海洋信息系统安全等级保护.doc

个人收集整理 勿做商业用途 海洋信息系统安全等级保护 定级工作指南 为规范海洋信息安全等级保护管理，提高海洋信息安全保障能力和水平,维护国家安全、社会稳定和公共利益，保障和促进国家海洋信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室《关于印发〈信息安全等级保护管理办法>的通知》（公通字﹝2007）43号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安﹝2007)861号）以及《信息安全技术：信息系统安全等级保护定级指南（国标报批稿）》等有关法律法规,结合国家海洋信息化工作实际，特制定本指南。 一、 定级工作机制 在国家海洋局信息化工作领导小组的领导下，成立专门的海洋信息系统安全等级保护定级工作组,具体负责系统定级工作，有关定级的技术性工作由国家海洋信息中心承担。在摸底调查的基础上，按照信息系统主管部门自主定级，专家评审组分别评审，局统一审批、备案的基本工作程序开展海洋信息系统安全等级保护定级工作。 二、 定级范围 定级范围为《关于开展全国重要信息系统安全等级保护定级工作的通知》确定的范围，主要包括： （一） 起支撑、传输作用的基础信息网络。如海洋站资料传输网. （二） 专网、内网、外网等网络系统（包括网管系统）。 （三） 各单位网站和网站上运行的信息系统。 （四） 用于海洋权益维护、海域使用管理、海洋环境保护管理、海洋执法监察、海洋规划管理、办公等的各类应用系统。 （五） 涉及国家秘密的信息系统。 三、 等级划分与保护 （一） 信息系统安全保护等级 A．不涉及国家秘密的信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害. 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 B．涉及国家秘密的信息系统根据信息系统处理涉密信息的最高密级分为秘密、机密、绝密三个等级。 （二） 信息系统安全保护等级的定级因素 信息系统的安全保护等级由两个定级要素决定：等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。 1、受侵害的客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面： (1)公民、法人和其他组织的合法权益 指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益. (2)社会秩序、公共利益 侵害社会秩序的事项包括以下方面： l 影响国家机关社会管理和公共服务的工作秩序； l 影响各种类型的经济活动秩序; l 影响海洋系统的科研、生产秩序; l 影响公众在法律约束和道德规范下的正常生活秩序等； l 其他影响社会秩序的事项. 影响公共利益的事项包括以下方面： l 影响社会成员使用公共设施； l 影响社会成员获取公开信息资源; l 影响社会成员接受公共服务等方面； l 其他影响公共利益的事项。 （3）国家安全。 侵害国家安全的事项包括以下方面： l 影响国家政权稳固和国防实力； l 影响国家统一、民族团结和社会安定； l 影响国家对外活动中的政治、经济利益； l 影响国家重要的安全保卫工作; l 影响国家经济竞争力和科技实力； l 其他影响国家安全的事项. 确定作为定级对象的信息系统受到破坏后所侵害的客体时,应首先判断是否侵害国家安全，然后判断是否侵害社会秩序或公众利益，最后判断是否侵害公民、法人和其他组织的合法权益。 2、对客体造成侵害的程度. 在客观方面，对客体的侵害外在表现为对定级对象的破坏，其危害方式表现为对信息安全的破坏和对信息系统服务的破坏，其中信息安全是指确保信息系统内信息的保密性、完整性和可用性等，系统服务安全是指确保信息系统可以及时、有效地提供服务，以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同，在定级过程中，需要分别处理这两种危害方式。 信息安全和系统服务安全受到破坏后，可能产生以下危害后果: l 影响工作职能行使； l 导致业务能力下降; l 引起法律纠纷； l 导致财产损失； l 造成社会不良影响； l 对其他组织和个人造成损失； l 其他影响。 由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述.对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同，例如系统服务安全被破坏导致业务能力下降的程度可以从信息系统服务覆盖的区域范围、用户人数或业务量等不同方面确定，业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。 等级保护对象受到破坏后对客体造成侵害的程度为以下三种： （1）造成一般损害 工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题，较低的财产损失，有限的社会不良影响，对其他组织和个人造成较低损害. （2）造成严重损害 工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题,较高的财产损失，较大范围的社会不良影响，对其他组织和个人造成较严重损害。 （3）造成特别严重损害 工作职能受到特别严重影响或丧失行使能力，业务能力严重下降或功能无法执行,出现极其严重的法律问题，极高的财产损失,大范围的社会不良影响，对其他组织和个人造成非常严重损害。 定级要素与海洋信息系统安全保护等级的关系如表1所示。 表1 定级要素与安全保护等级的关系 受侵害的客体 对客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 在针对不同的受侵害客体进行侵害程度的判断时，应参照以下不同的判别基准： （1)如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准； （2)如果受侵害客体是社会秩序、公共利益或国家安全，则应以整个海洋系统或国家的总体利益作为判断侵害程度的基准. 四、 定级工作步骤 信息安全等级保护制度是国家信息安全保障的基本制度,定级是等级保护工作的首要环节，是开展信息系统建设、监督检查等其他工作的重要基础.信息系统的安全保护等级是信息系统的客观属性，不以已采取或将采取什么安全保护措施为依据，也不以风险评估为依据,而是以信息系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定信息系统的安全等级。即从国家、人民群众的根本利益出发，考虑信息系统受到损害后的最大风险. （一） 摸清家底、确定定级对象 根据确定的定级范围,各部门、各单位对所属信息系统进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、数量、应用或服务范围、系统结构、用户分布、服务器部署以及安全保密等基本情况. 为了体现重要部分重点保护，有效控制海洋信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象. 作为定级对象的信息系统应具有如下基本特征： （1）具有唯一确定的安全责任单位 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。 （2）具有信息系统的基本要素 作为定级对象的海洋信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象. （3）承载单一或相对独立的业务应用 定级对象承载“单一"的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有海洋信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。 确定定级对象时应把握以下原则： (1）基础信息网络、专网、内网和外网不是将整个网络作为一个对象，而是要从安全管理和安全责任的角度，将基础信息网络划分成若干个最小安全域或最小单元区定级. (2）如果网站的后台数据库管理系统安全级别高,也要作为独立的定级对象,网站上运行的信息系统（如对社会服务的报名考试系统）也要作为独立的定级对象。 （3）要确认负责定级的单位是否对所定级系统负有业务主管责任。也就是说，业务管理部门应主导对业务信息系统定级，运维部门（如信息中心）可以协助定级并按照业务管理部门的要求开展后续安全保护工作。 （二） 初步确定信息系统等级 信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同,因此，信息系统定级也应由业务信息安全和系统服务安全两方面确定。即业务信息安全等级和系统服务安全等级。 根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表2，即可得到业务信息安全保护等级。 表2 海洋业务信息安全保护等级矩阵表 所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度，依据表3，即可得到系统服务安全保护等级。 表3 海洋系统服务安全保护等级矩阵表 所侵害的客体 对相应客体的侵害程度 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 确定信息系统安全保护等级的一般流程如下: （1）确定作为定级对象的信息系统; （2）确定业务信息安全受到破坏时所侵害的客体； (3）根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度； （4）依据表2，得到业务信息安全保护等级； （5)确定系统服务安全受到破坏时所侵害的客体； （6）根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度； （7）依据表3，得到系统服务安全保护等级; （8）将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。 上述步骤如图1确定等级一般流程所示。 3、综合评定对客体的侵害程度 2、确定海洋业务信息安全受到破坏时所侵害的客体 6、综合评定对客体的侵害程度 5、确定系统服务安全受到破坏时所侵害的客体 7、系统服务安全等级 4、业务信息安全等级 8、定级对象的安全保护等级 依据表2 依据表3 1、确定定级对象 图1 确定等级一般流程 信息系统的主管部门是信息系统的管理主体，负责初步确定定级对象的安全保护等级，起草《定级报告》，报局审定。信息系统的运营单位协助主管部门开展定级工作。 （三） 信息系统等级评审、审批 局将组织专家对各单位、各部门初步确定的信息系统安全保护等级进行分类评审。