XX信息系统等级保护定级和备案管理制定:审核:批准:版本:XX二〇二〇年九月XX信息系统等级保护定级和备案管理1.1 工作目标和范围XX信息安全等级保护实施,包括新建信息系统的安全建设和已投入运行信息系统的安全整改。
通过落实XX信息系统安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使XX信息系统安全管理水平明显提高、安全保护能力明显增强、安全隐患和安全事故明显减少,有效保障XX系统信息化健康发展,维护国家安全、社会秩序和公共利益。
XX应落实信息安全责任制,建立并落实各类安全管理制度,开展人员安全管理、系统建设管理和系统运维管理等工作,落实物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。
1.2 安全保护能力目标依据《GBT22240-2020 信息安全技术信息系统安全等级保护定级指南》,XX信息系统的安全保护等级主要包括第一级至第四级。
XX信息系统应分别达到以下安全保护能力目标:a)第一级信息系统:——信息系统具有抵御一般性攻击的能力,防范常见计算机病毒和恶意代码危害的能力;——系统遭到损害后,具有恢复系统主要功能的能力。
b)第二级信息系统:——信息系统具有抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然灾害的能力,防范一般性计算机病毒和恶意代码危害的能力;——具有检测常见的攻击行为,并对安全事件进行记录的能力;——系统遭到损害后,具有恢复系统正常运行状态的能力。
c)第三级信息系统:——信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,抵抗较为严重的自然灾害的能力,防范计算机病毒和恶意代码危害的能力;——具有检测、发现、报警、记录入侵行为的能力;——具有对安全事件进行响应处置,并能够追踪安全责任的能力;——在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;——具有对系统资源、用户、安全机制等进行集中控管的能力。
1.3 等级保护相关角色1.3.1 信息系统主管部门XX信息系统主管部门主要负责依照国家信息安全等级保护的管理规范和技术标准,制定XX系统信息安全技术标准和制度规范,落实信息系统安全等级保护工作。
1.3.2 信息系统运营、使用单位XX信息系统运营、使用单位主要职责包括:a)负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,应当报XX系统主管部门审核批准;b)根据已经确定的安全保护等级,到公安机关办理备案手续;c)按照国家信息安全等级保护管理规范和技术标准,进行XX信息系统安全保护的规划设计;d)使用符合国家有关规定,满足XX信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作;e)制定、落实各项XX信息系统安全管理制度,定期对XX信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;f)制定不同等级信息安全事件的响应、处置预案,对XX信息系统的信息安全事件分等级进行应急处置。
1.3.3 外部相关机构XX信息系统外部相关机构主要包括:g)信息安全服务机构负责根据XX信息系统运营、使用单位的委托,依照国家信息安全等级保护的管理规范和技术标准,协助XX信息系统运营、使用单位完成等级保护的相关工作,包括确定具体XX信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。
h)信息安全等级测评机构负责根据XX信息系统运营、使用单位的委托或根据国家管理部门的授权,协助XX信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的XX信息系统进行等级测评;对信息安全产品供应商提供的信息安全产品进行安全测评。
i)信息安全产品供应商涉及XX系统需要的,负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评;按照等级保护相关要求销售信息安全产品并提供相关服务。
1.4 信息系统定级1.4.1 信息系统分析1.4.1.1 确定定级对象作为定级对象的XX信息系统应具有如下基本特征:j)承载单一或相对独立的XX业务应用,划分程度不应过粗或过细,同一层次的XX机构划分的粒度应具有一致性;k)具有唯一确定的安全责任单位,在XX机构内能够落实到具体的责任单位;l)具有信息系统的基本要素,作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体;应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。
