信息系統(tǒng)安全等級保護定級備案講義

信息系統(tǒng)安全等級保護定級備案信息系統(tǒng)安全等級保護定級指南主要內(nèi)容引言第一部分：等級保護定級概述第二部分：掌握信息系統(tǒng)實際情況第三部分：確定定級對象第四部分：定級方法第五部分：初步定級第六部分：評審、確定與審批第七部分：等級調(diào)整第八部分：備案工作第九部分：問題解答引言 為推動我國信息安全等級保護工作的開展，十多年來，在公安部的領(lǐng)導(dǎo)和支持下，在國內(nèi)有關(guān)專家、企業(yè)的共同努力下，全國信息安全標準化技術(shù)委員會和公安部信息系統(tǒng)安全標準化技術(shù)委員會組織制訂了信息安全等級保護工作需要的一系列標準，形成了比較完整的信息安全等級保護標準體系，為開展信息安全等級保護工作提供了標準保障。引言定級政策《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公通字[2007]861號）。引言定級標準《信息系統(tǒng)安全等級保護定級指南》和信息系統(tǒng)安全等級保護行業(yè)定級細則為確定信息系統(tǒng)安全保護等級提供支持。《信息系統(tǒng)安全等級保護定級指南》（GB/T22240-2008）信息系統(tǒng)安全等級保護行業(yè)定級細則引言信息系統(tǒng)安全保護等級第一級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第一部分等級保護定級概述第一部分：等級保護定級概述第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴重損害。第一部分等級保護定級概述定級的一般流程第一部分等級保護定級概述行業(yè)系統(tǒng)定級工作的指導(dǎo)意見的提出各個行業(yè)的職能存在差異信息系統(tǒng)所發(fā)揮的作用根據(jù)不同行業(yè)存在較大差別不同行業(yè)的信息系統(tǒng)被破壞后對國家和社會的危害不盡相同各行業(yè)主管部門可以從行業(yè)整體出發(fā)，從宏觀上更好的把握本行業(yè)內(nèi)各運營單位信息系統(tǒng)的定級工作第一部分等級保護定級概述指導(dǎo)意見根據(jù)《管理辦法》第十條：信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準?？缡』蛘呷珖y(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。根據(jù)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（以下簡稱《定級通知》）要求：各行業(yè)主管部門要根據(jù)行業(yè)特點提出指導(dǎo)本地區(qū)、本行業(yè)定級工作的指導(dǎo)意見。第一部分等級保護定級概述行業(yè)定級工作作的指導(dǎo)導(dǎo)意見的意義：：更好的貫貫徹落實實《管理辦法法》使本行業(yè)業(yè)實施等等級保護護工作的的政策和和方針的的目的性性更加明明確有利于本本行業(yè)制制定定級級工作的的階段計計劃有利于統(tǒng)統(tǒng)一本行行業(yè)對定定級要素素賦值規(guī)規(guī)范第一部分分等級級保護定定級概述述認真調(diào)查查，掌握握信息系系統(tǒng)實際際情況全面掌握握信息系系統(tǒng)（包包括信息息網(wǎng)絡(luò)））的業(yè)務(wù)務(wù)類型、、應(yīng)用或或服務(wù)范范圍、系系統(tǒng)結(jié)構(gòu)構(gòu)等基本本情況，，第二部分分掌握握實際情情況第二部分第三部分分確定定定級對對象定級對象象的基本本特征定級對象象的確定定方法科學(xué)、合合理確定定定級對對象確定定級級對象第三部分分：確定定定級對對象第三部分分確定定定級對對象定級對象象的基本本特征：：具有唯一一確定的的安全責(zé)責(zé)任主體體作為定級級對象的的信息系系統(tǒng)應(yīng)能能夠唯一一地確定定其安全全責(zé)任單單位。（（具有唯唯一確定定的安全全責(zé)任單單位）具有信息息系統(tǒng)的的基本要要素作為定級級對象的的信息系系統(tǒng)應(yīng)該該是由相相關(guān)的和和配套的的設(shè)備、、設(shè)施按按照一定定的應(yīng)用用目標和和規(guī)則組組合而成成的有形形實體。。