信息系統(tǒng)安全等級保護定級備案)課件

1、信息系統(tǒng)安全等級保護定級備案信息系統(tǒng)安全等級保護定級指南主要內(nèi)容引言第一部分：等級保護定級概述第二部分：掌握信息系統(tǒng)實際情況第三部分：確定定級對象第四部分：定級方法第五部分：初步定級第六部分：評審、確定與審批第七部分：等級調(diào)整第八部分：備案工作第九部分：問題解答引言為推動我國信息安全等級保護工作的開展，十多年來，在公安部的領導和支持下，在國內(nèi)有關專家、企業(yè)的共同努力下，全國信息安全標準化技術委員會和公安部信息系統(tǒng)安全標準化技術委員會組織制訂了信息安全等級保護工作需要的一系列標準，形成了比較完整的信息安全等級保護標準體系，為開展信息安全等級保護工作提供了標準保障。引言定級政策關于開展全國重要信息

2、系統(tǒng)安全等級保護定級工作的通知（公通字2007861號）。引言定級標準信息系統(tǒng)安全等級保護定級指南和信息系統(tǒng)安全等級保護行業(yè)定級細則為確定信息系統(tǒng)安全保護等級提供支持。信息系統(tǒng)安全等級保護定級指南（GB/T22240-2008）信息系統(tǒng)安全等級保護行業(yè)定級細則引言信息系統(tǒng)安全保護等級第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第一部分 等級保護定級概述第一部分：等級保護定級概述第三級，信息系統(tǒng)受到破壞后

3、，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。 第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。第一部分 等級保護定級概述定級的一般流程第一部分 等級保護定級概述行業(yè)系統(tǒng)定級工作的指導意見的提出各個行業(yè)的職能存在差異信息系統(tǒng)所發(fā)揮的作用根據(jù)不同行業(yè)存在較大差別不同行業(yè)的信息系統(tǒng)被破壞后對國家和社會的危害不盡相同各行業(yè)主管部門可以從行業(yè)整體出發(fā)，從宏觀上更好的把握本行業(yè)內(nèi)各運營單位信息系統(tǒng)的定級工作第一部分 等級保護定級概述指導意見根據(jù)管理辦法第十條：信息系統(tǒng)運營、使用單位應

4、當依據(jù)本辦法和信息系統(tǒng)安全等級保護定級指南確定信息系統(tǒng)的安全保護等級。有主管部門的，應當經(jīng)主管部門審核批準。跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。根據(jù)關于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知（以下簡稱定級通知）要求：各行業(yè)主管部門要根據(jù)行業(yè)特點提出指導本地區(qū)、本行業(yè)定級工作的指導意見。第一部分 等級保護定級概述行業(yè)定級工作的指導意見的意義：更好的貫徹落實管理辦法使本行業(yè)實施等級保護工作的政策和方針的目的性更加明確有利于本行業(yè)制定定級工作的階段計劃有利于統(tǒng)一本行業(yè)對定級要素賦值規(guī)范第一部分 等級保護定級概述認真調(diào)查，掌握信息系統(tǒng)實際情況全面掌握信息系統(tǒng)（

5、包括信息網(wǎng)絡）的業(yè)務類型、應用或服務范圍、系統(tǒng)結構等基本情況，第二部分 掌握實際情況第二部分：掌握信息系統(tǒng)實際情況第三部分 確定定級對象定級對象的基本特征定級對象的確定方法科學、合理確定定級對象確定定級對象舉例第三部分：確定定級對象第三部分 確定定級對象定級對象的基本特征：具有唯一確定的安全責任主體 作為定級對象的信息系統(tǒng)應能夠唯一地確定其安全責任單位。（具有唯一確定的安全責任單位）具有信息系統(tǒng)的基本要素 作為定級對象的信息系統(tǒng)應該是由相關的和配套的設備、設施按照一定的應用目標和規(guī)則組合而成的有形實體。定級對象的基本特征：承載單一或相對獨立的業(yè)務應用 定級對象承載“單一”的業(yè)務應用是指該業(yè)務應

