信息系統安全等級保護定級指南及標準(樣本)
信息系統安全保護等級定級指南
A guide for classifying information system security protection
(試用稿v3.2)
目 次
1 范圍... 3
2 術語和定義... 3
2.1 業務信息(Business Information)... 3
2.2 業務信息安全性(Security of Business Information)... 3
2.3 業務服務保證性(Assurance of Business Service)... 3
2.4 信息系統(Information System)... 3
2.5 業務子系統(Business Subsystem)... 3
3 定級對象... 3
3.1 信息系統的劃分... 4
3.2 信息系統和業務子系統... 4
4 決定信息系統安全保護等級的要素... 4
4.1 決定信息系統重要性的要素... 4
4.2 定級要素賦值... 5
5 確定信息系統安全保護等級的步驟... 7
6 信息系統安全保護等級的確定方法... 8
6.1 確定業務信息安全性等級... 8
6.2 確定業務服務保證性等級... 8
6.3 確定信息系統安全保護等級... 9
7 信息系統安全保護等級的調整... 10
8 附錄... 11
8.1 實例1. 11
8.2 實例2. 12
信息系統安全保護等級定級指南
1 范圍
本指南適用于為4級及4級以下的信息系統確定安全保護等級提供指導。
有關部門根據文件確定涉及最高國家利益的重要信息系統的核心子系統,該系統的安全保護等級定為5級,不再使用本指南的方法定級。
各行業信息系統的主管部門可以根據本指南制定適合本行業或部門的具體定級方法和指導意見。
2 術語和定義
下列術語和定義適用于本指南。
2.1 業務信息(Business Information)
為完成業務工作而通過信息系統進行采集、加工、存儲、傳輸、檢索和使用的各種信息。
2.2 業務信息安全性(Security of Business Information)
保證業務信息機密性、完整性和可用性程度的表征。
2.3 業務服務保證性(Assurance of Business Service)
保證信息系統完成業務使命程度的表征。業務使命可能因信息系統無法提供服務或無法提供有效服務而不能完成或不能按照要求的目標完成。
2.4 信息系統(Information System)
基于計算機或計算機網絡,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索和服務的人機系統。
2.5 業務子系統(Business Subsystem)
由信息系統的一部分組件構成,是信息系統中能夠承載某項業務工作的子系統。
3 定級對象
如果信息系統只承載一項業務,可以直接為該信息系統確定等級,不必劃分業務子系統。
如果信息系統承載多項業務,應根據各項業務的性質和特點,將信息系統分成若干業務子系統,分別為各業務子系統確定安全保護等級,信息系統的安全保護等級由各業務子系統的最高等級決定。信息系統是進行等級確定和等級保護管理的最終對象。
3.1 信息系統的劃分
一個組織機構內可能運行一個或多個信息系統,這些信息系統的安全保護等級可以是相同的,也可以是不同的。為體現重點保護重要信息系統安全,有效控制信息安全建設成本,優化信息安全資源配置的等級保護原則,在進行信息系統的劃分時應考慮以下幾個方面:
1) 相同的管理機構
信息系統內的各業務子系統在同一個管理機構的管理控制之下,可以保證遵循相同的安全管理策略。
2) 相同的業務類型