定級對象象的基本本特征：：承載單一一或相對對獨立的的業(yè)務(wù)應(yīng)應(yīng)用定級對象象承載““單一””的業(yè)務(wù)務(wù)應(yīng)用是是指該業(yè)業(yè)務(wù)應(yīng)用用的業(yè)務(wù)務(wù)流程獨獨立，且且與其他他業(yè)務(wù)應(yīng)應(yīng)用沒有有數(shù)據(jù)交交換，且且獨享所所有信息息處理設(shè)設(shè)備。定級對象象承載““相對獨獨立”的的業(yè)務(wù)應(yīng)應(yīng)用是指指其業(yè)務(wù)務(wù)應(yīng)用的的主要業(yè)業(yè)務(wù)流程程獨立，，同時與與其他業(yè)業(yè)務(wù)應(yīng)用用有少量量的數(shù)據(jù)據(jù)交換，，定級對對象可能能會與其其他業(yè)務(wù)務(wù)應(yīng)用共共享一些些設(shè)備，，尤其是是網(wǎng)絡(luò)傳傳輸設(shè)備備。第三部分分確定定定級對對象只有同時時滿足上上述三個個條件，，才可由由本單位位對信息息系統(tǒng)進進行定級級第三部分分確定定定級對對象定級對象象的確定定方法：：從管理機機構(gòu)角度度劃分從業(yè)務(wù)類類型角度度劃分從相同的的物理位位置和相相似的運運行環(huán)境境劃分科學(xué)、合合理確定定定級對對象要把握以以下幾個個原則：：一是以相相對獨立立的應(yīng)用用系統(tǒng)為為定級對對象。二是確認認負責(zé)定定級的單單位是否否具有對對所定級級系統(tǒng)的的安全責(zé)責(zé)任。三是確定定定級對對象的方方法允許許多種多多樣。第三部分分確定定定級對對象確定定級級對象舉例一、識別別和描述述定級對對象識別基本本信息、、管理框框架、業(yè)業(yè)務(wù)種類類和業(yè)務(wù)務(wù)流程、、信息資資產(chǎn)、網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)、軟硬硬件設(shè)備備、用戶戶類型和和分布，，描述單單位基本本信息。。二、劃分分定級對對象分析安全全管理責(zé)責(zé)任，確確定管理理邊界；；分析網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)和已有有內(nèi)外部部邊界；；分析業(yè)業(yè)務(wù)流程程和業(yè)務(wù)務(wù)間關(guān)系系；初步步劃定信信息系統(tǒng)統(tǒng)，確定定定級對對象。第三部分分確定定定級對對象三、識別別和劃分分定級對對象中的的難點影響定級級要素賦賦值產(chǎn)生生不同的的因素系統(tǒng)所涉涉及的客客體不同同系統(tǒng)對客客體造成成的損害害程度不不同系統(tǒng)處理理的業(yè)務(wù)務(wù)類型不不同本身運行行在不同同的網(wǎng)絡(luò)絡(luò)環(huán)境中中的系統(tǒng)統(tǒng)分不開的的系統(tǒng)，，按照高高級別保保護第三部分分確定定定級對對象四、系統(tǒng)統(tǒng)邊界的的劃分注注意事項項不同信息息系統(tǒng)的的共用設(shè)設(shè)備一般般是網(wǎng)絡(luò)絡(luò)/邊界設(shè)備備或終端端設(shè)備。。兩個信息息系統(tǒng)邊邊界存在在的共用用設(shè)備的的安全保保護等級級按兩個個信息系系統(tǒng)安全全保護等等級較高高者確定定管理終端端與被管管理對象象相對應(yīng)應(yīng)，被管理對對象屬于哪個個系統(tǒng)，，終端就就應(yīng)屬于于該信息息系統(tǒng)的的一部分分處理涉密密信息的的終端必必須劃分分到相應(yīng)應(yīng)的信息息系統(tǒng)中中，且不不能與非非涉密系系統(tǒng)共用用終端。。第三部分分確定定定級對對象確定定級級對象舉例第三部分分確定定定級對對象受侵害信信息系統(tǒng)統(tǒng)的安全全保護等等級由兩兩個要素素決定：：等級保保護對象象受到破破壞時所侵害的的客體和對客體造造成侵害害的程度度。受侵害的的客體：：公民、法法人和其其他組織織的合法法權(quán)益；；社會秩秩序、公公共利益益；三是是國家安安全。對客體的的侵害程程度：一般損害害；嚴重重損害；；特別嚴嚴重損害害。第四部分分定級級方法第四部分分：定級級方法業(yè)務(wù)信息息安全和和系統(tǒng)服服務(wù)安全全信息系統(tǒng)統(tǒng)與之相相關(guān)的受受侵害客客體和對對客體的的侵害程程度可能能不同，，而信息息系統(tǒng)安安全包括括業(yè)務(wù)信信息安全全和系統(tǒng)統(tǒng)服務(wù)安安全兩方方面，因因此定級級也應(yīng)由由這兩方方面決定定。