前 言
本標準由公安部和全國信息安全標準化技術委員會提出��。
本標準由全國信息安全標準化技術委員會歸口��。
本標準起草單位:公安部信息安全等級保護評估中心����。
本標準主要起草人:任衛紅�����、曲潔��、馬力��、朱建平�����、李明���、李升�����、謝朝海�����、畢馬寧���、陳雪秀����。
引 言
依據《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)���、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)����、《關于信息安全等級保護工作的實施意見》(公通字[2004]66號)和《信息安全等級保護管理辦法》(公通字[2007]43號)�����,制定本標準��。
本標準是信息安全等級保護相關系列標準之一�����。
與本標準相關的系列標準包括:
——GB/T BBBBB-BBBB信息系統安全等級保護基本要求���;
——GB/T CCCCC-CCCC信息系統安全等級保護實施指南����;
——GB/T DDDDD-DDDD信息系統安全等級保護測評準則��。
本標準依據等級保護相關管理文件��,從信息系統所承載的業務在國家安全����、經濟建設�����、社會生活中的重要作用和業務對信息系統的依賴程度這兩方面����,提出確定信息系統安全保護等級的方法����。
信息系統安全等級保護定級指南
1 范圍
本標準規定了信息系統安全等級保護的定級方法��,適用于為信息系統安全等級保護的定級工作提供指導��。
2 規范性引用文件
下列文件中的條款通過在本標準的引用而成為本標準的條款��。凡是注日期的引用文件�����,其隨后所有的修改單(不包括勘誤的內容)或修訂版均不適用于本標準����,然而���,鼓勵根據本標準達成協議的各方研究是否使用這些文件的最新版本�����。凡是不注明日期的引用文件�����,其最新版本適用于本標準����。
GB/T 5271.8 信息技術 詞匯 第8部分:安全
GB17859-1999 計算機信息系統安全保護等級劃分準則
3 術語和定義
GB/T 5271.8和GB17859-1999確立的以及下列術語和定義適用于本標準��。
3.1
等級保護對象 target of classified security
信息安全等級保護工作直接作用的具體的信息和信息系統��。
3.2
客體object
受法律保護的���、等級保護對象受到破壞時所侵害的社會關系���,如國家安全��、社會秩序�����、公共利益以及公民����、法人或其他組織的合法權益��。
3.3
客觀方面objective
對客體造成侵害的客觀外在表現��,包括侵害方式和侵害結果等����。
3.4
系統服務 system service
信息系統為支撐其所承載業務而提供的程序化過程�����。
4 定級原理
4.1 信息系統安全保護等級
根據等級保護相關管理文件��,信息系統的安全保護等級分為以下五級:
第一級����,信息系統受到破壞后��,會對公民��、法人和其他組織的合法權益造成損害��,但不損害國家安全�����、社會秩序和公共利益����。
第二級���,信息系統受到破壞后��,會對公民��、法人和其他組織的合法權益產生嚴重損害����,或者對社會秩序和公共利益造成損害�����,但不損害國家安全�����。
第三級�����,信息系統受到破壞后�����,會對社會秩序和公共利益造成嚴重損害����,或者對國家安全造成損害���。
第四級�����,信息系統受到破壞后���,會對社會秩序和公共利益造成特別嚴重損害����,或者對國家安全造成嚴重損害��。
第五級����,信息系統受到破壞后��,會對國家安全造成特別嚴重損害����。
4.2 信息系統安全保護等級的定級要素
信息系統的安全保護等級由兩個定級要素決定:等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度�����。
4.2.1 受侵害的客體
等級保護對象受到破壞時所侵害的客體包括以下三個方面:
a) 公民��、法人和其他組織的合法權益��;
b) 社會秩序����、公共利益���;
c) 國家安全��。
4.2.2 對客體的侵害程度
對客體的侵害程度由客觀方面的不同外在表現綜合決定�����。由于對客體的侵害是通過對等級保護對象的破壞實現的��,因此��,對客體的侵害外在表現為對等級保護對象的破壞����,通過危害方式��、危害后果和危害程度加以描述����。
等級保護對象受到破壞后對客體造成侵害的程度歸結為以下三種:
a) 造成一般損害�����;
b) 造成嚴重損害����;
c) 造成特別嚴重損害����。
4.3 定級要素與等級的關系
