标准规范下载简介
GAT1389-2017信息安全技术 网络安全等级保护定级指南.pdfICS35.40 L80
GA/T 13892017
Information security technology
Guidelinesforgradingof classifiedprotectionof cyber security
某标段排水沟浆砌条石明排水沟施工方案中华人民共和*公安部发布
GA/T13892017
言 范围 规范性引用文件 术语和定义 定级原理及流程 4.1安全保护等级 4.2定级要素. 4.2.1定级要素概述 4.2.2受侵害的客体, 4.2.3对客体的侵害程度 4.3定级要素与安全保护等级的关系 4.4 定级流程 确定定级对象 5.1基础信息网络, 5.2信息系统 5.2.1工业控制系统 5.2.2云计算平台 5.2.3物联网 5.2.4采用移动互联技术的信息系统 5.2.5其他信息系统 5.3 大数据 初步确定安全保护等级 6. 1 定级方法概述 6.2 确定受侵害的客体 6.3确定对客体的侵害程度 6.3.1.1侵害的客观方面. 6.3.1.2综合判定侵害程度 6.4确定安全保护等级 专*评审 主管部门审核 公安机关备案审查 等级变更 录A(资料性附录) 定级方法流程
6初步确定安全保护等级
附录B(资料性附录) 各级等级保护对象定级工作要求
录B(资料性附录) 各级等级保护对象定级工作要求,
GA/T 13892017
本标准规定了网络安全等级保护的定级方法和定级流程。 本标准适用于为等级保护对象的定级工作提供指导,
GA/T 13892017
网络安全等级保护定级指南
由计算机和类计算机的软硬件及其相关的和配套的设备、设施构成的,按照一定的应用目标 行信息处理或过程控制的资源集合。 资源可以是物理设备,也可以是虚拟设备
通信和信息服务、能源、金融、交通、水利、公共服务和电子*务等重要行业和领域的基础信 重要信息系统和数据资源,以及其他一旦遭到破坏、丧失功能或数据泄露,可能严重危害** 计民生和公共利益的等级保护对象。
客体object 受注律保护的等级保护对象受到础坏时所侵害的社全关系
客观方面objectiveaspect
对客体造成侵害的客观外在表现,包括侵害方
根据等级保护相关管理文件,等级保护对象的安全保护等级分为以下五级: a)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法*益造成损害,但不损 害**安全、社会秩序和公共利益; b 第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法*益产生严重损害,或 者对社会秩序和公共利益造成损害,但不损害**安全; 第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法*益产生特别严重损害, 或者对社会秩序和公共利益造成严重损害,或者对**安全造成损害; d 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对** 安全造成严重损害; e 第五级,等级保护对象受到破坏后,会对**安全造成特别严重损害
4.2.1定级要素概述
等级保护对象的级别由两个定级要素决定: a)受侵害的客体; b)对客体的侵害程度。
4.2.2受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面: a)公民、法人和其他组织的合法*益; b)社会秩序、公共利益; C)**安全。 侵害**安全的事项包括以下方面: 影响****稳固和*防实力; 影响**统一、民族团结和社会安定; 影响**对外活动中的*治、经济利益: 影响**重要的安全保卫工作; 影响**经济竞争力和科技实力: 其他影响**安全的事项。 侵害社会秩序的事项包括以下方面: 影响**机关社会管理和公共服务的工作秩序; 影响各种类型的经济活动秩序:
GA/T 13892017
影响各行业的科研、生产秩序; 影响公众在法律约束和道德规范下的正常生活秩序等; 其他影响社会秩序的事项。 侵害公共利益的事项包括以下方面: 影响社会成员使用公共设施; 影响社会成员获取公开信息资源; 影响社会成员接受公共服务等方面; 其他影响公共利益的事项。 侵害公民、法人和其他组织的合法*益是指由法律确认的并受法律保护的公民、法人和其他组织所 有的一定的社会*利和利益等受到损害。
4.2.3对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象 破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危 程度加以描述。 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种: a)造成一般损害; b)造成严重损害; c)造成特别严重损害。 三种侵害程度的描述如下: 一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律 问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害; 严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法 律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害; 特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行, 出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成 非常严重损害
4.3定级要素与安全保护等级的关系
定级要素与安全保护等级的关系如表1所示。
表1定级要素与安全保护等级的关系
各级等级保护对象定级工作具体要求参见附录A。
保护对象定级工作一般法
对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责 任主体等因素将其划分为不同的定级对象, 跨省全*性业务专网可作为一个整体对象定级,也可以分区域划分为若于个定级对象
