政策法规
首页 >>  政策法规

《信息系统安全等级保护定级指南》(GB/T 22240-2008)

时间:10-22    作者:王

1 范围
本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。
2 规范性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T5271.8 信息技术 词汇 第8部分:安全(GB/T5271.8?2001,idt IS0/IEC 2382?8:1998)
GB17859 计算机信息系统安全保护等级划分准则
3 术语和定义
GB/T5271.8和GB17859确立的以及下列术语和定义适用于本标准。
3.1 等级保护对象 target of classified security
信息安全等级保护工作直接作用的具体的信息和信息系统。
3.2 客体 object
受法律保护的、等级保护对象受到破坏时所侵害的社会关系,如国家安全、社会秩序、公共利益以及公民、法人或其他组织的合法权益。
3.3 系统服务 system service
信息系统为支撑其所承载业务而提供的程序化过程。
4 定级原理
4.1 信息系统安全保护等级
根据等级保护相关管理文件,信息系统的安全等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不随还国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
4.2 信息系统安全保护等级的定级要素
信息系统的安全保护等级又两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
4.2.1 受到侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
a)           公民、法人和其他组织的合法权益;
b)          社会秩序、公共利益;
c)          国家安全。
4.2.2 对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对消的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成的侵害程度归结为以下三种:
a)         造成一般损害;
b)        造成严重损害;
c)        造成特别严重损害。
4.3定级要素与等级的关系
定级要素与信息统计安全保护等级的关系如表1所示。
5 定级方法
5.1 定级的一般流程
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。
从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下:
a)           确定作为定级对象的信息系统;
b)          确定业务信息安全受到等级破坏时所侵害的客体;
c)          根据不同的受侵害客体,从多方面综合评定业务信息安全被破坏对客体的侵害程度;
d)          根据表2,得到业务信息安全保护等级;
e)           确定系统服务安全受到破坏时所侵害的客体;
f)           根据不同的受侵害客体,从多方面综合评定系统服务安全被破坏对客体的侵害程度;
g)          根据表3,得到系统服务安全保护等级;
h)          将业务信息安全等级和系统服务安全等级的较高者确定为定级对象的安全保护等级。
5.2 确定定级对象
一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点波爱护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全波爱护等级的定级对象。
作为定级对象的信息系统应具有如下基本特征:
a)           具有唯一确定的安全责任单位。作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位责任信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。
b)          具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
c)          承载单一或相对独立的业务应用。定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“性对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其它业务应用有少量的数据交换,定级对象可能会与其他业务应用共享以下设别,尤其是网络传输设备。
5.3 确定受侵害的客体
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害国家安全的事项包括以下方面:
--影响国家政权稳固和过分实力;
--影响国家对外活动中的政治、经济利益;
--影响国家重要的安全保卫工作;
--影响国家经济竞争力和科技实力;
--其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面:
--影响国家机构社会管理和公共服务的工作秩序;
--影响各行业的科研、生产秩序;
--影响公众在法律约束和道德规范下的正常生活秩序等;
--其他影响社会秩序的事项。
影响公共利益的事项包括以下方面:
--影响社会成员使用公共设施;
--影响社会成员获取开信息资源;
--影响社会成员接受公共服务等方面;
--其他影响公共利益的事项。
影响公民、法人和其他组织的合法权益是指又法律query的并手法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
各行业可根据本行业业务特点,分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系,从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。
5.4 确定客体的侵害程度
5.4.1 侵害的客观方面
客观方面,对客体的侵害外在表现为定级对象的破坏,其危害方式表现为对信息安全的破坏和对信息系统服务的破坏,其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等;系统服务安全是指确保信息系统可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种危害方式。
5.4.2 综合判定侵害程度
侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受害客体、不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同。
信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程度进行综合评定得出。由于各行业信息系统所处理的信息种类和系统服务特定各不相同,信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同,各行业可根据本行业信息特点和系统服务提点,制定危害程度的综合评定方法,并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。
5.5 确定定级对象的安全保护等级
根据业务信息安全被破坏是所侵害的客体以及对相应客体的侵害程度,根据业务信息安全保护等级矩阵表,即可得到业务信息安全保护等级。
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,根据表3系统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。
作为定级对象的信息系统安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
6 等级变更
在信息系统的运行过程中,安全保护等级应随着系统所处理的信息和业务状态的变化惊喜适当的变更,有其实当状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化,可能影响到系统安全保护等级时,应根据5章给出的定级方法重新定级。