定級要素與信息系統安全保護等級的關系如表1所示��。
表1 定級要素與安全保護等級的關系
受侵害的客體 對客體的侵害程度
一般損害 嚴重損害 特別嚴重損害
公民��、法人和其他組織的合法權益 第一級 第二級 第二級
社會秩序��、公共利益 第二級 第三級 第四級
國家安全 第三級 第四級 第五級
5 定級方法
5.1 定級的一般流程
信息系統安全包括業務信息安全和系統服務安全����,與之相關的受侵害客體和對客體的侵害程度可能不同��,因此���,信息系統定級也應由業務信息安全和系統服務安全兩方面確定����。
從業務信息安全角度反映的信息系統安全保護等級稱業務信息安全保護等級��。
從系統服務安全角度反映的信息系統安全保護等級稱系統服務安全保護等級����。
確定信息系統安全保護等級的一般流程如下:
a) 確定作為定級對象的信息系統��;
b) 確定業務信息安全受到破壞時所侵害的客體��;
c) 根據不同的受侵害客體���,從多個方面綜合評定業務信息安全被破壞對客體的侵害程度���;
d) 依據表2��,得到業務信息安全保護等級��;
e) 確定系統服務安全受到破壞時所侵害的客體���;
f) 根據不同的受侵害客體����,從多個方面綜合評定系統服務安全被破壞對客體的侵害程度����;
g) 依據表3����,得到系統服務安全保護等級����;
h) 將業務信息安全保護等級和系統服務安全保護等級的較高者確定為定級對象的安全保護等級����。
上述步驟如圖1確定等級一般流程所示�����。
圖1 確定等級一般流程
5.2 確定定級對象
一個單位內運行的信息系統可能比較龐大���,為了體現重要部分重點保護��,有效控制信息安全建設成本���,優化信息安全資源配置的等級保護原則�����,可將較大的信息系統劃分為若干個較小的����、可能具有不同安全保護等級的定級對象�����。
作為定級對象的信息系統應具有如下基本特征:
a) 具有唯一確定的安全責任單位
作為定級對象的信息系統應能夠唯一地確定其安全責任單位����。如果一個單位的某個下級單位負責信息系統安全建設���、運行維護等過程的全部安全責任�����,則這個下級單位可以成為信息系統的安全責任單位��;如果一個單位中的不同下級單位分別承擔信息系統不同方面的安全責任�����,則該信息系統的安全責任單位應是這些下級單位共同所屬的單位�����。
b) 具有信息系統的基本要素
作為定級對象的信息系統應該是由相關的和配套的設備����、設施按照一定的應用目標和規則組合而成的有形實體����。應避免將某個單一的系統組件����,如服務器�����、終端�����、網絡設備等作為定級對象�����。
c) 承載單一或相對獨立的業務應用
定級對象承載“單一”的業務應用是指該業務應用的業務流程獨立����,且與其他業務應用沒有數據交換����,且獨享所有信息處理設備���。定級對象承載“相對獨立”的業務應用是指其業務應用的主要業務流程獨立��,同時與其他業務應用有少量的數據交換�����,定級對象可能會與其他業務應用共享一些設備��,尤其是網絡傳輸設備����。
5.3 確定受侵害的客體
定級對象受到破壞時所侵害的客體包括國家安全��、社會秩序���、公眾利益以及公民���、法人和其他組織的合法權益�����。
侵害國家安全的事項包括以下方面:
- 影響國家政權穩固和國防實力�����;
- 影響國家統一�����、民族團結和社會安定�����;
- 影響國家對外活動中的政治��、經濟利益����;
- 影響國家重要的安全保衛工作����;
- 影響國家經濟競爭力和科技實力�����;
- 其他影響國家安全的事項���。
侵害社會秩序的事項包括以下方面:
- 影響國家機關社會管理和公共服務的工作秩序����;
- 影響各種類型的經濟活動秩序���;
- 影響各行業的科研��、生產秩序��;
- 影響公眾在法律約束和道德規范下的正常生活秩序等��;
- 其他影響社會秩序的事項�����。
影響公共利益的事項包括以下方面:
- 影響社會成員使用公共設施����;
- 影響社會成員獲取公開信息資源���;
- 影響社會成員接受公共服務等方面���;
- 其他影響公共利益的事項�����。
影響公民���、法人和其他組織的合法權益是指由法律確認的并受法律保護的公民��、法人和其他組織所享有的一定的社會權利和利益����。
確定作為定級對象的信息系統受到破壞后所侵害的客體時���,應首先判斷是否侵害國家安全����,然后判斷是否侵害社會秩序或公眾利益�����,最后判斷是否侵害公民���、法人和其他組織的合法權益���。
各行業可根據本行業業務特點����,分析各類信息和各類信息系統與國家安全�����、社會秩序���、公共利益以及公民�����、法人和其他組織的合法權益的關系�����,從而確定本行業各類信息和各類信息系統受到破壞時所侵害的客體����。
