收藏 分销(赏)
立即下载 开通VIP

等保安全定级介绍.ppt

上传人:精**** 文档编号:1737233 上传时间:2024-05-08 格式:PPT 页数:44 大小:907.50KB
下载 相关 举报
等保安全定级介绍.ppt_第1页
第1页 / 共44页
等保安全定级介绍.ppt_第2页
第2页 / 共44页
等保安全定级介绍.ppt_第3页
第3页 / 共44页
等保安全定级介绍.ppt_第4页
第4页 / 共44页
等保安全定级介绍.ppt_第5页
第5页 / 共44页
点击查看更多>>
资源描述

1、信息安全等级保护定级方法介绍天融信售前部天融信售前部 XXXXXXXX XXXXXXXX XXXXXXXX1.目录信息系信息系信息系信息系统统安全等安全等安全等安全等级级保保保保护护定定定定级级方法介方法介方法介方法介绍绍信息系信息系信息系信息系统统等等等等级级保保保保护护定定定定级实际过级实际过程程程程2.术语和定和定义 等级保护对象:(target of classified security)信息安全等级保护工作直接作用的具体的信息和信息系统。客体:(object)受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国 家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。系

2、统服务:(system service)信息系统为支撑其所承载业务而提供的程序化过程。信息系统安全保护等级的定级要素:信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏 时所侵害的客体和对客体造成侵害的程度 3.定定级原理原理定定级要素与信息系要素与信息系统安全保安全保护等等级的关系的关系 受侵害的客体受侵害的客体受侵害的客体受侵害的客体对对客体的侵害程度客体的侵害程度客体的侵害程度客体的侵害程度一般一般一般一般损损害害害害严严重重重重损损害害害害特特特特别严别严重重重重损损害害害害公民、法人和其他公民、法人和其他公民、法人和其他公民、法人和其他组织组织的合法的合法的合法的合法权权

3、益益益益第一第一第一第一级级第二第二第二第二级级第二第二第二第二级级社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益第二第二第二第二级级第三第三第三第三级级第四第四第四第四级级国家安全国家安全国家安全国家安全第三第三第三第三级级第四第四第四第四级级第五第五第五第五级级4.定定级原理原理 信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全信息安全保护等级。从系统服务安全角度反映的信息系统安全保护等级称系系统服服务

4、安全安全保护等级。5.确定等确定等级一般流程一般流程 1 1、确定定、确定定级对象象2 2、确定、确定业务信息安全受到破坏信息安全受到破坏时所侵害的客体所侵害的客体5 5、确定系、确定系统服服务安全受到破坏安全受到破坏时所侵害的客体所侵害的客体3 3、综合合评定定对客体的侵害程度客体的侵害程度6 6、综合合评定定对客体的侵害程度客体的侵害程度4 4、业务信息安全等信息安全等级7 7、系、系统服服务安全等安全等级8 8、定、定级对象的安全保象的安全保护等等级业务信息安全保信息安全保护等等级矩矩阵表表系系统服服务安全保安全保护等等级矩矩阵表表6.n定定级阶段关段关键技技术环节定定定定级对级对象确定

5、象确定象确定象确定业务业务信息和系信息和系信息和系信息和系统统服服服服务务确定确定确定确定受侵害客体和侵害程度的分析受侵害客体和侵害程度的分析受侵害客体和侵害程度的分析受侵害客体和侵害程度的分析定定级阶段段7.一、定一、定一、定一、定级对级对象的三个条件象的三个条件象的三个条件象的三个条件n n具有唯一确定的安全具有唯一确定的安全具有唯一确定的安全具有唯一确定的安全责责任任任任单单位位位位oo作作为为定定级对级对象的信息系象的信息系统应统应能能够够唯一地确定其安全唯一地确定其安全责责任任单单位,位,这这个安全个安全责责任任单单位就是位就是负责负责等等级级保保护护工作部署、工作部署、实实施施的的

6、单单位,也是完成等位,也是完成等级级保保护备护备案和接受案和接受监监督督检查检查的直接的直接责责任任单单位。位。n n满满足信息系足信息系足信息系足信息系统统的基本要素的基本要素的基本要素的基本要素oo作作为为定定级对级对象的信息系象的信息系统应该统应该是由相关的和配套的是由相关的和配套的设备设备、设设施按照一定的施按照一定的应应用目用目标标和和规则组规则组合而成的有形合而成的有形实实体。体。应应避免将某个避免将某个单单一的系一的系统组统组件,如件,如单单台的服台的服务务器、器、终终端或网端或网络设备络设备等作等作为为定定级对级对象。象。定定级阶段段-关于定关于定级对象确定象确定8.n n承承

