北京市党政机关网络与信息系统安全定级指南.doc

北京市党政机关网络与信息系统安全定级指南（试行）目 录一、引言1二、依据2三、定级原则23.1 正确处理安全与发展的关系33.2 基本等级与特殊要求相结合3四、定级要素3五、定级方法55.1 通过资产分析定级55.2 通过风险评估定级7六、最低安全等级要求9七、职责分工及工作程序97.1 职责分工97.2 工作程序10附件：网络与信息系统安全定级备案（审查）表一、 引言为切实落实“中共中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见的通知”（中办发200327号）和“中共北京市委办公厅、北京市人民政府办公厅转发北京市信息化工作领导小组关于加强信息安全保障工作的实施意见的通知”精神，推动北京市各级党政机关（以下简称“党政机关”）网络与信息系统安全等级保护工作的开展，指导和帮助党政机关网络与信息系统安全定级工作，特制定本指南。本指南适用于北京市党政机关网络与信息系统，其中涉及国家秘密的网络与信息系统，按照国家和本市有关保密规定执行。其它网络与信息系统定级工作参照本指南进行。本指南指导党政机关确定网络与信息系统安全等级，供各级信息化主管部门及业务主管部门指导、监督网络与信息系统安全定级工作。北京信息安全测评中心依据党政机关的定级结果进行测评。信息安全服务机构可依据本指南、(DB11/T 171-2002)党政机关信息系统安全测评规范及其它相关规定协助党政机关进行网络与信息系统安全定级工作。本指南对定级工作的原则、职责分工、工作程序、定级要素和方法进行了描述，党政机关应依据本指南的定级方法，结合本单位网络与信息系统实际，确定安全等级，并以此指导网络与信息系统安全建设工作。本指南对网络与信息系统提出了最低安全等级要求，党政机关确定的安全等级应不低于最低安全等级要求。本指南所述安全等级与（DB11/T 171-2002）党政机关信息系统安全测评规范中的安全类别相对应。二、 依据本指南的制定，依据以下政策法规和技术标准：国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）北京市信息化工作领导小组关于加强信息安全保障工作的实施意见（京办发20043号）北京市政务与公共服务信息化工程建设管理办法（北京市政府第67号令）；北京市党政机关计算机网络与信息安全管理办法（京办发200127号文）；“关于修改<北京市政务与公共服务信息化工程建设管理办法>实施细则有关条款的通知”(京信息办发200317号文)；(DB11/T 171-2002)党政机关信息系统安全测评规范。三、 定级原则北京市党政机关网络与信息系统（以下简称系统）定级工作坚持“积极防御，综合防范”的方针，坚持“统筹规划，突出重点”、“谁主管谁负责，谁运营谁负责”的原则。3.1 正确处理安全与发展的关系以安全保发展，从发展中求安全。党政机关应从系统的重要性出发，综合分析系统的信息资产价值和面临的安全威胁，确定所需要的系统安全等级，以合理的投入进行系统的安全建设。做到保护重点，兼顾一般，投入合理。3.2 基本等级与特殊要求相结合确定系统的安全等级，应本着原则性与系统实际相结合的原则。安全等级对于各种安全组件有统一的、基本的安全要求。根据系统实际，当某一具体的系统对某些安全组件有比较高的要求时，可对个别安全组件采用更高安全要求。这样，虽然从整体上看，该系统是按照某一安全等级进行设计和实现的，但同时也兼顾了特定的安全要求。根据系统实际情况，安全保护不涉及的安全组件，可不予考虑，不影响定级。例如和外界物理隔离的局域网络，边界保护相关的安全组件可不考虑。四、 定级要素确定系统的安全等级，应从系统重要性出发，综合考虑系统资产价值、系统面临的安全风险、所需抵御的安全威胁等几个要素。信息网络与信息系统安全等级与资产价值、面临的典型安全威胁、应具备的保护能力之间的对应关系应符合(DB11/T 171-2002)党政机关信息系统安全测评规范的规定。其中：系统安全等级1：系统所处理的信息为一般信息。系统所管理、控制和处理的信息资产，在遭到攻击和破坏时，系统所承载的业务以及单位利益基本不会受到影响或损害极小；系统面临的内外部安全威胁很弱；安全保护措施只需要抵御基本强度的威胁，主要为用户的非恶意行为以及意外事件。系统安全等级2：处理信息为日常政务信息。