信息系统安全等级保护定级指南及标准(样本)
信息系统安全保护等级定级指南
A guide for classifying information system security protection
(试用稿v3.2)
目 次
1 范围... 3
2 术语和定义... 3
2.1 业务信息(Business Information)... 3
2.2 业务信息安全性(Security of Business Information)... 3
2.3 业务服务保证性(Assurance of Business Service)... 3
2.4 信息系统(Information System)... 3
2.5 业务子系统(Business Subsystem)... 3
3 定级对象... 3
3.1 信息系统的划分... 4
3.2 信息系统和业务子系统... 4
4 决定信息系统安全保护等级的要素... 4
4.1 决定信息系统重要性的要素... 4
4.2 定级要素赋值... 5
5 确定信息系统安全保护等级的步骤... 7
6 信息系统安全保护等级的确定方法... 8
6.1 确定业务信息安全性等级... 8
6.2 确定业务服务保证性等级... 8
6.3 确定信息系统安全保护等级... 9
7 信息系统安全保护等级的调整... 10
8 附录... 11
8.1 实例1. 11
8.2 实例2. 12
信息系统安全保护等级定级指南
1 范围
本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。
有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统,该系统的安全保护等级定为5级,不再使用本指南的方法定级。
各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。
2 术语和定义
下列术语和定义适用于本指南。
2.1 业务信息(Business Information)
为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。
2.2 业务信息安全性(Security of Business Information)
保证业务信息机密性、完整性和可用性程度的表征。
2.3 业务服务保证性(Assurance of Business Service)
保证信息系统完成业务使命程度的表征。业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。
2.4 信息系统(Information System)
基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。
2.5 业务子系统(Business Subsystem)
由信息系统的一部分组件构成,是信息系统中能够承载某项业务工作的子系统。
3 定级对象
如果信息系统只承载一项业务,可以直接为该信息系统确定等级,不必划分业务子系统。
如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级,信息系统的安全保护等级由各业务子系统的最高等级决定。信息系统是进行等级确定和等级保护管理的最终对象。
3.1 信息系统的划分
一个组织机构内可能运行一个或多个信息系统,这些信息系统的安全保护等级可以是相同的,也可以是不同的。为体现重点保护重要信息系统安全,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,在进行信息系统的划分时应考虑以下几个方面:
1) 相同的管理机构
信息系统内的各业务子系统在同一个管理机构的管理控制之下,可以保证遵循相同的安全管理策略。
2) 相同的业务类型
信息系统内的各业务子系统具有相同的业务类型,安全需求相近,可以保证遵循相同的安全策略。
3) 相同的物理位置或相似的运行环境
信息系统内的各业务子系统具有相同的物理位置或相似的运行环境意味着系统所面临的威胁相似,有利于采取统一的安全保护。
3.2 信息系统和业务子系统
按照信息系统的定义,典型的信息系统应由计算机硬件设备(包括服务器设备、客户端设备、打印机及存储器等外围设备)、计算机网络硬件设备(包括交换机、路由器、各种适配器以及通信线路等)、安装于这些硬件设备上的软件、所提供的服务以及相关的人员构成。信息系统内的各业务子系统一般有较为紧密的关联,可能存在共用设备或较为频繁的数据交换。
