信息系统安全等级保护定级

1、信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、 信息系统安全等级保护 测评等方面测评依据如下：1、中华人民共和国计算机信息系统安全保护条例（国务院 147号令）2、信息安全等级保护管理办法（公通字 200743 号）3、17859-1999 计算机信息系统安全保护等级划分准则4 、 20274信息安全技术 信息系统安全保障评估框架5 、 22081-2008信息技术 安全技术信息安全管理实用 规则6 、 20271-2006 信息系统通用安全技术要求7 、 18336-2008信息技术 安全技术 信息技术安全性评估准则8 、 17859-1999计算机信息系统安全保护等级划分准

2、则9 、 22239-2008信息安全技术 信息系统安全等级保护 基本要求10 、 22240-2008 信息安全技术 信息系统安全等级保护定级指南11、信息安全技术信息系统安全等级保护测评要求12、信息安全技术信息系统安全等级保护实施指南13、信息安全等级保护管理办法信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件， 信息系统的安全保护等级分为 以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织 的合法权益造成损害， 但不损害国家安全、 社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织 的合法权益产生严重损害，或者对

3、社会秩序和公共利益造成损 害，但不损害国家安全。第三级， 信息系统受到破坏后， 会对社会秩序和公共利益造 成严重损害，或者对国家安全造成损害。第四级， 信息系统受到破坏后， 会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级， 信息系统受到破坏后， 会对国家安全造成特别严重 损害。信息系统安全保护等级的定级要素 信息系统的安全保护等级由两个定级要素决定： 等级保护对 象受到破坏时所侵害的客体和对客体造成侵害的程度。受侵害的客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面：a) 公民、法人和其他组织的合法权益；b) 社会秩序、公共利益；c) 国家安全。对客体的侵害

4、程度对客体的侵害程度由客观方面的不同外在表现综合决定。 由 于对客体的侵害是通过对等级保护对象的破坏实现的， 因此， 对 客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、 危害后果和危害程度加以描述。 等级保护对象受到破坏后对客 体造成侵害的程度归结为以下三种：a) 造成一般损害；b) 造成严重损害；c) 造成特别严重损害。定级要素与等级的关系定级要素与信息系统安全保护等级的关系如下表所示。受侵害的客体对客体的侵害程度一般损害严重损害特别严重 损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级2、定级流程信息系统安全包括业

5、务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护 等级。从系统服务安全角度反映的信息系统安全保护等级称系 统服务安全保护等级。确定信息系统安全保护等级的一般流程如下：a）确定作为定级对象的信息系统；b）确定业务信息安全受到破坏时所侵害的客体；c）根据不同的受侵害客体，从多个方面综合评定业务信 息安全被破坏对客体的侵害程度；d）依据“业务信息安全保护等级矩阵表”，得到业务信 息安全保护等级；e）确定系统服务安全受到破坏时所侵害的客体；f）根据不同的

6、受侵害客体，从多个方面综合评定系统服务安全被破坏对客体的侵害程度;g）依据“系统服务安全保护等级矩阵表”，得到系统服 务安全保护等级；h）将业务信息安全保护等级和系统服务安全保护等级的 较高者确定为定级对象的安全保护等级。业务信息安全保护等级矩阵表业务信息安全被破坏时所侵 害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法 权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级系统服务安全保护等级矩阵表系统服务被破坏时所侵害的 客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合 法权益第一级第二级第二级社会

7、秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级3、备案流程备案管理办法第十五条规定，已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后 30日内，由其运营、使用 单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统， 应当在投入运行后 30日内， 由其 运营、使用单位到所在地设区的市级以上公安机关办理备案手 续。隶属于中央的在京单位， 其跨省或者全国统一联网运行并由 主管部门统一定级的信息系统， 由主管部门向公安部办理备案手 续。跨省或者全国统一联网运行的信息系统在各地运行、 应用的 分支系统， 应当向当地设区的市级以上公安机关备案。 省直或省 级单位信

8、息系统向省公安厅备案。跨地区、跨省或者全省、全国 统一联网运行的信息系统在各地运行、 应用的分支系统， 向地级 以上市公安局备案。管理办法 第十六条规定， 办理信息系统安全保护等级备 案手续时，应当填写信息系统安全等级保护备案表，第三级 以上信息系统应当同时提供以下材料：1 系统拓扑结构及说明（说明可以是对系统结构的简要说 明）；2 系统安全组织机构和管理制度（安全组织机构包括机构 名称、负责人、成员、职责分工等。 管理制度包括安全管理规范、 章程等）；3 系统安全保护设施设计实施方案或者改建实施方案（简 要的安全建设、整改方案）；4 系统使用的信息安全产品清单及其认证、销售许可证明 （主要信

