信息系统安全等级保护定级备案测评作业流程.docVIP

信息系统安全等级保护法规及依据

在信息系统安全等级保护定级立案、信息系统安全等级保护测评等方面测评依据以下：

1、《中国计算机信息系统安全保护条例》（国务院147号令）

2、《信息安全等级保护管理措施》（公通字[]43号）

3、GB/T17859-1999《计算机信息系统安全保护等级划分准则》

4、GB/T?20274《信息安全技术?信息系统安全保障评定框架》

5、GB/T?22081-《信息技术?安全技术信息安全管理实用规则》

6、GB/T?20271-《信息系统通用安全技术要求》

7、GB/T?18336-《信息技术?安全技术?信息技术安全性评定准则》

8、GB?17859-1999《计算机信息系统安全保护等级划分准则》

9、GB/T?22239-《信息安全技术?信息系统安全等级保护基础要求》

10、GB/T?22240-《信息安全技术?信息系统安全等级保护定级指南》

11、《信息安全技术?信息系统安全等级保护测评要求》

12、《信息安全技术?信息系统安全等级保护实施指南》

13、《信息安全等级保护管理措施》

信息系统安全等级保护定级立案步骤

1、定级原理

信息系统安全保护等级

依据等级保护相关管理文件，信息系统安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其它组织正当权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其它组织正当权益产生严重损害，或对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成尤其严重损害，或对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成尤其严重损害。

信息系统安全保护等级定级要素

信息系统安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害客体和对客体造成侵害程度。

受侵害客体

等级保护对象受到破坏时所侵害客体包含以下三个方面：

a)公民、法人和其它组织正当权益；

b)社会秩序、公共利益；

c)国家安全。

对客体侵害程度

对客体侵害程度由客观方面不一样外在表现综合决定。因为对客体侵害是经过对等级保护对象破坏实现，所以，对客体侵害外在表现为对等级保护对象破坏，经过危害方法、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害程度归结为以下三种：

a)造成通常损害；

b)造成严重损害；

c)造成尤其严重损害。

定级要素和等级关系

定级要素和信息系统安全保护等级关系以下表所表示。

受侵害客体

对客体侵害程度

通常损害

严重损害

尤其严重

损害

公民、法人和其它组织正当权益

第一级

第二级

第二级

社会秩序、公共利益

第二级

第三级

第四级

国家安全

第三级

第四级

第五级

2、定级步骤

信息系统安全包含业务信息安全和系统服务安全，和之相关受侵害客体和对客体侵害程度可能不一样，所以，信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反应信息系统安全保护等级称业务信息安全保护等级。从系统服务安全角度反应信息系统安全保护等级称系统服务安全保护等级。确定信息系统安全保护等级通常步骤以下：

a)确定作为定级对象信息系统；

b)确定业务信息安全受到破坏时所侵害客体；

c)依据不一样受侵害客体，从多个方面综合评定业务信息安全被破坏对客体侵害程度；

d)依据“业务信息安全保护等级矩阵表”，得到业务信息安全保护等级；

e)确定系统服务安全受到破坏时所侵害客体；

f)依据不一样受侵害客体，从多个方面综合评定系统服务安全被破坏对客体侵害程度；

g)依据“系统服务安全保护等级矩阵表”，得到系统服务安全保护等级；

h)将业务信息安全保护等级和系统服务安全保护等级较高者确定为定级对象安全保护等级。

业务信息安全保护等级矩阵表

业务信息安全被破坏时所侵害客体

对对应客体侵害程度

通常损害

严重损害

尤其严重损害

公民、法人和其它组织正当权益

第一级

第二级

第二级

社会秩序、公共利益

第二级

第三级

第四级

国家安全

第三级

第四级

第五级

系统服务安全保护等级矩阵表

系统服务被破坏时所侵害客体

对对应客体侵害程度

通常损害

严重损害

尤其严重损害

公民、法人和其它组织正当权益

第一级

第二级

第二级

社会秩序、公共利益

第二级

第三级

第四级

国家安全

第三级

第四级

第五级

3、立案步骤

立案

《管理措施》第十五条要求，已运行（运行）第