业务子系统是按照信息系统所承载的业务对信息系统进行划分所形成的子系统。业务子系统是信息系统中可以为定级要素赋值的最小单元,业务子系统应具有信息系统的全部特点,应该是由计算机硬件、计算机网络硬件以及安装于这些硬件上的软件、提供的服务以及相关人员构成的一个有形实体,并且承载确定的业务。
如无特殊说明,本文以下各章节所描述的信息系统指信息系统和业务子系统。
4 决定信息系统安全保护等级的要素
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度决定,从另一个角度看,信息系统重要程度越高,其遭到破坏后对国家安全、经济建设、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度也越高。
4.1 决定信息系统重要性的要素
信息系统的重要性由以下要素决定:
1) 信息系统所属类型,即信息系统资产的安全利益主体。
2) 信息系统主要处理的业务信息类别。
3) 信息系统服务范围,包括服务对象和服务网络覆盖范围。
4) 业务对信息系统的依赖程度。
其中第1、2个要素决定信息系统内信息资产的重要性,第3、4个要素决定信息系统所提供服务的重要性,而信息资产及信息系统服务的重要性决定了信息系统的重要性。
4.2 定级要素赋值
4.2.1 信息系统所属类型及赋值
信息系统所属类型在较大程度上决定了信息系统受到破坏后对其社会价值的影响程度,根据社会影响高低,典型的信息系统所属类型、赋值及其社会影响如表1所示。
表1 信息系统所属类型赋值表
信息系统所属类型举例 |
赋值 |
信息系统的社会影响 |
属于一般企事业单位,处理其内部事务的信息系统。 |
1 |
信息系统资产受到破坏会对本单位利益有直接影响。 |
属于重要行业、重要领域和国家基础设施,为国计民生、经济建设等提供重要服务的信息系统,或本身虽属一般企事业单位,但为党政或重要信息系统提供支撑服务的信息系统。 |
2 |
信息系统资产受到破坏会对公共利益有直接影响,或对国家安全利益有间接影响。 |
属于党政机关,处理国家事务的信息系统。 |
3 |
信息系统资产受到破坏会对国家安全利益有直接影响。 |
4.2.2 业务信息类型及赋值
根据信息系统中业务信息机密性、完整性或可用性被破坏后,对国家安全利益、经济建设、公共利益或单位利益的影响程度,典型的业务信息类型、赋值及其安全影响如表2所示。
表2 业务信息类型赋值表
业务信息类型举例 |
赋值 |
业务信息的安全影响 |
可以对外公开发布的信息,或不对外发布的单位内部一般信息。 |
1 |
业务信息机密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成一定损害。 |
法人和其他组织及公民的专有信息,例如内部敏感信息、关键技术数据、科技情报、商业秘密等。 |
2 |
业务信息机密性、完整性或可用性被破坏会对公共利益或本单位经济利益造成严重损害。 |
涉及国家安全利益,影响国家经济建设的信息。 |
3 |
业务信息机密性、完整性或可用性被破坏对国家安全利益和国家经济建设造成损害。 |
4.2.3 信息系统服务范围及赋值
根据信息系统因完整性和可用性受到破坏,无法提供服务或无法提供有效服务造成的社会影响范围大小,典型的信息系统服务范围、赋值和相关影响如表3所示。
表3 信息系统服务范围赋值表
信息系统服务范围举例 |
赋值 |
服务范围的影响 |
地区范围的服务网络。 |
1 |
信息系统因无法提供服务或无法提供有效服务会对局部范围的资产造成损害。 |
省级范围的服务网络。 |
2 |
信息系统因无法提供服务或无法提供有效服务会对较大范围的资产造成损害。 |
全国范围的服务网络。 |
3 |
信息系统因无法提供服务或无法提供有效服务会对全国范围的资产造成损害。 |
4.2.4 业务依赖程度赋值
根据信息系统因完整性和可用性受到破坏,无法提供服务或无法提供有效服务对单位完成其使命的最大影响程度,典型的业务依赖程度、赋值及相关影响如表4所示。
表4 业务依赖程度赋值表
业务依赖程度举例 |
赋值 |
业务系统影响 |
业务处理流程的大部分可以通过手工方式或其他方式完成,自动化程度低。 |
1 |
信息系统无法提供服务或无法提供有效服务对单位完成其业务使命影响较小。 |
业务处理流程的部分环节可以通过手工方式或其他方式替代完成,自动化程度中。 |
2 |
信息系统无法提供服务或无法提供有效服务对单位完成其业务使命影响较大。 |
业务处理流程完全依赖信息系统,手工方式无法完成,自动化程度高。 |
3 |
信息系统无法提供服务或无法提供有效服务使单位无法完成其业务使命。 |