對客客體的侵侵害外在在表現(xiàn)為為對定級級對象的的破壞，，其危害害方式表表現(xiàn)為對對信息安安全的破破壞和對對信息系系統(tǒng)服務(wù)務(wù)的破壞壞。第四部分分定級級方法信息安全全信息安全全是指確確保信息息系統(tǒng)內(nèi)內(nèi)信息的的保密性性、完整整性和可可用性等等；系統(tǒng)服務(wù)務(wù)安全系統(tǒng)服務(wù)由于業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同，在定級過程中，需要分別處理這兩種危害方式。第四部分第四部分分定級級方法確定受受侵害害的客客體：：受侵害害的客客體指指等級級保護護對象象(即定級級對象象)受到破破壞時時所侵侵害的的客體體。包括以以下三三個方方面：：公民、、法人人和其其他組組織的的合法法權(quán)益益；社會秩秩序、、公共共利益益；國家安安全。。第四部分定定級方法法對客體的侵侵害程度：：在客觀方面面，對客體體的侵害外外在表現(xiàn)為為對定級對對象的破壞壞。危害方式表表現(xiàn)為對信息安全的破壞和對對信息系統(tǒng)服服務(wù)的破壞?？腕w侵害的的客觀方面面-危害方式：：對信息安全全的破壞：：信息系統(tǒng)統(tǒng)內(nèi)信息的的保密性、、完整性和和可用性。。對信息系統(tǒng)統(tǒng)服務(wù)的破破壞：信息息系統(tǒng)可以以及時、有有效地提供供服務(wù)，以以完成預(yù)定定的業(yè)務(wù)目目標。確定業(yè)務(wù)信信息安全等等級第四部分定定級方法法業(yè)務(wù)信息安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級確定系統(tǒng)服服務(wù)安全等等級第四部分定定級方法法系統(tǒng)服務(wù)安全被破壞時所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴重損害特別嚴重損害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級信息安全和和系統(tǒng)服務(wù)務(wù)安全受到到破壞的后后果：影響行使工工作職能；；導(dǎo)致業(yè)務(wù)能能力下降；；引起法律糾糾紛；導(dǎo)致財務(wù)損損失；造成社會不不良影響；；對其他組織織和個人造造成損失；；其他影響。。第四部分定定級方法法第四部分定定級方法法綜合判定侵侵害程度：：根據(jù)不同的的受侵害客客體、不同同危害后果果分別確定定其危害程程度。造成一般損損害造成嚴重損損害造成特別嚴嚴重損害第四部分定定級方法法安全保護等級信息系統(tǒng)基本保護要求的組合第一級S1A1G1第二級S1A2G2，S2A2G2，S2A1G2第三級S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3第四級S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，S4A2G4，S4A1G4第五級S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，S5A4G5，S5A3G5，S5A2G5，S5A1G5定級的一般般流程確定作為定定級對象的的信息系統(tǒng)統(tǒng)；確定業(yè)務(wù)信信息安全受受到破壞時時所侵害的的客體；根據(jù)據(jù)不不同同的的受受侵侵害害客客體體，，從從多多個個方方面面綜綜合合評評定定業(yè)業(yè)務(wù)務(wù)信信息息安安全全被被破破壞壞對對客客體體的的侵侵害害程程度度；；得到到業(yè)業(yè)務(wù)務(wù)信信息息安安全全保保護護等等級級；；第五五部部分分初初步步定定級級第五五部部分分：：初初步步確確定定安安全全保保護護等等級級確定定系系統(tǒng)統(tǒng)服服務(wù)務(wù)安安全全受受到到破破壞壞時時所所侵侵害害的的客客體體；；根據(jù)據(jù)不不同同的的受受侵侵害害客客體體，，從從多多個個方方面面綜綜合合評評定定系系統(tǒng)統(tǒng)服服務(wù)務(wù)安安全全被被破破壞壞對對客客體體的的侵侵害害程程度度；；得到到系系統(tǒng)統(tǒng)服服將業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級的較高者確定為定級對象的安全保護等級。