信息系统安全等级保护实施指南.docx
《信息系统安全等级保护实施指南.docx》由会员分享,可在线阅读,更多相关《信息系统安全等级保护实施指南.docx(68页珍藏版)》请在冰豆网上搜索。
信息系统安全等级保护实施指南
信息系统安全等级保护实施指南
GuideofImplementationforClassified
SecurityProtectionofInformationSystem
(试用稿)
公安部
二〇〇五年十二月
1适用范围
本标准提供了对信息系统实施安全等级保护的概念、方法和过程,适用于指导各类机构或组织开展对某个特定信息系统的安全等级保护工作。
2规范性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB17859-1999《计算机信息系统安全保护等级划分准则》
GB/TXXX-XXXX《信息系统安全保护等级定级指南》
GB/TXXX-XXXX《信息系统安全等级保护基本要求》
GB/TXXX-XXXX《信息安全风险评估指南》
3术语和定义
GB17859-1999《计算机信息系统安全保护等级划分准则》的下列术语适用于本标准:
a)主体;
b)客体。
GB/TXXX-XXXX《信息系统安全保护等级定级指南》的下列术语适用于本标准:
a)信息系统;
b)业务子系统;
c)业务信息安全性;
d)业务服务保证性。
GB/TXXX-XXXX《信息系统安全等级保护基本要求》的下列术语适用于本标准:
a)安全目标;
b)安全保护能力。
GB/TXXX-XXXX《信息安全风险评估指南》的下列术语适用于本标准:
a)资产;
b)威胁;
c)脆弱性;
d)风险;
e)安全事件;
f)安全需求。
下列术语和定义适用于本标准。
3.1.基本保护要求(basicprotectionrequirements)
为确保信息系统具有与其安全保护等级相对应的安全保护能力应该满足的最低要求。
3.2.等级化安全测评(classfiedsecuritytestingandevaluating)
对信息系统的安全保护能力是否达到相应安全等级基本保护要求的衡量。
3.3.系统终止(systemexpiration)
信息系统完成了自己的使命,被终止不用。
3.4.监督检查(superviseandexamine)
信息安全监督管理职能部门按照等级保护的管理规范和技术标准的要求对信息系统安全保护制度和措施的落实情况进行的监督检查。
3.5.安全域(securityfield)
信息系统中具有相同安全保护策略的一部分区域。
4等级保护概述
4.1.等级保护目标
实行等级保护的总体目标是为了统一信息安全保护工作,推进规范化、法制化建设,保障安全,促进发展,完善我国信息安全法规和标准体系,提高我国信息安全和信息系统安全建设的整体水平;通过充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到对信息系统重点保护和有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理。
4.2.等级保护对象
等级保护的对象是信息和信息系统,等级保护工作涉及到三个方面,即对信息系统分等级实行安全保护、对信息系统中使用的信息安全产品实行分等级管理、对信息系统中发生的信息安全事件分等级响应、处置。
本标准主要提供对信息系统分等级实施安全保护的指导,关于国家对信息安全产品的使用实行分等级管理以及信息安全事件实行分等级响应、处置的管理参见其他的相关标准。
在对信息系统分等级实施安全保护的过程中,国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括:
国家事务处理信息系统(党政机关办公系统);财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统;教育、国家科研等单位的信息系统;公用通信、广播电视传输等基础信息网络中的信息系统;网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。
除上述提到的信息系统外,其他各种类型的信息系统也应按照国家等级保护的要求分等级进行保护。
4.3.系统安全等级
信息系统可以分为五个安全等级,国家对不同级别的信息和信息系统实行不同强度的监管政策:
a)第一级为自主保护级
主要对象为一般的信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益;本级系统依照国家管理规范和技术标准进行自主保护。
b)第二级为指导保护级