5. 2. 1 工业控制系统
工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成,其中:生产管理层 的定级对象确定原则见5.2.5。现场设备层、现场控制层和过程监控层应作为一个整体对象定级,各层 次要素不单独定级。
GA/T 13892017
对于大型工业控制系统,可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对
5. 2. 2 云计算平台
在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保 应作为单独的定级对象定级, 对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象
5.2.4采用移动互联技术的信息系统
采用移动互联技术的等级保护对象应作为一个整体对象定级,主要包括移动终端、移动应用、 络以及相关应用系统等。
5.2.5其他信息系统
作为定级对象的其他信息系统应具有如下基本特征: a)具有确定的主要安全责任单位。作为定级对象的信息系统应能够明确其主要安全责任单位; b)承载相对独立的业务应用。作为定级对象的信息系统应承载相对独立的业务应用,完成不同业 务目标或者支撑不同单位或不同部门职能的多个信息系统应划分为不同的定级对象; C 具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备、设施按照 一定的应用目标和规则组合而成的多资源集合,单一设备(如服务器、终端、网络设备等)不 单独定级。
应将具有统一安全责任单位的大数据作为一个整体对象定级,或将其与责任主体相同的相关支 统一定级。
6初步确定安全保护等级
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程 度可能不同,因此,安全保护等级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角 度反映的定级对象安全保护等级称业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保 护等级称系统服务安全保护等级。 定级方法如下: a)确定受到破坏时所侵害的客体 1)确定业务信息受到破坏时所侵害的客体: 2)确定系统服务受到侵害时所侵害的客体。 b 确定对客体的侵害程度 1 根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度; 2) 根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度。 确定安全保护等级 1)确定业务信息安全保护等级; 2)确定系统服务安全保护等级:
3)将业务信息安全保护等级和系统服务安全保护等级的较高者初步确定为定级对象的安全 保护等级。 定级方法的流程示意图参见附录A。 对于大数据等定级对象,应综合考虑数据规模、数据价值等因素,根据其在**安全、经济建设、 社会生活中的重要程度,以及数据资源遭到破坏后对**安全、社会秩序、公共利益以及公民、法人和 其他组织的合法*益的危害程度等因素确定其安全保护等级。原则上大数据安全保护等级为第三级以 上。 对于基础信息网络、云计算平台等定级对象,应根据其承载或将要承载的等级保护对象的重要程度 确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。 **关键信息基础设施的安全保护等级应不低于第三级
6.2确定受侵害的客体
定级对象受到破坏时所侵害的客体包括**安全、社会秩序、公众利益以及公民、法人和其他组纠 的合法*益。 确定受侵害的客体时,应首先判断是否侵害**安全,然后判断是否侵害社会秩序或公众利益,最 后判断是否侵害公民、法人和其他组织的合法*益
6.3.1.1侵害的客观方面
在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对业务信息安全的破 坏和对信息系统服务的破坏,其中业务信息安全是指确保信息系统内信息的保密性、完整性和可用性等, 系统服务安全是指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安 全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分 别处理这两种危害方式。 业务信息安全和系统服务安全受到破坏后[广东]烟草配送中心基坑开挖支护及降水施工方案,可能产生以下危害后果: 影响行使工作职能; 导致业务能力下降; 引起法律纠纷; 导致财产损失; 造成社会不良影响; 对其他组织和个人造成损失; 其他影响。
6.3. 1.2 综合判定侵害程度
侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、不同危害 后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑的角度可能不同,例 如系统服务安全被破坏导致业务能力下降的程度可以从定级对象服务覆盖的区域范围、用户人数或业务 量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复 费用等方面进行确定。 在针对不同的受侵害客体进行侵害程度的判断时,应按照以下不同的判别基准: 如果受侵害客体是公民、法人或其他组织的合法*益,则以本人或本单位的总体利益作为判断侵害 程度的基准; 如果受侵害客体是社会秩序、公共利益或**安全,则应以整个行业或**的总体利益作为判断侵 害程度的基准。
GA/T 13892017
6.4确定安全保护等级
根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表2业务信息安全 级矩阵表,即可得到业务信息安全保护等级
云南XXX二级公路1-130米箱形拱桥施工组织设计方案表2业务信息安全保护等级矩阵表
根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表3系统服务安全保护 等级矩阵表,即可得到系统服务安全保护等级
表3系统服务安全保护等级矩阵表