信息系統(tǒng)安全等級保護(hù)定級--備案--測評流程

1、內(nèi)部資料信息系統(tǒng)安全等級保護(hù)法規(guī)及依據(jù)在信息系統(tǒng)安全等級保護(hù)定級備案、信息系統(tǒng)安全等級保護(hù)測評等方面測評依據(jù)如下：1、中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例（國務(wù)院147號令）2、信息安全等級保護(hù)管理辦法（公通字200743號）3、GB/T 17859-1999計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 4、GB/T 20274信息安全技術(shù) 信息系統(tǒng)安全保障評估框架 5、GB/T 22081-2008信息技術(shù) 安全技術(shù)信息安全管理實用規(guī)則 6、GB/T 20271-2006信息系統(tǒng)通用安全技術(shù)要求 7、GB/T 18336-2008信息技術(shù)

2、 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則 8、GB 17859-1999計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 9、GB/T 22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求 10、GB/T 22240-2008信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南 11、信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)測評要求 12、信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實施指南 13、信息安全等級保護(hù)管理辦法 信息系統(tǒng)安全等級保護(hù)定級備案流程1、定級原理信息系統(tǒng)安全保護(hù)等級根據(jù)等級保護(hù)相關(guān)管理文件，信息系統(tǒng)的安全保護(hù)等級分為以

3、下五級： 第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。 第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。 第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。 第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。 第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。 信息系統(tǒng)安全保護(hù)等級的定級要素 信息系統(tǒng)的安全保護(hù)等級由兩個定級要素決定：等級保護(hù)對象受到破壞時所侵

4、害的客體和對客體造成侵害的程度。 受侵害的客體 等級保護(hù)對象受到破壞時所侵害的客體包括以下三個方面： a) 公民、法人和其他組織的合法權(quán)益； b) 社會秩序、公共利益； c) 國家安全。 對客體的侵害程度 對客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對客體的侵害是通過對等級保護(hù)對象的破壞實現(xiàn)的，因此，對客體的侵害外在表現(xiàn)為對等級保護(hù)對象的破壞，通過危害方式、危害后果和危害程度加以描述。 等級保護(hù)對象受到破壞后對客體造成侵害的程度歸結(jié)為以下三種： a) 造成一般損害； b) 造成嚴(yán)重?fù)p害； c) 造成特別嚴(yán)重?fù)p害。 定級要素與等級的關(guān)系 定級要素與信息系統(tǒng)安全保護(hù)等級的關(guān)系如下表所示。

5、 受侵害的客體對客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級2、定級流程信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對客體的侵害程度可能不同，因此，信息系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。 從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級稱業(yè)務(wù)信息安全保護(hù)等級。 從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級稱系統(tǒng)服務(wù)安全保護(hù)等級。 確定信息系統(tǒng)安全保護(hù)等級的一般流程如下： a) 確定作為定級對象的信息系統(tǒng)； b) 確定業(yè)務(wù)信息安全受到破壞時所侵害的客體；

6、 c) 根據(jù)不同的受侵害客體，從多個方面綜合評定業(yè)務(wù)信息安全被破壞對客體的侵害程度； d) 依據(jù)“業(yè)務(wù)信息安全保護(hù)等級矩陣表”，得到業(yè)務(wù)信息安全保護(hù)等級； e) 確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體； f) 根據(jù)不同的受侵害客體，從多個方面綜合評定系統(tǒng)服務(wù)安全被破壞對客體的侵害程度； g) 依據(jù)“系統(tǒng)服務(wù)安全保護(hù)等級矩陣表”，得到系統(tǒng)服務(wù)安全保護(hù)等級； h) 將業(yè)務(wù)信息安全保護(hù)等級和系統(tǒng)服務(wù)安全保護(hù)等級的較高者確定為定級對象的安全保護(hù)等級。業(yè)務(wù)信息安全保護(hù)等級矩陣表業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級