6、用的業(yè)務流程獨立，且與其他業(yè)務應用沒有數(shù)據(jù)交換，且獨享所有信息處理設備。 定級對象承載“相對獨立”的業(yè)務應用是指其業(yè)務應用的主要業(yè)務流程獨立，同時與其他業(yè)務應用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務應用共享一些設備，尤其是網(wǎng)絡傳輸設備。第三部分 確定定級對象只有同時滿足上述三個條件，才可由本單位對信息系統(tǒng)進行定級第三部分 確定定級對象定級對象的確定方法：從管理機構角度劃分從業(yè)務類型角度劃分從相同的物理位置和相似的運行環(huán)境劃分科學、合理確定定級對象要把握以下幾個原則：一是以相對獨立的應用系統(tǒng)為定級對象。二是確認負責定級的單位是否具有對所定級系統(tǒng)的安全責任。三是確定定級對象的方法允許多種多樣。

7、第三部分 確定定級對象確定定級對象舉例一、識別和描述定級對象識別基本信息、管理框架、業(yè)務種類和業(yè)務流程、信息資產(chǎn)、網(wǎng)絡結構、軟硬件設備、用戶類型和分布，描述單位基本信息。二、劃分定級對象分析安全管理責任，確定管理邊界；分析網(wǎng)絡結構和已有內(nèi)外部邊界；分析業(yè)務流程和業(yè)務間關系；初步劃定信息系統(tǒng)，確定定級對象。第三部分 確定定級對象三、識別和劃分定級對象中的難點影響定級要素賦值產(chǎn)生不同的因素系統(tǒng)所涉及的客體不同系統(tǒng)對客體造成的損害程度不同系統(tǒng)處理的業(yè)務類型不同本身運行在不同的網(wǎng)絡環(huán)境中的系統(tǒng)分不開的系統(tǒng)，按照高級別保護第三部分 確定定級對象四、系統(tǒng)邊界的劃分注意事項不同信息系統(tǒng)的共用設備一般是網(wǎng)絡/

8、邊界設備或終端設備。兩個信息系統(tǒng)邊界存在的共用設備的安全保護等級按兩個信息系統(tǒng)安全保護等級較高者確定管理終端與被管理對象相對應，被管理對象屬于哪個系統(tǒng)，終端就應屬于該信息系統(tǒng)的一部分處理涉密信息的終端必須劃分到相應的信息系統(tǒng)中，且不能與非涉密系統(tǒng)共用終端。第三部分 確定定級對象確定定級對象舉例第三部分 確定定級對象受侵害信息系統(tǒng)的安全保護等級由兩個要素決定：等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。受侵害的客體：公民、法人和其他組織的合法權益；社會秩序、公共利益；三是國家安全。對客體的侵害程度：一般損害；嚴重損害；特別嚴重損害。第四部分 定級方法第四部分：定級方法業(yè)務信息安全和

9、系統(tǒng)服務安全信息系統(tǒng)與之相關的受侵害客體和對客體的侵害程度可能不同，而信息系統(tǒng)安全包括業(yè)務信息安全和系統(tǒng)服務安全兩方面，因此定級也應由這兩方面決定。對客體的侵害外在表現(xiàn)為對定級對象的破壞，其危害方式表現(xiàn)為對信息安全的破壞和對信息系統(tǒng)服務的破壞。第四部分 定級方法信息安全信息安全是指確保信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性等；系統(tǒng)服務安全系統(tǒng)服務安全是指確保信息系統(tǒng)可以及時、有效地提供服務，以完成預定的業(yè)務目標；由于業(yè)務信息安全和系統(tǒng)服務安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同，在定級過程中，需要分別處理這兩種危害方式。第四部分 定級方法第四部分 定級方法確定受侵害的客體：受侵

