信息系统安全等级保护定级备案.pptx

信息系统安全等级保护定级立案;信息系统安全等级保护定级指南;引言;定级政策 《关于开展全国主要信息系统安全等级保护定级工作通知》（公通字[]861号）。;定级标准 《信息系统安全等级保护定级指南》和信息系统安全等级保护行业定级细则为确定信息系统安全保护等级提供支持。 《信息系统安全等级保护定级指南》（GB/T22240-） 信息系统安全等级保护行业定级细则;信息系统安全保护等级 第一级，信息系统受到破坏后，会对公民、法人和其它组织正当权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其它组织正当权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。;第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成尤其严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成尤其严重损害。;定级普通流程;行业系统定级工作指导意见提出 各个行业职能存在差异 信息系统所发挥作用依据不一样行业存在较大差异 不一样行业信息系统被破坏后对国家和社会危害不尽相同 各行业主管部门能够从行业整体出发，从宏观上更加好把握本行业内各运行单位信息系统定级工作;指导意见 依据《管理方法》第十条：信息系统运行、使用单位应该依据本方法和《信息系统安全等级保护定级指南》确定信息系统安全保护等级。有主管部门，应该经主管部门审核同意。跨省或者全国统一联网运行信息系统能够由主管部门统一确定安全保护等级。 依据《关于开展全国主要信息系统安全等级保护定级工作通知》（以下简称《定级通知》）要求：各行业主管部门要依据行业特点提出指导当地域、本行业定级工作指导意见。;行业定级工作指导意见意义： 愈加好落实落实《管理方法》 使本行业实施等级保护工作政策和方针目标性愈加明确 有利于本行业制订定级工作阶段计划 有利于统一本行业对定级要素赋值规范;认真调查，掌握信息系统实际情况 ??方面掌握信息系统（包含信息网络）业务类型、应用或服务范围、系统结构等基本情况，;第三部分 确定定级对象;第三部分 确定定级对象;定级对象基本特征： 承载单一或相对独立业务应用 定级对象承载“单一”业务应用是指该业务应用业务流程独立，且与其它业务应用没有数据交换，且独享全部信息处理设备。 定级对象承载“相对独立”业务应用是指其业务应用主要业务流程独立，同时与其它业务应用有少许数据交换，定级对象可能会与其它业务应用共享一些设备，尤其是网络传输设备。;第三部分 确定定级对象;科学、合理确定定级对象 要把握以下几个标准： 一是以相对独立应用系统为定级对象。 二是确认负责定级单位是否含有对所定级系统安全责任。 三是确定定级对象方法允许各种多样。;确定定级对象举例 一、识别和描述定级对象 识别基本信息、管理框架、业务种类和业务流程、信息资产、网络结构、软硬件设备、用户类型和分布，描述单位基本信息。 二、划分定级对象 分析安全管理责任，确定管理边界；分析网络结构和已经有内外部边界；分析业务流程和业务间关系；初步划定信息系统，确定定级对象。;三、识别和划分定级对象中难点 影响定级要素赋值产生不一样原因 系统所包括客体不一样 系统对客体造成损害程度不一样 系统处理业务类型不一样 本身运行在不一样网络环境中系统 分不开系统，按照高级别保护;四、系统边界划分注意事项 不一样信息系统共用设备普通是网络/边界设备或终端设备。 两个信息系统边界存在共用设备安全保护等级按两个信息系统安全保护等级较高者确定 管理终端与被管理对象相对应，被管理对象属于哪个系统，终端就应属于该信息系统一部分 处理涉密信息终端必须划分到对应信息系统中，且不能与非涉密系统共用终端。;确定定级对象举例; 受侵害信息系统安全保护等级由两个要素决定：等级保护对象受到破坏时所侵害客体和对客体造成侵害程度。 受侵害客体： 公民、法人和其它组织正当权益；社会秩序、公共利益；三是国家安全。 对客体侵害程度： 普通损害；严重损害；尤其严重损害。;业务信息安全和系统服务安全 信息系统与之相关受侵害客体和对客体侵害程度可能不一样，而信息系统安全包含业务信息安全和系统服务安全两方面，所以定级也应由这两方面决定。对客体侵害外在表现为对定级对象破坏，其危害方式表现为对信息安全破坏和对信息系统服务破坏。;信息安全 信息安全是指确保信息系统内信息必威体育官网网址性、完整性和可用性等； 系统服务安全 系统服务安全是指确保信息系统能够及时、有效地提供服务，以完成预定业务目标； 因为业务信息安全和系统服务安全受到破坏所侵害客体和对客体侵害程度可能会有所不一样，在定级过程中，需要分别处理这两种危害方式。;第四部分 定