海洋信息系统安全等级保护.docx
《海洋信息系统安全等级保护.docx》由会员分享,可在线阅读,更多相关《海洋信息系统安全等级保护.docx(10页珍藏版)》请在冰豆网上搜索。
海洋信息系统安全等级保护
海洋信息系统安全等级保护
定级工作指南
为规范海洋信息安全等级保护管理,提高海洋信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进国家海洋信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发〈信息安全等级保护管理办法〉的通知》(公通字﹝2007)43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安﹝2007)861号)以及《信息安全技术:
信息系统安全等级保护定级指南(国标报批稿)》等有关法律法规,结合国家海洋信息化工作实际,特制定本指南。
一、定级工作机制
在国家海洋局信息化工作领导小组的领导下,成立专门的海洋信息系统安全等级保护定级工作组,具体负责系统定级工作,有关定级的技术性工作由国家海洋信息中心承担。
在摸底调查的基础上,按照信息系统主管部门自主定级,专家评审组分别评审,局统一审批、备案的基本工作程序开展海洋信息系统安全等级保护定级工作。
二、定级范围
定级范围为《关于开展全国重要信息系统安全等级保护定级工作的通知》确定的范围,主要包括:
(一)起支撑、传输作用的基础信息网络。
如海洋站资料传输网。
(二)专网、内网、外网等网络系统(包括网管系统)。
(三)各单位网站和网站上运行的信息系统。
(四)用于海洋权益维护、海域使用管理、海洋环境保护管理、海洋执法监察、海洋规划管理、办公等的各类应用系统。
(五)涉及国家秘密的信息系统。
三、等级划分与保护
(一)信息系统安全保护等级
A.不涉及国家秘密的信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
B.涉及国家秘密的信息系统根据信息系统处理涉密信息的最高密级分为秘密、机密、绝密三个等级。
(二)信息系统安全保护等级的定级因素
信息系统的安全保护等级由两个定级要素决定:
等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
1、受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
(1)公民、法人和其他组织的合法权益
指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
(2)社会秩序、公共利益
侵害社会秩序的事项包括以下方面:
●影响国家机关社会管理和公共服务的工作秩序;
●影响各种类型的经济活动秩序;
●影响海洋系统的科研、生产秩序;
●影响公众在法律约束和道德规范下的正常生活秩序等;
●其他影响社会秩序的事项。
影响公共利益的事项包括以下方面:
●影响社会成员使用公共设施;
●影响社会成员获取公开信息资源;
●影响社会成员接受公共服务等方面;
●其他影响公共利益的事项。
(3)国家安全。
侵害国家安全的事项包括以下方面:
●影响国家政权稳固和国防实力;
●影响国家统一、民族团结和社会安定;
●影响国家对外活动中的政治、经济利益;
●影响国家重要的安全保卫工作;
●影响国家经济竞争力和科技实力;
●其他影响国家安全的事项。
确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
2、对客体造成侵害的程度。
在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。
由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。
信息安全和系统服务安全受到破坏后,可能产生以下危害后果:
●影响工作职能行使;
●导致业务能力下降;
●引起法律纠纷;
●导致财产损失;
●造成社会不良影响;
●对其他组织和个人造成损失;
●其他影响。
由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
等级保护对象受到破坏后对客体造成侵害的程度为以下三种:
(1)造成一般损害
工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
(2)造成严重损害
工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
(3)造成特别严重损害
工作职能受到特别严重影响或丧失行使能力,业务能力严重下降或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
定级要素与海洋信息系统安全保护等级的关系如表1所示。
表1定级要素与安全保护等级的关系
受侵害的客体
对客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第二级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:
(1)如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;
(2)如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个海洋系统或国家的总体利益作为判断侵害程度的基准。
四、定级工作步骤
信息安全等级保护制度是国家信息安全保障的基本制度,定级是等级保护工作的首要环节,是开展信息系统建设、监督检查等其他工作的重要基础。
信息系统的安全保护等级是信息系统的客观属性,不以已采取或将采取什么安全保护措施为依据,也不以风险评估为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级。
即从国家、人民群众的根本利益出发,考虑信息系统受到损害后的最大风险。
(一)摸清家底、确定定级对象
根据确定的定级范围,各部门、各单位对所属信息系统进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、数量、应用或服务范围、系统结构、用户分布、服务器部署以及安全保密等基本情况。
为了体现重要部分重点保护,有效控制海洋信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。
作为定级对象的信息系统应具有如下基本特征:
(1)具有唯一确定的安全责任单位
作为定级对象的信息系统应能够唯一地确定其安全责任单位。
如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
(2)具有信息系统的基本要素
作为定级对象的海洋信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
(3)承载单一或相对独立的业务应用
定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有海洋信息处理设备。
定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
确定定级对象时应把握以下原则:
(1)基础信息网络、专网、内网和外网不是将整个网络作为一个对象,而是要从安全管理和安全责任的角度,将基础信息网络划分成若干个最小安全域或最小单元区定级。
(2)如果网站的后台数据库管理系统安全级别高,也要作为独立的定级对象,网站上运行的信息系统(如对社会服务的报名考试系统)也要作为独立的定级对象。
(3)要确认负责定级的单位是否对所定级系统负有业务主管责任。
也就是说,业务管理部门应主导对业务信息系统定级,运维部门(如信息中心)可以协助定级并按照业务管理部门的要求开展后续安全保护工作。
(二)初步确定信息系统等级
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。
即业务信息安全等级和系统服务安全等级。
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2,即可得到业务信息安全保护等级。
表2海洋业务信息安全保护等级矩阵表
所侵害的客体
对相应客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第二级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表3,即可得到系统服务安全保护等级。
表3海洋系统服务安全保护等级矩阵表
所侵害的客体
对相应客体的侵害程度
一般损害
严重损害
特别严重损害
公民、法人和其他组织的合法权益
第一级
第二级
第二级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
确定信息系统安全保护等级的一般流程如下:
(1)确定作为定级对象的信息系统;
(2)确定业务信息安全受到破坏时所侵害的客体;
(3)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;
(4)依据表2,得到业务信息安全保护等级;
(5)确定系统服务安全受到破坏时所侵害的客体;
(6)根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;
(7)依据表3,得到系统服务安全保护等级;
(8)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
上述步骤如图1确定等级一般流程所示。
图1确定等级一般流程
信息系统的主管部门是信息系统的管理主体,负责初步确定定级对象的安全保护等级,起草《定级报告》,报局审定。
信息系统的运营单位协助主管部门开展定级工作。
(三)信息系统等级评审、审批
局将组织专家对各单位、各部门初步确定的信息系统安全保护等级进行分类评审。
对于跨区域联网运行的信息系统,由工作组审查确定安全保护等级后,统一组织专家评审;对其他信息系统,由主管部门自主确定安全保护等级,必要时,局可以提出定级建议或者组织专家评审。
对拟确定为第四级以上信息系统
升级会员 