10、害的客體指等級保護對象(即定級對象)受到破壞時所侵害的客體。包括以下三個方面：公民、法人和其他組織的合法權益；社會秩序、公共利益；國家安全。第四部分 定級方法對客體的侵害程度：在客觀方面，對客體的侵害外在表現(xiàn)為對定級對象的破壞。危害方式表現(xiàn)為對信息安全的破壞和對信息系統(tǒng)服務的破壞?？腕w侵害的客觀方面-危害方式：對信息安全的破壞：信息系統(tǒng)內(nèi)信息的保密性、完整性和可用性。對信息系統(tǒng)服務的破壞：信息系統(tǒng)可以及時、有效地提供服務，以完成預定的業(yè)務目標。確定業(yè)務信息安全等級第四部分 定級方法業(yè)務信息安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一

11、級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級確定系統(tǒng)服務安全等級第四部分 定級方法系統(tǒng)服務安全被破壞時所侵害的客體對相應客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級信息安全和系統(tǒng)服務安全受到破壞的后果：影響行使工作職能；導致業(yè)務能力下降；引起法律糾紛；導致財務損失；造成社會不良影響；對其他組織和個人造成損失；其他影響。 第四部分 定級方法第四部分 定級方法綜合判定侵害程度：根據(jù)不同的受侵害客體、不同危害后果分別確定其危害程度。造成一般損害造成嚴重損害造成特

12、別嚴重損害第四部分 定級方法安全保護等級信息系統(tǒng)基本保護要求的組合第一級S1A1G1第二級S1A2G2，S2A2G2，S2A1G2第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五級S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5定級的一般流程確定作為定級對象的信息系統(tǒng)；確定業(yè)務信息安全受到破壞時所侵害的客體；根據(jù)不同的受侵害客體，從多個方面綜合評定業(yè)務信息安全被破壞對客體的侵害程度；得到業(yè)

13、務信息安全保護等級；第五部分 初步定級第五部分：初步確定安全保護等級確定系統(tǒng)服務安全受到破壞時所侵害的客體；根據(jù)不同的受侵害客體，從多個方面綜合評定系統(tǒng)服務安全被破壞對客體的侵害程度；得到系統(tǒng)服務安全保護等級；將業(yè)務信息安全保護等級和系統(tǒng)服務安全保護等級的較高者確定為定級對象的安全保護等級。第六部分 定級工作總結定級的一般流程第六部分 定級工作總結特別注意起傳輸作用的基礎網(wǎng)絡要單獨定級,等級可以參照在其上運行的信息系統(tǒng)的等級、網(wǎng)絡的服務范圍和自身的安全需求確定適當?shù)谋Ｗo等級，不以在其上運行的信息系統(tǒng)的最高等級或最低等級為標準。第五部分 初步定級信息系統(tǒng)等級對照表第五部分 初步定級等級對象侵害客

14、體侵害程度監(jiān)管強度第一級社會秩序和公共利益合法權益損害自主保護第二級合法權益嚴重損害指導損害第三級重要系統(tǒng)社會秩序和公共利益嚴重損害監(jiān)督檢查國家安全損害第四級社會秩序和公共利益特別嚴重損害強制監(jiān)督檢查國家安全嚴重損害第五級極端重要系統(tǒng)國家安全特別嚴重損害專門監(jiān)督檢查信息系統(tǒng)等級評審信息系統(tǒng)等級的確定與審批第六部分 評審、確定與審批第六部分：等級評審、確定與審批定級報告定級報告是為詳細了解和掌握定級過程情況由信息系統(tǒng)運營使用單位負責填寫的文檔。定級報告要在信息系統(tǒng)備案時一并提交。信息系統(tǒng)運營使用單位在起草定級報告時可以請技術支持單位協(xié)助。第六部分 評審、確定與審批定級報告的撰寫信息系統(tǒng)描述簡述確

