2.4.1 主要用途
《
信息安全等级保护管理办法》(以下简称
《管理办法》)对信息系统的安全保护等级给出了明确定义。信息系统定级是等级保护工作的首要环节,是开展信息系统安全建设整改、等级测评、监督检查等后续工作的重要基础。《信息系统安全等级保护定级指南》(以下简称《定级指南》)依据
《管理办法》,从信息系统对国家安全、经济建设、社会生活的重要作用,信息系统承载业务的重要性以及业务对信息系统的依赖程度等方面,提出确定信息系统安全保护等级的方法。
2.4.2 主要内容
《定级指南》包括了定级原理、定级方法以及等级变更等内容。
2.4.2.1 定级原理
给出了信息系统五个安全保护等级的具体定义,将信息系统受到破坏时所侵害的客体和对客体造成侵害的程度等两方面因素作为信息系统的定级要素,并给出了定级要素与信息系统安全保护等级的对应关系。
2.4.2.2 定级方法
信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级可以分别确定业务信息安全保护等级和系统服务安全保护等级,并取二者中的较高者为信息系统的安全保护等级。具体定级方法见图3:
图3 信息系统定级方法(略)
2.4.2.3 等级变更
信息系统的安全保护等级会随着信息系统所处理信息或业务状态的变化而变化,当信息系统发生变化时应重新定级并备案。
2.4.3 使用说明
应根据《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号)要求,参照《定级指南》开展定级工作。
2.4.3.1 定级工作流程
可以参照以下步骤进行:(1)摸底调查,掌握信息系统底数;(2)确定定级对象;(3)初步确定信息系统等级;(4)专家评审;(5)上级主管部门审批;(6)到公安机关备案。
2.4.3.2 定级范围
新建信息系统和已经投入运行的信息系统(包括网络)都要定级。新建信息系统应在规划设计阶段定级,同步建设安全设施、落实安全保护措施。
2.4.3.3 等级确定
第一、二级信息系统为一般信息系统,第三、四、五级信息系统为重要信息系统。重要信息系统是国家和各部门保护的重点,国家在项目、经费、科研等方面将给予重点支持。信息系统的安全保护等级是信息系统的客观属性,在定级时,应站在维护国家信息安全的高度,综合考虑信息系统遭到破坏后对社会稳定的影响,确定信息系统安全保护等级。具体可参考《信息安全等级保护工作简报》第22期。
2.4.3.4 定级工作指导
行业主管部门可以根据《定级指南》,结合行业特点和信息系统实际情况,出台定级指导意见,保证同行业信息系统在不同地区等级的一致性,指导本行业信息系统定级工作的开展。
2.5 《信息系统安全管理要求》(GB/T20269-2006)
2.5.1主要用途
《
信息安全等级保护管理办法》明确规定,信息系统运营使用单位应当参照《信息系统安全管理要求》、《信息系统安全工程管理要求》、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。不同安全保护等级的信息系统有着不同的安全管理需求,为此,针对不同安全等级的信息系统提出了相应的安全管理要求。各个等级的安全管理要求构成了《信息系统安全管理要求》(以下简称“《安全管理要求》”)的基本内容。
《安全管理要求》为信息系统运营使用单位的信息系统安全管理策略制定、信息系统安全管理组织体系建设、信息系统安全管理制度体系建设、信息系统运维及规划建设管理、信息系统安全管理监督检查、信息系统安全管理体系建立和完善等提供指导和参考。在信息系统安全整改阶段进行信息系统等级保护安全管理方案设计的过程中,也可按照《安全管理要求》所规定的各个安全保护等级的安全管理要求,作为建立信息安全管理体系和制定相关信息安全管理制度、措施的基本依据。
2.5.2主要内容
2.5.2.1 总体框架