主要对象为一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害;本级系统在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护。
c)第三级为监督保护级
主要对象为涉及国家安全、社会秩序、经济建设和公共利益的信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查。
d)第四级为强制保护级
主要对象为涉及国家安全、社会秩序、经济建设和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害;本级系统依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查。
e)第五级为专控保护级
主要对象为涉及国家安全、社会秩序、经济建设和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害;本级系统依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督。
信息系统的类型千差万别、错综复杂,大型、复杂的信息系统通常由完成不同使命、承载不同业务、处理不同数据的多个信息系统构成,应根据信息系统的重要程度,分别确定每个信息系统的安全等级。
大型、复杂的信息系统应该考虑是由不同安全等级的几个小型信息系统构成,从而达到对整个信息系统区分保护和重点保护的目的。
4.4.基本保护要求
信息系统在被确定了安全等级后,需要根据国家对不同安全等级的信息系统应达到的安全保护能力要求进行保护。
国家对信息系统的安全保护能力要求为基本保护要求,对不同安全等级的信息系统有不同的基本保护要求,国家按照基本保护要求对信息系统实行不同强度的监管。
不同安全等级的信息系统应具有不同的安全保护能力,实现基本安全保护能力可以通过选择合适的安全措施来保证。
国家对不同安全等级的信息系统提出的基本保护要求提出了要求实现的基本安全措施。
国家对不同安全等级的信息系统提出的基本保护要求,是对不同信息系统相同保护要求的共性的抽取,是保障信息系统安全的最基本要求。
信息系统如果针对自身的特点有特殊的安全需求,需要通过其他需求分析的方法实现对基本保护要求的增加和调整。
5等级保护实施过程
5.1.角色和职责
对一个信息系统实施等级保护的过程中涉及到各类组织和人员,他们将会参与不同的或相同的活动,比如信息系统的主管单位和信息系统的运营单位将参与系统定级活动,如果委托安全服务商进行定级,则安全服务商也会参与定级活动;又如信息系统的运营、使用单位可以自己完成风险分析活动,也可以委托安全服务商完成风险分析活动。
本标准中将参与信息系统等级保护过程的角色划分为信息系统主管部门,信息系统运营、使用单位,信息系统安全服务商,信息安全监管机构,安全测评机构和安全产品提供商。
本标准面临的使用对象将是上述各类角色,为了保证本标准描述有一个清晰的思路,各类使用人员都能够理解和较好地使用,本标准不以某个特定角色的活动为主线进行描述,而是以信息系统安全等级保护建设所要从事的主要活动为主线进行描述,有些活动可能是这个角色执行的,另一些活动可能是另一个角色执行的。
本标准的读者根据自己的角色和从事的活动选择相应的内容作为指导。
a)信息系统主管部门
信息系统主管部门的主要责任是做好本部门的信息系统安全等级保护监督管理工作。
督促下属单位按照等级保护的管理规范和技术标准对信息系统进行安全等级保护;对下属单位确定的信息系统安全等级进行审批;督促下属单位定期进行安全状况检测评估,及时消除安全隐患和漏洞等。
b)信息系统运营、使用单位
信息系统运营、使用单位的主要责任是按照等级保护的管理规范和技术标准,确定其信息系统的安全等级,并报其主管部门审批同意;对安全等级在三级以上的信息系统,报送本地区地市级公安机关备案;根据已经确定的安全等级,按照等级保护的管理规范和技术标准,进行信息系统的规划设计、建设施工;采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施;对已经完成安全等级保护建设的信息系统进行检查评估,发现问题及时整改,加强和完善自身信息安全等级保护制度的建设,加强自我保护;定期进行安全状况检测评估,及时消除安全隐患和漏洞,建立安全制度,制定不同等级信息安全事件的响应、处置预案,加强信息系统的安全管理;
c)信息系统安全服务商
信息系统安全服务商的主要责任是根据信息系统运营、使用单位的委托,按照等级保护的管理规范和技术标准,协助信息系统运营、使用单位完成信息系统等级保护的相关工作,可能包括确定其信息系统的安全等级、进行安全需求分析、进行信息系统的规划设计、建设施工等。