5 确定信息系统安全保护等级的步骤
为确定信息系统的安全保护等级,首先要确定信息系统内各业务子系统在4个定级要素方面的赋值,然后分别由4个定级要素确定业务信息安全性和业务服务保证性两个定级指标的等级,再根据业务信息安全性等级和业务服务保证性等级确定业务子系统安全保护等级,最后由信息系统内各业务子系统的最高等级确定信息系统的安全保护等级。
具体步骤如图1所示。
信息系统所属类型 |
业务信息类型 |
信息系统服务范围 |
业务依赖程度 |
业务信息安全性取值 |
业务服务保证性取值 |
业务服务保证性等级 |
1. 赋值 |
选择调节因子
|
业务子系统安全保护等级 |
2. 确定两个指标等级 |
业务信息安全性等级 |
3 确定业务子系统等级 |
信息系统安全保护等级 |
4. 确定信息系统等级 |
其它业务子系统 。。。 |
图1 等级确定图示
图1确定信息系统系统保护等级的步骤具体描述如下:
1) 参照4.2.1、4.2.2、4.2.3和4.2.4节内容为信息系统所属类型、业务信息类型、信息系统服务范围和业务依赖程度赋值;
2) 根据6.1和6.2节内容确定两个定级指标——业务信息安全性等级和业务服务保证性的等级,业务信息安全性等级体现信息资产重要性,业务服务保证性等级体现信息系统服务重要性;
3) 由两个定级指标的较高者确定业务子系统的安全保护等级;
4) 由信息系统内所有业务子系统的最高等级,确定信息系统的安全保护等级。
值得注意的是,等级的确定可能不是一个过程就可以完成的,可能要经过信息系统划分、赋值、定级、调整、重新赋值、再定级、再调整的循环过程,通过不断反馈和调整,最终确定出较为适当的信息系统安全保护等级。
6 信息系统安全保护等级的确定方法
6.1 确定业务信息安全性等级
将信息系统所属类型的赋值(1,2,3)与业务信息类型的赋值(1,2,3)构成一个3Í3矩阵,去掉不合理的交叉点,构成业务信息安全性等级矩阵,如表5所示。
表5 业务信息安全性等级矩阵表
业务信息类型赋值 |
信息系统所属类型赋值 |
||
1 |
2 |
3 |
|
1 |
1 |
2 |
2 |
2 |
2 |
3 |
3 |
3 |
3 |
4 |
4 |
6.2 确定业务服务保证性等级
将信息系统服务范围的赋值(1,2,3)与业务依赖程度的赋值(1,2,3)构成一个3Í3矩阵,构成业务服务保证性取值矩阵,如表6所示。
表6 业务服务保证性取值矩阵表
信息系统服务范围赋值 |
业务依赖程度赋值 |
||
1 |
2 |
3 |
|
1 |
1 |
2 |
3 |
2 |
2 |
3 |
4 |
3 |
3 |
4 |
4 |
考虑信息系统服务范围和业务依赖程度两个因素赋值时均没有涉及国家安全利益,因此增加调节因子k,以反映信息系统无法提供服务或无法提供有效服务所造成损失对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的影响程度。
调节因子k的取值范围为大于0小于1的数值,可根据信息系统服务的影响程度参照表7进行选取。
表7 调节因子取值表
信息系统服务的影响程度 |
调节因子k |
信息系统无法提供服务或无法提供有效服务会造成国家安全利益损失。 |
1.0 ³ k ³ 0.8 |
信息系统无法提供服务或无法提供有效服务会造成较大范围的公共利益损失。 |
0.8 > k ³ 0.5 |
信息系统无法提供服务或无法提供有效服务会造成局部利益损失。 |
0.5 > k ³ 0 |
将调节因子与业务服务保证性取值相乘,根据所得结果,选取相应的业务服务保证性等级。考虑到调节因子为主观选取,存在一定的不确定性,相乘结果与业务服务保证性等级的对应中存在一定的交叠,对这一部分相乘结果,信息系统的相关定级人员可以根据本系统的具体情况适当选择。
由于一级系统没有必要调节,表8列出对业务服务保证性取值为2、3、4的调节结果。
表8 调节后的业务服务保证性等级
业务服务保证性取值 |
业务服务保证性取值 ´ k = L |
业务服务保证性等级 |
2 |
L £ 1.6 |
1 |
2 |
2.0 ³ L ³ 1.4 |
2 |
3 |
L £ 1.6 |
1 |
3 |
2.6 ³ L ³ 1.4 |
2 |
3 |
3.0 ³ L ³ 2.4 |
3 |
4 |
L £ 1.6 |
1 |
4 |
2.6 ³ L ³ 1.4 |
2 |
4 |
3.6 ³ L ³ 2.4 |
3 |
4 |
4.0 ³ L ³ 3.4 |
4 |
6.3 确定信息系统安全保护等级
业务子系统的安全保护等级由业务信息安全性等级和业务服务保证性等级较高者决定。
