 辦公自動化管理 網上納稅服務 輔助決策支持等各類應用系統(tǒng) 基本上覆蓋了按該委辦局核心的13大類業(yè)務 咨詢輔導 稅務登記 納稅核定 發(fā)票管理 涉稅審批 申報征收 會計核算 稅務稽查 納稅評估 計劃統(tǒng)計 票證管理 稅務檔案和決策支持分析等 信息系統(tǒng)安全保護等級的案例 信息系統(tǒng)定級案例 某委辦局核心業(yè)務系統(tǒng) 2 某委辦局核心業(yè)務系統(tǒng)安全保護等級的確定業(yè)務信息安全保護等級的確定業(yè)務信息描述業(yè)務信息受到破壞時所侵害客體的確定信息受到破壞后對侵害客體的侵害程度確定業(yè)務信息安全等級 核心業(yè)務信息包括 稅務登記管理信息 納稅核定管理信息 發(fā)票管理信息 涉稅審批管理信息 申報征收管理信息 會計核算信息 計劃統(tǒng)計管理信息 稅收票證需求管理信息 納稅評估信息等 客體確定 該業(yè)務信息遭到破壞后 會侵害到的客體是社會秩序 公共利益 同時侵害到公民 法人和其他組織的合法權益 表現(xiàn) 一旦信息系統(tǒng)的業(yè)務信息遭到入侵 修改 增加 刪除等不明侵害 形式可以包括丟失 破壞 損壞等 會對社會秩序 公眾利益造成嚴重損害 也會對公民 法人和其他組織的合法權益造成特別嚴重損害 表現(xiàn)為單位的工作職能受到嚴重影響 業(yè)務能力顯著下降 可能會出現(xiàn)較嚴重的法律問題 直接影響到該地區(qū)財政資金的支出 在較大范圍產生不良影響等 業(yè)務信息的安全保護等級確定為第三級 信息系統(tǒng)安全保護等級的案例 信息系統(tǒng)定級案例 某委辦核