《安全管理要求》对当前信息系统安全普遍适用的安全管理进行了全面的描述,对信息和信息系统的安全保护提出了分等级安全管理的要求,阐述了安全管理要素及其强度,并将管理要求落实到信息安全等级保护所规定的五个等级上。《安全管理要求》具体主要由6章和2个附录组成,其核心内容主要从以下八个方面描述:信息系统安全管理文档体系的建设要求;信息安全管理的组织保证,规定了信息安全管理的领导层、管理层以及执行机构的要求;信息系统安全管理中的风险管理要求;信息系统的环境和资源管理要求;信息系统的运行和维护管理要求;信息系统的业务连续性管理要求,提出备份与恢复、应急处理、安全事件处理的要求;信息系统的监督和检查管理要求;系统生存周期管理要求。
2.5.2.2 安全管理要求的分级描述方式
根据信息系统的五个安全保护等级的划分,随着信息系统安全保护能力逐级增高,相应的安全管理要求也逐级增强,体现在管理要素数量的增加和管理强度的增强两方面。例如,在描述信息系统安全管理要素“建立安全管理机构”时,在该安全管理要素的标题之下,首先简要说明本要素的作用,然后分列a)配备安全管理人员、b)建立安全职能部门、c)成立安全领导小组、d)主要负责人出任领导、e)建立信息安全部门为小标题的五个不同强度的管理要求,而且在小标题之下还有更细化的描述。由a)至e)强度逐步提高,并明确规定不同安全等级应有选择地满足这些要求的一项。在具体描述时,有些管理要素的管理强度要求在前一强度基础之上继续完成的,会明确指出,如“在a)的基础上,……”。
2.5.2.3 安全管理要素
《安全管理要求》以安全管理要素作为描述安全管理要求的基本组件。信息系统安全管理要素是指,为实现信息系统安全等级保护所规定的安全要求,从管理角度应采取的控制点,即实施的方法和措施。根据GB 17859对安全保护等级的划分,不同的安全保护等级会有不同的安全管理要求,具体体现在管理要素数量的增加和管理强度的增强两方面。这些安全管理要素构成信息系统安全管理的基本组件库,为提出分等级管理要求奠定了基础。安全管理要素的结构分为三个层次,为便于说明将第一层称为类,第二层称为族,第三层为具体的安全管理要素,共计8个类,30个族,98个要素,对于每个管理要素,根据特定情况分别列出不同的管理强度,最多分为5级,最少可不分级。
对信息系统安全管理要素分类划分为信息系统安全管理的日常措施、监督措施和保证措施等相互关联相互制约的三个方面。信息系统安全管理的日常措施方面,包括环境和资源管理、运行和维护管理、业务连续性管理等3个类的安全管理要素;监督措施方面,包括风险管理、监督和检查管理、生存周期管理等3个类的安全管理要素;保证措施方面,包括策略和制度、机构和人员管理等2个类的安全管理要素。《安全管理要求》对于每个管理要素冠以不同编码和标题,以便在保护等级分解描述时引用方便;在安全管理要素的不同强度的标题之后,进行具体的描述。
2.5.2.4 安全管理分等级要求
《安全管理要求》表述了信息系统安全管理分等级要求,依据GB 17859划分的五个安全等级,分别对五个安全等级提出了信息系统安全管理要求。《安全管理要求》以信息系统安全管理的政策和制度、机构和人员管理、风险管理、环境和资源管理、操作和维护管理、应急和备份管理、业务连续性管理、监督和检查管理、生命周期管理等安全管理要素为基础,对每一个安全保护等级的信息系统的安全管理进行全面描述。还说明了信息系统安全管理要素及其强度与信息系统安全管理分等级要求的对应关系。
2.5.3使用说明
《安全管理要求》主要供下列三类人员使用。信息系统高层管理人员、信息系统使用管理人员和信息系统安全服务人员。
信息系统安全管理制度的制定。信息系统安全管理制度的制定要从实际出发,不要生搬硬套,而是遵循其思想和原则。
信息系统安全管理的评估和检查。《安全管理要求》可作为信息系统安全管理的评估和检查的依据,具体评估和检查的实施方法,可进一步参考公安行标《信息安全技术 信息系统安全管理测评》(GA/T 713-2007)。