7、承承载载相相相相对对独立的独立的独立的独立的业务应业务应用用用用oo定定级对级对象承象承载载“相相对对独立独立”的的业务应业务应用是指其用是指其中的一个或多个中的一个或多个业务应业务应用的主要用的主要业务业务流程、部流程、部分分业务业务功能独立,同功能独立,同时时与其他信息系与其他信息系统统的的业务业务应应用有少量的数据交用有少量的数据交换换,定,定级对级对象可能会与其象可能会与其他他业务应业务应用共享一些用共享一些设备设备,尤其是网,尤其是网络传输设络传输设备备。“相相对对独立独立”的的业务应业务应用并不意味着整个用并不意味着整个业务业务流程,可以使完整的流程,可以使完整的业务业务流程的一部

8、分。流程的一部分。定定级阶段段-关于定关于定级对象确定象确定9.定定级阶段段-定定级对象象举例例n某期某期某期某期货货交易所交易所交易所交易所oo办办公系公系公系公系统统oo生生生生产产系系系系统统交易系交易系交易系交易系统统清算系清算系清算系清算系统统网站系网站系网站系网站系统统10.定定级阶段段-定定级对象象举例例n n定定定定级对级对象象象象结结果果果果1 1 1 1oo办办公信息系公信息系公信息系公信息系统统oo生生生生产产信息系信息系信息系信息系统统n n定定定定级对级对象象象象结结果果果果2 2 2 2oo办办公信息系公信息系公信息系公信息系统统oo生生生生产产信息系信息系信息系信

9、息系统统n n交易信息系交易信息系交易信息系交易信息系统统n n清算信息系清算信息系清算信息系清算信息系统统n n网站信息系网站信息系网站信息系网站信息系统统11.n n业务业务信息信息信息信息oo业务业务系系系系统统处处理理理理的的的的不同不同不同不同类类型的型的型的型的数据数据数据数据n n系系系系统统服服服服务务oo业务业务系系系系统统的服的服的服的服务务范范范范围围oo业务业务系系系系统统的服的服的服的服务对务对象象象象oo业务业务系系系系统统的服的服的服的服务务人数人数人数人数oo业务业务系系系系统统的服的服的服的服务时间务时间要求要求要求要求定定级阶段段-关于关于业务信息和系信息和

10、系统服服务的确定的确定12.定定级阶段段-关于关于业务信息和系信息和系统服服务的确定的确定n n常常常常见见情况情况情况情况oo多多多多类类或多种或多种或多种或多种业务业务信息信息信息信息n n交易系交易系交易系交易系统统oo客客客客户户信息信息信息信息oo交易数据交易数据交易数据交易数据oo行情数据行情数据行情数据行情数据oo配置管理数据配置管理数据配置管理数据配置管理数据oo等等等等n n处处理方法理方法理方法理方法oo依此分析依此分析依此分析依此分析oo选择选择重要的分析重要的分析重要的分析重要的分析13.三种受侵害的客体三种受侵害的客体三种受侵害的客体三种受侵害的客体:n n国家安全国

11、家安全国家安全国家安全oo体体体体现现了国家了国家了国家了国家层层面、与全局相关的国家政治安全、面、与全局相关的国家政治安全、面、与全局相关的国家政治安全、面、与全局相关的国家政治安全、军军事安全、事安全、事安全、事安全、经济经济安全、社会安全、科技安全等方面利益。安全、社会安全、科技安全等方面利益。安全、社会安全、科技安全等方面利益。安全、社会安全、科技安全等方面利益。n n社会秩序和公共利益社会秩序和公共利益社会秩序和公共利益社会秩序和公共利益oo包括政治、包括政治、包括政治、包括政治、经济经济、生、生、生、生产产、生活、科研、工作等各方面的正、生活、科研、工作等各方面的正、生活、科研、工

12、作等各方面的正、生活、科研、工作等各方面的正常秩序和社会公众生常秩序和社会公众生常秩序和社会公众生常秩序和社会公众生产产、生活、教育、生活、教育、生活、教育、生活、教育、卫卫生等方面的利益。生等方面的利益。生等方面的利益。生等方面的利益。n n合法合法合法合法权权益益益益oo是法律确是法律确是法律确是法律确认认的并受法律保的并受法律保的并受法律保的并受法律保护护的公民、法人和其他的公民、法人和其他的公民、法人和其他的公民、法人和其他组织组织所享所享所享所享有的一定的社会有的一定的社会有的一定的社会有的一定的社会权权利和利益,利和利益,利和利益,利和利益,定定级阶段段-关于侵害客体和侵害程度关于

