信息系統定級與備案工作介紹

本文主要介紹信息系統安全保護等級的確定,定級工作的流程和要求,備案工作的流程和要求等。

一、信息系統安全保護等級的劃分與保護

(一) 信息系統定級工作原則

信息系統定級工作應按照「自主定級、專家評審、主管部門審批、公安機關審核」的原則進行。定級工作的主要內容包括:確定定級對象、確定信息系統安全保護等級、組織專家評審、主管部門審批、公安機關審核,具體可按照《關於開展全國重要信息系統安全等級保護定級工作的通知》(公通字〔2007〕861號)要求執行。各信息系統運營使用單位和主管部門是信息安全等級保護的責任主體,根據所屬信息系統的重要程度和遭到破壞後的危害程度,確定信息系統的安全保護等級。同時,按照所定等級,依照相應等級的管理規範和技術標準,建設信息安全保護設施,建立安全制度,落實安全責任,對信息系統進行保護。

在等級保護工作中,信息系統運營使用單位和主管部門按照「誰主管誰負責,誰運營誰負責」的原則開展工作,並接受信息安全監管部門對開展等級保護工作的監管。運營使用單位和主管部門是信息系統安全的第一責任人,對所屬信息系統安全負有直接責任;公安、保密、密碼部門對運營使用單位和主管部門開展等級保護工作進行監督、檢查、指導,對重要信息系統安全負監管責任。由於重要信息系統的安全運行不僅影響本行業、本單位的生產和工作秩序,也會影響國家安全、社會穩定、公共利益,因此,國家必然要對重要信息系統的安全進行監管。

(二) 信息系統安全保護等級

信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度,遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。信息系統的安全保護等級分為五級,從第一級到第五級逐級增高。

(三) 信息系統安全保護等級的定級要素

信息系統的安全保護等級由兩個定級要素決定:等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。

1.受侵害的客體

等級保護對象受到破壞時所侵害的客體包括以下三個方面:一是公民、法人和其他組織的合法權益;二是社會秩序、公共利益;三是國家安全。

2. 對客體的侵害程度

對客體的侵害程度由客觀方面的不同外在表現綜合決定。由於對客體的侵害是通過對等級保護對象的破壞實現的,因此,對客體的侵害外在表現為對等級保護對象的破壞,通過危害方式、危害後果和危害程度加以描述。等級保護對象受到破壞後對客體造成侵害的程度有三種:一是造成一般損害;二是造成嚴重損害;三是造成特別嚴重損害。

(四) 五級保護和監管

信息系統運營、使用單位依據國家信息安全等級保護政策和相關技術標準對信息系統進行保護,國家信息安全監管部門對其信息安全等級保護工作進行監督管理。定級要素與信息系統安全保護等級的關係如表1-1所示。

二、定級工作的主要步驟

信息系統定級是等級保護工作的首要環節和關鍵環節,是開展信息系統備案、建設整改、等級測評、監督檢查等工作的重要基礎。這裡先明確一個概念,信息系統包括起支撐、傳輸作用的基礎信息網路和各類應用系統。信息系統安全級別定級不準,系統備案、建設整改、等級測評等後續工作都會失去基礎,信息系統安全就沒有保證。定級工作可以按照下列步驟進行。

(一) 開展摸底調查

按照《定級工作通知》確定的定級範圍,各單位、各部門可以組織開展對所屬信息系統進行摸底調查,摸清信息系統底數,掌握信息系統(包括信息網路)的業務類型、應用或服務範圍、系統結構等基本情況,為下一步明確要求、落實責任奠定基礎。

(二) 確定定級對象

在全國重要信息系統安全等級保護定級工作(以下簡稱「定級工作」)中,如何科學、合理地確定定級對象是最關鍵的問題。信息系統運營使用單位或主管部門按如下原則確定定級對象。

一是起支撐、傳輸作用的信息網路(包括專網、內網、外網、網管系統)要作為定級對象。但不是將整個網路作為一個定級對象,而是要從安全管理和安全責任的角度將基礎信息網路劃分成若干個最小安全域或最小單元去定級。