d)信息安全监管机构
信息安全监管机构的主要责任是对不同重要程度的信息系统的安全等级保护工作给予相应的指导,确保等级保护工作顺利开展;按照等级保护的管理规范和技术标准的要求,重点对第三、第四级信息系统的安全等级保护状况进行监督检查;发现存在安全隐患或未达到等级保护的管理规范和技术标准要求的,要限期整改,使信息系统的安全保护措施更加完善;对信息系统中使用的信息安全产品的等级进行监督检查。
e)安全测评机构
安全测评机构的主要责任是根据信息系统运营、使用单位的委托或根据信息安全监管机构的委托,协助信息系统运营、使用单位或信息安全监管机构,按照等级保护的管理规范和技术标准,对已经完成安全等级保护建设的信息系统进行检查评估;对安全产品供应商提供的安全产品进行检查评估。
f)安全产品供应商
安全产品供应商的主要责任是按照等级保护的管理规范和技术标准,开发符合安全等级保护要求的安全产品;提交安全产品进行安全等级测评并按照安全等级保护要求销售安全产品。
5.2.实施的基本原则
信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。
信息安全等级保护在实施过程中应遵循以下基本原则:
a)自主保护原则
“谁主管谁负责,谁运营谁负责”,由各主管部门和运营使用单位按照国家相关法规和标准,自主确定信息系统的安全等级,自行组织实施安全保护。
b)同步建设原则
信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
c)重点保护原则
要根据各地区、各行业信息系统的重要程度、业务特点,通过划分不同安全等级的信息系统,实现不同强度的安全保护,要重点保护涉及国家安全、经济命脉、社会稳定等方面的重要信息系统,并集中资源优先确保重要信息系统安全。
d)动态调整原则
要跟踪信息系统的变化情况,及时调整安全保护措施。
因为信息系统的应用类型、范围等条件的变化及其他原因,安全等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全等级,根据信息系统安全等级的调整情况,重新实施安全保护。
5.3.实施的基本过程
对一个信息系统实施等级保护的过程中涉及的活动很多,根据安全的动态性和安全工程的循环理论,很多活动需要重复执行,从而保证安全保护的有效性,虽然安全保护是一个不断循环和不断提高的过程,但是实施信息系统安全等级保护的一次完整过程是可以区分清楚的,比如从系统定级、系统安全运行管理,最终到系统终止,为了便于清晰划分信息系统等级保护的一次实施过程,有必要根据信息系统的一个生命周期确定信息系统等级保护实施的过程。
对一个信息系统实施等级保护的过程如图5-1所示:
对信息系统实施安全等级保护的过程包括五个主要阶段,系统定级阶段、安全规划设计阶段、安全实施/实现阶段、安全运行管理阶段、系统终止阶段。
在安全运行管理阶段,当局部调整等原因导致安全措施的变化时,如果不影响系统的安全等级,应从安全运行管理阶段进入安全实施/实现阶段,重新调整和实施安全措施,确保满足安全等级保护的要求;在安全运行管理阶段,当系统发生重大变更导致影响系统的安全等级时,应从安全运行管理阶段进入系统定级阶段,重新开始一次信息系统等级保护的实施过程。
5.4.主要阶段和主要活动
对信息系统实施安全等级保护的过程划分为五个阶段,即系统定级阶段、安全规划设计阶段、安全实施/实现阶段、安全运行管理阶段和系统终止阶段。
a)系统定级阶段
系统定级阶段通过对信息系统调查和分析,进行信息系统划分,确定包括的相对独立的信息系统的个数,选择合适的信息系统安全等级定级方法,科学、准确地确定每个信息系统的安全等级。
通常情况下,系统定级阶段包括系统识别和描述、信息系统划分和安全保护等级确定等几个主要安全活动。
b)安全规划设计阶段
安全规划设计阶段通过安全需求分析判断信息系统的安全保护现状与国家等级保护基本要求之间的差距,确定安全需求,然后根据信息系统的划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施规划等,以指导后续的信息系统安全建设工程实施。
通常情况下,安全规划设计阶段包括安全需求分析、安全总体设计、安全建设规划几个主要活动。
c)安全实施/实现阶段
安全实施/实现阶段通过安全方案详细设计、安全产品的采购、安全控制的开发、安全控制集成、机构和人员的配置、安全管理制度的建设、人员的安全技能培训等环节,将规划阶段的安全方针和策略,具体落实到信息系统中去。
其最终的成果是提交满足用户安全需求的信息系统以及配套的安全管理体系。
通常情况下,安全实施/实现阶段包括安全方案详细设计、安全技术实施和安全管理实施几个主要活动。