13、侵害客体和侵害程度14.n n关于国家安全关于国家安全关于国家安全关于国家安全oo重要的国家事重要的国家事重要的国家事重要的国家事务处务处理系理系理系理系统统、国防工、国防工、国防工、国防工业业生生生生产产系系系系统统和国防和国防和国防和国防设设施的控制系施的控制系施的控制系施的控制系统统等;广播、等;广播、等;广播、等;广播、电视电视、网、网、网、网络络等等等等重要新重要新重要新重要新闻闻媒体的媒体的媒体的媒体的发发布或播出系布或播出系布或播出系布或播出系统统,其受到非,其受到非,其受到非,其受到非法控制可能引法控制可能引法控制可能引法控制可能引发发影响国家影响国家影响国家影响国家统统一、民

14、族一、民族一、民族一、民族团结团结和社和社和社和社会安定的重大事件;尖端科技会安定的重大事件;尖端科技会安定的重大事件;尖端科技会安定的重大事件;尖端科技领领域的研域的研域的研域的研发发、生、生、生、生产产系系系系统统等等等等影响国家影响国家影响国家影响国家经济竞经济竞争力和科技争力和科技争力和科技争力和科技实实力的信力的信力的信力的信息系息系息系息系统统,以及,以及,以及,以及电电力、通信、能源、交通运力、通信、能源、交通运力、通信、能源、交通运力、通信、能源、交通运输输、金融等金融等金融等金融等国家重要基国家重要基国家重要基国家重要基础设础设施的生施的生施的生施的生产产、控制、管理、控制、

15、管理、控制、管理、控制、管理系系系系统统等。等。等。等。定定级阶段段-关于侵害客体和侵害程度关于侵害客体和侵害程度15.n n关于社会秩序关于社会秩序关于社会秩序关于社会秩序oo各各各各级级政府机构的社会管理和公共服政府机构的社会管理和公共服政府机构的社会管理和公共服政府机构的社会管理和公共服务务系系系系统统,如,如,如,如财财政、政、政、政、金融、工商、税金融、工商、税金融、工商、税金融、工商、税务务、公、公、公、公检检法、海关、社保等法、海关、社保等法、海关、社保等法、海关、社保等领领域的域的域的域的信息系信息系信息系信息系统统,也包括教育、科研机构的工作系,也包括教育、科研机构的工作系,

16、也包括教育、科研机构的工作系,也包括教育、科研机构的工作系统统,以,以,以,以及所有及所有及所有及所有为为公众提供医公众提供医公众提供医公众提供医疗卫疗卫生、生、生、生、应应急服急服急服急服务务、供水、供、供水、供、供水、供、供水、供电电、邮邮政等必要服政等必要服政等必要服政等必要服务务的生的生的生的生产产系系系系统统或管理系或管理系或管理系或管理系统统。定定级阶段段-关于侵害客体和侵害程度关于侵害客体和侵害程度16.n n关于公共利益关于公共利益关于公共利益关于公共利益oo借助信息化手段借助信息化手段借助信息化手段借助信息化手段为为社会成社会成社会成社会成员员提供使用的公共提供使用的公共提供

17、使用的公共提供使用的公共设设施和施和施和施和通通通通过过信息系信息系信息系信息系统对统对公共公共公共公共设设施施施施进进行行行行进进行管理控制都行管理控制都行管理控制都行管理控制都应应当当当当是要考是要考是要考是要考虑虑的方面,例如:公共通信的方面,例如:公共通信的方面,例如:公共通信的方面,例如:公共通信设设施、公共施、公共施、公共施、公共卫卫生生生生设设施、公共休施、公共休施、公共休施、公共休闲娱乐设闲娱乐设施、公共管理施、公共管理施、公共管理施、公共管理设设施、公共服施、公共服施、公共服施、公共服务设务设施等。施等。施等。施等。oo公共利益与社会秩序密切相关,社会秩序的破坏一公共利益与社

18、会秩序密切相关,社会秩序的破坏一公共利益与社会秩序密切相关,社会秩序的破坏一公共利益与社会秩序密切相关,社会秩序的破坏一般会造成般会造成般会造成般会造成对对公共利益的公共利益的公共利益的公共利益的损损害。害。害。害。定定级阶段段-关于侵害客体和侵害程度关于侵害客体和侵害程度17.n n直接的直接的直接的直接的结结果和果和果和果和间间接的影响接的影响接的影响接的影响:oo威威威威胁胁直接作用的直接作用的直接作用的直接作用的结结果信息系果信息系果信息系果信息系统统的破坏的破坏的破坏的破坏,但是确定但是确定但是确定但是确定对对客客客客体侵害的程度体侵害的程度体侵害的程度体侵害的程度时时,必,必,必,

