信息系统定级介绍

jasionben

定级工作的步骤：
第一步：摸底调查，掌握信息系统底数。（信息系统的业务类型、应用或服务范围、系统结构基本情况）
第二步：确定定级对象
第三步：初步确定信息系统等级
定级的一般流程：
        信息系统安全包括业务信息安全和系统服务安全。信息安全是指确保信息系统内信息的保密性、完整性和可用性等，系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。
        业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。
        由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。
定级基本流程：

定级阶段-关于定级对象确定
一、定级对象的三个条件
        具有唯一确定的安全责任单位
作为定级对象的信息系统应能够唯一地确定其安全责任单位，这个安全责任单位就是负责等级保护工作部署、实施的单位，也是完成等级保护备案和接受监督检查的直接责任单位。
        满足信息系统的基本要素
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如单台的服务器、终端或网络设备等作为定级对象。
        承载相对独立的业务应用
定级对象承载“相对独立”的业务应用是指其中的一个或多个业务应用的主要业务流程、部分业务功能独立，同时与其他信息系统的业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。“相对独立”的业务应用并不意味着整个业务流程，可以是完整的业务流程的一部分。
信息系统划分的一些常见方法：
         例如对内服务与对外运营的业务系统，对内服务的办公系统，一般来说其中的信息和提供的服务是面向本单位的，涉及到的等级保护客体一般是本单位，而对外运营的业务系统往往关系到其他单位、个人或面向社会，因此这两类业务可能涉及不同的客体，可能具有不同的安全保护等级，可以考虑划分为不同的信息系统。又比如处理涉及国家秘密信息的信息系统与处理一般单位敏感信息的信息系统应分开。
         例如全国大集中系统数据中心的数据量和服务范围都远大于各省级节点和市级节点，其受到破坏后的损害程度和影响范围也有很大差别，可能具有不同的安全等级，可以考虑划分为不同的信息系统。
         一般单位的信息系统建设和网络布局，一般都会或多或少考虑系统的特点、业务重要性及不同系统之间的关系，进行信息系统的等级划分应尽可能以现有网络条件为基础进行划分，以免引起不必要的网络改造和建设工作，影响原有系统的业务运行。
         有些信息系统中不同业务的重要程度虽然会有所差异，但是由于业务之间联系紧密，不容易拆分，可以作为一个信息系统按照同样级别保护。但是，如果其中某一个业务面临风险或威胁较大，比如与互联网相连，可能会影响到其它的业务，就应当将其从该信息系统中分离出来，单独作为一个信息系统而实施保护。
定级阶段-关于系统边界
        系统边界不应出现在服务器内部，服务器共用的系统一般归入同一个信息系统，因此不同信息系统的共用设备一般是网络/边界设备或终端设备。
        两个信息系统边界存在共用设备时，共用设备的安全保护等级按两个信息系统安全保护等级较高者确定。
        信息系统的管理终端是与相应被管理设备相对应的，服务器、网络设备及安全设备等属于哪个系统，终端就应归在哪个信息系统中。
        如果无法做到不同等级的信息系统使用不同的终端设备，则应将终端设备划分为其他的信息系统，并在服务器与内部用户终端之间建立边界保护，对终端通过身份鉴别和访问控制等措施加以控制。
        处理涉密信息的终端必须划分到相应的信息系统中，且不能与非涉密系统共用终端。
定级阶段-关于业务信息和系统服务的确定
        业务信息
–业务系统处理的不同类型的数据
        系统服务
–业务系统的服务范围
–业务系统的服务对象
–业务系统的服务人数
–业务系统的服务时间要求
定级阶段-关于侵害客体和侵害程度
三种受侵害的客体:
        国家安全
–体现了国家层面、与全局相关的国家政治安全、军事安全、经济安全、社会安全、科技安全等方面利益。
        社会秩序和公共利益
–包括政治、经济、生产、生活、科研、工作等各方面的正常秩序和社会公众生产、生活、教育、卫生等方面的利益。
        合法权益
–是法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益，

        关于国家安全
–重要的国家事务处理系统、国防工业生产系统和国防设施的控制系统等；广播、电视、网络等重要新闻媒体的发布或播出系统，其受到非法控制可能引发影响国家统一、民族团结和社会安定的重大事件；尖端科技领域的研发、生产系统等影响国家经济竞争力和科技实力的信息系统，以及电力、通信、能源、交通运输、金融等国家重要基础设施的生产、控制、管理系统等。
        关于社会秩序
–各级政府机构的社会管理和公共服务系统，如财政、金融、工商、税务、公检法、海关、社保等领域的信息系统，也包括教育、科研机构的工作系统，以及所有为公众提供医疗卫生、应急服务、供水、供电、邮政等必要服务的生产系统或管理系统。
        关于公共利益
–借助信息化手段为社会成员提供使用的公共设施和通过信息系统对公共设施进行进行管理控制都应当是要考虑的方面，例如：公共通信设施、公共卫生设施、公共休闲娱乐设施、公共管理设施、公共服务设施等。
–公共利益与社会秩序密切相关，社会秩序的破坏一般会造成对公共利益的损害。

        《定级指南》中指出“各行业可根据本行业业务特点，分析各类信息和各类信息系统与国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的关系，从而确定本行业各类信息和各类信息系统受到破坏时所侵害的客体。”
        各行业的不同类型的系统，系统遭受破坏的程度造成的主要关注点不相同，例如银行系统一般关注业务能力下降的影响，党政系统主要关注管理职能的履行等。行业主管部门通过梳理本行业信息系统的现状，通过对这些不同类型、不同程度后果的定量、半定量描述，给出对等级保护客体一般损害、严重损害和特别严重损害的指导性意见，以便本行业的信息系统运营使用单位可以参照执行，确定本单位信息系统的安全保护等级，只有这样，一个行业内确定的安全保护等级才具有较好的一致性。
定级阶段-关于行业定级指导意见
        关于危害后果
–影响行使工作职能，工作职能包括国家管理职能、公共管理职能、公共服务职能等国家或社会方面的职能。
–导致业务能力下降，下降的表现形式可能包括业务范围的减少、业务处理性能的下降、可服务的用户数量的下降以及其他各种业务指标的下降，每个行业务都有本行业关注的业务指标。例如电力行业关注发电量和用电量，税务行业关注税费收入，银行业关注存款额、贷款额、交易量等，证券经纪行业关注股民数和交易额。
        关于危害后果
–引起法律纠纷是比较严重的影响，在较轻的程度时可能表现为投诉、索赔、媒体曝光等形式。
–导致财产损失，包括系统资产被破坏的直接损失、业务量下降带来的损失、直接的资金损失、为客户索赔所支付的资金等，以及由于信誉下降、单位形象降低、客户关系损失等导致的间接经济损失。
–直接造成人员伤亡，例如医疗服务系统，公安行业的某些系统等。
–造成社会不良影响，包括在社会风气、执政信心等方面的影响。

定级阶段-关于侵害客体和侵害程度
        直接的结果和间接的影响:
–威胁直接作用的结果信息系统的破坏,但是确定对客体侵害的程度时，必须考虑间接的对客体产生的侵害和影响。
        按照国家安全—社会秩序和公共利益---公民、法人和组织的合法利益的顺序考虑