系统所管理、控制和处理的信息资产，在遭到攻击和破坏时，会对系统所承载的业务以及单位利益带来一定的损失或破坏；系统面临的内外部安全威胁较弱；安全保护措施能够抵御不复杂的威胁，主要为占有少量资源的个体对手对系统进行的有限攻击。系统安全等级3：处理信息为日常政务信息。系统所管理、控制和处理的信息资产，在遭到攻击和破坏时，会对系统所承载的业务、单位利益以及社会公共利益带来严重的损失或破坏，对社会稳定、国家安全产生一定影响；系统面临的内外部安全威胁较强；必须实施能够抵御较为复杂的、有一定组织攻击活动的威胁的安全措施，主要指犯罪团伙攻击行为。系统安全等级4：处理信息包含有重要的政务信息。系统所管理、控制和处理的信息资产，在遭到攻击和破坏时，会对系统所承载的业务、单位利益以及社会公共利益带来极其严重的损失或破坏，对社会稳定、国家安全造成严重影响。系统面临的内外部安全威胁很强；实施的安全措施能够抵御有强大对手支持的特别复杂的攻击，主要指大型国际商业机构、国际恐怖团体、国际犯罪团伙攻击行为。系统安全等级5：处理信息包含有关键政务信息。系统及其所管理、控制和处理的信息资产，在遭到攻击和破坏时，会对系统所承载的业务、单位利益以及社会公共利益带来灾难性的损失或破坏，对社会稳定和国家安全产生灾难性的影响。系统面临的内外部安全威胁非常强；实施的安全措施能够抵御国家级的攻击和威胁。五、 定级方法信息系统安全等级的确定以应用系统为核心进行，不同的应用系统可具有不同的安全等级。用于支撑应用系统的公共应用平台、操作系统平台和网络平台的安全等级应不低于应用系统的安全等级。确定系统安全等级一般通过资产分析或风险评估的方法来完成。典型的系统可以通过资产分析的方法确定安全等级，在资产分析不能准确确定等级的情况下，进一步通过风险评估方法确定等级。5.1 通过资产分析定级由系统资产价值来确定系统安全等级。在定级要素中，信息资产价值对等级的划分起着决定性的作用。对于指定的系统必须首先进行资产识别与分析，明确被保护的信息资产，对每一项资产进行确认和评估。在对资产进行识别分析时，根据系统遭受破坏后，对保密性、完整性和可用性造成的影响来决定信息资产的价值。三性的影响级别参照表5-1、表5-2、表5-3。表5-1 信息价值保密性影响级的确定级 别描 述1信息的未授权泄露对党政机关所承载的业务以及单位利益基本不会受到影响或损害极小2信息的未授权泄露对党政机关所承载的业务以及单位利益带来一定的损失或破坏3信息的未授权泄露对党政机关所承载的业务、单位利益以及社会公共利益带来严重的损失或破坏，对社会稳定、国家安全产生一定影响4信息的未授权泄露对党政机关所承载的业务、单位利益以及社会公共利益带来极其严重的损失或破坏，对社会稳定、国家安全造成严重影响5信息的未授权泄露会对党政机关所承载的业务、单位利益以及社会公共利益带来灾难性的损失或破坏，对社会稳定和国家安全产生灾难性的影响表5-2 信息价值完整性影响级的确定级 别描 述1信息的未授权的修改或破坏对党政机关所承载的业务以及单位利益基本不会受到影响或损害极小2信息的未授权的修改或破坏对党政机关所承载的业务以及单位利益带来一定的损失或破坏3信息的未授权的修改或破坏对党政机关所承载的业务、单位利益以及社会公共利益带来严重的损失或破坏，对社会稳定、国家安全产生一定影响4信息的未授权的修改或破坏会对党政机关所承载的业务、单位利益以及社会公共利益带来极其严重的损失或破坏，对社会稳定、国家安全造成严重影响5信息的未授权的修改或破坏会对党政机关所承载的业务、单位利益以及社会公共利益带来灾难性的损失或破坏，对社会稳定和国家安全产生灾难性的影响表5-3 信息价值可用性影响级的确定级 别描 述1系统或信息的使用中断对党政机关所承载的业务以及单位利益基本不会受到影响或损害极小2系统或信息的使用中断对党政机关所承载的业务以及单位利益带来一定的损失或破坏3系统或信息的使用中断对党政机关所承载的业务、单位利益以及社会公共利益带来严重的损失或破坏，对社会稳定、国家安全产生一定影响4系统或信息的使用中断会对党政机关所承载的业务、单位利益以及社会公共利益带来极其严重的损失或破坏，对社会稳定、国家安全造成严重影响5系统或信息的使用中断会对党政机关所承载的业务、单位利益以及社会公共利益带来灾难性的损失或破坏，对社会稳定和国家安全产生灾难性的影响建议参照以上信息的保密性、完整性和可用性对系统等级的影响和第三节所规定的定级原则来进行资产分析定级，以三性中对系统安全影响最大的要素做为定级的决定因素。