信息系統內的各業務子系統具有相同的業務類型,安全需求相近,可以保證遵循相同的安全策略。
3) 相同的物理位置或相似的運行環境
信息系統內的各業務子系統具有相同的物理位置或相似的運行環境意味著系統所面臨的威脅相似,有利于采取統一的安全保護。
3.2 信息系統和業務子系統
按照信息系統的定義,典型的信息系統應由計算機硬件設備(包括服務器設備、客戶端設備、打印機及存儲器等外圍設備)、計算機網絡硬件設備(包括交換機、路由器、各種適配器以及通信線路等)、安裝于這些硬件設備上的軟件、所提供的服務以及相關的人員構成。信息系統內的各業務子系統一般有較為緊密的關聯,可能存在共用設備或較為頻繁的數據交換。
業務子系統是按照信息系統所承載的業務對信息系統進行劃分所形成的子系統。業務子系統是信息系統中可以為定級要素賦值的最小單元,業務子系統應具有信息系統的全部特點,應該是由計算機硬件、計算機網絡硬件以及安裝于這些硬件上的軟件、提供的服務以及相關人員構成的一個有形實體,并且承載確定的業務。
如無特殊說明,本文以下各章節所描述的信息系統指信息系統和業務子系統。
4 決定信息系統安全保護等級的要素
信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度決定,從另一個角度看,信息系統重要程度越高,其遭到破壞后對國家安全、經濟建設、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度也越高。
4.1 決定信息系統重要性的要素
信息系統的重要性由以下要素決定:
1) 信息系統所屬類型,即信息系統資產的安全利益主體。
2) 信息系統主要處理的業務信息類別。
3) 信息系統服務范圍,包括服務對象和服務網絡覆蓋范圍。
4) 業務對信息系統的依賴程度。
其中第1、2個要素決定信息系統內信息資產的重要性,第3、4個要素決定信息系統所提供服務的重要性,而信息資產及信息系統服務的重要性決定了信息系統的重要性。
4.2 定級要素賦值
4.2.1 信息系統所屬類型及賦值
信息系統所屬類型在較大程度上決定了信息系統受到破壞后對其社會價值的影響程度,根據社會影響高低,典型的信息系統所屬類型、賦值及其社會影響如表1所示。
表1 信息系統所屬類型賦值表
|
信息系統所屬類型舉例 |
賦值 |
信息系統的社會影響 |
|
屬于一般企事業單位,處理其內部事務的信息系統。 |
1 |
信息系統資產受到破壞會對本單位利益有直接影響。 |
|
屬于重要行業、重要領域和國家基礎設施,為國計民生、經濟建設等提供重要服務的信息系統,或本身雖屬一般企事業單位,但為黨政或重要信息系統提供支撐服務的信息系統。 |
2 |
信息系統資產受到破壞會對公共利益有直接影響,或對國家安全利益有間接影響。 |
|
屬于黨政機關,處理國家事務的信息系統。 |
3 |
信息系統資產受到破壞會對國家安全利益有直接影響。 |
4.2.2 業務信息類型及賦值
根據信息系統中業務信息機密性、完整性或可用性被破壞后,對國家安全利益、經濟建設、公共利益或單位利益的影響程度,典型的業務信息類型、賦值及其安全影響如表2所示。
表2 業務信息類型賦值表
|
業務信息類型舉例 |
賦值 |
業務信息的安全影響 |
|
可以對外公開發布的信息,或不對外發布的單位內部一般信息。 |
1 |
業務信息機密性、完整性或可用性被破壞會對公共利益或本單位經濟利益造成一定損害。 |
|
法人和其他組織及公民的專有信息,例如內部敏感信息、關鍵技術數據、科技情報、商業秘密等。 |
2 |
業務信息機密性、完整性或可用性被破壞會對公共利益或本單位經濟利益造成嚴重損害。 |
|
涉及國家安全利益,影響國家經濟建設的信息。 |
3 |