第六部分定定級工作作總結(jié)定級的一般般流程第六部分定定級工作作總結(jié)特別注意起傳輸作用用的基礎(chǔ)網(wǎng)網(wǎng)絡(luò)要單獨獨定級,等級可以參參照在其上上運行的信信息系統(tǒng)的的等級、網(wǎng)網(wǎng)絡(luò)的服務(wù)務(wù)范圍和自自身的安全全需求確定定適當(dāng)?shù)谋１Ｗo等級，，不以在其其上運行的的信息系統(tǒng)統(tǒng)的最高等等級或最低低等級為標標準。第五部分初初步定級級信息系統(tǒng)等等級對照表表第五部分初初步定級級等級對象侵害客體侵害程度監(jiān)管強度第一級社會秩序和公共利益合法權(quán)益損害自主保護第二級合法權(quán)益嚴重損害指導(dǎo)損害第三級重要系統(tǒng)社會秩序和公共利益嚴重損害監(jiān)督檢查國家安全損害第四級社會秩序和公共利益特別嚴重損害強制監(jiān)督檢查國家安全嚴重損害第五級極端重要系統(tǒng)國家安全特別嚴重損害專門監(jiān)督檢查信息系統(tǒng)等等級評審信息系統(tǒng)等等級的確定定與審批第六部分評評審、確確定與審批批第六部分：：等級評審審、確定與與審批定級報告定級報告是是為詳細了了解和掌握握定級過程程情況由信信息系統(tǒng)運運營使用單單位負責(zé)填填寫的文檔檔。定級報告要要在信息系系統(tǒng)備案時時一并提交交。信息系統(tǒng)運運營使用單單位在起草草定級報告告時可以請請技術(shù)支持持單位協(xié)助助。第六部分評評審、確確定與審批批定級報告的的撰寫信息系統(tǒng)描描述簡述確定該該信息系統(tǒng)統(tǒng)為定級對對象的理由由。包括：：該信息系系統(tǒng)所承載載業(yè)務(wù)的主主管單位和和部門，該該信息系統(tǒng)統(tǒng)具有信息息系統(tǒng)的基基本要素（（有主機、、網(wǎng)絡(luò)及相相關(guān)配套設(shè)設(shè)施構(gòu)成的的人機系統(tǒng)統(tǒng)），該信信息系統(tǒng)承承載著獨立立或單一的的業(yè)務(wù)應(yīng)用用，業(yè)務(wù)應(yīng)應(yīng)用主要包包括哪些，，各包含哪哪些功能等等。第六部部分評評審審、確確定與與審批批信息系統(tǒng)統(tǒng)安全保保護等級級的確定定業(yè)務(wù)信息息安全保保護等級級的確定定。第一步：：簡要描描述信息息系統(tǒng)所所處理的的主要業(yè)業(yè)務(wù)信息息，包括括各項業(yè)業(yè)務(wù)的主主要數(shù)據(jù)據(jù)項有哪哪些等。。第二步：：確定業(yè)業(yè)務(wù)信息息受到破破壞后所所侵害的的客體第三步：：確定對對客體的的侵害程程度第四步：：查表確確定業(yè)務(wù)務(wù)信息安安全等級級第六部分分評審審、確定定與審批批系統(tǒng)服務(wù)務(wù)安全保保護等級級的確定定第一步：：簡要描描述系統(tǒng)統(tǒng)的服務(wù)務(wù)范圍、、服務(wù)對對象、服服務(wù)要求求等等。。第二步：：確定系系統(tǒng)服務(wù)務(wù)受到破破壞后所所侵害的的客體第三步：：確定對對客體的的侵害程程度第四步：：查表確確定系統(tǒng)統(tǒng)服務(wù)安安全等級級信息系統(tǒng)統(tǒng)的安全全保護等等級由業(yè)業(yè)務(wù)信息息安全等等級和系系統(tǒng)服務(wù)務(wù)安全等等級較高高者決定定。定級報告告模板第六部分評評審、確確定與審批批調(diào)整的對象象：信息系系統(tǒng)的運行行、使用單單位確定的的信息系統(tǒng)統(tǒng)安全保護護等級調(diào)整的主體體：信息系系統(tǒng)的決策策者或上級級主管部門門調(diào)整的原則則：只能調(diào)調(diào)高等級而而不能降低低等級第七部分等等級調(diào)整整第七部分：：等級調(diào)整整等級調(diào)整的的參考因素素上級主管部部門在政策策和管理方方面的特殊殊要求。預(yù)測信息安安全受到破破壞后的受受侵害客體體和對客體體的侵害程程度可能會會有較大的的變化。預(yù)測系統(tǒng)服服務(wù)受到破破壞后的受受侵害客體體和對客體體的侵害程程度隨著業(yè)業(yè)務(wù)的發(fā)展展會有較大大的變化。第七部分等等級調(diào)整整《管理辦法》第十四條中中規(guī)定：已運營（運運行）的第第二級以上上信息系統(tǒng)統(tǒng)，應(yīng)當(dāng)在在安全保護護等級確定定后30新建第二級以上信息系統(tǒng)，應(yīng)當(dāng)在投入運行后30日內(nèi)，由其運營、使用單位到所在地設(shè)區(qū)的市級以上公安機關(guān)辦理備案手續(xù)。