7、社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級系統(tǒng)服務(wù)安全保護(hù)等級矩陣表系統(tǒng)服務(wù)被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級3、備案流程備案 管理辦法第十五條規(guī)定，已運營（運行）的第二級以上信息系統(tǒng)，應(yīng)當(dāng)在安全保護(hù)等級確定后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。 新建第二級以上信息系統(tǒng)，應(yīng)當(dāng)在投入運行后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。隸屬于中央的在京單位，其跨省或者全國統(tǒng)一

8、聯(lián)網(wǎng)運行并由主管部門統(tǒng)一定級的信息系統(tǒng)，由主管部門向公安部辦理備案手續(xù)?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)向當(dāng)?shù)卦O(shè)區(qū)的市級以上公安機關(guān)備案。省直或省級單位信息系統(tǒng)向省公安廳備案?？绲貐^(qū)、跨省或者全省、全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)在各地運行、應(yīng)用的分支系統(tǒng)，向地級以上市公安局備案。 管理辦法第十六條規(guī)定，辦理信息系統(tǒng)安全保護(hù)等級備案手續(xù)時，應(yīng)當(dāng)填寫信息系統(tǒng)安全等級保護(hù)備案表，第三級以上信息系統(tǒng)應(yīng)當(dāng)同時提供以下材料： 1系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明（說明可以是對系統(tǒng)結(jié)構(gòu)的簡要說明）； 2系統(tǒng)安全組織機構(gòu)和管理制度（安全組織機構(gòu)包括機構(gòu)名稱、負(fù)責(zé)人、成員、職責(zé)分工等。管理制度包括

9、安全管理規(guī)范、章程等）； 3系統(tǒng)安全保護(hù)設(shè)施設(shè)計實施方案或者改建實施方案（簡要的安全建設(shè)、整改方案）； 4系統(tǒng)使用的信息安全產(chǎn)品清單及其認(rèn)證、銷售許可證明（主要信息安全產(chǎn)品的清單，確認(rèn)有認(rèn)證、銷售許可標(biāo)記）； 5測評后符合系統(tǒng)安全保護(hù)等級的技術(shù)檢測評估報告（最近一次測評的簡要的等級測評報告）； 6信息系統(tǒng)安全保護(hù)等級專家評審意見（評審意見表，附專家名單）； 7主管部門審核批準(zhǔn)信息系統(tǒng)安全保護(hù)等級的意見（審批表，領(lǐng)導(dǎo)審 批簽字、蓋章）。備案審核 管理辦法第十七條規(guī)定，信息系統(tǒng)備案后，公安機關(guān)應(yīng)當(dāng)對信息系統(tǒng)的備案情況進(jìn)行審核，對符合等級保護(hù)要求的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)頒發(fā)信息系

10、統(tǒng)安全等級保護(hù)備案證明；發(fā)現(xiàn)不符合本辦法及有關(guān)標(biāo)準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位予以糾正；發(fā)現(xiàn)定級不準(zhǔn)的，應(yīng)當(dāng)在收到備案材料之日起的10個工作日內(nèi)通知備案單位重新審核確定。運營、使用單位或者主管部門重新確定信息系統(tǒng)等級后，應(yīng)當(dāng)按照本辦法向公安機關(guān)重新備案。信息系統(tǒng)等級保護(hù)測評簡要流程1、等級測評過程等級測評過程分為測評準(zhǔn)備、方案編制、現(xiàn)場測評、報告編制、安全整改五個階段。測評雙方之間的溝通與洽談將貫穿整個等級測評過程。2、階段性實施計劃2.1、測評準(zhǔn)備：項目啟動：l 確定測評機構(gòu)（四川省信息系統(tǒng)工程測評中心 聯(lián)系人：馮 李俊 13982114

