<rp id="1xn1d"></rp><sub id="1xn1d"></sub><big id="1xn1d"><pre id="1xn1d"></pre></big>
<video id="1xn1d"></video>

<track id="1xn1d"></track>

      <noframes id="1xn1d">
        聯(lián)系電話(huà):0830-6667781
        當前位置: 首頁(yè) > 文章詳情 文章詳情

        解讀——等級保護定級指南

        發(fā)布時(shí)間:2021-07-20 點(diǎn)擊量:4413

        前言

        信息系統安全等級,由系統運用、使用單位根據《信息系統安全等級保護定級指南》自主確定信息系統的安全保護等級,有主管部門(mén)的,應當經(jīng)主管部門(mén)審批。對于擬確定為四級及以上信息系統,還應經(jīng)專(zhuān)家評審會(huì )評審。新建信息系統在設計、規劃階段確定安全保護等級。

        定級要素

        信息系統的安全保護等級由兩個(gè)定級要素決定:等級保護對象受到破壞時(shí)所侵害的客體和對客體造成侵害的程度。

        受侵害的客體

        等級保護對象受到破壞時(shí)所侵害的客體包括以下三個(gè)方面:
        a) 公民、法人和其他組織的合法權益;
        b) 社會(huì )秩序、公共利益;
        c) 國家安全。

        對客體的侵害程度

        對客體的侵害程度由客觀(guān)方面的不同外在表現綜合決定。由于對客體的侵害是通過(guò)對等級保護對象的破壞實(shí)現的,因此,對客體的侵害外在表現為對等級保護對象的破壞,通過(guò)危害方式、危害后果和危害程度加以描述。
        等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種:
        a) 造成一般損害(工作職能受到局部影響,業(yè)務(wù)能力有所降低但不影響主要功能的執行,出現較輕的法律問(wèn)題、較低的財產(chǎn)損失、有限的社會(huì )不良影響,對其他組織和個(gè)人造成較低損害);
        b) 造成嚴重損害(工作職能受到嚴重影響,業(yè)務(wù)能力顯著(zhù)下降且嚴重影響主要功能執行,出現較嚴重的法律問(wèn)題,較高的財產(chǎn)損失,較大范圍的社會(huì )不良影響,對其他組織和個(gè)人造成較嚴重損害);
        c) 造成特別嚴重損害(工作職能受到特別嚴重影響或喪失行使能力,業(yè)務(wù)能力嚴重下降且或功能無(wú)法執行,出現及其嚴重的法律問(wèn)題、極高的財產(chǎn)損失、大范圍的社會(huì )不良影響,對其他組織和個(gè)人造成非常嚴重損害);

        定級要素和等級之間的關(guān)系

        定級的流程

        信息系統定級工作應按照“自主定級、專(zhuān)家評審、主管部門(mén)審核、公安機關(guān)審查”的原則進(jìn)行。
        定級工作的主要內容包括:確定定級對象、初步確定等級、組織專(zhuān)家評審、主管部門(mén)審核、公安機關(guān)備案審查、最終確定等級。其流程圖如下:

        確定定級對象

        一個(gè)單位內運行的信息系統可能比較龐大,為了體現重要部分重點(diǎn)保護,有效控制信息安全建設成本,優(yōu)化信息安全資源配置的等級保護原則,可將較大的信息系統劃分為若干個(gè)較小的、可能具有不同安全保護等級的定級對象。