第八部分備備案工作作第八部分：：備案的工工作步驟所需提交的的材料保護等級為為二級的信信息系統(tǒng)運運營、使用用單位到屬屬地、保衛(wèi)衛(wèi)關(guān)系所屬屬公安機關(guān)關(guān)備案需要要提交以下下材料：《信息系統(tǒng)安安全等級保保護定級報報告》（紙制蓋章章和電子版版）《信息系統(tǒng)安安全等級保保護備案表表》（紙制蓋章章和電子版版）第八部分備備案工作作保護等級為為三級系統(tǒng)拓撲結(jié)構(gòu)及說明系統(tǒng)安全組織機構(gòu)和管理制度系統(tǒng)安全保護設(shè)施設(shè)計實施方案或者改建實施方案使用的信息安全產(chǎn)品清單及其認證、銷售許可證明測評后符合系統(tǒng)安全保護等級的技術(shù)檢測評估報告信息系統(tǒng)安全保護等級專家評審意見信息系統(tǒng)安全保護等級專家評審意見《信息系統(tǒng)安全等級保護備案表》（紙制蓋章和電子版）《信息系統(tǒng)安全等級保護定級報告》（紙制蓋章和電子版第八部分備備案工作作審核依據(jù)受理備備案規(guī)定，，公安網(wǎng)監(jiān)監(jiān)部門需要要對接收的的備案材料料進行審核核，具體審審核內(nèi)容是是：備案符合性性審查是否按照備備案要求填填寫了相應(yīng)應(yīng)的表格和和文檔并提提供相應(yīng)的的電子數(shù)據(jù)據(jù)文檔。備案表完整整性審查備案表中表表一、表二二、表三所所列內(nèi)容是是否填寫完完整，表四四中所要求求的附件內(nèi)內(nèi)容是否齊齊全。定級準確性性審查提交備案的的各個信息息系統(tǒng)安全全保護等級級定級是否否準確。第八部分備備案工作作第九部分問問題解答答常見問題問題解答謝謝！9、靜夜四無無鄰，荒居居舊業(yè)貧。。。12月-2212月-22Thursday,December29,202210、雨中中黃葉葉樹，，燈下下白頭頭人。。。03:49:1103:49:1103:4912/29/20223:49:11AM11、以我我獨沈沈久，，愧君君相見見頻。。。12月月-2203:49:1103:49Dec-2229-Dec-2212、故人人江海海別，，幾度度隔山山川。。。03:49:1103:49:1103:49Thursday,December29,202213、乍見翻翻疑夢，，相悲各各問年。。。12月-2212月-2203:49:1103:49:11December29,202214、他他鄉(xiāng)鄉(xiāng)生生白白發(fā)發(fā)，，舊舊國國見見青青山山。。。。29十十二二月月20223:49:11上上午午03:49:1112月月-2215、比不了得得就不比，，得不到的的就不要。。。。十二月223:49上上午12月-2203:49December29,202216、行動出成成果，工作作出財富。。。2022/12/293:49:1203:49:1229December202217、做前，，能夠環(huán)環(huán)視四周周；做時時，你只只能或者者最好沿沿著以腳腳為起點點的射線線向前。。。3:49:12上午午3:49上午午03:49:1212月-229、沒有有失敗敗，只只有暫暫時停停止成成功?。?。12月月-2212月月-22Thursday,December29,202210、很多多事情情努力力了未未必有有結(jié)果果，但但是不不努力力卻什什么改改變也也沒有有。。。03:49:1203:49:1203:4912/29/20223:49:12AM11、成功就就是日復(fù)復(fù)一日那那一點點點小小努努力的積積累。。。12月-2203:49:1203:49Dec-2229-Dec-2212、世世間間成成事事，，不不求求其其絕絕對對圓圓滿滿，，留留一一份份不不足足，，可可得得無無限限完完美美。。。。03:49:1203:49:1203:49Thursday,December29,202213、不知知香積積寺，，數(shù)里里入云云峰。。。12月月-2212月月-2203:49:1203:49:12December29,202214、意志志堅強強的人人能把把世界界放在在手中中像泥泥塊一一樣任任意揉揉捏。。29十十二二月20223:49:12上上午03:49:1212月月-2215、楚楚塞塞三三湘湘接接，，荊荊門門九九派派通通。。。。。十二二月月223:49上上午午12月月-2203:49December29,202216、少年十十五二十十時，步步行奪得得胡馬騎騎。。2022/12/293:49:1203:49:1229December202217、空