19、必须须考考考考虑间虑间接的接的接的接的对对客体客体客体客体产产生的侵生的侵生的侵生的侵害和影响。害和影响。害和影响。害和影响。n n按照国家安全按照国家安全按照国家安全按照国家安全社会秩序和公共利益社会秩序和公共利益社会秩序和公共利益社会秩序和公共利益-公民、公民、公民、公民、法人和法人和法人和法人和组织组织的合法利益的的合法利益的的合法利益的的合法利益的顺顺序考序考序考序考虑虑定定级阶段段-关于侵害客体和侵害程度关于侵害客体和侵害程度18.系系统等等级划分划分1-1-确定确定业务信息安全保信息安全保护等等:业务信息安全保信息安全保护等等级矩矩阵表表 业务业务信息安全被破坏信息安全被破坏时时所

20、侵害的客体所侵害的客体对对相相应应客体的侵害程度客体的侵害程度一般一般损损害害严严重重损损害害特特别严别严重重损损害害公民、法人和其他公民、法人和其他组织组织的合法的合法权权益益第一第一级级第二第二级级第二第二级级社会秩序、公共利益社会秩序、公共利益第二第二级级第三第三级级第四第四级级国家安全国家安全第三第三级级第四第四级级第五第五级级19.系系统等等级划分(划分(续)3-3-确定系确定系统等等级 信息系信息系统的安全保的安全保护等等级由由业务信息安全保信息安全保护等等级和系和系统服服务安全保安全保护等等级的的较高者决定。高者决定。系系统统服服务务安全被破坏安全被破坏时时所侵害的客体所侵害的客

21、体对对相相应应客体的侵害程度客体的侵害程度一般一般损损害害严严重重损损害害特特别严别严重重损损害害公民、法人和其他公民、法人和其他组织组织的合法的合法权权益益第一第一级级第二第二级级第二第二级级社会秩序、公共利益社会秩序、公共利益第二第二级级第三第三级级第四第四级级国家安全国家安全第三第三级级第四第四级级第五第五级级2-2-确定系确定系统服服务安全保安全保护等等级:系系统服服务安全保安全保护等等级矩矩阵表表 20.信息系信息系信息系信息系统统等等等等级级的确定的确定的确定的确定安全等安全等级级信息系信息系统统保保护护要求的要求的组组合合第一第一级级S1A1S1A1第二第二级级S1A2S1A2,

22、S2A2S2A2,S2A1S2A1第三第三级级S1A3S1A3,S2A3S2A3,S3A3S3A3,S3A2S3A2,S3A1S3A1第四第四级级S1A4S1A4,S2A4S2A4,S3A4S3A4,S4A4S4A4,S4A3S4A3,S4A2S4A2,S4A1S4A1定定级级指南要求按照指南要求按照“业务业务信息信息”和和“系系统统服服务务”的需求的需求确定整确定整个系个系统统的安全保的安全保护护等等级级;定定级过级过程反映了信息系程反映了信息系统统的保的保护护要求要求21.系系统等等级划分划分1-1-确定确定业务信息安全保信息安全保护等等:业务信息安全保信息安全保护等等级矩矩阵表表 业务业

23、务信息安全被破坏信息安全被破坏时时所侵害的客体所侵害的客体对对相相应应客体的侵害程度客体的侵害程度一般一般损损害害严严重重损损害害特特别严别严重重损损害害公民、法人和其他公民、法人和其他组织组织的合法的合法权权益益第一第一级级第二第二级级第二第二级级社会秩序、公共利益社会秩序、公共利益第二第二级级第三第三级级第四第四级级国家安全国家安全第三第三级级第四第四级级第五第五级级22.定定定定级举级举例例例例1-1-商商商商业银业银行网上行网上行网上行网上银银行行行行1-1-确定确定业务信息安全保信息安全保护等等级 银行业为国计民生、经济建设等提供重要服务。而网上银行系统是商业银行的重要系统,它受到破

24、坏后有可能导致公民、法人和其他组织的大量资金损失并且间接的信息恢复费用较高。查业务信息安全保护等级矩阵表可以得出业务信息安全保护等级为第二级。业务信息安全保护等级矩阵表 业务业务信息安全被破坏信息安全被破坏信息安全被破坏信息安全被破坏时时所侵害的客体所侵害的客体所侵害的客体所侵害的客体对对相相相相应应客体的侵害程度客体的侵害程度客体的侵害程度客体的侵害程度一般一般一般一般损损害害害害严严重重重重损损害害害害特特特特别严别严重重重重损损害害害害公民、法人和其他公民、法人和其他公民、法人和其他公民、法人和其他组织组织的合法的合法的合法的合法权权益益益益第一第一第一第一级级第二第二第二第二级级第二第

25、二第二第二级级社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益第二第二第二第二级级第三第三第三第三级级第四第四第四第四级级国家安全国家安全国家安全国家安全第三第三第三第三级级第四第四第四第四级级第五第五第五第五级级23.3-3-确定系确定系统等等级 信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。故商业银行网银系统信息安全等级为第三级 。系系系系统统服服服服务务安全被破坏安全被破坏安全被破坏安全被破坏时时所侵害的客体所侵害的客体所侵害的客体所侵害的客体对对相相相相应应客体的侵害程度客体的侵害程度客体的侵害程度客体的侵害程度一般一般一般一般