        定級對象基本特征

        1. 具有唯一確定的安全責任單位。作為定級對象的信息系統應能夠唯一地確定其安全責任單位。如果一個(gè)單位的某個(gè)下級單位負責信息系統安全建設、運行維護等過(guò)程的全部安全責任,則這個(gè)下級單位可以成為信息系統的安全責任單位;如果一個(gè)單位中的不同下級單位分別承擔信息系統不同方面的安全責任,則該信息系統的安全責任單位應是這些下級單位共同所屬的單位。(誰(shuí)是建設維護誰(shuí)負責)
        2. 具有信息系統的基本要素。作為定級對象的信息系統應該是由相關(guān)的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實(shí)體。應避免將某個(gè)單一的系統組件,如服務(wù)器、終端、網(wǎng)絡(luò )設備等作為定級對象。(需是組合系統)
        3. 承載單一或相對獨立的業(yè)務(wù)應用。定級對象承載“單一”的業(yè)務(wù)應用是指該業(yè)務(wù)應用的業(yè)務(wù)流程獨立,且與其他業(yè)務(wù)應用沒(méi)有數據交換,且獨享所有信息處理設備。定級對象承載“相對獨立”的業(yè)務(wù)應用是指其業(yè)務(wù)應用的主要業(yè)務(wù)流程獨立,同時(shí)與其他業(yè)務(wù)應用有少量的數據交換,定級對象可能會(huì )與其他業(yè)務(wù)應用共享一些設備,尤其是網(wǎng)絡(luò )傳輸設備。(主要業(yè)務(wù)流程獨立)

        初步確定定級

        信息系統安全包括業(yè)務(wù)信息安全和系統服務(wù)安全,與之相關(guān)的受侵害客體和對客體的侵害程度可能不同,因此,信息系統定級也應由業(yè)務(wù)信息安全和系統服務(wù)安全兩方面確定。

        定級方法概述

        a:確定受到破壞時(shí)所侵害的客體

        • 確定業(yè)務(wù)信息受到破壞時(shí)所侵害的客體
        • 確定系統服務(wù)受到侵害時(shí)所侵害的客體

        b:確定對客體的侵害程度

        • 根據不同受侵害客體,從多個(gè)方面綜合評定業(yè)務(wù)信息安全被破壞對客體的侵害程度
        • 根據不同受侵害客體,從多個(gè)方面綜合評定系統服務(wù)安全被破壞對客體的侵害程度

        c:確定安全保護等級

        • 確定業(yè)務(wù)信息安全保護等級
        • 確定系統服務(wù)安全保護等級
        • 將業(yè)務(wù)信息安全保護等級和系統服務(wù)安全保護等級的較高者初步確定為定級對象的安全保護定級

        確定受侵害客體

        定級對象受到破壞時(shí)所侵害的客體包括國家安全、社會(huì )秩序、公眾利益以及公民、法人和其他組織的合法權益。
        國家安全

        • 影響國家政權穩固和國防實(shí)力;
        • 影響國家統一、民族團結和社會(huì )安定;
        • 影響國家對外活動(dòng)中的政治、經(jīng)濟利益;
        • 影響國家重要的安全保衛工作;
        • 影響國家經(jīng)濟競爭力和科技實(shí)力;
          (政權、社會(huì )、對外利益、軍事、經(jīng)濟)

        社會(huì )秩序
        影響國家機關(guān)社會(huì )管理和公共服務(wù)的工作秩序;

        • 影響各種類(lèi)型的經(jīng)濟活動(dòng)秩序;
        • 影響各行業(yè)的科研、生產(chǎn)秩序;
        • 影響公眾在法律約束和道德規范下的正常生活秩序等;
          (公共服務(wù)、經(jīng)濟活動(dòng)、生產(chǎn)秩序、生活秩序)

        公共利益

        • 影響社會(huì )成員使用公共設施;
        • 影響社會(huì )成員獲取公開(kāi)信息資源;
        • 影響社會(huì )成員接受公共服務(wù)等方面;
        • 其他影響公共利益的事項。
          (公共設施、信息資源、公共服務(wù))