11、746）；l 簽訂測評合同和測評保密協(xié)議；l 填報信息系統(tǒng)基本情況調(diào)查表格；l 準(zhǔn)備測評所需資料：總體描述文件、詳細(xì)描述文件、定級報告、自查報告和等級測評報告（如果曾做過的話），以及安全需求分析報告、安全總體方案、系統(tǒng)驗收報告等信息系統(tǒng)設(shè)計和建設(shè)過程的文檔。2.2、方案編制（測評機構(gòu)實施）： 1) 測評對象及測評指標(biāo)確定測評對象確定：l 識別被測系統(tǒng)等級；l 識別被測系統(tǒng)的整體結(jié)構(gòu)；l 識別被測系統(tǒng)的邊界；l 識別被測系統(tǒng)的網(wǎng)絡(luò)區(qū)域；l 識別被測系統(tǒng)的重點節(jié)點和業(yè)務(wù)應(yīng)用；l 確定測評對象。測評指標(biāo)確定：l 識別被測系統(tǒng)業(yè)務(wù)信息和系統(tǒng)服務(wù)安全保護(hù)等級；l 選擇對應(yīng)等級的ASG三類安全要求作為測評

12、指標(biāo)；l 就高原則調(diào)整多個定級對象共用的某些物理安全或管理安全測評指標(biāo)。2) 測評內(nèi)容確定l 識別每個測評對象對應(yīng)的測評指標(biāo)；l 識別每個測評對象對應(yīng)的每個測評指標(biāo)的測評方法。3) 工具測試方法確定l 確定工具測試的測評對象；l 選擇測試路徑；l 確定測試工具的接入點。4) 測評指導(dǎo)書開發(fā)l 從已有的測評指導(dǎo)書中選擇與測評對象對應(yīng)的手冊；l 針對沒有現(xiàn)成測評指導(dǎo)書的測評對象，開發(fā)新的測評指導(dǎo)書。5) 測評方案編制l 描述測評項目基本情況和工作依據(jù)；l 描述被測系統(tǒng)的整體結(jié)構(gòu)、邊界和網(wǎng)絡(luò)區(qū)域；l 描述被測系統(tǒng)重要節(jié)點和業(yè)務(wù)應(yīng)用；l 描述測評指標(biāo)；l 描述測評對象；l 描述測評內(nèi)容、方法和工具；l

13、 人員安排與進(jìn)度計劃。2.3、現(xiàn)場測評： 1) 現(xiàn)場測評準(zhǔn)備：l 現(xiàn)場測評授權(quán)書簽署；l 召開現(xiàn)場測評啟動會；l 雙方確認(rèn)測評方案；l 雙方確認(rèn)配合人員、環(huán)境等資源；l 確認(rèn)信息系統(tǒng)已經(jīng)備份。2) 結(jié)果確認(rèn)和資料歸還l 召開現(xiàn)場測評結(jié)束會；l 確認(rèn)測評過程中獲取的證據(jù)和資料的正確性，并簽字認(rèn)可；l 測評人員歸還借閱的各種資料。2.4、報告編制（測評機構(gòu)實施）： 1）、單項測評結(jié)果判定分析測評項所對抗威脅的存在情況；分析單個測評項是否有多方面的要求內(nèi)容，依據(jù)“優(yōu)勢證據(jù)”法選擇優(yōu)勢證據(jù)，并將優(yōu)勢證據(jù)與預(yù)期測評結(jié)果相比較；綜合判定單個測評項的測評結(jié)果。2）、單元測評結(jié)果判定匯總每個測評對象在每個測評單元的單項測評結(jié)果；判定每個測評對象的單元測評結(jié)果。3）、整體測評分析不符合和部分符合的測評項與其他測評項（包括單元內(nèi)、層面間、區(qū)域間）之間的關(guān)聯(lián)關(guān)系及對結(jié)果的影響情況。4）、風(fēng)險分析整體測評后的單元測評結(jié)果再次匯總；分析部分符合項或不符合項所產(chǎn)生的安全問題被威脅利用的可能性；分析威脅利用安全問題后造成的影響程度；按照測評單位選定的風(fēng)險分析方法對被測