|
|
|
国标GB/T22240—2008《信息系统安全保护等级定级指南》从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出了确定信息系统安全保护等级的方法。其中,等级保护对象是指信息安全等级保护工作直接作用的具体信息和信息系统;客体是指法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益;客观方面是指对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等;系统服务是指信息系统为支撑其所承载业务而提供的程序化过程。
|
|
|
|
|
|
|
|
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
|
|
|
|
第二级,信息系统受到破坏后,会对公民、法人或其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
|
|
|
|
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
|
|
|
|
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
|
|
|
|
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
|
|
|
|
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
|
|
|
|
等级保护对象受到破坏时所侵害的客体包括三个方面:公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全。
|
|
|
|
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述,等级保护对象受到破坏后对客体造成侵害的程度归结为三种:造成一般损害、造成严重损害和造成特别严重损害。
|
|
|
|
|
|
|
|
信息系统定级针对从业务信息安全角度反映的业务信息安全保护等级和从系统服务安全角度反映的系统服务安全保护等级。确定信息系统安全保护等级的一般流程如下。
|
|
|
|
|
|
|
|
(3)根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度。
|
|
|
|
|
|
|
|
|
|
|
|
(6)根据不同的受侵害客体,从多个方面综合评价系统服务安全被破坏对客体的侵害程度。
|
|
|
|
|
|
(8)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
|
|
|
|
|
|
|
|
|
|
|
|
一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、具有不同安全保护等级的定级对象。作为定级对象的信息系统应具有唯一确定的安全责任单位,具有信息系统的基本要素以及承载单一或相对独立的业务应用。
|
|
|
|
|
|
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
|
|
|
|
侵害国家安全的事项包括:影响国家政权稳固和国防实力;影响国家统一、民族团结和社会安定;影响国家对外活动中的政治、经济利益;影响国家重要的安全保卫工作;影响国家经济竞争力和科技实力;其他影响国家安全的事项。
|
|
|
|
侵害社会秩序的事项包括:影响国家机关社会管理和公共服务的工作秩序;影响各种类型的经济活动秩序;影响各行业的科研、生产秩序;影响公众在法律约束和道德规范下的正常生活秩序等;其他影响社会秩序的事项。
|
|
|
|
影响公共利益的事项包括:影响社会成员使用公共设施;影响社会成员获取公开信息资源;影响社会成员接受公共服务等方面。
|
|
|
|
影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权益。确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。各行业可根据本行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。
|
|
|
|
|
|
在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等,系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。信息安全和系统服务安全受到破坏后,可能产生以下危害后果:影响行使工作职能、导致服务能力下降、引起法律纠纷、导致财产损失、造成社会不良影响、对其他组织和个人造成损失等。
|
|
|
|
侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害个体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。在针对不同的受侵害客体进行侵害程度的判断时,如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体利益作为判断侵害程度的基准。
|
|
|
|
|
|
一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题、较低的财产损失、有限的社会不良影响,对其他组织和个人造成较低损害。
|
|
|
|
严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题、较高的财产损失、较大范围的社会不良影响,对其他组织和个人造成较严重损害。
|
|
|
|
特别严重损害:工作职能受到特别严重的影响或丧失行使能力,业务能力严重下降或功能无法执行,出现极其严重的法律问题、极高的财产损失、大范围的社会不良影响,对其他组织和个人造成非常严重的损失。
|
|
|
|
信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特点各不相同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式可能不同,各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。
|
|
|
|
|
|
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,可以判断业务信息安全保护等级。其定级要素与信息系统安全保护等级的关系类同上表。
|
|
|
|
根据系统服务被破坏时所侵害的客体以及对相应客体的侵害程度,可以判断系统服务安全保护等级。
|
|
|
|
作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
|
|
|
|
|
|
在信息系统的运行过程中,安全保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更,尤其是当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度较大的变化,可能影响到系统的安全保护等级时,应重新定级。GB/T28449--2012《信息安全技术信息系统安全等级保护测评过程指南》规定了信息系统安全等级保护测评工作的测评过程,对等级测评的活动、工作任务以及每项任务的输入输出产品等提出指导性建议,适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价。
|
|
|
