信息安全体系定级指南.ppt

信息系统安全保护等级的案例 信息系统定级案例－某局政府网站系统-1： 某局政府网站系统描述 某局政府网站系统，由局办公室负责运行维护，并为责任单位 按照政务公开原则，对主管业务工作动态及业务信息进行采集、加工、发布 属于“首都之窗”下链网站，为互联网上的独立服务器，Web结构 服务对象主要是本局管理的企业和本市市民 某局政府网站系统安全保护等级的确定 业务信息安全保护等级的确定 系统服务安全保护等级的确定 安全保护等级的确定 信息系统安全保护等级的案例 信息系统定级案例－某局政府网站系统-2 ： 某局政府网站系统安全保护等级的确定 业务信息安全保护等级的确定 业务信息描述 业务信息受到破坏时所侵害客体的确定 信息受到破坏后对侵害客体的侵害程度 确定业务信息安全等级 业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 业务信息包括发布的政务公开信息、地方行政法规和管理措施、领导讲话、政府办事流程、新闻发布、政府公告、举报投诉、本市经济形势介绍、电子表单下载等信息 公民、法人和其他组织的合法权益 社会秩序、公共利益 表现：一旦信息系统的业务信息遭到入侵、修改、增加、删除等侵害，将影响公众接受政务公开的信息资料，部分工作职能到受影响，业务能力下降，出现一般范围的不良影响造成社会不良影响，引起公众与政府机关之间的矛盾； 1、公民、法人和其他组织的合法权益的严重损害 2、社会秩序、公共利益的一般损害（优先考虑） 业务信息的安全保护等级确定为第二级 信息系统安全保护等级的案例 信息系统定级案例－某局政府网站系统-3 ： 某局政府网站系统安全保护等级的确定 系统服务安全保护等级的确定 系统服务描述 系统服务受到破坏时所侵害客体的确定 信息受到破坏后对侵害客体的侵害程度 确定系统服务安全等级 系统服务安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 该系统主要承担公开信息发布和部分网上办公业务，属于为国计民生、经济建设提供服务的信息系统，其服务范围为本局系统干部及全市本行业相关的公众 公民、法人和其他组织的合法权益社会秩序、公共利益 表现：一旦信息系统不能正常运行或出现中断，将影响公众接受政务公开的信息资料，造成社会不良影响，引起公众与政府机关之间矛盾；致使部分工作职能受到影响，业务能力下降，出现一般社会矛盾问题，一般范围的不良影响 1、公民、法人和其他组织的合法权益的严重损害 2、社会秩序、公共利益的一般损害（优先考虑） 系统服务的安全保护等级确定为第二级（取所有判定级别中最高的） 信息系统安全保护等级的案例 信息系统定级案例－某局政府网站系统-4： 某局政府网站系统安全保护等级的确定 安全保护等级的确定 信息系统的安全保护等级由业务信息安全等级和系统服务安全务安等级的较高者决定 所以，某局政府网站系统安全保护等级为第二级 信息系统名称 安全保护等级 业务信息 安全等级 系统服务 安全等级 某局政府网站系统 第二级 二 二 信息系统安全保护等级的案例 信息系统定级案例－某委办局办公应用系统-1： 某委办局办公应用系统描述 某委办局办公应用系统 主要集内部办公应用系统、信息资源共享、网上审批平台和人力资源管理于一体的协同办公系统 主要功能公文流转、任务管理、网上审批、公共信息、信息资源共享、会议管理等 系统实时性要求一般，最短的工作时限为半天。 某委办局办公应用系统安全保护等级的确定 业务信息安全保护等级的确定 系统服务安全保护等级的确定 安全保护等级的确定 信息系统定级案例－某委办局办公应用系统-2 ： 某委办局办公应用系统安全保护等级的确定 业务信息安全保护等级的确定 业务信息描述 业务信息受到破坏时所侵害客体的确定 信息受到破坏后对侵害客体的侵害程度 确定业务信息安全等级 业务信息安全被破坏时所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 信息系统安全保护等级的案例 该系统业务信息属于该委办局专有信息，包括来自北京市政府各单位，以及所属单位的公文；单位制订的信息化长期、中期、短期和年度规划以及执行情况信息；网上审批信息；个人事物信息等等。 客体确定：公民、法人和其他组织的合法权益，及社会秩序、公共利益。 表现：该系统信息属委办局专有信息,但牵涉到