9、息安全产品的清单，确认有认证、销售许可标记）；5 测评后符合系统安全保护等级的技术检测评估报告（最 近一次测评的简要的等级测评报告）；6 信息系统安全保护等级专家评审意见（评审意见表，附 专家名单）；7 主管部门审核批准信息系统安全保护等级的意见（审批 表，领导审 批签字、盖章）。备案审核 管理办法第十七条规定，信息系统备案后，公安机关应 当对信息系统的备案情况进行审核， 对符合等级保护要求的， 应 当在收到备案材料之日起的 10个工作日内颁发信息系统安全等 级保护备案证明； 发现不符合本办法及有关标准的， 应当在收到 备案材料之日起的 10个工作日内通知备案单位予以纠正； 发现定 级不准的，

10、 应当在收到备案材料之日起的 10个工作日内通知备案 单位重新审核确定。 运营、 使用单位或者主管部门重新确定信息 系统等级后，应当按照本办法向公安机关重新备案。Is曲第霸翥器鋁關男雪賈輕進嫦®word.1、等级测评过程等级测评过程分为测评准备、方案编制、现场测评、报告编 制、安全整改五个阶段。测评双方之间的沟通与洽谈将贯穿整个 等级测评过程。囂评工腮“艇«*彳| 期割卿谿果滋 |-1-'站里甫认和資务闻JlliT* r <i 工只禅槌备2、阶段性实施计划 2.1、测评准备:项目启动：确定测评机构（四川省信息系统工程测评中心 联系人：冯丽、 李 俊 ）；签订测

11、评合同和测评保密协议； 填报信息系统基本情况调查表格； 准备测评所需资料：总体描述文件、详细描述文件、定 级报告、自查报告和等级测评报告（如果曾做过的话） ， 以及安全需求分析报告、安全总体方案、系统验收报告 等信息系统设计和建设过程的文档。2.2 、方案编制（测评机构实施） ：1）测评对象及测评指标确定 测评对象确定：识别被测系统等级； 识别被测系统的整体结构； 识别被测系统的边界； 识别被测系统的网络区域； 识别被测系统的重点节点和业务应用； 确定测评对象。测评指标确定： 识别被测系统业务信息和系统服务安全保护等级； 选择对应等级的三类安全要求作为测评指标；就高原则调整多个定级对象共用的某

12、些物理安全或管 理安全测评指标。2) 测评内容确定 识别每个测评对象对应的测评指标； 识别每个测评对象对应的每个测评指标的测评方法。3) 工具测试方法确定 确定工具测试的测评对象； 选择测试路径； 确定测试工具的接入点。4) 测评指导书开发 从已有的测评指导书中选择与测评对象对应的手册； 针对没有现成测评指导书的测评对象，开发新的测评指 导书。5) 测评方案编制描述测评项目基本情况和工作依据； 描述被测系统的整体结构、边界和网络区域； 描述被测系统重要节点和业务应用； 描述测评指标；描述测评对象； 描述测评内容、方法和工具； 人员安排与进度计划。2.3 、现场测评：1）现场测评准备：现场测评授

13、权书签署；召开现场测评启动会；双方确认测评方案；双方确认配合人员、环境等资源； 确认信息系统已经备份。2）结果确认和资料归还召开现场测评结束会；确认测评过程中获取的证据和资料的正确性，并签字认 可；测评人员归还借阅的各种资料。2.4 、报告编制（测评机构实施） ：1）、单项测评结果判定分析测评项所对抗威胁的存在情况； 分析单个测评项是否有多方面的要求内容， 依据“优 势证据”法选择优势证据，并将优势证据与预期测 评结果相比较；综合判定单个测评项的测评结果。2）、单元测评结果判定 汇总每个测评对象在每个测评单元的单项测评结 果； 判定每个测评对象的单元测评结果。3）、整体测评分析不符合和部分符合的测评项与其他测评项（包括单元内、层面间、区域间）之间的关联关系及对 结果的影响情况。4）、风险分析整体测评后的单元测评结果再次汇总； 分析部分符合项或不符合项所产生的安全问题被威 胁利用的可能性； 分析威胁利用安全问题后造成的影响程度； 按照测评单位选定的风险分析方法对被测系统面临 的安全风险进行赋值；评价风险