二是用於生產、調度、管理、作業、指揮、辦公等目的的各類業務系統,要按照不同業務類別單獨確定為定級對象,不以系統是否進行數據交換、是否獨享設備為確定定級對象條件。不能將某一類信息系統作為一個定級對象去定級。

三是各單位網站要作為獨立的定級對象。如果網站的後台資料庫管理系統安全級別高,也要作為獨立的定級對象。網站上運行的信息系統(例如對社會服務的報名考試系統)也要作為獨立的定級對象。

四是確認負責定級的單位是否對所定級系統負有業務主管責任。也就是說,業務部門應主導對業務信息系統定級,運維部門(例如信息中心、託管方)可以協助定級並按照業務部門的要求開展後續安全保護工作。

五是具有信息系統的基本要素。作為定級對象的信息系統應該是由相關的和配套的設備、設施按照一定的應用目標和規則組合而成的有形實體。應避免將某個單一的系統組件(如伺服器、終端、網路設備等)作為定級對象。

例如,奧運網路主要包括,「奧組委辦公外網」(承載自動化辦公、場館管理、電子郵件、物流、員工之家等16項業務)、「奧組委內部辦公區域網」(承載著財務管理、人事管理等3項業務)、「奧運票務網」(票務網站和票務管理系統)、「奧運官方網站」(門戶網站和後台數據處理系統)、「奧運互聯網接入」、「競賽網」等六個奧運信息系統。確定奧組委辦公外網、奧組委內部辦公區域網、票務網站、票務管理系統、奧運官方網站和競賽網為定級對象。

(三) 初步確定信息系統等級

可以按照下列要求確定信息系統等級:

1. 定級責任主體。各信息系統運營使用單位和主管部門是信息系統定級的責任主體。

2. 定級要素。信息系統的安全保護等級由兩個定級的要素決定:等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。

信息系統的安全保護等級是信息系統本身的客觀自然屬性,不以已採取或將採取什麼安全保護措施為依據,而是以信息系統的重要性和信息系統遭到破壞後對國家安全、社會穩定、人民群眾合法公益的危害程度為依據,確定信息系統的安全保護等級。定級時應主要考慮信息系統破壞後對國家安全、社會穩定的影響,考慮境內外各種敵對勢力、敵對分子針對重要信息系統入侵攻擊破壞和竊取秘密等因素。既要防止個別單位版面追求絕對安全而定級過高,也要防止為了逃避監管定級偏低。

3.對各類系統定級的處理方法。一是單位自建的信息系統(與上級單位無關),單位自主定級。二是跨省或者全國統一聯網運行的信息系統,可以由主管部門統一確定安全保護等級。其中:由各行業統一規劃、統一建設、統一安全保護策略的全國聯網系統,應由行業主管部門統一對下各級系統分別確定等級;由各行業統一規劃、分級建設、全國聯網的信息系統,應由部、省、地市分別確定系統等級,但各行業主管部門應對該系統提出定級意見,避免出現同類系統下級定級比上級高的現象。對於該類系統的等級,下級確定後需報上級主管部門審批。

需特別注意的是:同類信息系統的安全保護等級不能隨著部、省、市行政級別的降低而降低,例如地市級的重要行業的重要系統不能定為一、二級。

4.新建系統的定級工作

對於新建系統,信息系統運營使用單位在規劃設計時應確定信息系統安全保護等級,按照信息系統等級,同步規劃、同步設計、同步實施安全保護技術措施和管理措施。有關信息系統安全保護等級確定的具體辦法和要求見1.3節。

(四) 信息系統等級評審

信息系統運營使用單位或主管部門在初步確定信息系統安全保護等級後,為了保證定級合理、準確,可以聘請專家進行評審,並出具專家評審意見。

(五) 信息系統等級的審批

單位自建的信息系統(與上級單位無關),等級確定後,是否報上級主管部門審批,由各行業自行決定。信息系統運營使用單位參考專家定級評審意見,最終確定信息系統等級,形成《定級報告》。如果專家評審意見與運營使用單位意見不一致時,由運營使用單位自主決定系統等級,信息系統運營使用單位有上級主管部門的,應當經上級主管部門對安全保護等級進行審核批准。主管部門一般是指行業的上級主管部門或監管部門。如果是跨地域聯網運營使用的信息系統,則必須由其上級主管部門審批,確保同類系統或分支系統在各地域分別定級的一致性。