26、损损害害害害严严重重重重损损害害害害特特特特别严别严重重重重损损害害害害公民、法人和其他公民、法人和其他公民、法人和其他公民、法人和其他组织组织的合法的合法的合法的合法权权益益益益第一第一第一第一级级第二第二第二第二级级第二第二第二第二级级社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益第二第二第二第二级级第三第三第三第三级级第四第四第四第四级级国家安全国家安全国家安全国家安全第三第三第三第三级级第四第四第四第四级级第五第五第五第五级级2-2-确定系确定系统服服务安全保安全保护等等级 在现阶段商业银行的业务范围在地域上重要集中在北京市区及周边郊县,当商业银行网上银行系统

27、的系统瘫痪时,将影响到所辖范围内社会秩序和公共利益。同时商业银行网上银行系统的绝大多数业务操作对完整性和实时性要求都很高,并且网上银行业务的涉及的都是电子货币或者数据,其业务处理流程的绝大多数环节无法通过手工方式或其他方式替代完成,网银系统服务安全被破坏将导致业务能力显著下降且严重影响主要功能的执行。查系统服务安全保护等级矩阵表可以得出系统服务安全保护等级为第三级。系统服务安全保护等级矩阵表 定定定定级举级举例例例例1-1-商商商商业银业银行网上行网上行网上行网上银银行行行行24.定定定定级举级举例例例例2-2-电电力二次系力二次系力二次系力二次系统统DTS系统电力市场运营系统SCADAAGC

28、生生产控制大区控制大区管理信息大区管理信息大区SCADAAGC控制区控制区非控制区非控制区控制区控制区非控制区非控制区Web用户生生产控制大区控制大区实时子网子网非非实时子网子网电力企力企业数据网数据网电力力调度数据网度数据网EMS WebE-Mail 用户Web 用户Web 服务电力信息系力信息系统省省调地地调省省调度中心能量管理系度中心能量管理系统(EMSEMS),),实现对实时运行的运行的电力系力系统进行数据采集、行数据采集、监视、控制和安全分析的功、控制和安全分析的功能,是能,是调度中心的核心系度中心的核心系统,分,分为SCADASCADA、AGCAGC、DTSDTS、电力信息力信息发

29、布等模布等模块,其中,其中SCADASCADA、AGCAGC和安全分析功和安全分析功能模能模块置于控制区;置于控制区;调度度员模模拟培培训系系统(DTSDTS)功能模)功能模块置于非控制区;置于非控制区;WEBWEB浏览功能模功能模块置于管理信息置于管理信息大区。大区。25.定定定定级举级举例例例例2-2-电电力二次系力二次系力二次系力二次系统统(续续)分析分析1:业务信息安全保信息安全保护等等级分析分析2:系系统服服务安全保安全保护等等级分析分析3 3:确定系:确定系统等等级 信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。故电力二次SCADA系统信息安全等级

30、为第四级 。业务业务信息安全被破坏信息安全被破坏信息安全被破坏信息安全被破坏时时所侵害的客体所侵害的客体所侵害的客体所侵害的客体对对相相相相应应客体的侵害程度客体的侵害程度客体的侵害程度客体的侵害程度一般一般一般一般损损害害害害严严重重重重损损害害害害特特特特别严别严重重重重损损害害害害公民、法人和其他公民、法人和其他公民、法人和其他公民、法人和其他组织组织的合法的合法的合法的合法权权益益益益第一第一第一第一级级第二第二第二第二级级第二第二第二第二级级社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益第二第二第二第二级级第三第三第三第三级级第四第四第四第四级级国家安全国家

31、安全国家安全国家安全第三第三第三第三级级第四第四第四第四级级第五第五第五第五级级系系系系统统服服服服务务安全被破坏安全被破坏安全被破坏安全被破坏时时所侵害的客体所侵害的客体所侵害的客体所侵害的客体对对相相相相应应客体的侵害程度客体的侵害程度客体的侵害程度客体的侵害程度一般一般一般一般损损害害害害严严重重重重损损害害害害特特特特别严别严重重重重损损害害害害公民、法人和其他公民、法人和其他公民、法人和其他公民、法人和其他组织组织的合法的合法的合法的合法权权益益益益第一第一第一第一级级第二第二第二第二级级第二第二第二第二级级社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益第二