業務信息機密性、完整性或可用性被破壞對國家安全利益和國家經濟建設造成損害。 |
4.2.3 信息系統服務范圍及賦值
根據信息系統因完整性和可用性受到破壞,無法提供服務或無法提供有效服務造成的社會影響范圍大小,典型的信息系統服務范圍、賦值和相關影響如表3所示。
表3 信息系統服務范圍賦值表
|
信息系統服務范圍舉例 |
賦值 |
服務范圍的影響 |
|
地區范圍的服務網絡。 |
1 |
信息系統因無法提供服務或無法提供有效服務會對局部范圍的資產造成損害。 |
|
省級范圍的服務網絡。 |
2 |
信息系統因無法提供服務或無法提供有效服務會對較大范圍的資產造成損害。 |
|
全國范圍的服務網絡。 |
3 |
信息系統因無法提供服務或無法提供有效服務會對全國范圍的資產造成損害。 |
4.2.4 業務依賴程度賦值
根據信息系統因完整性和可用性受到破壞,無法提供服務或無法提供有效服務對單位完成其使命的最大影響程度,典型的業務依賴程度、賦值及相關影響如表4所示。
表4 業務依賴程度賦值表
|
業務依賴程度舉例 |
賦值 |
業務系統影響 |
|
業務處理流程的大部分可以通過手工方式或其他方式完成,自動化程度低。 |
1 |
信息系統無法提供服務或無法提供有效服務對單位完成其業務使命影響較小。 |
|
業務處理流程的部分環節可以通過手工方式或其他方式替代完成,自動化程度中。 |
2 |
信息系統無法提供服務或無法提供有效服務對單位完成其業務使命影響較大。 |
|
業務處理流程完全依賴信息系統,手工方式無法完成,自動化程度高。 |
3 |
信息系統無法提供服務或無法提供有效服務使單位無法完成其業務使命。 |
5 確定信息系統安全保護等級的步驟
為確定信息系統的安全保護等級,首先要確定信息系統內各業務子系統在4個定級要素方面的賦值,然后分別由4個定級要素確定業務信息安全性和業務服務保證性兩個定級指標的等級,再根據業務信息安全性等級和業務服務保證性等級確定業務子系統安全保護等級,最后由信息系統內各業務子系統的最高等級確定信息系統的安全保護等級。
具體步驟如圖1所示。
|
信息系統所屬類型 |
|
業務信息類型 |
|
信息系統服務范圍 |
|
業務依賴程度 |
|
業務信息安全性取值 |
|
業務服務保證性取值 |
|
業務服務保證性等級 |
|
1. 賦值 |
|
選擇調節因子
|
|
業務子系統安全保護等級 |
|
2. 確定兩個指標等級 |
|
業務信息安全性等級 |
|
3 確定業務子系統等級 |
|
信息系統安全保護等級 |
|
4. 確定信息系統等級 |
|
其它業務子系統 。。。 |
圖1 等級確定圖示
圖1確定信息系統系統保護等級的步驟具體描述如下:
1) 參照4.2.1、4.2.2、4.2.3和4.2.4節內容為信息系統所屬類型、業務信息類型、信息系統服務范圍和業務依賴程度賦值;
2) 根據6.1和6.2節內容確定兩個定級指標——業務信息安全性等級和業務服務保證性的等級,業務信息安全性等級體現信息資產重要性,業務服務保證性等級體現信息系統服務重要性;
3) 由兩個定級指標的較高者確定業務子系統的安全保護等級;
4) 由信息系統內所有業務子系統的最高等級,確定信息系統的安全保護等級。
值得注意的是,等級的確定可能不是一個過程就可以完成的,可能要經過信息系統劃分、賦值、定級、調整、重新賦值、再定級、再調整的循環過程,通過不斷反饋和調整,最終確定出較為適當的信息系統安全保護等級。
6 信息系統安全保護等級的確定方法
6.1 確定業務信息安全性等級
將信息系統所屬類型的賦值(1,2,3)與業務信息類型的賦值(1,2,3)構成一個3í3矩陣,去掉不合理的交叉點,構成業務信息安全性等級矩陣,如表5所示。
表5 業務信息安全性等級矩陣表
|
