当前位置 : 首页 - 安全服务 - 正文

信息系统(网站)安全等级保护定级备案服务


发布时间:2018年11月28日

为进一步提高中北大学网络信息系统的安全保障能力和防护水平,履行《中华人民共和国网络安全法》、国家信息安全等级保护相关政策标准和《教育行业信息系统安全等级保护定级工作指南(试行)》中关于信息安全等级保护的责任,扎实推进网络安全责任制和网络安全等级保护、网络安全监测预警与应急处置等重要工作,信息化建设与管理处为我校所有非涉密信息系统(网站)安全等级保护的定级备案技术支持和服务。

1 定级依据

《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)

《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)

《信息安全等级保护管理办法》(公通字〔2007〕43号)

《教育行业信息系统安全等级保护定级工作指南(试行)》(教技厅函[2014]74号)

《教育部公安部关于全面推进教育行业信息安全等级保护工作的通知》(教技[2015]2号)

《GB 22239-2019-T 信息安全技术 网络安全等级保护基本要求

《GB 25070-2019-T 信息安全技术 网络安全等级保护安全设计技术要求》

《GBT 28448-2019 信息安全技术网络安全等级保护测评要求》

《GBT 28449-2018 信息安全技术 网络安全等级保护测评过程指南》

2 定级原理

2.1信息系统(网站)安全保护等级

根据等级保护相关管理文件,信息系统(网站)的安全保护等级分为以下五级:

第一级,信息系统(网站)受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统(网站)受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统(网站)受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统(网站)受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统(网站)受到破坏后,会对国家安全造成特别严重损害。

2.2信息系统(网站)安全保护等级的定级要素

信息系统(网站)的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。

2.2.1受侵害的客体

等级保护对象受到破坏时所侵害的客体包括以下三个方面:

a) 公民、法人和其他组织的合法权益;

b) 社会秩序、公共利益;

c) 国家安全。

2.2.2对客体的侵害程度

等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:

a) 造成一般损害;

b) 造成严重损害;

c) 造成特别严重损害。

2.3定级要素与等级的关系

定级要素与信息系统(网站)安全保护等级的关系如表1所示。

表1 定级要素与安全保护等级的关系

受侵害的客体

对客体的侵害程度

一般损害

严重损害

特别严重损害

公民、法人和其他组织的合法权益

第一级

第二级

第三级

社会秩序、公共利益

第二级

第三级

第四级

国家安全

第三级

第四级

第五级

3 信息系统的定级工作流程

教育行业信息系统安全等级保护应坚持“自主定级、自主保护”的原则,依据《信息系统安全等级保护定级指南》和《教育行业信息系统安全等级保护定级工作指南(试行)》组织开展信息系统(网站)定级工作。

3.1确定定级责任主体

信息系统(网站)应明确定级工作的责任主体。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,信息系统(网站)的主管部门为定级工作的责任主体,负责组织开展信息系统(网站)定级工作。

3.2自主定级

信息系统(网站)主管部门对本部门信息系统进行梳理分析,进行自主定级,确定信息系统(网站)安全保护等级。对于承载复杂业务的信息系统(网站),安全保护等级可高于一般等级;对于承载多个业务的信息系统,应以所承载业务的信息系统的最高建议等级进行定级。

信息系统范围及对应等级,参照《教育行业信息系统安全等级保护定级工作指南(试行)》(附件1)和《信息系统定级与备案工作介绍》(附件2)相关内容,除单机版软件外,建议一般信息系统定级为“二级”。

3.3定级的一般流程

信息系统(网站)安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统(网站)定级也应由业务信息安全和系统服务安全两方面确定。

从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。

从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。

确定信息系统安全保护等级的一般流程如下:

a) 确定作为定级对象的信息系统;

b) 确定业务信息安全受到破坏时所侵害的客体;

c) 根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;

d) 依据表1,得到业务信息安全保护等级;

e) 确定系统服务安全受到破坏时所侵害的客体;

f) 根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;

g) 依据表1,得到系统服务安全保护等级;

h)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。

3.4定级备案资料提交

信息系统(网站)主管部门需填写《中北大学信息系统(网站)安全等级保护定级报告》(附件3)、《中北大学信息系统(网站)安全等级保护定级备案表》(附件4)和《网站基础信息调查表》(附件5),将相关材料电子版提交信息化处进行初审;初审通过后,由信息化处向太原市公安局网警支队提交资料;信息系统备案成功后,取得的信息系统安全保护等级备案证明原件由信息化处统一保管,并向备案单位提供扫描件。