(六) 公安機關審核

公安機關收到信息系統運營使用單位備案材料後,應對信息系統定級的準確性進行審核。公安機關的審核是定級工作的最後一道防線,應予以高度重視,嚴格把關。信息系統定級基本準確的,公安機關頒發由公安部統一監製的《信息系統安全等級保護備案證明》(以下簡稱《備案證明》)。對於定級不準的,公安機關應向備案單位發整改通知,並建議備案單位組織專家進行重新定級評審,並報上級主管部門審批。備案單位仍然堅持原定等級的,公安機關可以受理其備案,但應當書面告知其承擔由此引發的責任和後果,經上級公安機關同意後,同時通報備案單位上級主管部門。

三、如何確定信息系統安全保護等級

(一)如何理解信息系統的五個安全保護等級

信息系統的安全保護等級是信息系統的客觀屬性,不以已採取或將採取什麼安全保護措施為依據,而是以信息系統的重要性和信息系統遭到破壞後對國家安全、社會穩定、人民群眾合法權益的危害程度為依據,確定信息系統的安全保護等級。既要防止個別單位片面追求絕對安全而定級過高,也要防止為了逃避監管定級偏低。信息網路的安全等級可以參照在其上運行的信息系統的等級、網路的服務範圍和自身的安全需求確定適當的保護等級,不以在其上運行的信息系統的最高等級或最低等級為標準,既不就高、不就低。

為了幫助信息系統運營使用單位準確確定信息系統安全保護等級,可以參考下列對五級的說明確定系統等級。

第一級信息系統:一般適用於小型私營、個體企業、中小學,鄉鎮所屬信息系統、縣級單位中一般的信息統。

第二級信息系統:一般適用於縣級其些單位中的重要信息系統;地市級以上國家機關、企事業單位內部一般的信息系統。例如非涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統等。

第三級信息系統:一般適用於地市級以上國家機關、企業、事業單位內部重要的信息系統,例如涉及工作秘密、商業秘密、敏感信息的辦公系統和管理系統;跨省或全國聯網運行的用於生產、調度、管理、指揮、作業、控制等方面的重要信息系統以及這類系統在省、地市的分支系統;中央各部委、省(區、市)門戶網站和重要網站;跨省連接的網路系統等。

第四級信息系統:一般適用於國家重要領域、重要部門中的特別重要系統以及核心系統。例如電力、電信、廣電、鐵路、民航、銀行、稅務等重要、部門的生產、調度、指揮等涉及國家安全、國計民生的核心系統。

第五級信息系統:一般適用於國家重要領域、重要部門中的極端重要系統。

(二)定級的一般流程

信息系統安全包括業務信息安全和系統服務安全,與之相關的受侵害客體和對客體的侵害程度可能不同,因此,信息系統定級也應由業務信息安全和系統服務安全兩方面確定。從業務信息安全形度反映的信息系統安全保護等級稱為業務信息安全等級。從系統服務安全形度反映的信息系統安全保護等級稱系統服務安全等級。

確定信息系統安全保護等級的一般流程如下:確定作為定級對象的信息系統;確定業務信息安全受到破壞時所侵害的客體;根據不同的受侵害客體,從多個方面綜合評定業務信息安全被破壞對客體的侵害程度,根據業務信息的重要性和受到破壞後的危害性確定業務信息安全等級;確定系統服務安全受到破壞時所侵害的客體;根據不同的受侵害客體,從多個方面綜合評定系統服務安全被破壞對客體的侵害程度,根據系統服務的重要性和受到破壞後的危害性確定系統服務安全等級;由業務信息安全等級和系統服務安全等級的較高者確定定級對象的安全保護等級。上述步驟如圖1-1所示。