業務信息類型賦值 |
信息系統所屬類型賦值 |
||
|
1 |
2 |
3 |
|
|
1 |
1 |
2 |
2 |
|
2 |
2 |
3 |
3 |
|
3 |
3 |
4 |
4 |
6.2 確定業務服務保證性等級
將信息系統服務范圍的賦值(1,2,3)與業務依賴程度的賦值(1,2,3)構成一個3í3矩陣,構成業務服務保證性取值矩陣,如表6所示。
表6 業務服務保證性取值矩陣表
|
信息系統服務范圍賦值 |
業務依賴程度賦值 |
||
|
1 |
2 |
3 |
|
|
1 |
1 |
2 |
3 |
|
2 |
2 |
3 |
4 |
|
3 |
3 |
4 |
4 |
考慮信息系統服務范圍和業務依賴程度兩個因素賦值時均沒有涉及國家安全利益,因此增加調節因子k,以反映信息系統無法提供服務或無法提供有效服務所造成損失對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的影響程度。
調節因子k的取值范圍為大于0小于1的數值,可根據信息系統服務的影響程度參照表7進行選取。
表7 調節因子取值表
|
信息系統服務的影響程度 |
調節因子k |
|
信息系統無法提供服務或無法提供有效服務會造成國家安全利益損失。 |
1.0 3 k 3 0.8 |
|
信息系統無法提供服務或無法提供有效服務會造成較大范圍的公共利益損失。 |
0.8 > k 3 0.5 |
|
信息系統無法提供服務或無法提供有效服務會造成局部利益損失。 |
0.5 > k 3 0 |
將調節因子與業務服務保證性取值相乘,根據所得結果,選取相應的業務服務保證性等級。考慮到調節因子為主觀選取,存在一定的不確定性,相乘結果與業務服務保證性等級的對應中存在一定的交疊,對這一部分相乘結果,信息系統的相關定級人員可以根據本系統的具體情況適當選擇。
由于一級系統沒有必要調節,表8列出對業務服務保證性取值為2、3、4的調節結果。
表8 調節后的業務服務保證性等級
|
業務服務保證性取值 |
業務服務保證性取值 ′ k = L |
業務服務保證性等級 |
|
2 |
L £ 1.6 |
1 |
|
2 |
2.0 3 L 3 1.4 |
2 |
|
3 |
L £ 1.6 |
1 |
|
3 |
2.6 3 L 3 1.4 |
2 |
|
3 |
3.0 3 L 3 2.4 |
3 |
|
4 |
L £ 1.6 |
1 |
|
4 |
2.6 3 L 3 1.4 |
2 |
|
4 |
3.6 3 L 3 2.4 |
3 |
|
4 |
4.0 3 L 3 3.4 |
4 |
6.3 確定信息系統安全保護等級
業務子系統的安全保護等級由業務信息安全性等級和業務服務保證性等級較高者決定。
信息系統的安全保護等級由各業務子系統的最高等級決定。
7 信息系統安全保護等級的調整
根據本指南第4、5、6章的步驟和方法,信息系統的運行、使用單位確定的信息系統安全保護等級,信息系統的決策者或上級主管部門可根據系統的特殊需求進行調整,但調整只能調高等級而不能降低等級。
信息系統的安全保護等級和采取的基本安全保護措施是有對應關系的,信息系統的運行、使用單位雖然可以根據系統的特殊安全需求對一些安全保護措施進行增強,但整體上的安全保護水平還是原來的級別,如果考慮系統的特殊需求,需要加強保護,可提升級別,提高整體安全保護水平。
信息系統的決策者或上級主管部門可根據系統的特殊安全需求進行等級調整,可以參考以下因素:
1) 上級主管部門在政策和管理方面的特殊要求。
2) 預測業務信息可能會隨著時間的變化從量變轉化為質變。
3) 業務依賴程度在將來會進一步提高,或隨著信息系統所承載的業務不斷完善和穩定,與信息系統并行的手工處理(或老的系統)的業務將有可能取消。