1.4.1.2 系统识别和描述对准备定级的XX信息系统的识别和描述,应收集有关信息系统的信息,对信息进行综合分析和整理,依据分析和整理的内容形成XX机构内信息系统的总体描述性文档。
a)识别信息系统的基本信息——调查了解信息系统的XX业务特征、主管机构、业务范围、地理位置以及信息系统基本情况;——获得信息系统的背景信息和联络方式。
b)识别信息系统的管理框架——了解XX信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责;——获得支持XX信息系统业务运营的管理特征和管理框架方面的信息;——明确XX信息系统的安全责任主体。
c)识别信息系统的网络及设备部署——了解XX信息系统的物理环境、网络拓扑结构和硬件设备的部署情况;——明确XX信息系统的边界,即确定定级对象及其范围。
d)识别信息系统的业务种类和特性——了解XX机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务流程等;——明确XX机构业务运营的信息系统的业务特性,将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象。
e)识别业务系统处理的信息资产——了解XX信息系统处理的信息资产的类型——了解XX信息资产在保密性、完整性和可用性等方面的重要性程度。
f)识别用户范围和用户类型——了解XX信息系统用户或用户群的分布范围;——了解XX业务系统的服务范围、作用以及业务连续性方面的要求等。
g)信息系统描述对收集的信息进行整理、分析,形成对XX信息系统的总体描述文件,应包含以下内容:——系统概述;——系统边界描述;——网络拓扑;——设备部署;——支撑的业务应用的种类和特性;——处理的信息资产;——用户的范围和用户类型;——信息系统的管理框架。
1.4.1.3 信息系统划分对XX机构内运行的信息系统进行合理分解,确定所包含可以作为定级对象的信息系统的个数,形成XX信息系统详细描述文件。
a)划分方法的选择——应对大型XX信息系统进行划分,突出重点保护的等级保护原则;——可依据管理机构、业务类型、物理位置等因素;——XX信息系统的运营、使用单位应根据本单位的具体情况确定一个系统的分解原则。
b)信息系统划分——依据选择的系统划分原则,将一个XX机构内拥有的大型XX信息系统进行划分,划分出相对独立的信息系统并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征;——在信息系统划分的过程中,应先考虑组织管理的要素,后考虑业务类型、物理区域等要素。
c)信息系统详细描述XX信息系统划分信息的描述,应准确描述一个大型XX信息系统中包括的定级对象的个数。
XX信息系统详细描述文件应包含以下内容:——相对独立信息系统列表;——每个定级对象的概述;——每个定级对象的边界;——每个定级对象的设备部署;——每个定级对象支撑的业务应用及其处理的信息资产类型;——每个定级对象的服务范围和用户类型;——其他内容。
1.4.2 安全保护等级确定1.4.2.1 定级、审核和批准按照国家有关管理规范和《GBT 22239-2019 信息安全技术信息系统安全等级保护基本要求》,确定XX信息系统的安全保护等级,并对定级结果进行审核和批准,保证定级结果的准确性。
形成信息系统定级评审意见。
a)信息系统安全保护等级初步确定根据国家有关管理规范和《GBT 22239-2019 信息安全技术信息系统安全等级保护基本要求》确定的定级方法,XX信息系统运营、使用单位对每个定级对象确定初步的安全保护等级。
b)定级结果审核和批准——XX信息系统运营、使用单位初步确定了安全保护等级后,应当经XX系统主管部门审核批准;——跨省或者全国统一联网运行的XX信息系统由XX上级主管部门统一确定安全保护等级;——对拟确定为第三级以上信息系统的,运营使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。
1.4.2.2 形成定级报告对XX信息系统的总体描述文档、信息系统的详细描述文件、信息系统安全保护等级确定结果等内容进行整理,形成文件化的信息系统定级结果报告。
信息系统定级结果报告可以包含以下内容:a)单位信息化现状概述;b)管理模式;c)信息系统列表;d)每个信息系统的概述;e)每个信息系统的边界;f)每个信息系统的设备部署;g)每个信息系统支撑的业务应用;h)信息系统列表、安全保护等级以及保护要求组合;i)其他内容。
1.5 定级和备案管理XX将按照《GBT 22239-2019 信息安全技术信息系统安全等级保护基本要求》,对XX信息系统定级和备案管理进行测试。
XX将从信息系统安全等级保护管理的角度,对定级和备案管理所涉及的组织实施、定级和备案细则、定级说明、定级审定和批准、定级系统材料管理、定级系统材料上报备案等方面开展工作。