圖1-1 確定等級一般流程

1. 確定受侵害的客體

定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織的合法權益。

侵害國家安全的事項包括以下方面:影響國家政權穩固和國防實力;影響國家統一、民族團結和社會安定;影響國家對外活動中的政治、經濟利益;影響國家重要的安全保衛工作;影響國家經濟競爭力和科技實力;其他影響國家安全的事項。

侵害社會秩序的事項包括以下方面:影響國家機關社會管理和公共服務的工作秩序;影響各種類型的經濟活動秩序;影響各行業的科研、生產秩序;影響公眾在法律約束和道德規範下的正常生活秩序等;其他影響社會秩序的事項。

影響公共利益的事項包括以下方面:影響社會成員使用公共設施;影響社會成員獲取公開信息資源;影響社會成員接受公共服務等方面;其他影響公共利益的事項。

影響公民、法人和其他組織的合法權益是指由法律確認的並受法律保護的公民、法人和其他組織所享有的一定的社會權利和利益。

確定作為定級對象的信息系統受到破壞後所侵害的客體時,應首先判斷是否侵害國家安全,然後判斷是否侵害社會秩序或公眾利益,最後判斷是否侵害公民、法人和其他組織的合法權益。

各行業可根據本行業業務特點,分析各類信息和各類信息系統與國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的關係,從而確定本行業各類信息和各類信息系統受到破壞時所侵害的客體。

2. 確定對客體的侵害程度

侵害的客觀方面。在客觀方面,對客體的侵害外在表現為對定級對象的破壞,其危害方式表現為對信息安全的破壞和對信息系統服務的破壞,其中信息安全是指確保信息系統內信息的保密性、完整性和可用性等,系統服務安全是指確保信息系統可以及時、有效地提供服務,以完成預定的業務目標。由於業務信息安全和系統服務安全受到破壞所侵害的客體和對客體的侵害程度可能會有所不同,在定級過程中,需要分別處理這兩種危害方式。

信息安全和系統服務安全受到破壞後,可能產生以下危害後果:影響行使工作職能;導致業務能力下降;引起法律糾紛;導致財產損失;造成社會不良影響;對其他組織和個人造成損失;其他影響。

3. 綜合判定侵害程度

侵害程度是客觀方面的不同外在表現的綜合體現,因此,應首先根據不同的受侵害客體、不同危害後果分別確定其危害程度。對不同危害後果確定其危害程度所採取的方法和所考慮的角度可能不同,例如系統服務安全被破壞導致業務能力下降的程度可以從信息系統服務覆蓋的區域範圍、用戶人數或業務量等不同方面確定,業務信息安全被破壞導致的財物損失可以從直接的資金損失大小、間接的信息恢復費用等方面進行確定。

在針對不同的受侵害客體進行侵害程度的判斷時,應參照以下不同的判別基準:

如果受侵害客體是公民、法人或其他組織的合法權益,則以本人或本單位的總體利益作為判斷侵害程度的基準;

如果受侵害客體是社會秩序、公共利益或國家安全,則應以整個行業或國家的總體利益作為判斷侵害程度的基準。

不同危害後果的三種危害程度描述如下:

一般損害:工作職能受到局部影響,業務能力有所降低但不影響主要功能的執行,出現較輕的法律問題,較低的財產損失,有限的社會不良影響,對其他組織和個人造成較低損害。

嚴重損害:工作職能受到嚴重影響,業務能力顯著下降且嚴重影響主要功能執行,出現較嚴重的法律問題,較高的財產損失,較大範圍的社會不良影響,對其他組織和個人造成較嚴重損害。

特別嚴重損害:工作職能受到特別嚴重影響或喪失行使能力,業務能力嚴重下降且或功能無法執行,出現極其嚴重的法律問題,極高的財產損失,大範圍的社會不良影響,對其他組織和個人造成非常嚴重損害。

