北京市教委各直属单位信息安全等级保护工作培训(3).pptVIP

第三步，初步确定信息系统等级信息系统的平安保护等级以信息系统的重要性和信息系统遭到破坏后对国家平安、社会稳定、人民群众合法权益的危害程度为依据，确定信息系统的平安保护等级。既要防止个别单位片面追求绝对平安而定级过高，也要防止为了逃避监管定级偏低。确定信息系统平安等级的依据依据?管理方法?直接确定信息系统等级依据?信息平安等级保护定级指南?要求进行信息系统等级确定等级决定要素与初定等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级业务信息平安和系统效劳平安信息系统与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级也应由业务信息平安和系统效劳平安两方面确定。对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息平安的破坏和对信息系统效劳的破坏，其中：信息平安是指确保信息系统内信息的必威体育官网网址性、完整性和可用性等；系统效劳平安是指确保信息系统可以及时、有效地提供效劳，以完成预定的业务目标；由于业务信息平安和系统效劳平安受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。信息平安和系统效劳平安受到破坏后，可能产生以下危害后果：影响行使工作职能；导致业务能力下降；引起法律纠纷；导致财产损失；造成社会不良影响；对其他组织和个人造成损失；其他影响。业务信息平安和系统效劳平安每个信息系统的定级流程3、综合评定对客体的侵害程度2、确定业务信息安全受到破坏时所侵害的客体6、综合评定对客体的侵害程度5、确定系统服务安全受到破坏时所侵害的客体7、系统服务安全等级4、业务信息安全等级8、定级对象的安全保护等级依据表1依据表21、确定定级对象确定信息系统的平安保护等级1、确定业务信息平安等级业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级2、确定系统效劳平安等级系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级3、信息系统平安保护等级由确定系统效劳平安等级由上述两个等级的较高者决定。〔取高的原那么〕确定信息系统的平安保护等级系统等级的变更在信息系统的运行过程中，平安保护等级应随着信息系统所处理的信息和业务状态的变化进行适当的变更，尤其是当状态变化可能导致业务信息平安或系统效劳受到破坏后的受侵害客体和对客体的侵害程度有较大的变化，可能影响到系统的平安保护等级时，应根据以上定级方法重新定级。第四步，信息系统等级评审在信息系统平安保护等级确定过程中，可以聘请专家进行咨询评审，并出具定级评审意见。对拟确定为第四级以上信息系统的，运营使用单位或者主管部门应当请国家信息平安保护等级专家评审委员会评审，出具评审意见。当专家意见与运营使用单位或者主管部门不一致时，以运营使用单位或者主管部门意见为准。第五步，等级的最终确定与审批信息系统运营使用单位参考专家定级评审意见，最终确定信息系统等级，形成?定级报告?。信息系统运营使用单位有上级主管部门的，应当经上级主管部门对平安保护等级进行审核批准。主管部门一般是指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统，那么必须由其上级主管部门审批，确保同类系统或分支系统在各地域分别定级的一致性。定级报告的编制〔一〕定级报告的定义定级报告是为详细了解和掌握定级过程情况由信息系统运营使用单位负责填写的文档。定级报告要在信息系统备案时一并提交。信息系统运营使用单位在起草定级报告时可以请技术支持单位协助。定级报告的编制〔二〕定级报告的构成和起草1、信息系统描述简述确定该信息系统为定级对象的理由。包括：该信息系统所承载业务的主管单位和部门，该信息系统具有信息系统的根本要素〔有主机、网络及相关配套设施构成的人机系统〕，该信息系统承载着独立或单一的业务应用，业务应用主要包括哪些，各包含哪些功能等。2、信息系统平安保护等级确实定〔1〕业务信息平安保护等级确实定。第一步：简要描述信息系统所处理的主要业务信息，包括各项业务的主要