d)安全运行管理阶段
安全运行管理阶段将介绍操作管理和控制、变更管理和控制、安全状态监控以及安全事件处置和应急预案等过程;对安全状态进行监控,对发生的安全事件及时响应,确保信息系统正常运行;通过定期的监督检查督促信息系统运营使用单位做好信息系统的日常安全维护工作,确保其满足相应等级的安全要求,达到相应等级的安全保护能力;通过安全评估和持续改进等活动过程实现对信息系统的动态保护。
安全运行管理阶段需要进行的安全控制活动很多,本标准描述一些重要的安全控制活动,如操作管理和控制、变更管理和控制、安全状态监控以及安全事件处置和应急预案等。
e)系统终止阶段
系统终止阶段是对信息系统的过时或无用部分进行报废处理的过程,主要涉及对信息、设备、介质或整个信息系统的废弃处理。
系统终止阶段的主要活动可能包括对信息的转移、暂存或清除,对设备迁移或废弃,对介质的清除或销毁;系统终止阶段当要迁移或废弃系统组件时,核心关注点是防止敏感信息泄漏。
信息系统安全等级保护实施过程的主要活动如下图所示:
5.5.与信息系统生命周期的关系
信息系统存在生命周期,关于信息系统的生命周期不同的方法论有不同的描述方法,最常见的观点认为信息系统生命周期包括五个阶段,即启动准备阶段、设计/开发阶段、实施/实现阶段、运行维护阶段和系统终止阶段。
信息系统安全等级保护的实施活动与信息系统生命周期中的其他活动有着不可分割的关系,同时信息系统安全等级保护实施活动又有自己的特点,安全等级保护工作将贯穿信息系统生命周期的各个阶段。
信息系统安全等级保护实施的过程与信息系统生命周期的关系如图5-4所示。
信息系统安全等级保护的实施分为新建信息系统安全等级保护的实施和已建信息系统安全等级保护的实施,两者在信息系统生命周期中的切入点是不同的。
新建信息系统在生命周期中的各个阶段应同步考虑安全等级保护实施的主要活动。
在启动准备阶段,应该仔细分析和合理划分各个信息系统,确定各个信息系统的安全等级;在设计/开发阶段,应该根据各个信息系统的安全等级,进行安全需求分析,合理规划设计网络结构、应用系统、安全保护措施等,确保各个信息系统按照国家安全等级保护的要求进行规划设计;在实施/实现阶段,应在系统建设的同时,同步进行安全措施的落实和实现;在系统运行维护阶段,应按照国家安全等级保护的要求进行安全维护和安全管理;在系统终止阶段,应对系统的废弃过程进行有效安全管理。
已建信息系统通常处于系统运行维护阶段,由于在启动准备阶段、设计/开发阶段和实施/实现阶段可能没有同步考虑国家安全等级保护的要求,因此,将会从信息系统运行维护阶段开始启动安全等级保护工作,安全等级保护实施过程中的系统定级阶段、安全规划设计阶段、安全实施/实现阶段的主要活动都将在信息系统生命周期的系统运行维护阶段完成。
由于是已经存在的信息系统,重点和难点工作可能是在系统定级阶段如何划分信息系统问题上,其次是在安全规划设计阶段如何规划设计出符合国家安全等级保护要求的信息系统安全改造方案,最后是安全实施/实现阶段如何保证在不影响现有业务应用的情况下,按照安全改造方案对信息系统在网络方面的改造、应用方面的改造、各类安全措施的落实上可以顺利开展。
无论是新建的信息系统或已建的信息系统,虽然安全等级保护实施的切入点在信息系统生命周期的不同阶段,但是对信息系统实施安全等级保护的主要活动基本相同,当然,本指南的读者可以针对两类信息系统的特点在安全活动上进行必要的调整和裁减。
6系统定级
6.1.实施流程
系统定级是实施信息系统安全等级保护的前提和基础。
信息系统安全等级的确定是否科学、准确直接关系到是否对信息系统采取了足够的安全保护措施,是否能够将信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度降到最低。
信息系统定级方法的选择对信息系统定级的科学性和准确性起着决定性作用。
信息系统定级可以选择但不局限于以下方法:
a)根据经验直接定级
信息系统的主管单位、信息系统的运营、使用单位将本机构拥有的各个信息系统按照其在国家安全、经济建设、社会生活中的重要程度进行排序,并形成信息系统重要程度列表,通过与信息系统的五个安全等级的定义进行对比,确定每个信息系统的安全等级。
b)自行制定定级方法
信息系统运营、使用单位根据本行业或自身信息系统的特点,参照国家发布的有关确定信息系统安全等级的定级方面标准和方法,制定适合本行业或自身信息系统的定级方法,对所管辖范围内或所拥有的信息系统进行科学、准确地定级。
c)按照定级标准定级
信息系统运营、使用单位根据国家发布的有关确定信息系统安全等级的定级方面标准和方法,对所拥有的信息系统进行科学、准确地定级。
