等级保护定级全面解答.pptx
《等级保护定级全面解答.pptx》由会员分享,可在线阅读,更多相关《等级保护定级全面解答.pptx(34页珍藏版)》请在冰豆网上搜索。
2012年8月,等级保护定级全面解答,时代新威,等级保护组,等级保护定级,如何理解定级对象,如何理解安全保护等级,定级工作如何开展,PART01,时代新威等级保护组研究等级保护定级全部细节,保护定级概述、定级和各个注意事项!
等级保护定级,等级保护,等级保护,等级保护,等级保护,等级保护,等级保护,护,保,级,等,密工作部门负责涉密系统定级工作的监督、检查、指导;国家密码管理部门负责定级工作中有关密码工作的监督、检查、指导;信息化领导小组办事机构负责定级工作的部门间协调。
各信息系统主管部门组织本行业、本部门信息系统运营使用单位开展定级工作,督促其落实定级工作各项任务。
各信息系统运营使用单位依据信息安全等级保护管理办法和本通知要求,具体实施定级工作。
等级保护,护,保,级,等,在通知中明确指出,在“此次定级工作完成后,请各主管部门、运营使用单位按照信息安全等级保护管理办法和有关技术标准,继续开展信息系统安全等级保护的系统建设或整改、等级测评、自查自纠等后续工作”,同时要求“各级公安、保密、密码部门要开展等级保护工作的监督、检查和指导”。
等级保护,PART02,时代新威带你如何理解等级保护定级对象,从基本概念还有理念出发,如何理解定级对象,等级保护,具有唯一确定的安全责任单位。
作为定级对象的信息系统应能够唯一地确定其安全责任单位。
如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
等级保护,具有信息系统的基本要素。
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
承载单一或相对独立的业务应用。
定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。
定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。
等级保护,等级保护,等级保护,PART03,等级保护网络安全等级保护,这个应该如何去理解?
时代新威带您从原理和要素去理解,如何理解安全保护等级,信息系统定级工作按照“自主定级、专家评审、主管部门审批、公安机关备案”的工作原则进行。
等级保护,信息系统定级工作按照“自主定级、专家评审、主管部门审批、公安机关备案”的工作原则进行。
等级保护,信息系统的安全保护等级由两个定级要素决定:
等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
受侵害的客体对客体的侵害程度,等级保护,受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三方面:
公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全。
信息系统安全等级保护定级指南明确指出,在确定作为定级对象的信息系统受到破坏后所侵害的客体时,要按照如下顺序执行。
首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
同时,各行业可根据本行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。
等级保护,对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。
由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象的危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。
等级保护,对客体的侵害程度信息安全和系统服务安全受到破坏后,可能产生以下危害后果:
影响行使工作职能,导致业务能力下降,引起法律纠纷,导致财产损失,造成社会不良影响,对其他组织和个人造成损失,其他影响等。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
造成一般损害、造成严重损害、造成特别严重损害。
等级保护,信息安全等级保护管理办法第六条规定:
“国家信息安全等级保护坚持自主定级、自主保护的原则。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
”,等级保护,在网络安全等级保护定级指南中,公民、法人和其他组织的合法权益收到特别严重侵害后,级别由第二级调整到三级。
不同危害后果的三种危害程度描述如下。
一般损害:
工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害。
严重损害:
工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害。
特别严重损害:
工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
等级保护,信息系统的安全保护等级是信息系统本身的客观自然属性,不应以已采取或将采取什么安全保护措施为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级。
针对不同的信息系统,建议参考下一页原则定级。
等级保护,第一级信息系统:
一般适用于乡镇所属信息系统、县级某些单位中一般的信息系统、小型私营、个体企业、中小学的信息系统。
第二级信息系统:
一般适用于县级某些单位中的重要信息系统,地市级以上国家机关、企业、事业单位内部一般的信息系统,如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
第三级信息系统:
一般适用于地市级以上国家机关、重要企事业单位内部重要的信息系统。
例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,重要领域、重要部门跨省、跨市或全国(省)联网运行的用于生产、调度、管理、作业、指挥等方面的重要信息系统,跨省或全国联网运行的重要信息系统在省、地市的分支系统,中央各部委、省(区、市)门户网站和重要网站,跨省连接的网络系统等。
第四级信息系统:
一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统,如全国铁路、民航、电力等部门的调度系统,银行、证券、保险、税务、海关等重要行业、部门中的涉及国计民生的核心系统。
第五级信息系统:
一般适用于国家重要领域、重要部门中的极端重要系统。
等级保护,新建系统要坚持三同步原则,做到“同步规划、同步设计、同步实施”。
建设、运营单位要先定级,按照所定级别的基本保护要求同步建设。
要站在国家安全、社会稳定的高度统筹考虑信息系统等级,而仅从行业和信息系统自身安全角度考虑。
要应避免将某个单一的系统组件(如服务器、终端、网络设备等)作为定级对象,避免将所有的业务系统网络作为一个定级对象。
要避免同类信息系统的安全保护等级,不能随着部、省、市行政级别的降低而降低。
在定级不明确的情况,可通过咨询等级保护建设领导小组、行业主管部门等相关意见后再确定。
等级保护,PART04,定级工作如何开展,信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。
从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下:
等级保护,确定信息系统安全保护等级的一般流程如下:
确定作为定级对象的信息系统。
确定业务信息安全受到破坏时所侵害的客体。
根据不同的受侵害客体,从多方面综合评定业务信息安全被破坏对客体的侵害程度。
依据表2,得到业务信息安全保护等级。
确定系统服务安全受到破坏时所侵害的客体。
根据不同的受侵害客体,从多方面综合评定系统服务安全被破坏对客体的侵害程度。
依据表3,得到系统服务安全保护等级。
将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
等级保护,确定保护等级工作流程:
等级保护,PART04,谢谢观看,
升级会员 