32、第二第二第二级级第三第三第三第三级级第四第四第四第四级级国家安全国家安全国家安全国家安全第三第三第三第三级级第四第四第四第四级级第五第五第五第五级级以核心的以核心的SCADASCADA为例,其完整性受到破坏后,会例,其完整性受到破坏后,会给系系统造成造成严重重损失;可用性遭到破坏后,会失;可用性遭到破坏后,会给系系统造成特造成特别严重重损失,因此参考公安部等失,因此参考公安部等级化保化保护的定的定级方法,方法,对系系统进行定行定级如下:如下:26.定定定定级举级举例例例例3-3-某省某省某省某省电电子政子政子政子政务务系系系系统统业务业务信息安全被破坏信息安全被破坏信息安全被破坏信息安全被破坏

33、时时所侵害的客体所侵害的客体所侵害的客体所侵害的客体对对相相相相应应客体的侵害程度客体的侵害程度客体的侵害程度客体的侵害程度一般一般一般一般损损害害害害严严重重重重损损害害害害特特特特别严别严重重重重损损害害害害公民、法人和其他公民、法人和其他公民、法人和其他公民、法人和其他组织组织的合法的合法的合法的合法权权益益益益第一第一第一第一级级第二第二第二第二级级第二第二第二第二级级社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益第二第二第二第二级级第三第三级级第四第四第四第四级级国家安全国家安全国家安全国家安全第三第三第三第三级级第四第四第四第四级级第五第五第五第五级级公文

34、交公文交换系系统定定级公文交公文交换系系统则汇聚了全省聚了全省电子政子政务外网公文交外网公文交换服服务器、所有政府部器、所有政府部门间交交换的的电子公子公文等重要的政文等重要的政务信息信息资产,保存了全省,保存了全省电子政子政务系系统内重要的公文信息,一旦内重要的公文信息,一旦发生生泄密等事件将泄密等事件将严重影响到社会秩序和公共利益,重影响到社会秩序和公共利益,严重破坏政形象,因此在信息安全重破坏政形象,因此在信息安全保保护等等级和系和系统服服务安全保安全保护等等级方面分方面分别定定级如下:如下:确定确定业务信息安全保信息安全保护等等级:确定系统服务安全保护等级:系系系系统统服服服服务务安全

35、被破坏安全被破坏安全被破坏安全被破坏时时所侵害的客体所侵害的客体所侵害的客体所侵害的客体对对相相相相应应客体的侵害程度客体的侵害程度客体的侵害程度客体的侵害程度一般一般一般一般损损害害害害严严重重重重损损害害害害特特特特别严别严重重重重损损害害害害公民、法人和其他公民、法人和其他公民、法人和其他公民、法人和其他组织组织的合法的合法的合法的合法权权益益益益第一第一第一第一级级第二第二第二第二级级第二第二第二第二级级社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益社会秩序、公共利益第二第二第二第二级级第三第三级级第四第四第四第四级级国家安全国家安全国家安全国家安全第三第三第三第三级级第四第四

36、第四第四级级第五第五第五第五级级因此公文交因此公文交换系系统定定级为3 3级,且,且对应技技术选择措施措施为:S3A3G3S3A3G327.基本要求的基本要求的选择和使用和使用一个一个3 3级级系系统统,定定级结级结果果为为S3A2S3A2,保,保护类护类型型应该应该是是S3A2G3S3A2G3 整体保整体保护级别选护级别选S S和和A A中最高的中最高的为为整体保整体保护护要求,要求,G G类类要求要求选选S S和和A A中最高的中最高的为为G G类类保保护护要求。要求。第第1 1步步:整体保整体保护选择标护选择标准中准中3 3级级基本要求基本要求的技的技术术要求和管理要求要求和管理要求;第

37、第2 2步步:要求中要求中标标注注为为S S类类和和G G类类的不的不变变;标标注注为为A A类类的要求可以的要求可以选选用用2 2级级基本要求中的基本要求中的A A类类作作为为基本要求基本要求;28.目录信息系信息系信息系信息系统统安全等安全等安全等安全等级级保保保保护护定定定定级级方法介方法介方法介方法介绍绍信息系信息系信息系信息系统统等等等等级级保保保保护护定定定定级实际过级实际过程程程程29.定定级工作流程工作流程1234n n定定定定级级准准准准备阶备阶段段段段n n系系系系统统初步定初步定初步定初步定级级n n备备案文档准案文档准案文档准案文档准备备n n系系系系统备统备案案案案阶

38、阶段段段段应用系统梳理专家评审会事宜定级相关培训用户自主初步定级过程表、备案表、定级报告其他备案材料相关回报材料专家评审会备案文档准备涉及文档:涉及文档:系统安全定级任务分解及文档列表30.定定级准准备阶段段n n应应用系用系统统梳理梳理oo梳理方法:用梳理方法:用梳理方法:用梳理方法:用户访谈户访谈、填写系、填写系、填写系、填写系统统基本情况表基本情况表基本情况表基本情况表oo注意事注意事注意事注意事项项:注意各:注意各:注意各:注意各应应用系用系用系用系统统之之之之间间的关系,由那些的关系,由那些的关系,由那些的关系,由那些应应用系用系用系用系统统可可可可以以以以组组成相成相成相成相对对完

