规定动作分别为:定级、备案、建设整改、等级测评、监督检查。
等保 2.0 标准不再自主定级,并且系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。
01 明确定级对象
起支撑、传输作用的基础网络(包括专网、内网、外网、网管系统)要作为定级对象。需要注意的是,不将整个网络作为一个定级对象,而是要从安全管理和安全责任的角度将基础网络划分成若干安全域去定级。
用于生产、调度、管理、作业、指挥、办公等目的的各类业务应用系统,要按照不同业务类别单独确定为定级对象。
各单位、部门的门户网站以及对外提供信息发布、内容服务的政务公开平台等要作为独立的定级对象。需要注意的是,如果网站、平台的后台数据库管理系统安全级别较高,也要作为独立的定级对象; 网站、平台上运行的业务应用系统也要作为独立的定级对象。
对于云平台、大数据、工业控制系统、物联网、移动互联网、卫星系统等,要按照定级指南的要求,合理确定定级对象; 科学确定其安全保护等级,开展等级保护管理。
02 科学、合理、准确定级
一般来说,单位自建的信息系统(与上级单位无关),由单位自主定级;
跨省或者全国统一联网运行的信息系统,可以由主管部门统一确定安全保护等级。其中,由各行业统一规划、统一建设、统一安全保护策略的全国联网系统,应由行业主管部门统一对其下属各级系统分别确定等级;
由各行业统一规划、分级建设、全国联网的信息系统,应由部、省、地市分别确定系统等级,但各行业主管部门应对该类系统提出定级意见,避免出现同类系统下级定级比上级高的现象。对于该类系统的等级,下级确定后需报上级主管部门审批。
对于新建系统,运营使用单位在规划设计时应确定安全保护等级,同步规划、同步设计、同步实施安全保护技术措施和管理措施。
系统识别与描述
系统整体识别与描述
实施等级保护工作首先要求机构对其拥有的或拟建的系统进行深入的识别和描述,识别和描述的内容至少包括如下信息:
a)系统基本信息
系统名称,系统的简要描述,所在地点等。
b)系统相关单位
负责定级的责任单位,系统所属单位,系统运营单位,主管部门,安全运营单位,安全主管部门等。
c)系统范围和边界
描述系统所涵盖的信息资产范围、使用者和管理者范围、行政区域范围和网络区域范围等,并清晰描述出其边界。
d)系统提供的主要功能或服务
从整体层面描述系统所提供的主要功能或服务,即对公众、企业、相关政府机关、内部用户等提供的主要服务。
e)系统所包含的主要信息
描述系统所输入、处理、存储、输出的主要信息和数据。
划分子系统的方法
划分原则
对机构所拥有的大型复杂系统,可以将其划分为若干子系统进行定级,子系统划分基于以下原则:
a)按照系统服务对象划分
系统的服务对象即目标用户,包括社会公众、企事业单位、机构内部人员、其它机构等。
b)按系统功能类型划分
根据系统的功能类型或提供的服务类型划分子系统。划分时除了考虑到对外部用户(社会公众、企事业单位、其它机构)提供服务的对外业务系统,对内部用户(内部公务员、领导)提供服务的内部办公和管理系统外,还应考虑到对前两类系统提供承载、支撑和管理作用的支持系统,如网络承载平台、网管系统、安全系统等。
c)按照网络区域划分
根据系统建设现状,系统可能运行在不同的网络范围内,不同的网络在涉密程度、隔离模式和管理模式上差异较大,所以可以按照系统运行的网络区域进行子系统划分。
子系统划分方法
在子系统划分时,应根据系统实际情况和管理模式,综合考虑子系统划分的三个原则,确定适用于各系统的子系统划分标准。划分时可以选择一个原则,也可以同时选用多个原则作为划分标准,如以某一个或两个要素为主要划分标准,其余为辅助划分标准。
等级确定
安全属性描述
安全等级主要依据系统的信息安全属性被破坏后所造成的影响来确定。信息安全属性包括三个方面:保密性、完整性、可用性。
a)保密性
确保系统中的信息只能被授权的人员访问。保密性破坏是指系统中各类信息的未授权泄漏。系统中的信息依据其保密程度分为以下类别:
涉及国家秘密的信息,包括绝密级、机密级和秘密级信息;
敏感信息,指不涉及国家秘密,但在工作过程中需要一定范围保密,不对社会公众开放的信息;
公开信息,指对社会公众开放的信息。
b)完整性
确保系统中信息及信息处理方法的准确性和完备性。完整性破坏是指对系统中信息和系统的未授权修改和破坏。完整性目标包括两个方面:
系统中存储、传输和处理的信息完整性保护;
系统本身的完整性保护。系统完整性保护涉及从物理环境、基础网络、操作系统、数据库系统、应用系统等信息系统的每一个组成部分的完整性保护。
c)可用性
确保已授权用户在需要时可以访问系统中的信息和相关资产。可用性破坏是指系统所提供服务的中断,授权人员无法访问系统和信息。
可用性目标是保证授权用户能及时可靠地访问信息、服务和系统资源,不因人为或自然的原因使系统中信息的存储、传输或处理延迟,或者系统服务被破坏或被拒绝达到不能容忍的程度。可用性目标保护包括两个方面:
系统所提供的服务的可用性;
系统中存储、传输和处理的信息的可用性。
定级原则
系统的安全等级可从信息安全的保密性、完整性、可用性三个基本属性在遭到破坏时对机构履行其职能、机构财产、人员造成的影响来确定。
a)安全等级第一级
对信息和信息系统安全属性的破坏会对机构履行其职能、机构财产、人员造成较小的负面影响,包括:
对机构运行带来较小的负面影响,机构还可以履行其基本的职能,但效率有较小程度的降低;
对相关单位、人员造成较小经济损失;
对相关单位、人员的形象或名誉造成较小影响;
不会造成人身伤害。
b)安全等级第二级
对信息和信息系统安全属性的破坏会对机构履行其职能、机构财产、人员造成中等程度的负面影响,包括:
对机构运行带来中等程度的负面影响,机构还可以履行其基本的职能,但效率有较大程度的降低;
对相关单位、人员造成一定程度的经济损失;
对相关单位、人员的形象或名誉造成一定程度的负面影响;
造成轻微的人身伤害。
c)安全等级第三级
对信息和信息系统安全属性的破坏会对机构履行其职能、机构财产、人员造成较大的负面影响,对国家安全造成一定程度的损害,包括:
对机构运行带来较大的负面影响,机构的一项或多项职能无法履行;
对相关单位、人员造成较大经济损失;
对相关单位、人员的形象或名誉造成较大的负面影响;
导致严重的人身伤害。
d)安全等级第四级
对信息和信息系统安全属性的破坏会对机构履行其职能、机构财产、人员造成严重的负面影响,对国家安全造成较大损害,包括:
对机构运行带来严重的负面影响,机构的多项职能无法履行,并在省级行政区域范围内造成严重影响;
对国家造成严重的经济损失;
对国家形象造成严重影响;
导致较多的人员伤亡;
导致危害国家安全的犯罪行为。
e)安全等级第五级
对信息和信息系统安全属性的破坏会对机构履行其职能、机构财产、人员造成极其严重的负面影响,对国家安全造成严重损害,包括:
对机构运行带来极其严重的负面影响,并在全国范围内造成极其严重的影响;
对国家造成极大的经济损失;
对国家形象造成极大影响;
导致大量人员伤亡;
导致危害国家安全的严重犯罪行为。
定级方法
确定安全等级的基本方法是:通过确定系统保密性、完整性和可用性三个方面的安全等级来综合确定系统的安全等级。定级方法适用于系统整体定级和各子系统定级。
系统定级主要考虑两个方面:一是系统中所存储、处理、传输的主要信息,二是系统所提供的主要服务。通过对每一类信息和服务安全等级的分析,最终确定系统的安全等级。系统安全等级是系统中各类信息和服务安全等级的最大值,并且可以根据系统整体实际情况进行调整,确定系统最终的安全等级。
某个系统(假设其名称为 A)的安全等级可以表示为:
安全等级 (A)=Max{ (系统保密性等级) ,(系统完整性等级),(系统可用性等级)}
其中:
系统保密性等级=Max {(各信息或服务的保密性等级) }
系统完整性等级=Max {(各信息或服务的完整性等级) }
系统可用性等级=Max {(各信息或服务的可用性等级) }
系统 A 最终的安全等级为系统保密性等级、系统完整性等级、系统可用性等级中的最大值。
复杂系统定级方法
对于包括多个子系统的复杂系统,定级可以包括系统总体安全等级和各子系统的安全等级。系统总体定级和各子系统定级可以分别采用自上向下的定级方式和自下向上的定级方式,也可以综合两种方式进行。
自上向下的定级方式
自上向下的定级方式是从系统总体等级向下细化出子系统等级的方式。首先依据系统的整体情况,根据定级规则对系统进行总体定级,然后根据系统总体安全等级,对子系统采用同一等级或适当降低等级,从而确定子系统等级。
自上向下定级方式是从整体系统的属性出发,向下细分,通过考虑整体系统的使命、整体业务框架、业务特性、安全要求、系统在国家层面的定位等,来把握系统整体的安全等级。
自上向下的定级方式包含如下步骤:
a)确定整体系统的等级,即总体定级
对整体系统识别的主要信息或服务分别分析其保密性、完整性和可用性的等级,得到一个列表;
按照系统定级规则,计算得到整体系统的保密性、完整性和可用性的初始安全等级,和初始的总体定级;
对已确定的系统三性的初始安全等级和初始的总体定级应进行适用性评审,评审时要考虑系统在机构履行其职能中所起的作用、系统的使命、整体业务框架、系统在国家层面的定位,以及本系统的外部环境等因素。对于等级不合适的部分进行调整,最后确定系统的最终安全等级。
b)确定各子系统的等级
从总体等级出发,对子系统采用相同等级或适当降低等级,从而确定子系统等级;
也可以对各子系统识别的每一类信息或服务分别分析其保密性、完整性和可用性的等级,按照系统定级规则确定各子系统等级;
把上述的两种定级结果进行比较,最终确定各子系统的等级。
自下向上的定级方式
自下向上的定级方式是从各子系统定级向上综合确定系统总体安全等级的方式。首先依据各子系统的属性,根据定级规则对各子系统进行定级,然后以各子系统的安全等级为基础,综合考虑,得到系统总体的安全等级。
自下向上的定级方式从各个子系统的属性出发,通过考虑各个子系统的实际情况、所处的环境、之间的差异性来确定各子系统的安全等级。
自下向上的定级方式包含如下步骤:
a)确定各子系统的等级
对各子系统已识别的每一类信息或服务分别分析其保密性、完整性和可用性的等级,得到一系列的列表;
针对每个子系统,按照系统定级规则得到各子系统安全等级。
b)确定整体系统的等级,即总体定级
对各子系统等级进行总结和分析,确定整体系统的等级。总体安全等级的确定可以选用最高的子系统等级,但对于只有比例极少的子系统是最高等级的情况下,可以调低一级。
https://www.yuque.com/swteam/db2/pwtnu6