15、定該信息系統(tǒng)為定級對象的理由。包括：該信息系統(tǒng)所承載業(yè)務的主管單位和部門，該信息系統(tǒng)具有信息系統(tǒng)的基本要素（有主機、網(wǎng)絡及相關配套設施構成的人機系統(tǒng)），該信息系統(tǒng)承載著獨立或單一的業(yè)務應用，業(yè)務應用主要包括哪些，各包含哪些功能等。第六部分 評審、確定與審批信息系統(tǒng)安全保護等級的確定業(yè)務信息安全保護等級的確定。第一步：簡要描述信息系統(tǒng)所處理的主要業(yè)務信息，包括各項業(yè)務的主要數(shù)據(jù)項有哪些等。第二步：確定業(yè)務信息受到破壞后所侵害的客體第三步：確定對客體的侵害程度第四步：查表確定業(yè)務信息安全等級第六部分 評審、確定與審批系統(tǒng)服務安全保護等級的確定第一步：簡要描述系統(tǒng)的服務范圍、服務對象、服務要求等等。

16、第二步：確定系統(tǒng)服務受到破壞后所侵害的客體第三步：確定對客體的侵害程度第四步：查表確定系統(tǒng)服務安全等級信息系統(tǒng)的安全保護等級由業(yè)務信息安全等級和系統(tǒng)服務安全等級較高者決定。定級報告模板第六部分 評審、確定與審批調(diào)整的對象：信息系統(tǒng)的運行、使用單位確定的信息系統(tǒng)安全保護等級調(diào)整的主體：信息系統(tǒng)的決策者或上級主管部門調(diào)整的原則：只能調(diào)高等級而不能降低等級 第七部分 等級調(diào)整第七部分：等級調(diào)整等級調(diào)整的參考因素上級主管部門在政策和管理方面的特殊要求。 預測信息安全受到破壞后的受侵害客體和對客體的侵害程度可能會有較大的變化。 預測系統(tǒng)服務受到破壞后的受侵害客體和對客體的侵害程度隨著業(yè)務的發(fā)展會有較大的

17、變化。第七部分 等級調(diào)整管理辦法第十四條中規(guī)定：已運營（運行）的第二級以上信息系統(tǒng)，應當在安全保護等級確定后30日內(nèi)，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。新建第二級以上信息系統(tǒng)，應當在投入運行后30日內(nèi)，由其運營、使用單位到所在地設區(qū)的市級以上公安機關辦理備案手續(xù)。第八部分 備案工作第八部分：備案的工作步驟所需提交的材料保護等級為二級的信息系統(tǒng)運營、使用單位到屬地、保衛(wèi)關系所屬公安機關備案需要提交以下材料：信息系統(tǒng)安全等級保護定級報告（紙制蓋章和電子版）信息系統(tǒng)安全等級保護備案表 （紙制蓋章和電子版）第八部分 備案工作保護等級為三級(含)以上的信息系統(tǒng)運營、使用單位到

18、屬地、保衛(wèi)關系所屬公安機關備案需要提交以下材料：系統(tǒng)拓撲結構及說明系統(tǒng)安全組織機構和管理制度系統(tǒng)安全保護設施設計實施方案或者改建實施方案使用的信息安全產(chǎn)品清單及其認證、銷售許可證明測評后符合系統(tǒng)安全保護等級的技術檢測評估報告信息系統(tǒng)安全保護等級專家評審意見信息系統(tǒng)安全保護等級專家評審意見信息系統(tǒng)安全等級保護備案表（紙制蓋章和電子版）信息系統(tǒng)安全等級保護定級報告（紙制蓋章和電子版第八部分 備案工作審核依據(jù)受理備案規(guī)定，公安網(wǎng)監(jiān)部門需要對接收的備案材料進行審核，具體審核內(nèi)容是：備案符合性審查是否按照備案要求填寫了相應的表格和文檔并提供相應的電子數(shù)據(jù)文檔。備案表完整性審查備案表中表一、表二、表三所列內(nèi)容是否填寫完整，表四中所要求的附件內(nèi)容是否齊全。定級準確性審查提交備案的各個信息系統(tǒng)安全保護等級定級是否準確。第八部分 備案工作第九部分 問題解答常見問題 問題解答謝謝！ 生活中的辛苦阻撓不了我對生活的熱愛。7月-227月-22Sunday, July 24, 2022人生得意須盡歡，莫使金樽空對月。1