[部委培训实施技术过程.pptVIP

* * 定级指南的定位 * 起到行业主管部门在信息安全工作中的主导作用。 * 中国的国家安全是指保卫中华人民共和国的领士完整及独立自主。国家安全的最高目标是保卫国家主权，而保卫国家主权的最高表现则是保卫国家的生存权和发展权。 国家安全的内涵简单但外延广泛且不断演化。以往我们对国家安全的认识，更多侧重于国家的生存安全，当今中国国家安全，已不是生存意义而是发展意义上的概念。发展利益之所在，便是今日中国国家核心利益之所在，从这个意义上讲，对国家核心利益的威胁便是对国家安全的主要威胁。对新国家安全的关注，已从传统的维护国土安全，转变为维护中国政治和经济利益安全。由于信息化的发展，信息系统安全对国家安全的影响也日益显著，体现在政治、经济、国防、外交、科技、文化、环境等各方面。 ??? （一）危害国家政权的巩固和防御能力； ??? （二）影响国家统一、民族团结和社会安定； ??? （三）损害国家在对外活动中的政治、经济利益；??? （四）影响国家领导人、外国要员的安全；??? （五）妨害国家重要的安全保卫工作； ??? （六）使保护国家秘密的措施可靠性降低或者失效；??? （七）削弱国家的经济、科技实力；??? （八）使国家机关依法行使职权失去保障。?? * * 公共利益，是指不特定的社会成员所享有的利益，公共利益本身是一个开放的、发展的概念，具有不可穷尽性。因此，公共利益所包括的范围非常宽泛，它既可能是经济利益，也可能是包括文化、教育、卫生、环境等各个方面的利益。公共利益还具有多层次性与多样性的特点，如国防利益、交易安全、消费者利益等等，但无论进行何种程度的列举，公共利益的内涵与外延都是无法列举穷尽的。 公民、法人和其他组织的合法权益不同于公共利益，选择客体为公共利益是指受侵害的对象是“不特定的社会成员”，而选择公民、法人和其他组织的合法权益时，受侵害的对象是明确的，就是拥有信息系统的个体或某个单位。 * 在分析侵害的客观方面时，为区别针对信息系统的破坏程度和对客体的侵害程度，《定级指南》使用了“危害”一词，用于描述对信息系统的破坏，例如危害方式、危害后果、危害程度等。综合评定不同危害方式、不同危害后果所造成的不同危害程度，才可以确定对客体的侵害程度。 * 在分析侵害的客观方面时，为区别针对信息系统的破坏程度和对客体的侵害程度，《定级指南》使用了“危害”一词，用于描述对信息系统的破坏，例如危害方式、危害后果、危害程度等。综合评定不同危害方式、不同危害后果所造成的不同危害程度，才可以确定对客体的侵害程度。 * 在《定级指南》中还提出“由于各行业信息系统所处理的信息种类和系统服务特点各不相同，信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同，各行业可根据本行业信息特点和系统服务特点，制定危害程度的综合评定方法，并给出侵害不同客体造成一般损害、严重损害、特别严重损害的具体定义。” 可以借鉴安全事件定级，等级保护关注的是最严重的事件产生的影响。 既考虑产生的影响，同时也需考虑影响消除。 * 在上述危害后果中，各行业的某个类型的信息系统一般主要关注其中的一种后果，例如银行系统一般关注业务能力下降的影响，党政系统主要关注管理职能的履行等，而将其他后果作为参考。行业主管部门通过梳理本行业信息系统的现状，通过对这些不同类型、不同程度后果的定量、半定量描述，给出对等级保护客体的一般损害、严重损害和特别严重损害的指导性意见，以便本行业的信息系统运营使用单位可以参照执行，只有这样，一个行业内确定的安全保护等级才具有较好的一致性。 * * 例如对内服务与对外运营的业务系统，对内服务的办公系统，一般来说其中的信息和提供的服务是面向本单位的，涉及到的等级保护客体一般是本单位，而对外运营的业务系统往往关系到其他单位、个人或面向社会，因此这两类业务可能涉及不同的客体，可能具有不同的安全保护等级，可以考虑划分为不同的信息系统。又比如处理涉及国家秘密信息的信息系统与处理一般单位敏感信息的信息系统应分开。 例如全国大集中系统数据中心的数据量和服务范围都远大于各省级节点和市级节点，其受到破坏后的损害程度和影响范围也有很大差别，可能具有不同的安全等级，可以考虑划分为不同的信息系统。 一般单位的信息系统建设和网络布局，一般都会或多或少考虑系统的特点、业务重要性及不同系统之间的关系，进行信息系统的等级划分应尽可能以现有网络条件为基础进行划分，以免引起不必要的网络改造和建设工作，影响原有系统的业务运行。 有些信息系统中不同业务的重要程度虽然会有所差异，但是由于业务之间联系紧密，不容易拆分，可以作为一个信息系统按照同样级别保护。但是，如果其中某一个业务面临风险或威胁较大，比如与互联网相连，可能会影响到其它的业务，就应当将其从该信息系统