在这里要强调的是,信息系统的安全等级确定可能不是一个过程就可以完成的,可能要经过信息系统划分、定级要素赋值、信息系统定级、定级结果调整、定级要素重新赋值、信息系统再定级、定级结果再调整的循环过程,最终才能确定出较为准确的信息系统安全等级。
本章节依据国家发布的有关确定信息系统安全等级的定级标准和方法,描述系统定级阶段主要从事的活动和内容,以便指导读者在安全等级保护的实施过程中合理的确定信息系统的安全等级。
通常情况下,系统定级阶段包括系统识别和描述、信息系统划分、安全等级确定等几个主要安全活动,但读者可根据目标系统的实际情况对活动的内容进行裁减。
系统定级阶段的活动流程如图6-1所示。
系统定级主要包括以下几个步骤:
第一步系统识别和描述
系统识别过程充分利用查询相关文档、编制调查表、与有关人员访谈、现场实地观察等多种方式尽可能多的收集信息系统相关信息,对收集到的信息系统相关信息进行综合分析和整理,在此基础上针对所有信息系统形成准确的信息系统描述文件。
第二步信息系统划分
信息系统划分过程为拥有多个信息系统的组织部门提供了将复杂的信息系统分解为多个相对独立的信息系统的方法和步骤,并且明确了如果一个信息系统包含多个业务,为了方便定级则可以进行业务子系统划分,并形成信息系统/业务子系统列表和每个业务子系统的描述性文件。
第三步安全等级确定
安全等级确定是在系统识别和描述、信息系统划分和业务子系统划分活动结束后,依据《信息系统安全保护等级定级指南》介绍的方法确定信息系统的安全等级,并形成信息系统定级结果的统一描述性文件。
6.2.系统识别和描述
活动目标:
本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息,并对信息进行综合分析和整理,依据分析和整理的内容准确描述,形成组织机构内所有信息系统的总体描述性文档。
参与角色:
信息系统运营、使用单位,安全服务商。
活动输入:
信息系统的立项、建设、管理文档
活动描述:
系统识别和描述过程主要包括以下活动内容:
a)识别信息系统的基本信息
调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息系统的背景信息和联络方式。
b)识别信息系统的管理框架
了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责、,获得支持信息系统业务运营的管理特征和管理框架方面的信息。
管理框架是将信息系统划分为不同的业务子系统时首要的参考因素。
c)识别信息系统的网络及设备部署
具有相同的或相似的运行环境意味着系统所面临的威胁相似,有利于采取统一策略的安全保护。
因此,系统调查很重要的一个活动就是了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界,即确定等级保护的对象和范围。
d)识别信息系统的业务种类和特性
了解机构内主要依靠信息系统处理的有多少种业务,这些业务各自的社会属性,业务内容和业务流程等,从中明确支持机构业务运营的信息系统的业务特性,相同的业务特征和安全需求可能遵循同样的安全策略,有助于将处理相同类型数据或相似类型数据业务构成的信息系统划分成一个独立的信息系统。
e)识别业务系统处理的信息资产
了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性方面的重要性程度。
f)识别用户范围和用户类型
根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。
g)信息系统描述
在确定了统信息系统分解为多个业务
据信息系统划分原则将按照设、社会生活中的重要程度,系统定级到最对收集的信息进行整理、分析,形成对信息系统的总体描述文件。
一个典型的信息系统的总体描述文件应包含但不限于以下内容:
1)系统概述;
2)系统边界描述;
3)网络拓扑;
4)设备部署;
5)支撑的业务应用的种类和特性;
6)处理的信息资产;
7)用户的范围和用户类型;
8)信息系统的管理框架。
活动输出:
信息系统总体描述文件
主要参考标准:
《信息系统安全保护等级定级指南》等。
6.3.信息系统划分
活动目标:
本活动的目标是依据信息系统的描述文件,在综合分析的基础上将组织机构内运行的信息系统进行合理分解,确定所包含信息系统的个数,如果某一个信息系统中包含多个业务子系统,对业务子系统进行划分,并对每个业务子系统进行描述。
参与角色:
信息系统运营、使用单位,安全服务商。
活动输入:
信息系统总体描述文件
活动描述:
信息系统划分包括以下主要的活动内容:
a)划分方法的选择
一个组织机构可能会运行一个或多个信息系统,信息系统是接受相应等级保护管理的最小单元,进行信息系
升级会员 