对于跨区域联网运行的信息系统，由工作组审查确定安全保护等级后，统一组织专家评审;对其他信息系统，由主管部门自主确定安全保护等级，必要时，局可以提出定级建议或者组织专家评审。对拟确定为第四级以上信息系统的，由局邀请国家信息安全保护等级专家评审委员会评审，出具定级评审意见.涉密信息系统按照国家保密局有关规定进行等级评审。 根据专家定级评审意见，最终确定各信息系统等级。对确定等级的信息系统，由各单位填写备案表，经局有关部门审定后，统一汇总报局审批。 （四） 备案 各单位、各部门按照以下要求准备备案材料： A．备案工作需要提交的有关信息： 1、涉密信息系统 (1)系统基本情况说明。包括系统处理的主要信息、密级的说明，服务器部署情况，拓扑结构及说明，是否使用密码设备及其装配情况,系统安全保密组织机构和管理制度情况，其它需要说明的问题. (2）涉及国家秘密的信息系统分级保护备案表。 (3)密码设备装配情况。包括装配的密码设备数量、型号、生产厂家和装配时间，系统建设之初有关主管部门的审批意见. （4）系统设计、实施方案及审查论证意见。 (5）系统承建单位资质证明材料. （6）系统建设和工程监理情况报告。 （7）系统安全保密检测评估报告. （8）系统使用的信息安全产品清单。 2、非涉密信息系统 (1）信息系统安全等级保护定级报告。 (2)信息系统安全等级保护备案表。 （3)信息系统基本信息补充材料(拟定为第三级以上的信息系统提供）。包括拓扑结构及说明，系统安全组织机构、负责人和管理制度的说明，系统设计实施方案或者改建实施方案，系统使用的信息安全产品清单及其认证、销售许可证明,其它需要说明的问题。 （4）密码设备装配情况。包括装配的密码设备数量、型号、生产厂家和装配时间(未配备密码设备的无须提供此项）。 （5）系统建设之初和系统建成后的专家评审意见。 B．备案工作程序: 备案表经批准后，各有关单位应将备案表及相关备案材料按照下列要求到公安机关办理备案手续. (１）跨区域或者跨省联网运行,且由局统一确定安全等级的信息系统,局负责统一向公安部办理备案手续。 （２）其它信息系统的由运营使用单位直接向当地设区的市级以上公安机关备案. （3）跨区域或者跨省联网运行的信息系统,在各地运行、应用的分支系统,向当地设区的市级以上公安机关备案。 涉密信息系统建设使用单位依据《管理办法》和国家保密局的有关规定，填写《涉及国家秘密的信息系统分级保护备案表》，由局保密部门组织,按照属地化管理原则，中央和国家机关单位的涉密信息系统向国家保密局备案；地方各单位的涉密信息系统向所在地的市（地）级以上保密工作部门备案；中央和国家机关地方所属单位的涉密信息系统，向所在地的省级保密工作部门备案。 五、 涉密信息系统的分级保护 涉密信息系统建设使用单位应当在信息规范定密的基础上，依据涉密信息系统分级保护管理办法和国家保密标准BMB17—2006《涉及国家秘密的计算机信息系统分级保护技术要求》确定系统等级。对于包含多个安全域的涉密信息系统，各安全域可以分别确定保护等级。 保密工作部门和机构应当监督指导涉密信息系统建设使用单位准确、合理地进行系统定级. 涉密信息系统建设使用单位应当选择具有涉密集成资质的单位承担或者参与涉密信息系统的设计与实施。 涉密信息系统建设使用单位应当依据涉密信息系统分级保护管理规范和技术标准,按照秘密、机密、绝密三级的不同要求，结合系统实际进行方案设计，实施分级保护，其保护水平总体上不低于国家信息安全等级保护第三级、第四级、第五级的水平。 涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。 涉密信息系统建设使用单位在系统工程实施结束后，应当向保密工作部门提出申请，由国家保密局授权的系统测评机构依据国家保密标准BMB22—2007《涉及国家秘密的计算机信息系统分级保护测评指南》,对涉密信息系统进行安全保密测评。 涉密信息系统建设使用单位在系统投入使用前，应当按照《涉及国家秘密的信息系统审批管理规定》，向设区的市级以上保密工作部门申请进行系统审批,涉密信息系统通过审批后方可投入使用。已投入使用的涉密信息系统，其建设使用单位在按照分级保护要求完成系统整改后，应当向保密工作部门备案. 六、 信息安全产品的使用 第三级以上信息系统应当选择使用符合以下条件的信息安全产品： 1、产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格； 2、产品的核心技术、关键部件具有我国自主知识产权； 3、产品研制、生产单位及其主要业务、技术人员无犯罪记录； 4、产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能； 5、对国家安全、社会秩序、公共利益不构成危害； 6、对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。 第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评： 1、在中华人民共和国境内注册成立(港澳台地区除外）； 2、由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）； 3、从事相关检测评估工作两年以上，无违法记录； 4、工作人员仅限于中国公民； 5、法人及主要业务、技术人员无犯罪记录; 6、使用的技术装备、设施应当符合对信息安全产品的要求； 7、具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； 8、对国家安全、社会秩序、公共利益不构成威胁。