信息安全等級保護操作指南和操作流程

信息安全等級保護操作指南和操作流程信息安全等級保護操作流程1信息系統(tǒng)定級定級工作實施范圍“關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知”對于重要信息系統(tǒng)的范圍規(guī)定如下：（一）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。（二）鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。（三）市（地）級以上黨政機關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。（四）涉及國家秘密的信息系統(tǒng)（以下簡稱“涉密信息系統(tǒng)”）。注：跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的信息系統(tǒng)可以由主管部門統(tǒng)一確定安全保護等級。涉密信息系統(tǒng)的等級確定按照國家保密局的有關(guān)規(guī)定和標準執(zhí)行。定級依據(jù)標準《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)【2003】27號文件）《關(guān)于信息安全等級保護工作的實施意見》（公通字【2004】66號文件）《電子政務(wù)信息系統(tǒng)安全等級保護實施指南（試行）》（國信辦【2005】25號文件）《信息安全等級保護管理辦法》（公通字【2007】43號文件）《計算機信息系統(tǒng)安全保護等級劃分準則》《電子政務(wù)信息安全等級保護實施指南》

信息系統(tǒng)安全等級保護定級指南》信息系統(tǒng)安全等級保護基本要求》信息系統(tǒng)安全等級保護實施指南》信息系統(tǒng)安全等級保護測評指南》信息系統(tǒng)調(diào)查信息系統(tǒng)調(diào)查是通過一系列的信息系統(tǒng)情況調(diào)查表對信息系統(tǒng)基本情況進行摸底調(diào)查，全面掌握信息系統(tǒng)的數(shù)量、分布、業(yè)務(wù)類型、應(yīng)用、服務(wù)范圍、系統(tǒng)結(jié)構(gòu)、管理組織和管理方式等基本情況。同時，通過信息系統(tǒng)調(diào)查還可以明確信息系統(tǒng)存在的資產(chǎn)價值、威脅等級、風險等級以及可能造成的影響客體、影響范圍等基本情況。信息系統(tǒng)調(diào)查結(jié)果將作為信息系統(tǒng)安全等級保護定級工作的主要依據(jù)，保證定級結(jié)果的客觀、合理和準確。調(diào)查工具表通常，信息系統(tǒng)調(diào)查工具表包括系統(tǒng)資產(chǎn)調(diào)查表、系統(tǒng)應(yīng)用調(diào)查表、和管理信息調(diào)查表等。?系統(tǒng)資產(chǎn)調(diào)查表用于調(diào)查信息系統(tǒng)的基本情況，主要包括主機、網(wǎng)絡(luò)設(shè)備、人員、人員、服務(wù)等信息。在調(diào)查過程中，可以得到系統(tǒng)資產(chǎn)的基本信息、主要用途、重要程度、服務(wù)對象等相關(guān)信息。?系統(tǒng)應(yīng)用調(diào)查表用于明確系統(tǒng)應(yīng)用的基本狀況。明確各個系統(tǒng)應(yīng)用的拓撲信息、邊界信息、應(yīng)用架構(gòu)、數(shù)據(jù)流等基本情況，為確定和分析定級對象提供詳細信息。?管理信息調(diào)查表用于明確信息系統(tǒng)的組織結(jié)構(gòu)、隸屬關(guān)系等管理信息。調(diào)查方法信息系統(tǒng)調(diào)查的實施包括信息收集、訪談和核查三個步驟。?信息收集協(xié)助信息系統(tǒng)使用管理單位完成系統(tǒng)資產(chǎn)調(diào)查表填寫工作，同時收集信息系統(tǒng)所涉及的一系列?訪談核查對調(diào)查表中的信息進行驗證的過程，驗證包括檢查和測試等方式。確定定級對象一個單位可能運行了比較龐大的信息系統(tǒng)，為了重點保護重要部分，有效控制信息安全建設(shè)和管理成本，優(yōu)化信息安全資源配置等保護原則，可將較大的信息系統(tǒng)劃分為若干個較小的、相對獨立的、具有不同安全保護等級的定級對象。這樣，可以保證信息系統(tǒng)安全建設(shè)能夠突出重點、兼顧一般。1.3.基本原則如果信息系統(tǒng)只承載一項業(yè)務(wù)，可以直接為該信息系統(tǒng)確定等級，不必劃分業(yè)務(wù)子系統(tǒng)。如果信息系統(tǒng)承載多項業(yè)務(wù)，應(yīng)根據(jù)各項業(yè)務(wù)的性質(zhì)和特點，將信息系統(tǒng)分成若干業(yè)務(wù)子系統(tǒng)，分別為各業(yè)務(wù)子系統(tǒng)確定安全保護等級，信息系統(tǒng)的安全保護等級由各業(yè)務(wù)子系統(tǒng)的最高等級決定。信息系統(tǒng)是進行等級確定和等級保護管理的最終對象。主要劃分原則有：一、具有唯一確定的安全責任單位作為定級對象的信息系統(tǒng)應(yīng)能夠唯一地確定其安全責任單位。如果一個單位的某個下級單位負責信息系統(tǒng)安全建設(shè)、運行維護等過程的全部安全責任，則這個下級單位可以成為信息系統(tǒng)的安全責任單位；如果一個單位中的不同下級單位分別承擔信息系統(tǒng)不同方面的安全責任，則該信息系統(tǒng)的安全責任單位應(yīng)是這些下級單位共同所屬的單位。二、具有信息系統(tǒng)的基本要素作為定級對象的信息系統(tǒng)應(yīng)該是由相關(guān)的和配套的設(shè)備、設(shè)施按照一定的應(yīng)用目標和規(guī)則組合而成的有形實體。應(yīng)避免將某個單一的系統(tǒng)組件，如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級對象。三、承載單一或相對獨立的業(yè)務(wù)應(yīng)用定級對象承載“單一”的業(yè)務(wù)應(yīng)用是指該業(yè)務(wù)應(yīng)用的業(yè)務(wù)流程獨立，且與其他業(yè)務(wù)應(yīng)用沒有數(shù)據(jù)交換，且獨享所有信息處理設(shè)備。定級對象承載“相對獨立”的業(yè)務(wù)應(yīng)用是指其業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程獨立，同時與其他業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級對象可能會與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。1.3.信息系統(tǒng)的劃分方法一個組織機構(gòu)內(nèi)可能運行一個或多個信息系統(tǒng)，這些信息系統(tǒng)的安全保護等級可以是相同的，也可以是不同的。為體現(xiàn)重點保護重要信息系統(tǒng)安全，有效控制信息安全建設(shè)成本，優(yōu)化信息安全資源配置的等級保護原則，在進行信息系統(tǒng)的劃分時應(yīng)考慮以下幾個方面：一、相同的管理機構(gòu)信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)在同一個管理機構(gòu)的管理控制之下，可以保證遵循相同的安全管理策略。二、相同的業(yè)務(wù)類型