4) 信息系統服務范圍隨著業務的發展,將會有較大的變化。
8 附錄
為方便信息系統的主管部門和運營使用單位相關人員確定本單位信息系統的安全保護等級,本章給出了信息系統定級的兩個實例。
8.1 實例1
系統簡述:某省政府網站系統ZFWZ,用于發布政務公開信息、地方行政法規和管理措施、領導講話、政府辦事流程、新聞發布、政府公告、舉報投訴、省內經濟形勢介紹、電子表單下載等信息,服務對象主要是省內企業和市民。
ZFWZ系統等級分析:
1、 ZFWZ系統是省政府對社會辦公的窗口,其類型為黨政機關處理國家事務的信息系統,其信息系統所屬類型賦值為3;
2、 網站信息屬公開信息,信息被破壞不會對國家利益和社會利益造成嚴重損害,其業務信息類型賦值為1;
3、 查表知ZFWZ系統的業務信息安全性等級為2級,如下表9所示。
表9 業務信息安全性等級矩陣表
|
業務信息類型賦值 |
信息系統所屬類型賦值 |
||
|
1 |
2 |
3 |
|
|
1 |
1 |
2 |
2 |
|
2 |
2 |
3 |
3 |
|
3 |
3 |
4 |
4 |
4、 ZFWZ系統為省內企業和市民服務,其系統服務范圍賦值為2;
5、 由于沒有必須通過網絡才能夠執行的辦事流程,ZFWZ系統對服務實時性和服務質量要求不高,政務服務工作主要通過網絡之外完成,網絡僅提供相關信息和表單下載,因此其業務依賴程度賦值應為1;
6、 查表知ZFWZ系統的業務服務保證性取值為2,如下表10所示。
表10 業務服務保證性取值矩陣表
|
信息系統服務范圍賦值 |
業務依賴程度賦值 |
||
|
1 |
2 |
3 |
|
|
1 |
1 |
2 |
3 |
|
2 |
2 |
3 |
4 |
|
3 |
3 |
4 |
4 |
7、 考慮到ZFWZ系統無法提供服務或無法提供有效服務僅造成局部利益的損失,一般不會造成社會利益的重要損失,調節因子可選為0.5,查表8知,調節后ZFWZ系統的業務服務保證性等級為1級;
8、 ZFWZ系統的安全保護等級為2。
8.2 實例2
系統簡述:某省電力集團公司的省級電力實時監控系統,主要用于調度自動化控制系統和能量管理系統(SCADA/EMS)DDZDH,負責省級超高壓輸電變電站的調度控制和數據采集。系統實時性要求極高,達到秒級。
系統等級分析:
1、 電力行業為國家重要基礎領域,DDZDH系統為其中的重要信息系統,其信息系統所屬類型賦值應為2;
2、 DDZDH系統信息屬企業專有信息,這些信息被破壞會對公眾利益造成嚴重影響,其業務信息類型賦值為2;
3、 查表知DDZDH系統的業務信息安全性等級為3級,如表11所示。
表11 業務信息安全性等級矩陣表
|
業務信息類型賦值 |
信息系統所屬類型賦值 |
||
|
1 |
2 |
3 |
|
|
1 |
1 |
2 |
2 |
|
2 |
2 |
3 |
3 |
|
3 |
3 |
4 |
4 |
4、 DDZDH系統為省內企業和市民提供電力支持,其系統服務范圍賦值為2;
5、 DDZDH系統對完整性和實時性要求高,且無法采用手工作業替代,其業務依賴程度賦值應為3;
6、 查表知DDZDH系統的業務服務保證性取值為4,如表12所示。
表12 業務服務保證性取值矩陣表
|
信息系統服務范圍賦值 |
業務依賴程度賦值 |
||
|
1 |
2 |
3 |
|
|
1 |
1 |
2 |
3 |
|
2 |
2 |
3 |
4 |
|
3 |
3 |
4 |
4 |
7、 考慮到電力系統關系國防和國民經濟命脈,是國家重要基礎設施,DDZDH系統調節因子可選為1,查表8知,調節后DDZDH系統的業務服務保證性等級為4級;
8、 DDZDH系統的安全保護等級為4。
