GBT 22240-2020《信息安全技术 信息系统安全等级保护定级指南》.pdf

  • GBT 22240-2020《信息安全技术 信息系统安全等级保护定级指南》.pdf为pdf格式
  • 文件大小:4.1 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2021-05-07
  • 发 布 人: dabenyu
  • 文档部分内容预览:
  • GBT 22240-2020《信息安全技术 信息系统安全等级保护定级指南》

    5.1.1定级对象的基本特征

    作为定级对象的信息系统应具有如下基本特征: a)具有确定的主要安全责任主体; b)承载相对独立的业务应用; ) 包含相互关联的多个资源。 注1:主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织 注2:避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。 在确定定级对象时,云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统在满足 以上基本特征的基础上,还需分别遵循5.1.2、5.1.3、5.1.4、5.1.5的相关要求。

    5.1.2 云计算平台/系统

    在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独 的定级对象定级电镀标准,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。 对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象

    物联网主要包括感知、 要素不单独定级

    5.1.4工业控制系统

    工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采 集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素宜单 独定级。 对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级 对象。

    5.1.5采用移动互联技术的系统

    用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整 成与相关联业务系统一起定级,各要素不单独定级

    对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素 其划分为不同的定级对象。 跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象

    GB/T22240—20205.3数据资源数据资源可独立定级。当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。6确定安全保护等级6.1定级方法概述定级对象的定级方法按照以下描述进行。对于通信网络设施、云计算平台/系统等起支撑作用的定级对象和数据资源,还需参照6.6。定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的定级对象安全保护等级称为业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保护等级称为系统服务安全保护等级,定级方法流程示意图如图2所示。确定业务信息受到破坏时所侵害确定系统服务受到破坏时所侵害的客体的客体综合评定对客体的侵青程度综合评定对客体的侵害程度确定业务信息安全保扩等级确定系统服务安全保扩等级确定定级对象的安全保护等级图2定级方法流程示意图具体流程如下:a)确定受到破坏时所侵害的客体1)确定业务信息受到破坏时所侵害的客体;2)确定系统服务受到侵害时所侵害的客体。b)确定对客体的侵害程度1)根据不同的受侵害客体,分别评定业务信息安全被破坏对客体的侵害程度;2)根据不同的受侵害客体,分别评定系统服务安全被破坏对客体的侵害程度。确定安全保护等级1)确定业务信息安全保护等级;2)确定系统服务安全保护等级;

    3)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保折 等级

    6.2确定受侵害的客体

    定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织 合法权益。 侵害国家安全的事项包括以下方面: 影响国家政权稳固和领土主权、海洋权益完整; 影响国家统一、民族团结和社会稳定: 影响国家社会主义市场经济秩序和文化实力; 其他影响国家安全的事项。 侵害社会秩序的事项包括以下方面: 影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序; 影响公共场所的活动秩序、公共交通秩序; 影响人民群众的生活秩序; 其他影响社会秩序的事项。 侵害公共利益的事项包括以下方面: 影响社会成员使用公共设施: 影响社会成员获取公开数据资源; 影响社会成员接受公共服务等方面; 其他影响公共利益的事项。 侵害公民、法人和其他组织的合法权益是指受法律保护的公民、法人和其他组织所享有的社会权利 利益等受到损害。 确定受侵害的客体时,首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后 断是否侵害公民、法人和其他组织的合法权益

    6.3确定对客体的侵害程度

    6.3.1侵害的客观方面

    在客观方面,对客体的侵害外在表现为对定级对象的破 式农现为对业务信息安全的破 不和对系统服务安全的破坏。其中,业务信息安全是指确保定级对象中信息的保密性、完整性和可用性 ,系统服务安全是指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标。由于业务信 安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需 要分别处理这两种侵害方式。 业务信息安全和系统服务安全受到破坏后,可能产生以下侵害后果: 影响行使工作职能; 导致业务能力下降; 引起法律纠纷; 导致财产损失; 造成社会不良影响; 对其他组织和个人造成损失; 其他影响

    6.3.2综合判定侵害程度

    侵害程度是客观方面的不同外在表现的综合体现,因此,首先根据不同的受侵害客体、不同侵害后

    据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2可得到业务 保护等级。

    牛奶标准表2业务信息安全保护等级矩阵表

    根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表3可得到系统服务 安全保护等级。

    表3系统服务安全保护等级矩阵表

    定级对象的初步安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。

    安全保护等级初步确定为第二级及以上的,定级对象的网络运营者需组织信息安全专家和业务专 家对定级结果的合理性进行评审,并出具专家评审意见。有行业主管(监管)部门的,还需将定级结果报 请行业主管(监管)部门核准,并出具核准意见。最后,定级对象的网络运营者按照相关管理规定,将定 级结果提交公安机关进行备案审核。审核不通过,其网络运营者需组织重新定级;审核通过后最终确定 定级对象的安全保护等级。 对于通信网络设施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重 要程度确定其安全保护等级,原则上不低于其承载的等级保护对象的安全保护等级。 对于数据资源交通标准,综合考虑其规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益以 及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。涉及大量公民个人信息以及为 公民提供公共服务的大数据平台/系统.原则上其安全保护等级不低于第三级

    当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务 安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需根据本标准重新确定定级对象和安 全保护等级。

    ....
  • 相关专题: 信息安全  

相关下载

常用软件