信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)具有相同的業(yè)務(wù)類型，安全需求相近，可以保證遵循相同的安全策略。三、相同的物理位置或相似的運行環(huán)境信息系統(tǒng)內(nèi)的各業(yè)務(wù)子系統(tǒng)具有相同的物理位置或相似的運行環(huán)境意味著系統(tǒng)所面臨的威脅相似，有利于采取統(tǒng)一的安全保護。1.3.3定級要素分析通過針對定級對象分別進行業(yè)務(wù)信息安全分析和系統(tǒng)服務(wù)安全分析，最終確定信息系統(tǒng)安全等級保護系統(tǒng)等級。1.3.3.1定級流程在進行業(yè)務(wù)信息安全分析和系統(tǒng)服務(wù)安全分析時，充分考慮行業(yè)特點、業(yè)務(wù)應(yīng)用特點等因素，細化受侵害客體組成及損害程度判定要素，從而確保信息系統(tǒng)定級的合理準確。1.3.3.1定級流程根據(jù)定級流程，在定級要素分析時需對業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級進行分析，分析內(nèi)容包括確定受侵害的客體、確定對客體的侵害程度，從而確定相應(yīng)的業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級。最后，綜合業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級得到信息系統(tǒng)安全等級保護系統(tǒng)等級。確定受侵害客體定級對象收到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益及公民、法人和其他組織的合法權(quán)益。?國家安全影響國家政權(quán)穩(wěn)固和國防實力；影響國家統(tǒng)一、民族團結(jié)和社會安定；影響國家對外活動中的政治、經(jīng)濟利益；影響國家重要的安全保衛(wèi)工作；影響國家經(jīng)濟競爭力和科技實力；其他影響國家安全的事項。?社會秩序影響國家機關(guān)社會管理和公共服務(wù)的工作秩序；影響各種類型的經(jīng)濟活動秩序；影響各行業(yè)的科研、生產(chǎn)秩序；影響公眾在法律約束和道德規(guī)范下的正常生活秩序等；其他影響社會秩序的事項。?公共利益影響社會成員使用公共設(shè)施；影響社會成員獲取公開信息資源；影響社會成員接受公共服務(wù)等方面；其他影響公共利益的事項。?公民、法人和其他組織由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會權(quán)利和利益。確定作為定級對象的信息系統(tǒng)受到破壞后所侵害的客體時，應(yīng)首先判斷是否侵害國家安全，然后判斷是否侵害社會秩序或公眾利益，最后判斷是否侵害公民、法人和其他組織的合法權(quán)益的關(guān)系，從而確定信息和信息系統(tǒng)受到破壞時所侵害的客體。確定對客體的損害程度在針對不同的受侵害客體進行侵害程度的判斷時，應(yīng)參照以下的判別基準。?如果受侵害客體是公民、法人或其他組織的合法權(quán)益，則以本人或本單位的總體利益作為判斷侵害程度的基準。?如果受侵害客體是社會秩序、公共利益或國家安全，則應(yīng)以整個行業(yè)或國家的總體利益作為判斷侵害程度的基準。不同危害后果的三種危害程度危害程度描述如下：?一般損害工作職能受到局部影響，業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行，出現(xiàn)較輕的法律問題，較低的財產(chǎn)損失，有限的社會不良影響，對其他組織和個人造成較低損害。?嚴重損害工作職能受到嚴重影響，業(yè)務(wù)能力顯著下降且嚴重影響主要功能執(zhí)行，出現(xiàn)較嚴重的法律問題，較高的財產(chǎn)損失，較大范圍的社會不良影響，對其他組織和個人造成較嚴重損害。特別嚴重損害工作職能受到特別嚴重影響或喪失行使能力，業(yè)務(wù)能力嚴重下降且或功能無法執(zhí)行，出現(xiàn)極其嚴重的法律問題，極高的財產(chǎn)損失，大范圍的社會不良影響，對其他組織和個人造成非常嚴重損害。確定定級對象的安全保護等級在確定完成受侵害客體以及對客體的侵害程度后，依據(jù)表1分別確定業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級。作為定級對象的信息系統(tǒng)的安全保護等級由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者決定。表1定級要素與安全保護等級的關(guān)系編寫定級報告根據(jù)定級過程和定級結(jié)果，編寫初步信息系統(tǒng)定級報告。協(xié)助定級備案在完成初步定級報告后，協(xié)助信息系統(tǒng)管理使用單位進行評審與審批，并最終確定定級報告，完成信息系統(tǒng)備案工作。2等級測試2.