信息系统的安全保护等级由各业务子系统的最高等级决定。
7 信息系统安全保护等级的调整
根据本指南第4、5、6章的步骤和方法,信息系统的运行、使用单位确定的信息系统安全保护等级,信息系统的决策者或上级主管部门可根据系统的特殊需求进行调整,但调整只能调高等级而不能降低等级。
信息系统的安全保护等级和采取的基本安全保护措施是有对应关系的,信息系统的运行、使用单位虽然可以根据系统的特殊安全需求对一些安全保护措施进行增强,但整体上的安全保护水平还是原来的级别,如果考虑系统的特殊需求,需要加强保护,可提升级别,提高整体安全保护水平。
信息系统的决策者或上级主管部门可根据系统的特殊安全需求进行等级调整,可以参考以下因素:
1) 上级主管部门在政策和管理方面的特殊要求。
2) 预测业务信息可能会随着时间的变化从量变转化为质变。
3) 业务依赖程度在将来会进一步提高,或随着信息系统所承载的业务不断完善和稳定,与信息系统并行的手工处理(或老的系统)的业务将有可能取消。
4) 信息系统服务范围随着业务的发展,将会有较大的变化。
8 附录
为方便信息系统的主管部门和运营使用单位相关人员确定本单位信息系统的安全保护等级,本章给出了信息系统定级的两个实例。
8.1 实例1
系统简述:某省政府网站系统ZFWZ,用于发布政务公开信息、地方行政法规和管理措施、领导讲话、政府办事流程、新闻发布、政府公告、举报投诉、省内经济形势介绍、电子表单下载等信息,服务对象主要是省内企业和市民。
ZFWZ系统等级分析:
1、 ZFWZ系统是省政府对社会办公的窗口,其类型为党政机关处理国家事务的信息系统,其信息系统所属类型赋值为3;
2、 网站信息属公开信息,信息被破坏不会对国家利益和社会利益造成严重损害,其业务信息类型赋值为1;
3、 查表知ZFWZ系统的业务信息安全性等级为2级,如下表9所示。
表9 业务信息安全性等级矩阵表
业务信息类型赋值 |
信息系统所属类型赋值 |
||
1 |
2 |
3 |
|
1 |
1 |
2 |
2 |
2 |
2 |
3 |
3 |
3 |
3 |
4 |
4 |
4、 ZFWZ系统为省内企业和市民服务,其系统服务范围赋值为2;
5、 由于没有必须通过网络才能够执行的办事流程,ZFWZ系统对服务实时性和服务质量要求不高,政务服务工作主要通过网络之外完成,网络仅提供相关信息和表单下载,因此其业务依赖程度赋值应为1;
6、 查表知ZFWZ系统的业务服务保证性取值为2,如下表10所示。
表10 业务服务保证性取值矩阵表
信息系统服务范围赋值 |
业务依赖程度赋值 |
||
1 |
2 |
3 |
|
1 |
1 |
2 |
3 |
2 |
2 |
3 |
4 |
3 |
3 |
4 |
4 |
7、 考虑到ZFWZ系统无法提供服务或无法提供有效服务仅造成局部利益的损失,一般不会造成社会利益的重要损失,调节因子可选为0.5,查表8知,调节后ZFWZ系统的业务服务保证性等级为1级;
8、 ZFWZ系统的安全保护等级为2。
8.2 实例2
系统简述:某省电力集团公司的省级电力实时监控系统,主要用于调度自动化控制系统和能量管理系统(SCADA/EMS)DDZDH,负责省级超高压输电变电站的调度控制和数据采集。系统实时性要求极高,达到秒级。
系统等级分析:
1、 电力行业为国家重要基础领域,DDZDH系统为其中的重要信息系统,其信息系统所属类型赋值应为2;
2、 DDZDH系统信息属企业专有信息,这些信息被破坏会对公众利益造成严重影响,其业务信息类型赋值为2;
3、 查表知DDZDH系统的业务信息安全性等级为3级,如表11所示。
表11 业务信息安全性等级矩阵表
业务信息类型赋值 |
信息系统所属类型赋值 |
||
1 |
2 |
3 |
|
1 |
1 |
2 |
2 |
2 |
2 |
3 |
3 |
3 |
3 |
4 |
4 |
4、 DDZDH系统为省内企业和市民提供电力支持,其系统服务范围赋值为2;
5、 DDZDH系统对完整性和实时性要求高,且无法采用手工作业替代,其业务依赖程度赋值应为3;
6、 查表知DDZDH系统的业务服务保证性取值为4,如表12所示。
表12 业务服务保证性取值矩阵表
信息系统服务范围赋值 |
业务依赖程度赋值 |
||
1 |
2 |
3 |
|
1 |
1 |
2 |
3 |
2 |
2 |
3 |
4 |
3 |
3 |
4 |
4 |
7、 考虑到电力系统关系国防和国民经济命脉,是国家重要基础设施,DDZDH系统调节因子可选为1,查表8知,调节后DDZDH系统的业务服务保证性等级为4级;
8、 DDZDH系统的安全保护等级为4。