5.2 通过风险评估定级在通过资产分析方法无法准确确定安全等级时，可以通过风险评估方法确定安全等级。风险评估定级方法，在信息资产识别与价值分析的基础上，分析系统面临的安全威胁、分析系统的安全风险，并根据有效降低风险所应采用的安全措施来分析确定安全等级。风险评估定级的过程如图5-1所示。是威胁分析风险分析提出降低风险的安全措施要求是否满足系统安全需求确定信息系统安全等级否资产识别与分析图5-1 风险评估定级的过程 资产识别与分析：为了明确被保护的资产，应列出与系统安全有关的资产清单，对每一项资产进行确认和适当的评估，确定风险分析的范围。在对资产进行评估的过程中，更重要的是要考虑资产对于系统业务、单位利益以及国家安全的重要性。威胁分析：对需要保护的信息资产进行威胁分析，确定系统面临的威胁。风险分析：根据系统脆弱性和有关的统计数据来判断威胁发生的可能性；根据信息资产价值判断威胁发生所造成的损失和影响。如果系统的安全需求不能得到满足，根据风险分析结果提出降低风险的安全措施要求，并对采取这些措施的系统再次进行风险分析、判断，直到系统的安全需求可以满足。参照(DB11/T171-2002)党政机关信息系统安全测评规范以及相关标准中安全要求，确定满足相关安全措施要求的安全等级。六、 最低安全等级要求本指南针对北京市的实际情况，采用“基于网络与信息系统所处理信息的价值的方法”，确定了北京市各级党政机关网络与信息系统及影响城市正常运转和社会稳定的重要信息系统的最低安全等级要求，如表6-1所示。 表6-1 最低安全等级要求系统构成行政级别网络基础设施应用业务系统市级3级2级区/县2级2级街道办/乡1级其中“网络基础设施”是北京市电子政务专网的网络基础设施、基础服务设施和安全基础设施。表中的“1级”、“2级”、“3级”，对应于(DB11/T171-2002)党政机关信息系统安全测评规范中的“安全类别I”、“安全类别II”、“安全类别III”。七、 职责分工及工作程序7.1 职责分工a)党政机关自行确定其系统安全等级，并填写“北京市党政机关网络与信息系统安全定级备案 (审查)表”，报信息化主管部门审查、备案。b)定级工作可以委托北京市信息化工作办公室定期公布的信息安全服务机构协助进行。c)负责审查的主管部门应对已报系统的定级提出审查意见并定期抽查。d)北京信息安全测评中心将依据党政机关的定级结果进行等级测评。7.2 工作程序党政机关进行安全定级的工作程序如图7-1所示： 图7-1 系统安全定级过程(1)前期准备：党政机关为开展定级工作进行必要的准备。如准备待定级系统建设方案、安全解决方案、安全措施等相关材料；(2)通过信息资产分析定级：采用本指南的资产分析定级方法，评定其系统安全保护等级；(3)通过风险评估定级：通过信息资产分析不能准确确定安全保护等级时，则进一步采用风险评估的方法评定其系统安全保护等级； (4)确定等级：根据等级评定结果，确定本单位系统的安全等级；(5)上报审查：将结果报同级信息化主管部门审查，同级信息化主管部门出具审查意见；系统运营、使用单位无上级主管部门或主管部门不明确的，由北京市信息化工作办公室直接审查。(6)备案：确定安全等级后，报信息化主管部门备案。(7)已确定安全等级并已备案的系统，如果进行改扩建，需依据关于本市各级党政机关网络与信息系统开展安全等级保护工作的通知和本指南，结合系统实际，重新确定系统的安全等级。附件：北京市党政机关网络与信息系统安全定级备案 (审查)表附件：北京市党政机关网络与信息系统安全定级备案 (审查)表单位名称系统名称系统性质和规模系统用途系统所属管理机关系统是否进行过定级工作有无国家秘密信息有无其他敏感信息是否与政务专网联接网络覆盖区域网络规模LAN城域网园区网广域网（跨省市）网络结点数量100以下 300以下 500以下 500以上已有安全措施是否建立机构负责系统安全是 否系统（网络）安全管理制度是否已汇编文本制定依据采用的系统安全专用设备防火墙 IDS 防病毒 密码机 VPN 无其他确定等级定级方法定级时间年 月 日定级说明初次定级 重新定级主管签字附件清单1系统建设方案 （ ） 2系统拓扑结构图 （ ）3系统安全解决方案 （ ）4专家评审或风险评估有关文档（ ）以下由负责审查的主管部门填写备案号No：备案时间 年 月 日备案经手人主管部门备案 (审查)意见（盖章）年 月 日备注说明：提交审查时需以附件形式提供系统情况和安全定级的相关文档。