信息安全和系統服務安全被破壞後對客體的侵害程度,由對不同危害結果的危害程度進行綜合評定得出。由於各行業信息系統所處理的信息種類和系統服務特點各不相同,信息安全和系統服務安全受到破壞後關注的危害結果、危害程度的計算方式均可能不同,各行業可根據本行業信息特點和系統服務特點,制定危害程度的綜合評定方法,並給出侵害不同客體造成一般損害、嚴重損害、特別嚴重損害的具體定義。

4. 確定信息系統安全保護等級

根據業務信息安全被破壞時所侵害的客體以及對相應客體的侵害程度,依據表1-2業務信息安全保護等級矩陣表,即可得到業務信息安全保護等級。

表1-2 業務信息安全保護等級矩陣表

根據系統服務安全被破壞時所侵害的客體以及對相應客體的侵害程度,依據表1-3系統服務安全保護等級矩陣表,即可得到系統服務安全保護等級。

表1-3 系統服務安全保護等級矩陣表

作為定級對象的信息系統的安全保護等級由業務信息安全保護等級和系統服務安全保護等級的較高者決定。定級對象等級確定後,可參照附錄1中的《信息系統安全保護等級定級報告》模版起草定級報告。

例如,「奧組委辦公內網」承載奧組委內部的人事、財務等業務,僅在奧組委少數部門內應用,不傳輸秘密信息和敏感信息。其受到破壞後,會影響內部辦公,會對社會秩序、公共利益造成損害,定為二級;「奧組委辦公外網」通過唯一出口與互聯網相連,承載奧組委內部的電子郵件、物流、簡訊平台、場館管理等業務,在奧組委總部範圍應用,其受到破壞後,會對社會秩序、公共利益造成損害,定為二級。「票務網站」負責提供票務申請、信息填寫等業務,採集購票者信息和訂票信息,不與「票備管理系統」直接相連,其受到破壞後,會對社會秩序、公共利益造成損害,定為二級。「票務管理系統」存儲處理通過各種方式申請、購買奧運票務的個人數據,是「票備網站」的核心,其受到破壞後,會對社會秩序、公共利益造成嚴重損害,定為三級。「奧運官方網站」承擔在互聯網上對外宣傳、報道奧運重大事項,是北京奧運通過互聯網對外宣傳的門戶,其伺服器保障性要求很高,受到破壞後,會對社會秩序、公共利益造成嚴重損害,定為三級。「競賽網」承擔賽事安排、計時、成績統計等重大事項,其數據安全和服務保障性要求很高,受到破壞洉,會對社會秩序、公共利益造成嚴重損害,定為三級。

四、信息系統備案工作的內容和要求

(一)信息系統備案與受理

信息安全等級保護備案工作包括信息系統備案、受理、審核和備案信息管理等工作。信息系統運營使用單位和受理備案的公安機關應按照《信息安全等級保護備案實施細則》(公信安〔2007〕1360號)的要求辦理信息系統備案工作。

1.備案

第二級以上信息系統,在安全保護等級確定後30日內,由其運營、使用單位或者其主管部門(以下簡稱「備案單位」)到所在地設區的市級以上公安機關辦理備案手續。辦理備案手續時,應當首先到公安機關指定的網址下載並填寫備案表,準備好備案文件,然後到指定的地點備案。

備案時應當提交《信息系統安全等級保護備案表》(以下簡稱《備案表》,參見附錄2)(一式兩份)及其電子文檔。第二級以上信息系統備案時需提交《備案表》中的表一、二、三;第三級以上信息系統還應當在系統整改、測評完成後30日內提交《備案表》表四及其有關資料。

隸屬於中央的在京單位,其跨省或者全國統一聯網運行並由主管部門統一定級的信息系統,由主管部門向公安部辦理備案手續;其他信息系統向北京市公安局備案。跨省或者全國統一聯網運行的信息系統在各地運行、應用的分支系統,應當向當地設區的市級以上公安機關備案。各部委統一定級信息系統在各地的分支系統(包括終端連接、安裝上級系統運行的沒有資料庫的分系統),即使是上級主管部門定級的,也要到當地公安網監備案。

