欢迎来到天天文库
浏览记录
ID:24363052
大小:205.51 KB
页数:13页
时间:2018-11-11
《信息安全等级保护定级指南》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、附件2信息系统安全保护等级定级指南(试用稿)公安部二〇〇五年十二月—21—目次1范围112术语和定义112.1业务信息(BusinessInformation)112.2业务信息安全性(SecurityofBusinessInformation)112.3业务服务保证性(AssuranceofBusinessService)112.4信息系统(InformationSystem)112.5业务子系统(BusinessSubsystem)113定级对象113.1信息系统的划分123.2信息系统和业务子系统124决定信息系统安全保护等级的要素124.1决定信息系统重要性的要素134.2定级要素赋值
2、135确定信息系统安全保护等级的步骤156信息系统安全保护等级的确定方法166.1确定业务信息安全性等级166.2确定业务服务保证性等级166.3确定信息系统安全保护等级187信息系统安全保护等级的调整188附录208.1实例1208.2实例221—21—信息系统安全保护等级定级指南1范围本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统,该系统的安全保护等级定为5级,不再使用本指南的方法定级。各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。2术语和定义下列术语和定义适用于本指南。2
3、.1业务信息(BusinessInformation)为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。2.2业务信息安全性(SecurityofBusinessInformation)保证业务信息机密性、完整性和可用性程度的表征。2.3业务服务保证性(AssuranceofBusinessService)保证信息系统完成业务使命程度的表征。业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。2.4信息系统(InformationSystem)基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和
4、服务的人机系统。2.5业务子系统(BusinessSubsystem)由信息系统的一部分组件构成,是信息系统中能够承载某项业务工作的子系统。3定级对象如果信息系统只承载一项业务,可以直接为该信息系统确定等级,不必划分业务子系统。如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级,信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。—21—1.1信息系统的划分一个组织机构内可能运行一个或多个信息系统,这些信息系统的安全保护等级可以是相同的,也可以是不同的。为体现重点保护重要信息系统
5、安全,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,在进行信息系统的划分时应考虑以下几个方面:1)相同的管理机构信息系统内的各业务子系统在同一个管理机构的管理控制之下,可以保证遵循相同的安全管理策略。2)相同的业务类型信息系统内的各业务子系统具有相同的业务类型,安全需求相近,可以保证遵循相同的安全策略。3)相同的物理位置或相似的运行环境信息系统内的各业务子系统具有相同的物理位置或相似的运行环境意味着系统所面临的威胁相似,有利于采取统一的安全保护。1.2信息系统和业务子系统按照信息系统的定义,典型的信息系统应由计算机硬件设备(包括服务器设备、客户端设备、打印机及存储器等外围设备)
6、、计算机网络硬件设备(包括交换机、路由器、各种适配器以及通信线路等)、安装于这些硬件设备上的软件、所提供的服务以及相关的人员构成。信息系统内的各业务子系统一般有较为紧密的关联,可能存在共用设备或较为频繁的数据交换。业务子系统是按照信息系统所承载的业务对信息系统进行划分所形成的子系统。业务子系统是信息系统中可以为定级要素赋值的最小单元,业务子系统应具有信息系统的全部特点,应该是由计算机硬件、计算机网络硬件以及安装于这些硬件上的软件、提供的服务以及相关人员构成的一个有形实体,并且承载确定的业务。如无特殊说明,本文以下各章节所描述的信息系统指信息系统和业务子系统。2决定信息系统安全保护等级的要素信息
7、系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度决定,从另一个角度看,信息系统重要程度越高,其遭到破坏后对国家安全、经济建设、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度也越高。—21—1.1决定信息系统重要性的要素信息系统的重要性由以下要素决定:1)信息系统所属类型,即信息系统资产的安全利益主体。2)信息系统主要处理的业务信息类别。3)信息系统服务范
此文档下载收益归作者所有