5.4 確定對客體的侵害程度
5.4.1 侵害的客觀方面
在客觀方面��,對客體的侵害外在表現為對定級對象的破壞�����,其危害方式表現為對信息安全的破壞和對信息系統服務的破壞��,其中信息安全是指確保信息系統內信息的保密性��、完整性和可用性等�����,系統服務安全是指確保信息系統可以及時����、有效地提供服務��,以完成預定的業務目標���。由于業務信息安全和系統服務安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同����,在定級過程中�����,需要分別處理這兩種危害方式���。
信息安全和系統服務安全受到破壞后����,可能產生以下危害后果:
- 影響行使工作職能����;
- 導致業務能力下降�����;
- 引起法律糾紛����;
- 導致財產損失����;
- 造成社會不良影響��;
- 對其他組織和個人造成損失�����;
- 其他影響����。
5.4.2 綜合判定侵害程度
侵害程度是客觀方面的不同外在表現的綜合體現����,因此��,應首先根據不同的受侵害客體����、不同危害后果分別確定其危害程度���。對不同危害后果確定其危害程度所采取的方法和所考慮的角度可能不同�����,例如系統服務安全被破壞導致業務能力下降的程度可以從信息系統服務覆蓋的區域范圍�����、用戶人數或業務量等不同方面確定�����,業務信息安全被破壞導致的財物損失可以從直接的資金損失大小����、間接的信息恢復費用等方面進行確定����。
在針對不同的受侵害客體進行侵害程度的判斷時���,應參照以下不同的判別基準:
- 如果受侵害客體是公民�����、法人或其他組織的合法權益���,則以本人或本單位的總體利益作為判斷侵害程度的基準���;
- 如果受侵害客體是社會秩序��、公共利益或國家安全���,則應以整個行業或國家的總體利益作為判斷侵害程度的基準����。
不同危害后果的三種危害程度描述如下:
一般損害:工作職能受到局部影響��,業務能力有所降低但不影響主要功能的執行����,出現較輕的法律問題����,較低的財產損失���,有限的社會不良影響��,對其他組織和個人造成較低損害�����。
嚴重損害:工作職能受到嚴重影響����,業務能力顯著下降且嚴重影響主要功能執行���,出現較嚴重的法律問題�����,較高的財產損失��,較大范圍的社會不良影響��,對其他組織和個人造成較嚴重損害��。
特別嚴重損害:工作職能受到特別嚴重影響或喪失行使能力���,業務能力嚴重下降且或功能無法執行�����,出現極其嚴重的法律問題��,極高的財產損失����,大范圍的社會不良影響��,對其他組織和個人造成非常嚴重損害����。
信息安全和系統服務安全被破壞后對客體的侵害程度���,由對不同危害結果的危害程度進行綜合評定得出����。由于各行業信息系統所處理的信息種類和系統服務特點各不相同��,信息安全和系統服務安全受到破壞后關注的危害結果����、危害程度的計算方式均可能不同�����,各行業可根據本行業信息特點和系統服務特點���,制定危害程度的綜合評定方法��,并給出侵害不同客體造成一般損害�����、嚴重損害����、特別嚴重損害的具體定義���。
5.5 確定定級對象的安全保護等級
根據業務信息安全被破壞時所侵害的客體以及對相應客體的侵害程度��,依據表2業務信息安全保護等級矩陣表���,即可得到業務信息安全保護等級��。
表2 業務信息安全保護等級矩陣表
業務信息安全被破壞時所侵害的客體 對相應客體的侵害程度
一般損害 嚴重損害 特別嚴重損害
公民��、法人和其他組織的合法權益 第一級 第二級 第二級
社會秩序����、公共利益 第二級 第三級 第四級
國家安全 第三級 第四級 第五級
根據系統服務安全被破壞時所侵害的客體以及對相應客體的侵害程度���,依據表2系統服務安全保護等級矩陣表��,即可得到系統服務安全保護等級�����。
表3 系統服務安全保護等級矩陣表
系統服務安全被破壞時所侵害的客體 對相應客體的侵害程度
一般損害 嚴重損害 特別嚴重損害
公民���、法人和其他組織的合法權益 第一級 第二級 第二級
社會秩序��、公共利益 第二級 第三級 第四級
國家安全 第三級 第四級 第五級
作為定級對象的信息系統的安全保護等級由業務信息安全保護等級和系統服務安全保護等級的較高者決定�����。
6 等級變更
在信息系統的運行過程中�����,安全保護等級應隨著信息系統所處理的信息和業務狀態的變化進行適當的變更����,尤其是當狀態變化可能導致業務信息安全或系統服務受到破壞后的受侵害客體和對客體的侵害程度有較大的變化�����,可能影響到系統的安全保護等級時���,應根據本標準第5章給出的定級方法重新定級���。