2.受理備案

地市級以上公安機關公共信息網路安全監察部門受理本轄區內備案單位的備案。隸屬於省級的備案單位,其跨地(市)聯網運行的信息系統,由省級公安機關公共信息網路安全監察部門受理備案。

隸屬於中央的在京單位,其跨省或者全國統一聯網運行並由主管部門統一定級的信息系統,由公安部公共信息網路安全監察局受理備案,其他信息系統由北京市公安局公共信息網路安全監察部門受理備案。

隸屬於中央的非在京單位的信息系統,由當地省級公安機關公共信息網路安全監察部門(或其指定的地市級公安機關公共信息網路安全監察部門)受理備案。

跨省或者全國統一聯網運行並由主管部門統一定級的信息系統在各地運行、應用的分支系統(包括由上級主管部門定級,在當地有應用的信息系統),由所在地地市級以上公安機關公共信息網路安全監察部門受理備案。

3. 備案信息管理

公安部組織開發了重要信息系統安全監察管理系統,配發給各地,搭建一個部、省、市三級公安機關等級保護綜合管理平台。該系統部、省兩級公安機關部署,部、省、市三級公安機關應用,為全國信息系統定級、備案和監督檢查工作提供支持,為重要信息系統安全監察業務服務。各地公安機關要按照《關於部署開展等級保護安全監察管理系統建設的通知》要求,組織本地開展系統建設,及時將定級備安和相關數據錄入系統,利用該系統開展等級保護工作。

(二)公安機關受理備案要求

1. 受理備案的公安機關公共信息網路安全監察部門應該設立專門的備案窗口,配備必要的設備和警力,專門負責受理備案工作,受理備案地點、時間、聯繫人和聯繫方式等應向社會公布。

2. 接收備案材料後,公安機關應當對下列內容進行審核:備案材料填寫是否完整,是否符合要求,其紙質材料和電子文檔是否一致;信息系統所定安全保護等級是否準確。

3. 公安機關收到備案單位提交的備案材料後,對屬於本級公安機關受理範圍且備案材料齊全的,應當向備案單位出具《信息系統安全等級保護備案材料接收回執》;備案材料不齊全的,應噹噹場或者在五日內一次性告知其補正內容;對不屬於本級公安機關受理範圍的,應當書面告知備案單位到有管轄權的公安機關辦理。

4. 經審核符合等級保護要求的,公安機關應當自收到備安材料之日起的十個工作日內,將加蓋本級公安機關印章(或等級保護專用章)的《備案表》一份反饋備案單位,一份存檔;對不符合等級保護要求的,公安機關公共信息網路安全監察部門應當在十個工作日內通知備安單位進行整改,並出具《信息系統安全等級保護備案審核結果通知》。

5. 《備案表》中表一、表二、表三內容經審核合格的,公安機關出具《信息系統安全等級保護備案證明》(以下簡稱《備案證明》)。《備案證明》由公安部統一監製。

6. 受理備案的公安機關公共信息網路安全監察部門應當建立管理制度,對備案材料按照等級進行嚴格管理,嚴格遵守保密制度,未經批准不得對外提供查詢。

(三)對定級不準以及不備案情況的處理

1. 公安機關對定級不準的備案單位,在通知整改的同時,應當建議備案單位組織專家進行重新定級評審,並報上級主管部門審批。

2. 備案單位仍然堅持原定等級的,公安機關可以受理其備案,但應當書面告知其承擔由此引發的責任和後果,經上級公安機關同意後,同時通報備案單位上級主管部門。

3. 對拒不備案的,公安機關應當根據《中華人民共和國計算機信息系統安全保護條例》等其他有關法律、法規規定,責令限期整改。逾期仍不備案的,予以警告,並向其上級主管部門通報。向中央和國家機關通報的,應當報經公安部同意。


推薦閱讀:

幾維安全分享2017上半年:2227起安全事件泄露60億條數據
安全態勢感知:一些哲學思考
網站入侵只是以愛國之名實施的網路暴力
0002 安全問題的根源
暗網上的性、暴力、毒品,你所有的野心和嚮往(下)

TAG:信息安全 | 網路安全 |