信息系统安全等级保护的基础调查.ppt

------------------------------------------ 信息系统安全等级保护基础调查 基础调查工作的重要性 通过基础调查，使各级公安机关掌握本辖区内信息系统的数量、重要程度、主管部门、运营使用单位等基本情况 分析调查数据，使管理机构全面了解掌握近年来信息化建设的具体成果数据，基础信息网络和重要信息系统的数量、区域分布、行业分布等情况，为制定信息安全等级保护工作规划提供科学依据，为制定国家信息安全政策提供决策参考。 主要内容 信息系统的划分 定级指南介绍 基础调查步骤和有关事项 调查辅助工具使用说明 信息系统划分方法 信息系统和业务子系统： 信息系统是指基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统； 业务子系统由信息系统的一部分组件构成，是信息系统中能够承载某项业务工作的子系统。 一个或多个业务子系统构成信息系统。信息系统的重要性由其业务子系统重要性决定。 信息系统划分方法 一个组织机构内可能运行一个或多个信息系统，这些信息系统的安全保护等级可以是相同的，也可以是不同的。为体现重点保护重要信息系统安全，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，在将业务子系统组成信息系统时应考虑以下几个方面： 相同的管理机构 相同的业务类型 相同的物理位置或相似的运行环境 各业务子系统之间的关联，如共用设备或数据交换。 信息系统划分方法 在一个大而复杂的系统中将某个或某几个业务子系统组成的信息系统划分出来，最困难，也是最主要的是确定信息系统边界，尤其是如何在信息系统内部划定与其它信息系统的边界，因为此时往往存在服务器或网络设备共用的情况。 划分原则：由于信息系统的边界保护一般在物理边界或网络边界上实现，信息系统边界不应划分在服务器内，而应划分在网络设备或边界防护设备上，以便采取相应的边界保护。 信息系统划分方法 信息系统划分方法 信息系统划分方法 信息系统划分方法 信息系统划分方法 信息系统划分方法 定级指南介绍 等级确定的原则 决定等级的主要因素分析 等级确定方法 定级举例 等级确定的原则 满足国家管理要求原则 信息系统安全保护等级既不是信息系统安全保障等级，也不是信息系统所能达到的技术能力等级，而是从国家管理的需要出发，从信息系统对国家安全、经济建设、公共利益等方面的重要性，以及信息或信息系统被破坏后造成危害的严重性角度确定的信息系统应达到的安全等级。 全局性原则 信息系统安全等级保护是针对全国范围内、涵盖各个行业信息系统的管理制度，信息系统安全保护等级的划分也必须从国家层面考虑，体现全局性。 等级确定的原则 业务为核心原则 信息系统是为业务应用服务的，信息系统的安全保护等级应当依据信息系统承载业务的重要性、业务对信息系统的依赖度和系统特殊的安全需求确定。 合理性原则 不同于信息安全产品，信息系统千差万别，各具特色，只有在划分安全保护等级的过程中，尽可能反映出信息系统的主要安全特征，合理划分等级，才能做到突出重点，适度保护。 5个等级描述 第一级 自主保护级适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。 第二级 指导保护级适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全 第三级 监督保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。 5个等级描述 第四级 强制保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。 第五级 专控保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。 决定等级的主要因素 决定信息系统重要性等级时应考虑以下因素： 系统所属类型，即信息系统的安全利益主体。 信息系统主要处理的业务信息类别。 系统服务范围，包括服务对象和服务网络覆盖范围。 业务依赖程度程度，或以手工作业替代信息系统处理业务的程度 其中第1、2个要素决定信息系统内信息资产的重要性，第3、4个要素决定信息系统所提供服务的重要性，而信息资产及信息系统服务的重要性决定了信息系统的重要性。 四个主要因素决定两个定级指标 两个等级指标决定等级 定级对象 等级确定步骤 信息系统类型赋值 信息系统类型举例 业务信息类型赋值 业务信息类型举例 确定业务信息安全性 信息系统服务范围赋值 信息系统服务范围举例 业务依赖程度赋值 业务依赖程度举例 确定业务服务保证性 业务服务保证性的调节 调节结果 确定信息