39、整、独立的完整、独立的完整、独立的完整、独立的业务业务系系系系统统oo输输出文档:出文档:出文档:出文档:定定定定级对级对象初步列表象初步列表象初步列表象初步列表n n专专家家评审评审会会oo参考文档:参考文档:参考文档:参考文档:公安部公安部公安部公安部专专家名家名家名家名单单、专专家邀家邀家邀家邀请请函模版函模版函模版函模版oo注意事注意事注意事注意事项项:专专家家家家组组成成成成oo输输出文档:出文档:出文档:出文档:专专家邀家邀家邀家邀请请函、函、函、函、专专家家家家评审评审会初步安排会初步安排会初步安排会初步安排31.系系统初步定初步定级阶段(段(1 1)n n定定级级相关培相关培训

40、训oo培培培培训训内容:定内容:定内容:定内容:定级级方法、定方法、定方法、定方法、定级过级过程表使用、程表使用、程表使用、程表使用、备备案表填写方法、案表填写方法、案表填写方法、案表填写方法、定定定定级报级报告告告告编编写方法写方法写方法写方法oo注意方式:注意与用注意方式:注意与用注意方式:注意与用注意方式:注意与用户户的合作方式,与用的合作方式,与用的合作方式,与用的合作方式,与用户户共同确定培共同确定培共同确定培共同确定培训训内内内内容容容容oo参考文档:参考文档:参考文档:参考文档:信息系信息系信息系信息系统统基基基基础础情况摸底情况摸底情况摸底情况摸底调查调查表表表表-填写版填写版

41、填写版填写版、信信信信息系息系息系息系统统基基基基础础情况摸底情况摸底情况摸底情况摸底调查调查表表表表-说说明版明版明版明版 、信息系信息系信息系信息系统统等等等等级级化保化保化保化保护护定定定定级报级报告模版告模版告模版告模版-标标注版注版注版注版、信息系信息系信息系信息系统统等等等等级级化保化保化保化保护备护备案表模案表模案表模案表模版版版版-标标注版注版注版注版、XXXXXXXX系系系系统统定定定定级备级备案案例案案例案案例案案例、XXXXXXXX系系系系统统定定定定级报级报告案例告案例告案例告案例32.系系统初步定初步定级阶段(段(2 2)n n自主定自主定级级oo定定定定级级方法:参

42、考方法:参考方法:参考方法:参考定定定定级级指南指南指南指南oo涉及文档:涉及文档:涉及文档:涉及文档:XXXXXX系系系系统统定定定定级对级对象列表象列表象列表象列表、信息系信息系信息系信息系统统基基基基础础情情情情况摸底况摸底况摸底况摸底调查调查表表表表填写版填写版填写版填写版oo注意事注意事注意事注意事项项:对对于侵害客体的于侵害客体的于侵害客体的于侵害客体的选择选择,以及侵害程度的确定,采,以及侵害程度的确定,采,以及侵害程度的确定,采,以及侵害程度的确定,采取客取客取客取客观态观态度,并考度,并考度,并考度,并考虑备虑备案案案案结结果。果。果。果。oo输输出文档:出文档:出文档:出文

43、档:XXXXXXXX信息系信息系信息系信息系统统基基基基础础情况摸底情况摸底情况摸底情况摸底调查调查表表表表、XXXXXX单单位信息系位信息系位信息系位信息系统统定定定定级对级对象安全等象安全等象安全等象安全等级级列表列表列表列表33.备案文档准案文档准备阶段(段(1 1)n n备备案表填写案表填写oo填写方法:使用公安部下填写方法:使用公安部下填写方法:使用公安部下填写方法:使用公安部下发发的的的的备备案表生成案表生成案表生成案表生成辅辅助工具助工具助工具助工具oo涉及文档:涉及文档:涉及文档:涉及文档:XXXXXXXX信息系信息系信息系信息系统统基基基基础础情况摸底情况摸底情况摸底情况摸底

44、调查调查表表表表、XXXX信息系信息系信息系信息系统统整整整整体拓扑体拓扑体拓扑体拓扑图图 (用(用(用(用户户提供)提供)提供)提供)、XXXXXXXX系系系系统统拓扑拓扑拓扑拓扑结结构及构及构及构及说说明模版明模版明模版明模版oo注意事注意事注意事注意事项项:三:三:三:三级级系系系系统备统备案表四中涉及的案表四中涉及的案表四中涉及的案表四中涉及的XXXXXXXX系系系系统统拓扑拓扑拓扑拓扑结结构及构及构及构及说说明模版明模版明模版明模版、管理制度管理制度管理制度管理制度、组织结组织结构构构构、专专家家家家评审评审意意意意见见、系系系系统统安全保安全保安全保安全保护护设设施施施施设计实设计

