信息系统安全保护等级的确定.ppt

1、1、主要工作措施,开展信息系统基本情况的摸底调查 初步确定安全保护等级评审与审批,2、信息安全保护等级的划分和标准,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。第一级，信息系统受到破坏后会对公民、法人和其他组织的合法权益造成损害但不损害国家安全、社会秩序和公共利益,2、信息安全保护等级的划分和标准,第二级信息系统受到破坏后 会对公民、法人和其他组织的合法权益产生严重损害 或者对社会秩序和公共利益造成损害，但不损害国家安全第三级信息系统受到破坏后 会对社会秩序和公

2、共利益造成严重损害或者对国家安全造成损害 第四级信息系统受到破坏后 会对社会秩序和公共利益造成特别严重损害或者对国家安全造成严重损害 第五级信息系统受到破坏后 会对国家安全造成特别严重损害,2、信息安全保护等级的划分和标准,信息系统分为所处理的业务信息和作为整体的系统服务两个层次信息系统安全保护等级由业务信息和系统服务两个层次的安全等级之中的较高中决定,2、信息安全保护等级的划分和标准,决定信息系统的安全保护等级由两个定级要素决定受到破坏时侵害了什么（客体）侵害的程度如何（对客体造成侵害的程度）等级保护对象受到破坏时所侵害的客体公民、法人和其他组织的合法权益社会秩序、公共利益国家安全 对客体造

3、成侵害的程度造成一般损害造成严重损害造成特别严重损害,3、信息系统安全保护等级的确定,侵害国家安全的事项包括以下方面影响国家政权稳固和国防实力影响国家统一、民族团结和社会安定影响国家对外活动中的政治、经济利益影响国家重要的安全保卫工作影响国家经济竞争力和科技实力其他影响国家安全的事项。,3、信息系统安全保护等级的确定,侵害社会秩序的事项包括以下方面影响国家机关社会管理和公共服务的工作秩序影响各种类型的经济活动秩序影响各行业的科研、生产秩序影响公众在法律约束和道德规范下的正常生活秩序等其他影响社会秩序的事项,3、信息系统安全保护等级的确定,影响公共利益的事项包括以下方面 影响社会成员使用公共设施

4、 影响社会成员获取公开信息资源 影响社会成员接受公共服务等方面 其他影响公共利益的事项 影响公民、法人和其他组织的合法权益是指 由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益,3、信息系统安全保护等级的确定,确定作为定级对象的信息系统受到破坏后所侵害的客体时，应首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益。,3、信息系统安全保护等级的确定,3在客观方面，对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息安全的破坏和对信息系统服务的破坏。,3、信息系统安全保护等级的确定,信息安全和系统服务安全

5、受到破坏后，可能产生以下危害后果：影响行使工作职能 导致业务能力下降 引起法律纠纷 导致财务损失 造成社会不良影响 对其他组织和个人造成损失 其他影响,3、信息系统安全保护等级的确定,4综合判定侵害程度 系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数、业务量、业务性质等不同方面确定。业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。,3、信息系统安全保护等级的确定,不同危害后果的三种危害程度描述如下：一般损害：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的资产损失，有限的社会

6、不良影响，对其他组织和个人造成较低损害。,3、信息系统安全保护等级的确定,严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。,3、信息系统安全保护等级的确定,特别严重损害：工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社会不良影响，对其他组织和个人造成非常严重损害。,3、信息系统安全保护等级的确定,3、信息系统安全保护等级的确定,作为定级对象的信息系统的安全保护等级由业务信息安全等级和系统服务安全等级的较

7、高者决定。定级对象等级确定后，起草信息系统安全保护等级定级报告。,3、信息系统安全保护等级的确定,定级工作步骤 第三步：信息系统等级评审 在信息系统安全保护等级确定过程中，可以聘请专家进行咨询评审，并出具定级评审意见 对拟确定为第四级以上信息系统的，运营、使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审，出具评审意见。,3、信息系统安全保护等级的确定,定级工作步骤 第四步：信息系统等级的最终确定与审批信息系统运营使用单位参考专家定级评审意见，最终确定信息系统等级，形成定级报告。如果专家评审意见与运营使用单位意见不一致时，由运营使用单位自主决定系统等级。信息系统运营使用单位有上

8、级主管部门的，应当经上级主管部门对安全保护等级进行审核批准。,三、等级保护工作的具体内容和要求,实际操作中参考确定信息系统等级：第一级 信息系统：适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。第二级 信息系统：适用于县级某些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。,三、等级保护工作的具体内容和要求,第三级信息系统：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省联接的网络系统等。,三、等级保护工作的具体内容和要求,第四级信息系统：一般适用于国家重要领域、部门中涉及国计民生、国家利益、国 家安全，影响社会稳定的核心系统。例如 电力生产控制系统、银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。第五级信息系统：适用于国家重要领域、重要部门中的极端重要系统。,