新闻资讯
4008-717-868
0431-81179634/35/36/37长春市南关区人民大街8683号卫星广场财富领域大厦5层
信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。
金阳是等、分级保护专家,全省90%以上的保密局涉密项目均由金阳完成,参与多个重要信息系统的等级保护与分级保护项目,在网络安全、风险评估、等、分级保护方面有着丰富的经验。
开展信息安全等级保护工作不仅是实现国家对重要信息系统重点保护的重大措施,也是一项事关国家安全、社会稳定的政治任务。而系统定级工作是等级保护工作的首要环节和关键环节。定级不准对后续的备案、整改建设、等保测评都会带不必要的麻烦,关键是将失去对信息系统安全基线防护的保证。
针对信息系统安全等级保护定级工作通过以下几个步骤:
1、确定定级对象
一般确定定级对角从两个维度来确定:第一个维度是等级保护对象受到破坏时所侵害的客体。第二个维度是对客体造成侵害的程度。
三种受侵害的客体体现了三种不同层次、不同覆盖范围的社会关系。
-
国家安全利益体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全和资源环境安全等方面利益;
-
社会秩序包括社会的政治、经济、生产、生活、科研、工作等各方面的正常秩序。公共利益是指不特定的社会成员所共同享有的,维持其生产、生活、教育、卫生等方面的利益;
-
合法权益是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
不同危害后果的三种危害程度描述如下:
-
一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;
-
严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害;
-
特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
2、验证定级对象符合度
计算机信息系统安全保护等级划分准则中对确定为等保定级对象是有相关基本要求规定,如不满足将不能作为定级对象。基本要求如下:
-
具有信息系统的基本要素
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如单台的服务器、终端或网络设备等作为定级对象。
-
承载相对独立的业务应用
指其中的一个或多个业务应用的主要业务流程、部分业务功能独立,同时与其他信息系统的业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程,可以是完整的业务流程的一部分。
-
具有明确的责任主体
-
作为定级对象的信息系统应能够唯一地确定其安全责任单位。
-
如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;
-
如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
3、确定定级对象系统级别
由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。业务信息安全和系统服务安全级别可以不同,具体确定方法可以采用矩阵表进行确定。
表1:业务信息安全被破坏时所侵害的客体
表2:系统服务安全被破坏时所侵害的客体
系统服务安全被破坏时所侵害的客体 |
对相应客体的侵害程序 |
||
一般损害 |
严重损害 |
特别严重损害 |
|
公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第二级 |
社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
国家安全 |
第三级 |
第四级 |
第五级 |
信息安全和系统服务安全受到破坏后,可能产生以下危害后果:影响行使工作职能;导致业务能力下降;引起法律纠纷;导致财产损失;造成社会不良影响;对其他组织和个人造成损失;其他影响。
- 上一篇:
- 无
- 下一篇:
- 解读信息安全标准与相关法律法规