45、实施方案或者改建施方案或者改建施方案或者改建施方案或者改建实实施方案施方案施方案施方案、系系系系统统使用的信息安全使用的信息安全使用的信息安全使用的信息安全产产品清品清品清品清单单及其及其及其及其认证认证、销销售售售售许许可可可可证证明明明明,初次,初次,初次,初次备备份份份份暂暂不需要。不需要。不需要。不需要。oo输输出文档:出文档:出文档:出文档:备备案表(案表(案表(案表(wordword文档),文档),文档),文档),备备案表案表案表案表电电子数据,子数据,子数据,子数据,34.备案文档准案文档准备阶段(段(2 2)n n定定级报级报告告编编写写oo编编写方法:参考写方法:参考写方法:

46、参考写方法:参考信息系信息系信息系信息系统统等等等等级级化保化保化保化保护护定定定定级报级报告模版告模版告模版告模版oo涉及文档:涉及文档:涉及文档:涉及文档:XXXXXXXX信息系信息系信息系信息系统统基基基基础础情况摸底情况摸底情况摸底情况摸底调查调查表表表表、信息系信息系信息系信息系统统等等等等级级化保化保化保化保护护定定定定级报级报告模版告模版告模版告模版-标标注版注版注版注版、XXXXXXXX系系系系统统定定定定级报级报告案例告案例告案例告案例。oo注意事注意事注意事注意事项项:满满足模版要求的每个要点基足模版要求的每个要点基足模版要求的每个要点基足模版要求的每个要点基础础上,附加描

47、述性文字上,附加描述性文字上,附加描述性文字上,附加描述性文字及表格,使文档及表格,使文档及表格,使文档及表格,使文档逻辑严逻辑严密,密,密,密,过过程流程流程流程流畅畅,字数不要太多,控制,字数不要太多,控制,字数不要太多,控制,字数不要太多,控制报报告告告告长长度。度。度。度。oo输输出文档:出文档:出文档:出文档:XXXXXXXX信息系信息系信息系信息系统统等等等等级级化保化保化保化保护护定定定定级报级报告告告告35.备案文档准案文档准备阶段(段(3 3)n n内部内部评审评审文档文档oo涉及文档:涉及文档:涉及文档:涉及文档:备备案表、案表、案表、案表、XXXXXXXX信息系信息系信息

48、系信息系统统等等等等级级化保化保化保化保护护定定定定级报级报告告告告、定定定定级级工作小工作小工作小工作小组组向向向向领导汇报领导汇报材料模版材料模版材料模版材料模版、XXXXXX信息系信息系信息系信息系统统定定定定级级工作工作工作工作报报告告告告专专家家家家评审评审oo注意事注意事注意事注意事项项:需要相关:需要相关:需要相关:需要相关业务单业务单位及有关位及有关位及有关位及有关领导进领导进行内部行内部行内部行内部评审评审,对业对业务务系系系系统统涉及的客体,及涉及的客体,及涉及的客体,及涉及的客体,及损损害程度,并害程度,并害程度,并害程度,并对对最最最最终终的定的定的定的定级结级结果果果

49、果进进行行行行评评审审;进进行模行模行模行模拟拟提提提提问问。oo输输出文档:出文档:出文档:出文档:定定定定级级工作小工作小工作小工作小组组向向向向领导汇报领导汇报材料材料材料材料、XXXXXX单单位系位系位系位系统统定定定定级级工作工作工作工作报报告告告告(PPTPPT)36.系系统备案案阶段(段(1 1)n n专专家家评审评审会会oo涉及文档:涉及文档:涉及文档:涉及文档:专专家家家家评审评审会会会会议议日程日程日程日程、专专家家家家评审评审意意意意见见表表表表,专专家家家家评审评审提交文档提交文档提交文档提交文档、XXXXXX信息系信息系信息系信息系统统定定定定级级工作工作工作工作报报

50、告告告告专专家家家家评评审审用用用用oo注意事注意事注意事注意事项项:对对专专家家家家评审评审意意意意见见表表表表先行准先行准先行准先行准备备由由由由专专家家家家现场调现场调整整整整oo输输出文档:出文档:出文档:出文档:专专家家家家评审评审意意意意见见表表表表37.系系统备案案阶段(段(2 2)n n备备案文档准案文档准备备oo备备案表:案表:案表:案表:备备案表:表一一份,表二、表三每系案表:表一一份,表二、表三每系案表:表一一份,表二、表三每系案表:表一一份,表二、表三每系统统各一份,放置各一份,放置各一份,放置各一份,放置在一个文档中共同封装在一个文档中共同封装在一个文档中共同封装在一

展开阅读全文
相似文档                                   自信AI助手自信AI助手
猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服