        影響公民、法人和其他組織的合法權益:
        指由法律確認的并受法律保護的公民、法人和其他組織所享有的一定的社會(huì )權利和利益。

        確定對客體的侵害程度

        客觀(guān)方面
        在客觀(guān)方面,對客體的侵害外在表現為對定級對象的破壞,其危害方式表現為對業(yè)務(wù)信息安全的破壞和對信息系統服務(wù)的破壞,其中業(yè)務(wù)信息安全是指確保信息系統內信息的保密性、完整性和可用性等,系統服務(wù)安全是指確保信息系統可以及時(shí)、有效地提供服務(wù),以完成預定的業(yè)務(wù)目標。由于業(yè)務(wù)信息安全和系統服務(wù)安全受到破壞所侵害的客體和對客體的侵害程度可能會(huì )有所不同,在定級過(guò)程中,需要分別處理這兩種危害方式。
        信息安全和系統服務(wù)安全受到破壞后可能產(chǎn)生以下危害結果:

        • 影響行使工作職能;
        • 導致業(yè)務(wù)能力下降;
        • 引起法律糾紛;
        • 導致財產(chǎn)損失;
        • 造成社會(huì )不良影響;
        • 對其他組織和個(gè)人造成損失

        綜合判定
        侵害程度是客觀(guān)方面的不同外在表現的綜合體現,因此,應首先根據不同的受侵害客體、不同危害后果分別確定其危害程度。
        針對不同客體參照不同判別標準:

        • 如果受侵害客體是公民、法人或其他組織的合法權益,則以本人或本單位的總體利益作為判 斷侵害程度的基準;
        • 如果受侵害客體是社會(huì )秩序、公共利益或國家安全,則應以整個(gè)行業(yè)或國家的總體利益作為判斷侵害程度的基準。

        確定保護等級

        根據業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體以及對相應客體的侵害程度,依據下表即可得到業(yè)務(wù)信息安全保護等級:

        根據系統服務(wù)安全被破壞時(shí)所侵害的客體以及對相應客體的侵害程度,依據下表即可得到系統服務(wù)安全保護等級:

        定級對象的安全保護等級由兩者相比較,以較高者為準。

        專(zhuān)家評審

        定級對象的運營(yíng)、使用單位應組織網(wǎng)絡(luò )安全專(zhuān)家和業(yè)務(wù)專(zhuān)家,對初步定級結果的合理性進(jìn)行評審,出具專(zhuān)家評審意見(jiàn)。

        主管部門(mén)審核

        定級對象的運營(yíng)、使用單位應將初步定級結果上報行業(yè)主管部門(mén),由上級有關(guān)部門(mén)進(jìn)行審核。

        公安機關(guān)備案審查

        定級對象的運營(yíng)、使用單位應按照相關(guān)管理規定,將初步定級結果提交公安機關(guān)進(jìn)行備案審查。審查不通過(guò),其網(wǎng)絡(luò )運營(yíng)者應組織重新定級;審查通過(guò)后最終確定定級對象的安全保護定級。

        等級變更

        當等級保護對象所處理的信息、業(yè)務(wù)狀態(tài)和系統服務(wù)范圍發(fā)生變化,可能導致業(yè)務(wù)信息安全或系統服務(wù)安全受到破壞后的受侵害客體和對客體的侵害程度有較大的變化時(shí),應根據標準要求重新確定定級對象和安全保護等級。


        ————————————————
        版權聲明:本文為CSDN博主「whoim_i」的原創(chuàng )文章,遵循CC 4.0 BY-SA版權協(xié)議,轉載請附上原文出處鏈接及本聲明。
        原文鏈接:https://blog.csdn.net/whoim_i/article/details/105311305


        電話(huà):0830-6667781
        地址:四川省瀘州市龍馬潭區商貿城17區龍馳集團商業(yè)樓3樓B5
        龍馳科技@版權所有  ICP備案編號: 蜀ICP備2021008415號  
        91精品免费观看视频,免费大mm视频在线观看,免费无码的黄色av,国产黄片av在线播放
        <rp id="1xn1d"></rp><sub id="1xn1d"></sub><big id="1xn1d"><pre id="1xn1d"></pre></big>
        <video id="1xn1d"></video>

        <track id="1xn1d"></track>

            <noframes id="1xn1d">